Troyano / Rootkit infecta miles de Sistemas *nix

Get

Se trata de un troyano rootkit , llamado Ebury. El cual no es nuevo, ya es conocido desde alrededor de 2011. Infecta sistemas *nix y cambia/altera binarios como ssh, sshd, ssh-add para sus fines.

mas info y cómo comprobar si nuestros sistemas estan afectados.
https://hurricane-computing.com/es/ebury-rootkit/

Los servidores afectados, infectan a sus usuario mediante paquetes falsos de peticiones dns, mas troyanos, los usuarios de ios al ser imunes a eso, son redireccionados a paginas porno, para poder "monetizar-los" de alguna forma. Así que esta serio el tema.

1
MegalomaniaC

Muy interesante, la verdad que el mundo virus/troyano tan poco extendido en Unix y OSX (aunque en este ya se han visto casos ultimamente) tenia que verse afectado ya que al final, cada vez lo usa mas gente y ese es el objetivo de los graciosillos.

xBoSS

Afortunadamente, todos mis sistemas están limpios :D

Get

el tema es que los hosts *nix no se infectan aprovechando un fallo o algo. sino que sacan las credenciales de dichos hosts de equipos windows previamente infectados. Cuanta gente se guarda en securecrt sus servers con su respectivo login y la contraseña almacenada. ... es eso, o bien cms vulnerables.

3
BLZKZ

"El sistema está limpio"

Mi servidor está limpio. Nice.

iPoky

Disculpad mi ignorancia, pero hablamos únicamente de servidores infectados o también afecta a ordenadores personales? Por el dibujo entiendo que lo infectado es el servidor, pero con la frase "infectan a sus usuario mediante paquetes falsos de peticiones dns, mas troyanos, los usuarios de ios al ser imunes a eso" me descoloca un poco xD

Perdonad x la empanada mental xD

1 respuesta
D

#6 Peticiones DNS hace cualquier SO que quiera resolver nombres y viendo el esquema, no hace falta que sea un servidor.

1 1 respuesta
iPoky

#7 Gracias!

Es curioso además que no se vean afectados los dispositivos con iOS, a pesar de ser rootkits (aunque no controlo absolutamente nada la estructura del OS)

Get

los dispositivos que no son vulnerables a los paquetes "fake-dns" que se emiten en este entramado son redireccionados a paginas pron, para por lo menos sacar algo de estos. vamos que canibalizan con el backdoor/troyano todo lo q se ponga por delante. En especial equipos windows, son necesarios para conseguir las primeras ips, usuarios y claves de servidores dedicados. PEro vamos, tambien son vulnerables a esto, los equipos de a pie. ya q tambien tienen ssh y sshd.

1 1 respuesta
23 días después
willy_chaos

#9 Podrias explicar que hace exactamente el comando ¿

1 respuesta
Kaoticbcn

"El sistema está infectado" :(

Lo he probado en una máquina virtual de linux que tengo, debería preocuparme? :/

(Es curioso que esté infectada una maquina que solo he abierto para hacer cosas de la uni)

Get

#10

ssh -G 2>&1| grep -e illegal -e unknown > /dev/null && echo "El sistema está limpio" || echo "El sistema está infectado"

basicamente ejecuta ssh -G, en busca de illegal o unknown, ya que un binario ssh por regla general no responde al ssh -G. si responde a ssh -G tu binario ya ha sido cambiado por el "infectado"

root@beta:~# ssh -G
ssh: illegal option -- G
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-e escape_char] [-F configfile]
           [-I pkcs11] [-i identity_file]
           [-L [bind_address:]port:host:hostport]
           [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
           [-R [bind_address:]port:host:hostport] [-S ctl_path]
           [-W host:port] [-w local_tun[:remote_tun]]
           [user@]hostname [command]
root@beta:~# 
1 respuesta
willy_chaos

#12 Gracias, vease que han cambiado el binario y le han añadido alguna opcion mas --G que en el real no esta entiendo, no entendia lo de -G ya que me daba error xD al ejecutarlo, mi server por lo visto esta limpio.

1 respuesta
Get

si, una manera un poco guarra de probarlo #13, pero es cross-plattform. de lo contrario, buscarte el md5sum del binario en tu distro y comprobarlo.

LOc0

Mal rollo entre 0-days, rootkits y cia :(

Gracias por el soplo #1

Salu2 ;)

1 respuesta
Get

#15 a mandar :D

9 días después
neo-ns

Linux & Mac no tienen virus, solo windows GL XD

2 respuestas
Get

#17
1: look title
2: find "troyano ... rootkit"
3: start brain before posting
4: profit

después te lees bien la especificación ...
a ver si así...

itonny

#17 tienes razon solo windows y el so nix

Usuarios habituales

  • itonny
  • Get
  • willy_chaos
  • iPoky
  • DiSKuN
  • BLZKZ
  • xBoSS

Tags