Artikel: "Trojaner rammer Linux maskiner for fuld kraft"

Nyheder om Open Source, Ubuntu, andre distributioner og meget mere.
Brugeravatar
Claus M
Indlæg: 360
Tilmeldt: 1. sep 2010, 21:20
IRC nickname: Claus M
Geografisk sted: Karlslunde

Artikel: "Trojaner rammer Linux maskiner for fuld kraft"

Indlæg af Claus M »

- skriver Computerworld : http://www.computerworld.dk/art/219909/trojaner-rammer-linux-maskiner-for-fuld-kraft

"Fuld kraft" er forhåbentligt relativt (det er jo lidt nyt).

Men hvad menes er med "en enkel måde at blokere":

"Under Linux kopierer den sig selv til mappen ~ / WIFIADAPT, før den forsøger at oprette forbindelse til sin kommando og kontrol-server på 212.7.208.65 ved hjælp af en kanal krypteret med AES.

Det giver i det mindste en enkel måde at blokere dens kommunikation og mulighed for at modtage nye instruktioner"
Senest rettet af Claus M 5. sep 2012, 20:07, rettet i alt 2 gange.
Ubuntu gives you more windows of opportunities

Xubuntu 22.04 på Lenovo T530 (fra 2012)
Raspberry Pi Desktop (Debian 32 bit) på Medion Akoya (fra 2006)
laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af laoshi »

wifiadapt.png
wifiadapt.png (379.54 KiB) Vist 852 gange

Høflig som altid siger Ubuntu 'desværre' ...

~/WIFIADAPT betyder jo at wifiadapt-mappen placeres i din hjemmemappe - så finder du den skal den bare slettes.
Spørgsmålet er så, hvordan den får lov til at oprettes? Har den spurgt dig pænt om lov, eller...?

Du kan evt. blokere IP-adressen i din firewall. Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw
Luk ufw op og aktiver den.
Enten i GUI eller med kommandoen

Kode: Vælg alt

sudo ufw enable

Bloker så udgående trafik til IP-adressen - enten i den grafiske flade, eller med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65

Du kan efterfølgende konstatere at det virker, hvis du giver kommandoen

Kode: Vælg alt

ping 212.7.208.65

Men ellers kan du simpelthen selv oprette en fil ved navn WIFIADAPT og sørge for at der tilladelserne er 'read only'. Så kan mappen/filen ikke modificeres, og en ny ved samme navn kan ikke oprettes.
Følg evt. andre gode ideer på askubuntu
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10724
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Christian.Arvai »

Jeg tror at følgende er nok:

Kode: Vælg alt

sudo rm -f ~/WIFIADAPT ; sudo mkdir ~/WIFIADAPT ; sudo chmod 000 ~/WIFIADAPT
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
Jimmyfj
Indlæg: 1712
Tilmeldt: 19. jul 2007, 19:35
Geografisk sted: Nordjylland

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Jimmyfj »

Valgte laoshis løsning. Har smidt den ind på både min og konens maskine, så nu må vi se.
"OM 100 ÅR ER ALTING GLEMT !"


Ubuntu - Dev-ed.
Linux User # 448500
Brugeravatar
Toddvarg
Indlæg: 841
Tilmeldt: 19. maj 2007, 19:59
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Toddvarg »

Hvilket af løsningene er mest sikker?
laoshi skrev:
wifiadapt.png

Høflig som altid siger Ubuntu 'desværre' ...

~/WIFIADAPT betyder jo at wifiadapt-mappen placeres i din hjemmemappe - så finder du den skal den bare slettes.
Spørgsmålet er så, hvordan den får lov til at oprettes? Har den spurgt dig pænt om lov, eller...?

Du kan evt. blokere IP-adressen i din firewall. Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw
Luk ufw op og aktiver den. Bloker så udgående trafik til IP-adressen - enten i den grafiske flade, eller med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65

Du kan efterfølgende konstatere at det virker, hvis du giver kommandoen

Kode: Vælg alt

ping 212.7.208.65

Men ellers kan du simpelthen selv oprette en fil ved navn WIFIADAPT og sørge for at der tilladelserne er 'read only'. Så kan mappen/filen ikke modificeres, og en ny ved samme navn kan ikke oprettes.
Følg evt. andre gode ideer på askubuntu

eller
christian.arvai skrev:Jeg tror at følgende er nok:

Kode: Vælg alt

sudo rm -f ~/WIFIADAPT ; sudo mkdir ~/WIFIADAPT ; sudo chmod 000 ~/WIFIADAPT



Måske er det en undren der er baseret på for lidt viden, men hvad hvis den sender på ip 212.7.208.66, eller den kalder sig WIFIADAPT2, hvor arbejder med at stoppe den bliver virkningløst, da den bruger nogle andre parametre. Skal man ikke lukke huller lengere ind i systemet for at det skal have en reel virkning?
Ting tager tid

med venlig hilsen
Tom Oddvar Gundersen
laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af laoshi »

Så vidt jeg ved er der endnu ingen meldinger om, hvordan den skulle kunne spredes til linux-systemer. Det mest sandsynlige er vel social engineering - så det gælder først og fremmest (som altid) om at bruge sin sunde fornuft og ikke installere programmer, som man ikke selv har valgt, og om kun at installere fra Ubuntus softwarekilder, med mindre man er 100% sikker på hvad man indlader sig på. Og ikke at downloade ting som man ikke ved hvad er eller som man ikke har fuld tillid til.

Du bør under alle omstændigheder blokere for udgående trafik til omtalte IP-adresse. Og hvis du bruger wot (web of trust)-plugin i firefox, så får du flg. advarsel, hvis du prøver at forbinde til den, og til andre skumle adresser:
wot.png
wot.png (136.51 KiB) Vist 830 gange


Og så er det da en udmærket ide at holde lidt øje med udviklingen af denne trojaner - men ind til videre ser den ikke alt for avanceret ud.
Ang. 'huller længere inde i systemet': Der hvor du kan risikere at hente den er ind i din egen hjemmemappe, hvor den så i givet fald kan husere. Og det kan selvfølgelig være slemt nok, hvis det er en keylogger. Men den kommer ikke længere ind i systemet med mindre du giver den lov til det ved hjælp af dit administrator-password.
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi
Brugeravatar
Claus M
Indlæg: 360
Tilmeldt: 1. sep 2010, 21:20
IRC nickname: Claus M
Geografisk sted: Karlslunde

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Claus M »

Igen engang bliver man klog af at læse på Ubuntudanmark.dk Forum

- herligt tak.

Og det ser jo ud til at være nemme ting man skal gøre.
Ubuntu gives you more windows of opportunities

Xubuntu 22.04 på Lenovo T530 (fra 2012)
Raspberry Pi Desktop (Debian 32 bit) på Medion Akoya (fra 2006)
Brugeravatar
Toddvarg
Indlæg: 841
Tilmeldt: 19. maj 2007, 19:59
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Toddvarg »

Tak for hjælp så langt og at ens viden udvides. Jeg har sat ind de regler der her vises, men har brug for lidt mere viden.
laoshi skrev:Du kan evt. blokere IP-adressen i din firewall. Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw
Luk ufw op og aktiver den. Bloker så udgående trafik til IP-adressen - enten i den grafiske flade, eller med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65

Du kan efterfølgende konstatere at det virker, hvis du giver kommandoen

Kode: Vælg alt

ping 212.7.208.65



Jeg ved ikke hvilket svar jeg skal få fra ping eller hvordan jeg skal tolke det, men den blver ved at gentage denne linie:

Kode: Vælg alt

64 bytes from 212.7.208.65: icmp_req=1 ttl=51 time=31.4 ms
Det eneste der forandre sig er icmp_req nummeret, men de andre verdier er konstante, så jeg antager at det betyder at den ikke får forbindelse til det omtalte ip nummer.
Ting tager tid

med venlig hilsen
Tom Oddvar Gundersen
AJenbo
Admin
Indlæg: 20862
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af AJenbo »

Toddvarg skrev:

Kode: Vælg alt

64 bytes from 212.7.208.65: icmp_req=1 ttl=51 time=31.4 ms


Det tog 0.00314 sekunder at oprette forbindelse og få svar.
wangerin
Indlæg: 82
Tilmeldt: 19. maj 2011, 13:01
IRC nickname: wangerin
Geografisk sted: Sønderborg

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af wangerin »

laoshi skrev:Og det kan selvfølgelig være slemt nok, hvis det er en keylogger.


Jeg er kraftigt i tvivl om det i det hele taget er mulgit at intercepte taststureret som bruger (kontra som root hvor det helt klart er muligt)

Er der nogen som har nogle referencer på om det er muligt?

Jeg mener nemlig ikke at det skulle være muligt, da det styres af x-serveren, og sendes til det aktive program - ikke et tilfælgligt (keylogger-)program.
laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af laoshi »

Efter i ufw at have blokeret udgående trafik til 212.7.208.65 giver ping'en mig dette svar:
ping.png
ping.png (109.41 KiB) Vist 804 gange
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi
laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af laoshi »

En interessant artikel, som rejser spørgsmålet om den trojaner faktisk også findes,kan læses her
Jeg må indrømme at jeg også har haft mine tvivl vedrørende den sag efter at jeg havde set DrWeb's artikel, som tilbyder beskyttelse mod betaling, men samtdig siger at de ikke ved hvordan den spredes...
Men det ændrer ikke noget ved det generelle:
- først og fremmest: brug din sunde fornuft
- installér ikke noget som du ikke har fuld tillid til
- brug wot i Firefox og Chromium
- blokér ubehagelige IP-adresser ved hjælp af ufw
- og sidst, men ikke mindst: brug din sunde fornuft
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi
Brugeravatar
Claus M
Indlæg: 360
Tilmeldt: 1. sep 2010, 21:20
IRC nickname: Claus M
Geografisk sted: Karlslunde

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Claus M »

Interessant artikel.

Nå - vi må stadig tænke os om. Wot var ny for mig - er installeret.
Ubuntu gives you more windows of opportunities

Xubuntu 22.04 på Lenovo T530 (fra 2012)
Raspberry Pi Desktop (Debian 32 bit) på Medion Akoya (fra 2006)
Stra
Indlæg: 3105
Tilmeldt: 16. jun 2007, 10:26
Geografisk sted: Ikast-Herning

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Stra »

Spis nu brød til.

Den historie var oppe her for et par dage siden

http://www.version2.dk/artikel/advarsel-foerste-trojanske-virus-til-mac-os-og-linux-spottet-47337

og der er ikke meget fugl,s føde på den historie.
stra
Bruger Ubuntu 22.04 og 22.10 + lubuntu 22.10
Jimmyfj
Indlæg: 1712
Tilmeldt: 19. jul 2007, 19:35
Geografisk sted: Nordjylland

Re: Artikel: "Trojaner rammer Linux maskiner for fuld kraft

Indlæg af Jimmyfj »

Det nye ved denne historie er, for mig, den rigtig gode guide laoshi fremstillede. Den har gjort mig lidt mere nysgerrig efter hvad man kan med ufw. Kommandoen "ufw reject out to xxx.xxx.xxx.xxx" er da noget af det simpleste, jeg til nu har mødt under Ubuntu, og Linux i det hele taget. Så noget godt kom der da ud af det. :D
"OM 100 ÅR ER ALTING GLEMT !"


Ubuntu - Dev-ed.
Linux User # 448500