Re: OT: Criptominador Outlaw en cuenta de usuario
El día 26/10/2023, a las 13:16, JavierDebian escribió: > > > Estoy presumiendo que el problema vino por allí, que hace dos años me > hackearon, y guardaron la clave en algún bot. Asociado a mi dirección No-IP. > > Justamente, hace cosa de un par de meses, mi ISP me cambió el módem-router. > > E hice una chambonada: dejé el puerto 22 abierto directo al 22 de la PC. > Ayer lo cambié a otro más alto que sólo tiene sentido para mí redireccionado > a la PC. > > Cambiar a un puerto interno diferente si sigues dejando abierto el 22 afuera no soluciona nada, es igual de inseguro que antes. En realidad abrir cualquier puerto es inseguro, es como no cerrar la puerta de casa.
Re: OT: Criptominador Outlaw en cuenta de usuario
El 26/10/23 a las 05:36, Camaleón escribió: El 2023-10-25 a las 15:34 -0300, JavierDebian escribió: Buenas tardes. Hace un par de años fui víctima de Outlaw's https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html (...) ¿Alguien tiene idea de dónde se esconde el maldito gusano? Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no encuentro un script o algo que lo lance. Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021. En la página que mandas de Trendmicro algo dicen: Routine Our data shows that the malware gains access to the system with brute-force attacks via SSH and executes two possible command files. Components of the file and routine appear similar to those of a published entry, while our sample executed .x15cache, the bash script that downloads the malware. (...) The shell script downloads, extracts, and executes the miner payload. The extracted TAR file contains folders with scripts and the miner and backdoor components. También en esta otra de Microsoft que enlazan desde la anterior: https://www.microsoft.com/en-us/security/blog/2019/05/23/uncovering-linux-based-cyberattack-using-azure-security-center/ After the initial successful SSH brute force compromise, the attacker proceeds to download a first stage ‘tddwrt7s.sh’ script using utilities like ‘wget’ that delivers further payload to the host. Azure Security Center surfaces this behavior via a “Detected suspicious file download” alert. Post stage 1 download, the attacker executed the script to find ‘dota.tar.gz’ by enumerating multiple hosting URLs. Once a live hosting IP was found, the second stage file gets delivered in directory ‘/tmp/.mountfs.’ Most of these exploitation and persistence techniques are observed from the /tmp folder. In this case all activities were tracked under /tmp/.mountfs and /tmp/.mountfs/.rsync directories. Creating directories with a dot keeps the activity hidden from the user interface, a common technique used by attackers. Saludos, Estoy presumiendo que el problema vino por allí, que hace dos años me hackearon, y guardaron la clave en algún bot. Asociado a mi dirección No-IP. Justamente, hace cosa de un par de meses, mi ISP me cambió el módem-router. E hice una chambonada: dejé el puerto 22 abierto directo al 22 de la PC. Ayer lo cambié a otro más alto que sólo tiene sentido para mí redireccionado a la PC. Espero haya sido eso solamente. Estoy verificando día a día. JAP
Re: OT: Criptominador Outlaw en cuenta de usuario
El 2023-10-25 a las 15:34 -0300, JavierDebian escribió: > Buenas tardes. > > Hace un par de años fui víctima de Outlaw's > > https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html (...) > ¿Alguien tiene idea de dónde se esconde el maldito gusano? > > Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no > encuentro un script o algo que lo lance. > Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021. En la página que mandas de Trendmicro algo dicen: Routine Our data shows that the malware gains access to the system with brute-force attacks via SSH and executes two possible command files. Components of the file and routine appear similar to those of a published entry, while our sample executed .x15cache, the bash script that downloads the malware. (...) The shell script downloads, extracts, and executes the miner payload. The extracted TAR file contains folders with scripts and the miner and backdoor components. También en esta otra de Microsoft que enlazan desde la anterior: https://www.microsoft.com/en-us/security/blog/2019/05/23/uncovering-linux-based-cyberattack-using-azure-security-center/ After the initial successful SSH brute force compromise, the attacker proceeds to download a first stage ‘tddwrt7s.sh’ script using utilities like ‘wget’ that delivers further payload to the host. Azure Security Center surfaces this behavior via a “Detected suspicious file download” alert. Post stage 1 download, the attacker executed the script to find ‘dota.tar.gz’ by enumerating multiple hosting URLs. Once a live hosting IP was found, the second stage file gets delivered in directory ‘/tmp/.mountfs.’ Most of these exploitation and persistence techniques are observed from the /tmp folder. In this case all activities were tracked under /tmp/.mountfs and /tmp/.mountfs/.rsync directories. Creating directories with a dot keeps the activity hidden from the user interface, a common technique used by attackers. Saludos, -- Camaleón
Re: OT: Criptominador Outlaw en cuenta de usuario
El mié, 25 oct 2023 a las 12:35, JavierDebian () escribió: > > Buenas tardes. > > Hace un par de años fui víctima de Outlaw's > > https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html > > Ahora, desde hace un mes, con alguna variante, otra vez. > > Se mete a través de la cuenta de una de mis hijas, se cuela en el > crontab, y a diferencia del anterior, crea la carpeta ~/.configrc5; > antes lo hacía en~./.configrc > > La solución es tan fácil como desde root hacer > # killall -s 9 kswapd0 rsync > # rm -r /home/hija/.configrc5 > > y vaciar su crontab > # crontab -u isabella -e > > Detectarlo, es fácil: en mi escritorio salta a la vista que usa el 100% > de 4 núcleos sin respiro. > > Ahora la pregunta: > > ¿Alguien tiene idea de dónde se esconde el maldito gusano? > > Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no > encuentro un script o algo que lo lance. Podria estar en la configuracion de arranque del escritorio, por eso infecta a nivel usuario. > Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021. > > Saludos. > > JAP >
