# Wi-Fi News > Ειδήσεις - Αναδημοσίευση άρθρων >  Operation Windigo: ένα Malware που έχει προσβάλει 25.000 UNIX Servers

## ydin

Malware επιτίθεται σε περισσότερους από *500.000 υπολογιστές καθημερινά, μετά από μόλυνση 25.000 UNIX Servers από Backdoor Trojan.

Οι ερευνητές της ESET σε συνεργασία με το CERT-Bund, το Σουηδικό εθνικό φορέα Πληροφορικής, καθώς και με τη συμμετοχή και άλλων φορέων, ανακάλυψαν μία εκτεταμένη κακόβουλη εκστρατεία κυβερνοεγκλήματος, η οποία κατέλαβε τον έλεγχο σε περισσότερους από 25.000 Unix servers παγκοσμίως.


Πληρες αρθρο &* *Αρχικη Πηγη* *:* http://www.thelab.gr/eidiseis/operat...ei-133683.html

----------


## Cha0s

Χωρίς να το έχω μελετήσει το θέμα, έχω την εντύπωση πως αναφέρονται σε αυτό εδώ: http://www.webhostingtalk.com/showthread.php?t=1235797

Που έχει αναφερθεί από το 2013.

Αν πάλι αναφέρονται σε άλλο malware/rootkit τότε γράφτε λάθος  ::

----------


## romias

Χμ έτρεξα την εντολή που προτείνει το site 



> $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"


στο desktop μου και στο router και παίρνω αποτέλεσμα System infected.
To chkrootkit μου βγάζει,στο desktop



> Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
> /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /usr/lib/jvm/jdk1.7.0_51/lib/missioncontrol/plugins/org.eclipse.core.runtime.compatibility.registry_3.5.100.v20120521-2346/.api_description /usr/lib/jvm/jdk1.7.0_51/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/jdk1.7.0_51/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/jdk1.7.0_51/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.lock /usr/lib/jvm/jdk1.7.0_51/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/jdk1.7.0_51/lib/visualvm/profiler/.lastModified /usr/lib/jvm/jdk1.7.0_51/lib/visualvm/platform/.lastModified /usr/lib/jvm/.java-1.7.0-openjdk-i386.jinfo /usr/lib/jvm/.java-1.6.0-openjdk-i386.jinfo
> /usr/lib/jvm/jdk1.7.0_51/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/jvm/jdk1.7.0_51/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data


Δηλαδή οι javes,τι κάνουμε;;

Πως είναι δυνατόν να είναι μολυσμένο το desktop που δεν τρέχει ssh;

----------


## NetTraptor

chkrootkit, rkhunter, google και κάτι άλλο. γενικά καλό format αν δεν βρεις άκρη.  ::

----------


## romias

Καλά σε δουλεία να βρισκόμαστε.
Και άμα κάνεις απρόσεκτο copy paste τραβάς τα μαλλιά σου. Ρε τι μπαγλαμας είμαι έβαζα $ στην αρχή της εντολής. :: 

Το σωστό είναι 


> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"


Με την ευκαιρία που το ψαξα ρίχτε μια ματια.
https://www.cert-bund.de/ebury-faq

Με λίγα λόγια αμα το αρπάξεις chkrootkit, rkhunter, δεν το βρίσκουν επίσης ipcs -m



> Also note that the SHMs are only created on the first event of data exfiltration – so immediately after a reboot of the system, the malicious SHM will probably not show up in the output of 'ipcs -m'.


Η μόνη λύση φορμάτ.

----------


## Nikiforos

Σε ενα αλλο forum που το εγραψαν εγινε χαμος γιαυτο θα πω λιγα λογια και καλα γιατι δεν εχω ορεξη για θεματα τυπου win vs linux. http://el.wikipedia.org/wiki/Rootkit και https://www.cert-bund.de/ebury-faq

How can I verify my system is infected with Ebury?

Ebury uses shared memory segments (SHMs) for interprocess communication. A list of currently existing SHMs can be obtained by running the command 'ipcs -m' as root.
If the output shows one or more large segments (at least 3 megabytes) with full permissions (666), the system is most likely infected with Ebury.

Example output of 'ipcs -m' on an infected Linux system:

# ipcs -m
------ Shared Memory Segments --------
key shmid owner perms bytes nattch
0x00000000 0 peter 600 393216 2
0x00000000 32769 paul 600 393216 2
0x000006e0 65538 root 666 3283128 0 What has been replaced on my system, the shared library or the SSH binaries?

A replacement of the shared library 'libkeyutils' can be identified by looking at the file size. Legitimate versions of the library usually are less than 15 kilobytes in size, while the malicious ones are larger than 25 kilobytes. To check the file size, run the following command:

# find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;

Depending on how the attackers installed the malicious library, you will see one or more files in the output. If any file is larger than 25 kilobytes in size, it is most probably a malicious version of the library. Example:

-rwxr-xr-x 1 root root 35136 Jun 22 2012 /lib64/libkeyutils.so.1.3

For the SSH binaries, identifying malicious replacements based on file sizes is not easily possible as file sizes vary strongly with different Linux distributions and other operating systems.

romias το ειπες απο πανω δεν το προσεξα, η νυστα φταιει, ολα καλα σε εμενα. Εβαλα και τον SSH να μην τρεχει συνεχεια μονο οταν τον χρειαζομαι. Καλα ειναι για περισσοτερη ασφαλεια να κανουμε bridge το adsl router με το ΜΤ μας ή το openwrt μας (οτι εχουμε) και να κανει αυτο την δρομολογηση καθως και fw κτλ για να ειμαστε περισσοτερο καλυμμενοι (αυτο με το bridge ο Cha0s το ειπε)  ::  θα το δοκιμασω αμα βρω πως γινεται. Το μετρο προστασιας ειναι η ΠΡΟΛΗΨΗ! backup το root partition με καποιο προγραμμα και ΠΡΙΝ το κανουμε backup καθε φορα ελεγχος με εντολες για rootkit. Δεν ειναι ιος αλλα κανει αλλα πραγματα. 
Τα παρακατω εργαλεια τον συγκεκριμενο ειναι ανίκανα προς το παρον να τον εντοπισουν, θα δουμε μετα απο τυχον updates τους.

pacman -Ss rootkit
community/rkhunter 1.4.0-1
Checks machines for the presence of rootkits and other unwanted tools.
community/unhide 20130526-1
A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.

yaourt -Ss rootkit
aur/rkhunter-archlinux 1.4.0-1 (6)
rootkits checker with ArchLinux specific patches.
aur/rootcheck 2.4-2 ( :: 
an open source rootkit detection and system auditing software
aur/tiger 3.2.3-3 (36)
A security scanner, that checks computer for known problems. Can also use tripwire, aide and chkrootkit

----------


## fengi1

> Η μόνη λύση φορμάτ.


Τκη βαλε winXp SP2 αμα κανεις φορματ. Δεν κολαει τιποτα.  ::

----------

