Artikel: "Trojaner rammer Linux maskiner for fuld kraft"

[Claus M]

- skriver Computerworld : http://www.computerworld.dk/art/219909/trojaner-rammer-linux-maskiner-for-fuld-kraft

"Fuld kraft" er forhåbentligt relativt (det er jo lidt nyt).

Men hvad menes er med "en enkel måde at blokere":

"Under Linux kopierer den sig selv til mappen ~ / WIFIADAPT, før den forsøger at oprette forbindelse til sin kommando og kontrol-server på 212.7.208.65 ved hjælp af en kanal krypteret med AES.

Det giver i det mindste en enkel måde at blokere dens kommunikation og mulighed for at modtage nye instruktioner"

[laoshi]

wifiadapt.png (379.54 KiB) Vist 1063 gange

Høflig som altid siger Ubuntu 'desværre' ...

~/WIFIADAPT betyder jo at wifiadapt-mappen placeres i din hjemmemappe - så finder du den skal den bare slettes.
Spørgsmålet er så, hvordan den får lov til at oprettes? Har den spurgt dig pænt om lov, eller...?

Du kan evt. blokere IP-adressen i din firewall. Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw

Luk ufw op og aktiver den.
Enten i GUI eller med kommandoen

Kode: Vælg alt

sudo ufw enable

Bloker så udgående trafik til IP-adressen - enten i den grafiske flade, eller med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65

Du kan efterfølgende konstatere at det virker, hvis du giver kommandoen

Kode: Vælg alt

ping 212.7.208.65

Men ellers kan du simpelthen selv oprette en fil ved navn WIFIADAPT og sørge for at der tilladelserne er 'read only'. Så kan mappen/filen ikke modificeres, og en ny ved samme navn kan ikke oprettes.
Følg evt. andre gode ideer på askubuntu

[Christian.Arvai]

Jeg tror at følgende er nok:

Kode: Vælg alt

sudo rm -f ~/WIFIADAPT ; sudo mkdir ~/WIFIADAPT ; sudo chmod 000 ~/WIFIADAPT

[Jimmyfj]

Valgte laoshis løsning. Har smidt den ind på både min og konens maskine, så nu må vi se.

[Toddvarg]

Hvilket af løsningene er mest sikker?

wifiadapt.png

Høflig som altid siger Ubuntu 'desværre' ...

~/WIFIADAPT betyder jo at wifiadapt-mappen placeres i din hjemmemappe - så finder du den skal den bare slettes.
Spørgsmålet er så, hvordan den får lov til at oprettes? Har den spurgt dig pænt om lov, eller...?

Du kan evt. blokere IP-adressen i din firewall. Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw

Luk ufw op og aktiver den. Bloker så udgående trafik til IP-adressen - enten i den grafiske flade, eller med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65

Du kan efterfølgende konstatere at det virker, hvis du giver kommandoen

Kode: Vælg alt

ping 212.7.208.65

Men ellers kan du simpelthen selv oprette en fil ved navn WIFIADAPT og sørge for at der tilladelserne er 'read only'. Så kan mappen/filen ikke modificeres, og en ny ved samme navn kan ikke oprettes.
Følg evt. andre gode ideer på askubuntu

eller

Jeg tror at følgende er nok:

Kode: Vælg alt

sudo rm -f ~/WIFIADAPT ; sudo mkdir ~/WIFIADAPT ; sudo chmod 000 ~/WIFIADAPT

Måske er det en undren der er baseret på for lidt viden, men hvad hvis den sender på ip 212.7.208.66, eller den kalder sig WIFIADAPT2, hvor arbejder med at stoppe den bliver virkningløst, da den bruger nogle andre parametre. Skal man ikke lukke huller lengere ind i systemet for at det skal have en reel virkning?

[laoshi]

Så vidt jeg ved er der endnu ingen meldinger om, hvordan den skulle kunne spredes til linux-systemer. Det mest sandsynlige er vel social engineering - så det gælder først og fremmest (som altid) om at bruge sin sunde fornuft og ikke installere programmer, som man ikke selv har valgt, og om kun at installere fra Ubuntus softwarekilder, med mindre man er 100% sikker på hvad man indlader sig på. Og ikke at downloade ting som man ikke ved hvad er eller som man ikke har fuld tillid til.

Du bør under alle omstændigheder blokere for udgående trafik til omtalte IP-adresse. Og hvis du bruger wot (web of trust)-plugin i firefox, så får du flg. advarsel, hvis du prøver at forbinde til den, og til andre skumle adresser:

wot.png (136.51 KiB) Vist 1041 gange

Og så er det da en udmærket ide at holde lidt øje med udviklingen af denne trojaner - men ind til videre ser den ikke alt for avanceret ud.
Ang. 'huller længere inde i systemet': Der hvor du kan risikere at hente den er ind i din egen hjemmemappe, hvor den så i givet fald kan husere. Og det kan selvfølgelig være slemt nok, hvis det er en keylogger. Men den kommer ikke længere ind i systemet med mindre du giver den lov til det ved hjælp af dit administrator-password.

[Claus M]

Igen engang bliver man klog af at læse på Ubuntudanmark.dk Forum

- herligt tak.

Og det ser jo ud til at være nemme ting man skal gøre.

[Toddvarg]

Tak for hjælp så langt og at ens viden udvides. Jeg har sat ind de regler der her vises, men har brug for lidt mere viden.

Du kan evt. blokere IP-adressen i din firewall. Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw

Luk ufw op og aktiver den. Bloker så udgående trafik til IP-adressen - enten i den grafiske flade, eller med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65

Du kan efterfølgende konstatere at det virker, hvis du giver kommandoen

Kode: Vælg alt

ping 212.7.208.65

Jeg ved ikke hvilket svar jeg skal få fra ping eller hvordan jeg skal tolke det, men den blver ved at gentage denne linie:

Kode: Vælg alt

64 bytes from 212.7.208.65: icmp_req=1 ttl=51 time=31.4 ms

Det eneste der forandre sig er icmp_req nummeret, men de andre verdier er konstante, så jeg antager at det betyder at den ikke får forbindelse til det omtalte ip nummer.

[AJenbo]

Kode: Vælg alt

64 bytes from 212.7.208.65: icmp_req=1 ttl=51 time=31.4 ms

Det tog 0.00314 sekunder at oprette forbindelse og få svar.

[wangerin]

Og det kan selvfølgelig være slemt nok, hvis det er en keylogger.

Jeg er kraftigt i tvivl om det i det hele taget er mulgit at intercepte taststureret som bruger (kontra som root hvor det helt klart er muligt)

Er der nogen som har nogle referencer på om det er muligt?

Jeg mener nemlig ikke at det skulle være muligt, da det styres af x-serveren, og sendes til det aktive program - ikke et tilfælgligt (keylogger-)program.

[laoshi]

Efter i ufw at have blokeret udgående trafik til 212.7.208.65 giver ping'en mig dette svar:

ping.png (109.41 KiB) Vist 1015 gange

[laoshi]

En interessant artikel, som rejser spørgsmålet om den trojaner faktisk også findes,kan læses her
Jeg må indrømme at jeg også har haft mine tvivl vedrørende den sag efter at jeg havde set DrWeb's artikel, som tilbyder beskyttelse mod betaling, men samtdig siger at de ikke ved hvordan den spredes...
Men det ændrer ikke noget ved det generelle:
- først og fremmest: brug din sunde fornuft
- installér ikke noget som du ikke har fuld tillid til
- brug wot i Firefox og Chromium
- blokér ubehagelige IP-adresser ved hjælp af ufw
- og sidst, men ikke mindst: brug din sunde fornuft

[Claus M]

Interessant artikel.

Nå - vi må stadig tænke os om. Wot var ny for mig - er installeret.

[Stra]

Spis nu brød til.

Den historie var oppe her for et par dage siden

http://www.version2.dk/artikel/advarsel-foerste-trojanske-virus-til-mac-os-og-linux-spottet-47337

og der er ikke meget fugl,s føde på den historie.

[Jimmyfj]

Det nye ved denne historie er, for mig, den rigtig gode guide laoshi fremstillede. Den har gjort mig lidt mere nysgerrig efter hvad man kan med ufw. Kommandoen "ufw reject out to xxx.xxx.xxx.xxx" er da noget af det simpleste, jeg til nu har mødt under Ubuntu, og Linux i det hele taget. Så noget godt kom der da ud af det.