Что делать с BackDoor.Wirenet.1

10

Какие меры предосторожности следует предпринять при предотвращении атаки трояном BackDoor.Wirenet.1 ?

Блокировки всех сообщений с 212.7.208.65 должно быть достаточно? Если да, то как это сделать?

security carnendil
источник
1
не запуская программу, которую вы не знаете / которой не доверяете?
Steabert
6
Никаких немедленных шагов не требуется, кроме изучения Linux Security .
независимо от того, что

Ответы:

8

BackDoor.Wirenet.1 Keylogger - это бэкдор-троян, который может работать в Linux и MacOSX, похищая личную информацию, пароли и банковские учетные данные! Он копирует себя в домашний каталог пользователя по адресу/home/WIFIADAPT

Затем он создает соединение с удаленным IP, в настоящее время 212.7.208.65

Защита и удаление:

  1. Заблокируйте тот IP с вашим маршрутизатором / межсетевым экраном.
  2. Удалите вышеуказанный каталог / файлы.
Webman
источник
Спасибо за совет. Есть ли способ узнать источник инфекции?
Как мы будем блокировать этот конкретный IP-адрес? UFW может блокировать только порты, верно?
Glutanimate
гул, а как он получил права на запись в / home / WIFIADAPT? Это вежливо спросил пользователь? Или вы сделали ошибку, и это ~ / WIFIADAPT, который нацелен?
Вааб
2
@Glutanimate Похоже, это делает работу sudo ufw reject out to 212.7.208.65. Вы можете проверить, пытаясь pingполучить этот IP позже.
Jcollado
1
@Glutanimate sudo - iptables -Block INPUT -s 212.7.208.65 -p all -j DROP также будет делать это, но будет сохраняться до тех пор, пока вы не выйдете из системы, если вы не добавите его в один из ваших сценариев запуска.
Джо
9

Насколько я понимаю, wirenet-1 должен создать файл в каталоге ~ / WIFIADAPT Так как Linux видит каталоги и файлы как одинаковые (вы не можете иметь файл и каталог с одинаковым именем), я считаю, что создание пустого файла имя WIFIADAPT в вашем домашнем каталоге не позволит вам получить Trogen, так как он не сможет создать каталог WIFIADAPT в месте, где хранится инфекция. Просто для дополнительных мер я бы установил права на создаваемый файл только для чтения. Это всего лишь мое предложение, но я верю, что это сработает. Также неплохо было бы заблокировать вышеупомянутый IP-адрес.

бунт
источник
по логике да! я согласен
penreturns
Это интересный подход.
Exeleration-G