Hardware y software

Troyano / Rootkit infecta miles de Sistemas *nix

Por Get — 20 mar 14, 10:41
Get
Get #1 Mar '14

Se trata de un troyano rootkit , llamado Ebury. El cual no es nuevo, ya es conocido desde alrededor de 2011. Infecta sistemas *nix y cambia/altera binarios como ssh, sshd, ssh-add para sus fines.

mas info y cómo comprobar si nuestros sistemas estan afectados.
https://hurricane-computing.com/es/ebury-rootkit/

Los servidores afectados, infectan a sus usuario mediante paquetes falsos de peticiones dns, mas troyanos, los usuarios de ios al ser imunes a eso, son redireccionados a paginas porno, para poder "monetizar-los" de alguna forma. Así que esta serio el tema.

1
MegalomaniaC
MegalomaniaC #2 Mar '14

Muy interesante, la verdad que el mundo virus/troyano tan poco extendido en Unix y OSX (aunque en este ya se han visto casos ultimamente) tenia que verse afectado ya que al final, cada vez lo usa mas gente y ese es el objetivo de los graciosillos.

xBoSS
xBoSS #3 Mar '14 100% Vacuno

Afortunadamente, todos mis sistemas están limpios :D

Get
Get #4 Mar '14

el tema es que los hosts *nix no se infectan aprovechando un fallo o algo. sino que sacan las credenciales de dichos hosts de equipos windows previamente infectados. Cuanta gente se guarda en securecrt sus servers con su respectivo login y la contraseña almacenada. ... es eso, o bien cms vulnerables.

3
BLZKZ
BLZKZ #5 Mar '14

"El sistema está limpio"

Mi servidor está limpio. Nice.

iPoky
iPoky #6 Mar '14

Disculpad mi ignorancia, pero hablamos únicamente de servidores infectados o también afecta a ordenadores personales? Por el dibujo entiendo que lo infectado es el servidor, pero con la frase "infectan a sus usuario mediante paquetes falsos de peticiones dns, mas troyanos, los usuarios de ios al ser imunes a eso" me descoloca un poco xD

Perdonad x la empanada mental xD

1 respuesta
D
DiSKuN #7 Mar '14

#6 Peticiones DNS hace cualquier SO que quiera resolver nombres y viendo el esquema, no hace falta que sea un servidor.

1 1 respuesta
iPoky
iPoky #8 Mar '14

#7 Gracias!

Es curioso además que no se vean afectados los dispositivos con iOS, a pesar de ser rootkits (aunque no controlo absolutamente nada la estructura del OS)

Get
Get #9 Mar '14

los dispositivos que no son vulnerables a los paquetes "fake-dns" que se emiten en este entramado son redireccionados a paginas pron, para por lo menos sacar algo de estos. vamos que canibalizan con el backdoor/troyano todo lo q se ponga por delante. En especial equipos windows, son necesarios para conseguir las primeras ips, usuarios y claves de servidores dedicados. PEro vamos, tambien son vulnerables a esto, los equipos de a pie. ya q tambien tienen ssh y sshd.

1 1 respuesta
23 días después
willy_chaos
willy_chaos #10 Abr '14

#9 Podrias explicar que hace exactamente el comando ¿

1 respuesta
Kaoticbcn
Kaoticbcn #11 Abr '14 Penitente

"El sistema está infectado" :(

Lo he probado en una máquina virtual de linux que tengo, debería preocuparme? :/

(Es curioso que esté infectada una maquina que solo he abierto para hacer cosas de la uni)

Get
Get #12 Abr '14

#10

ssh -G 2>&1| grep -e illegal -e unknown > /dev/null && echo "El sistema está limpio" || echo "El sistema está infectado"

basicamente ejecuta ssh -G, en busca de illegal o unknown, ya que un binario ssh por regla general no responde al ssh -G. si responde a ssh -G tu binario ya ha sido cambiado por el "infectado"

root@beta:~# ssh -G
ssh: illegal option -- G
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-e escape_char] [-F configfile]
           [-I pkcs11] [-i identity_file]
           [-L [bind_address:]port:host:hostport]
           [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
           [-R [bind_address:]port:host:hostport] [-S ctl_path]
           [-W host:port] [-w local_tun[:remote_tun]]
           [user@]hostname [command]
root@beta:~#
1 respuesta
willy_chaos
willy_chaos #13 Abr '14

#12 Gracias, vease que han cambiado el binario y le han añadido alguna opcion mas --G que en el real no esta entiendo, no entendia lo de -G ya que me daba error xD al ejecutarlo, mi server por lo visto esta limpio.

1 respuesta
Get
Get #14 Abr '14

si, una manera un poco guarra de probarlo #13, pero es cross-plattform. de lo contrario, buscarte el md5sum del binario en tu distro y comprobarlo.

LOc0
LOc0 #15 Abr '14

Mal rollo entre 0-days, rootkits y cia :(

Gracias por el soplo #1

Salu2 ;)

1 respuesta
Get
Get #16 Abr '14

#15 a mandar :D

9 días después
neo-ns
neo-ns #17 May '14

Linux & Mac no tienen virus, solo windows GL XD

2 respuestas
Get
Get #18 May '14

#17
1: look title
2: find "troyano ... rootkit"
3: start brain before posting
4: profit

después te lees bien la especificación ...
a ver si así...

itonny
itonny #19 May '14 Inocente

#17 tienes razon solo windows y el so nix

Usuarios habituales

  • Get
  • neo-ns
  • LOc0
  • willy_chaos
  • Kaoticbcn
  • iPoky
  • MegalomaniaC

Tags