Trojan Horse Linux/DDos.XOR - Ubuntu

Iniciado por WilsonBom, 08 de Abril de 2016, 15:51

tópico anterior - próximo tópico

WilsonBom


Gente,

Um servidor Linux Ubuntu foi infectado com o Vírus destacado no assunto.

Teria uma forma "fácil" de remove-lo ?

druidaobelix

#1
E como é que você sabe que o sistema realmente está infectado?

De que forma objetivamente apurou isso?

Como possivelmente já saiba, essa eventual infecção **não é** uma falha do Linux e sim do dispositivo que fica entre a cadeira e o monitor, vez que se trata de uso de senha frágil, porque o acesso é por SSH e força bruta, quebrando a senha do root.

www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

WilsonBom

Executando este comando:

ls -la /etc/init.d/ | egrep -i " [a-z]{10}$"

Percebe-se uma lista de arquivos como:

"pgavugkmwd"
"xbapoglxig"

etc... Muitos arquivos criados...

Apaga-se eles, e são recriados com outros nomes....

jkmsjq

Veja se este link  contribui na solução do seu problema.
LinuxUser: 548942 / Dando um tópico como resolvido
"A verdade só é agressiva a quem vive de mentiras". Autor desconhecido.
Twitter: @jeisonkertesz

druidaobelix

#4
Na verdade o tema foge um pouco ao escopo do fórum, já que não se trata de discutir características específicas de sistema operacional Linux e muito menos de alguma particularidade do Ubuntu. O problema é mesmo estranho ao Ubuntu. Fóruns que tratam especificamente de segurança talvez possam melhor abordar a questão.

De toda forma, na mesma linha já sugerida, no "Blaze's Security Blog" (Blog about internet & malware threats), em artigo de 2015/09/25, "Notes on Linux/Xor.DDoS" a questão está muito bem detalhada, exposta de forma bastante didática a conceituação e diagnóstico e bem assim a desinfecção, arrematando com a necessária prevenção.

Confira aqui:

http://bartblaze.blogspot.com.br/2015/09/notes-on-linuxxorddos.html

Um bom administrador de redes não terá de fato muita dificuldade em resolver a questão seguindo o roteiro sugerido, que é mais que suficiente na solução do problema.

Evidentemente que o caso concreto é que irá determinar a melhor solução. Um pequeno servidor artesanal e quase doméstico não é a mesma coisa que um parque de 500 máquinas rodando profissionalmente aplicações de missão crítica. Em determinados ambientes o melhor a fazer é chamar e contratar um especialista; em outras situações simplesmente voltar um backup resolve o problema e até mesmo pura e simplesmente reinstalar o sistema pode ser o caminho mais fácil. Com dito, o caso concreto é que irá ditar o melhor caminho.
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

zekkerj

Citação de: druidaobelix online 09 de Abril de 2016, 18:15
Como possivelmente já saiba, essa eventual infecção **não é** uma falha do Linux e sim do dispositivo que fica entre a cadeira e o monitor, vez que se trata de uso de senha frágil, porque o acesso é por SSH e força bruta, quebrando a senha do root.
Lembrando que o Ubuntu, por padrão, não define senha de root, ao contrário, mantém esse usuário desativado.
Também é padrão para o Ubuntu manter o acesso SSH ao root desativado.
Assim, é necessário desativar duas trancas pra tornar um servidor Ubuntu vulnerável a esse Trojan.

Como agora é tarde demais pra admoestar, é preciso ser objetivo. Avalie se vale a pena tentar recuperar o servidor, ou se é mais fácil reinstalá-lo do zero.
Se você usa mais de um servidor, lembre-se de verificar todos os outros com quem o servidor afetado pode ser comunicar. Se o mesmo usuário loga-se em mais de um servidor, troque a senha dele.
Adote práticas de segurança mais consistentes, evitando abrir serviços de acesso remoto em portas padrão, desativando acesso externo direto ao root,  e se possível, pare de usar senhas pra se autenticar, passe a usar certificados criptográficos.
Mantenha um backup regular de seus dados, dessa vez foi um vírus, mas poderia ter sido um incêndio ou crash de hardware.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D