Fui notificado por meu administrador de sistemas que meu PC Ubuntu 16 foi infectado por uma botnet chamada "Ganiw". As informações na Internet são muito escassas. Você poderia me dar alguns conselhos sobre como removê-las?
Você conseguiu algum detalhe? Isso é muito improvável.
usar o seguinte comando
Respostas:
4
Links encontrados no google: uma descrição nos laboratórios de segurança da Telus e uma análise aprofundada na securelist . Esse último está cheio de dicas. O backdoor é descrito como (a partir do 1º link) ...
O Backdoor.Linux.Ganiw.A é um agente de Backdoor e Bot que tem como alvo a plataforma Linux. O malware entra em contato com um servidor remoto, identificando-se e enviando informações do sistema. Além disso, ele recebe comandos de controle para executar várias atividades nefastas no sistema infectado. Além disso, o malware tem a capacidade de embarcar em diferentes tipos de ataques DoS. Para sobreviver à reinicialização do sistema, ele adiciona uma entrada ao diretório de inicialização "/etc/init.d".
A partir disso, você pode deduzir duas coisas:
se for "Backdoor.Linux.Ganiw.a (cupsdd)": verifique se /etc/init.dhá um arquivo que faça isso. "O malware também cria links simbólicos para o script em /etc/rc[1-5,95.1/S97DbSecuritySpt". Se for "Backdoor.Linux.Ganiw.a (cupsddh)", então "ele cria o arquivo /tmp/bill.lock, no qual armazena o PID do processo atual. Cupsddh armazena dados do sistema na estrutura g_statBase, que é idêntico ao usado pelo cupsdd. " Ele também verifica se há um arquivo "/usr/libamplify.so" que contém uma configuração (e não é uma biblioteca) (tudo isso no segundo link).
Portanto, verifique esses arquivos. (A maior parte do segundo link
Verifique suas conexões de saída (log do seu roteador, por exemplo) em conexões de saída duvidosas.
Eu discordo da outra resposta: não deixe o clamav "consertar" isso ... se você tiver isso no sistema, reinstale-o e restaure um backup (e confirme se o backup está limpo). E obtenha uma senha melhor do que a que possui agora: ela possui sua senha de administrador, caso contrário não poderá ser instalada /etc/.
Por favor, confirme que você possui esse backdoor. Seria a primeira vez que vejo alguém tendo um ;-)
Talvez o clamav detecte e coloque o malware em quarentena, pois o Ganiw está na biblioteca do clamav desde junho de 2016: virustotal.com/en/file/69070048be6a27d5c9179f412aea9ef00d10ce8cdd99f881447335e15e464ec7/analysis/
O ClamAV pode ser encontrado para o Ubuntu no repositório apt. Execute este comando em uma janela de terminal para instalar o ClamAV:
sudo apt-get install clamav
Se você deseja instalar o clamav daemon "clamd" para operar em segundo plano, também poderá digitar:
Respostas:
Links encontrados no google: uma descrição nos laboratórios de segurança da Telus e uma análise aprofundada na securelist . Esse último está cheio de dicas. O backdoor é descrito como (a partir do 1º link) ...
A partir disso, você pode deduzir duas coisas:
se for "Backdoor.Linux.Ganiw.a (cupsdd)": verifique se
/etc/init.d
há um arquivo que faça isso. "O malware também cria links simbólicos para o script em /etc/rc[1-5,95.1/S97DbSecuritySpt". Se for "Backdoor.Linux.Ganiw.a (cupsddh)", então "ele cria o arquivo /tmp/bill.lock, no qual armazena o PID do processo atual. Cupsddh armazena dados do sistema na estrutura g_statBase, que é idêntico ao usado pelo cupsdd. " Ele também verifica se há um arquivo "/usr/libamplify.so" que contém uma configuração (e não é uma biblioteca) (tudo isso no segundo link).Portanto, verifique esses arquivos. (A maior parte do segundo link
Verifique suas conexões de saída (log do seu roteador, por exemplo) em conexões de saída duvidosas.
Eu discordo da outra resposta: não deixe o clamav "consertar" isso ... se você tiver isso no sistema, reinstale-o e restaure um backup (e confirme se o backup está limpo). E obtenha uma senha melhor do que a que possui agora: ela possui sua senha de administrador, caso contrário não poderá ser instalada
/etc/
.Por favor, confirme que você possui esse backdoor. Seria a primeira vez que vejo alguém tendo um ;-)
fonte
Talvez o clamav detecte e coloque o malware em quarentena, pois o Ganiw está na biblioteca do clamav desde junho de 2016: virustotal.com/en/file/69070048be6a27d5c9179f412aea9ef00d10ce8cdd99f881447335e15e464ec7/analysis/
O ClamAV pode ser encontrado para o Ubuntu no repositório apt. Execute este comando em uma janela de terminal para instalar o ClamAV:
Se você deseja instalar o clamav daemon "clamd" para operar em segundo plano, também poderá digitar:
Para mais informações, clique no link "Ubuntu" na página do site clamav: https://www.clamav.net/downloads#otherversions
fonte