Olá Paulino.
Eu não acredito, como eu disse, que se trata apenas de um malware
que afeta o navegador. Explico, vejam minhas tentativas:
1 - Excluir os profiles do Chrome e Firefox de todos os usuários.
Resultado: Malware ainda presente;
2 - Excluir os profiles do Chrome e Firefox de todos os usuários,
remover as aplicações com o "purge" e reinstalar as aplicações.
Resultado: Malware ainda presente;
3 - Excluir os profiles do Chrome e Firefox de todos os usuários,
remover as aplicações com o "purge", zerar o cache do apt e reinstalar
as aplicações. Resultado: Malware ainda presente;
Acho que isso levanta suspeitas, no mínimo, de que o buraco é mais
embaixo...
Obrigado pela atenção.
Se mais alguém tiver alguma outra dica, ficarei muito feliz em ouvir (ou
ler, melhor dizendo).
Att.,
Nelson
------ Mensagem original ------
De: "Paulino Kenji Sato" <[email protected]>
Para: "Lista Debian" <[email protected]>
Enviado(s): 15/10/2014 16:57:01
Assunto: Re: Como remover o Akamaihd
Bom dia.
Esse Akamaihd parece ser somente um dessas extensões que afetam somente
o navegador. Um profile novo resolve.
Essa semana me deparei com um problema muito mais sério.
Quando instalo o debian, uma das primeiras providencias e configurar o
sshd para não aceitar login do root.
Em um host, pelo visto não fiz isso. Esse host a principio deveria
ficar em uma intranet, sem conexão com a internet. Em alguma época,
tive que configurar um redirecionamento no roteador para ter acesso a
esse host, porta 22022 mapeda para tal. A senha to root, ficou com uma
facinha de lembrar.
Outro dia enquanto estava fazendo uma manutenção nesse host, vejo na
lista do ps algo suspeito, um processo /etc/spell. Um exec rodando a
partir do /etc ? Muito suspeito.
Submeti esse arquivo ao site virustotal, deu que 19 de 54 anti-vírus
detectaram como vírus.
Ad-Aware Linux.Mayday.C 20141015 Avast ELF:Elknot-M [Trj] 20141015
BitDefender Linux.Mayday.C 20141015 CAT-QuickHeal Linux.Elknot.E61
20141015 DrWeb Linux.DDoS.1 20141015 ESET-NOD32 Linux/Agent.W 20141015
Emsisoft Linux.Mayday.C (B) 20141015 F-Secure Linux.Mayday.C 20141015
GData Linux.Mayday.C 20141015 Ikarus DoS.Linux.Elknot 20141015
Kaspersky HEUR:Backdoor.Linux.Mayday.h 20141015 MicroWorld-eScan
Linux.Mayday.C 20141015 Microsoft DoS:Linux/Elknot.E 20141015 Qihoo-360
Trojan.Generic 20141015 Sophos Linux/DDoS-AZ 20141015 Symantec
Trojan.Chikdos.B!gen1 20141015 Tencent Linux.Backdoor.Mayday.Hoew
20141015 Zillya Downloader.OpenConnection.JS.104102 20141015 nProtect
Linux.Mayday.C 20141015
O ClamAV diz que esta ok. Amostra enviada a eles.
Ação adequada nesse caso seria providenciar uma nova maquina e
substituir, e colocar a comprometida em quarentena. Mas, a analize
inicial mostrou que nenhum outro arquivo aparenta ter sido alterado.
Além do binário /etc/spell o rc.local foi modificado, com as seguintes
linhas
/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
chmod 0755 /etc/spell
nohup /etc/spell > /dev/null 2>&1&
um usuário chamado kang com id 0 também foi criado, com senha.
O /etc/spell e um binário estaticamente lincado.
spell: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically
linked, for GNU/Linux 2.6.4, not stripped
md5sum: 242efa8a7d52332a11a810ac069023e7
shasum: 4841ffda99f86188582b2c548fd9c1e1e98ea4ab
algumas palavras que surgem quando se usa o strings
SuSESuSE
183.60.149.219
Pela pesquisa que fiz, variações desse 'bicho" estão infectando
roteadores SOHO.
Nesse caso, foi via ssh, mas nada impede que isso seja injetado por
outros meios, como bugs na shell, daemons, etc.
Uma analise de caso similar.
http://blog.malwaremustdie.org/2014/05/linux-reversing-is-fun-toying-with-elf.html
Esse caso da freenode e bem mais preocupante
https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-linux-backdoor-used-in-
freenode-irc-network-compromise/
Preocupante...
2014-10-15 13:46 GMT-03:00 Leandro <[email protected]>:
Cara monitore pelo shell a atividade ao abrir o navegador assim e mais
acertivo de mata-lo top ps iostat...
Em 15/10/2014 13:30, "Nelson Ramos" <[email protected]>
escreveu:
Obrigado pela resposta!
Concordo que zerando o disco e reinstalando o sistema resolverá
o problema, porém se o malware entrou, deve ter uma forma de
removê-lo de lá sem reinstalar tudo, e é esse o caminho que eu
gostaria de trilhar. Não descarto a sua sugestão, mas prefiro deixar
para pô-la em prática quando as demais alternativas menos destrutivas
tiverem se esgotado.
Se mais alguém tiver alguma sugestão neste sentido será muito
bem vinda.
Obrigado a todos!
Em 15 de outubro de 2014 07:40, julio santos peppe
<[email protected]> escreveu:
O porque desse malware estar infectado em uma máquina linux, agora
não
vem mais ao caso, sugestão:
- tudo o que você possa fazer agora dentro do sistema pode ser
monitorado pelo MALWARE, portanto sugiro que salve seus dados em um
pem
drive, dê um boot com uma versão livecd do linux "prefiro a
rescueCD",
utilize o DD para apagar tudo no disco "dependendo do tamanho do
disco
vai demorar um tempão" e finalmente instale um linux estável e
seguro da
versão STABLE "prefiro utilizar distribuições DEBIAN"...
Enfim depois dessa manutenção toda, você pode instalar um clamav no
seu
sistema novo e lembre-se utilize sempre a conta de usuário, evite
dar
acesso ao root dentro de sua conta de usuário....
se seguir esses passos acredito que seu pc funcionará perfeitamente
BEM...
é só :P
Em Ter, 2014-10-14 às 14:00 -0300, Nelson Ramos escreveu:
> Boa tarde amigos listeiros.
>
>
> De uns tempos para cá percebi que minha máquina, rodando o
bom e
> velho sistema do pinguim, está me dando trabalho com este adware,
> malware, malditoware, seja lá como costumam chamá-lo.
>
>
> A navegação está lenta, a tela é invadida por popups e ao
> acessar sites como o facebook, por exemplo, a tela de login é
> substituída por uma bem diferente da original do site.
>
>
> Pesquisando na internet, achei muita coisa para windows
> (inclusive recomendações para substituí-lo por Linux), mas nada
que
> atendesse ao nosso sistema. Encontrei também informações para a
> remoção desta praga de máquinas rodando mac os, mas nada para o
> pinguim.
>
>
> Alguém faz alguma ideia de como me livrar desta tranqueira?
>
>
> Obrigado a todos.
>
> --
> Atenciosamente,
>
> Nelson P. Ramos
> Linux User #448514
>
--
To UNSUBSCRIBE, email to
[email protected]
with a subject of "unsubscribe". Trouble? Contact
[email protected]
Archive:
https://lists.debian.org/1413369604.4092.5.camel@note-juliopeppe
--
Atenciosamente,
Nelson P. Ramos
Linux User #448514
--
Paulino Kenji Sato
