Zum Inhalt springen

Linux/OSF-8759

Wolle

Von Wolle
in Security

 Teilen

Empfohlene Beiträge

Wolle

Wolle

Geschrieben
Geschrieben

Hi,

kennt jemand den Virus Linux/OSF-8759?

Ich weiß inzwischen, das es wohl der erste Linux-Virus in "freier Wildbahn" ist/war, welche Dateien er befällt, welche Ports er benutzt und das er eine Backdoor-Funktion hat.

Was ich bisher noch nicht rausgefunden habe, wie der auf meinen Router bzw. Server gekommen ist und wie man den entfernen kann.

Fakt ist, das jemand diesen Trojaner benutzt hat um über meine IP Angriffe auf einen brasilianischen IRC-Server zu fahren (war auch eine brasilianische IP die der Angreifer hatte). Da ich auf einem anderem Server von mir schon mal einen Angriff aus Brasilien hatte (da wurden auch Angriffe auf den gleichen IRC-Server gefahren. allerdings war die original IP von einem anderem Provider) wäre es auch möglich, das der Angreifer den Server anderst gehackt hat und den Trojaner selber installiert hat.

Ich habe den Rechner inzwischen neu installiert, wäre aber trotzdem interessant für mich so wissen, wie der Virus übertragen wird und wie man den entfernen kann um evt. weitere Angriffe abwehren zu können.

Link zu diesem Kommentar
Auf anderen Seiten teilen
gurkenpapst

gurkenpapst

Geschrieben
Geschrieben

Hi Wolle,

woher kannst du sicher sein, das es gerade der Virus war, dem Du zum Opfer gefallen bist?

Ist es nicht möglich, dass derjenige einen beliebigen Exploit ausgeführt hat um das Angriffsskript bei dir zu hinterlegen?

Eine sinnvolle Strategie, ihn zu entfernen gibt es nicht. Der Virus besteht aus zwei Teilen: Den Viralen Part und den Backdoor Part. Den Viralen Part zu erkennen ist prinzipiell Möglich, allerdings kann man nicht wissen was alles für Modifikationen an dem befallenen System gemacht wurden. Daher kannst du nie sicher sagen, das dies, dies, und dies befallen wurde. Und davon kann bei Dir ausgegangen werden, da der Virus selbst keine Angriffe durchführt. Daher ist es nur zu empfehlen, das System neu aufzusetzen.

Eingefangen hast du ihn dir wahrscheinlich über ein ausgeführtes, kompromittiertes executable. Ist aber auch nicht sicher zu sagen. Er ändert 201 Dateien im /bin , die ausführbar sind, darunter alle die mit ps enden.

Der Virus wird nicht ausgeführt, wenn er erkennt, das er in einem Debugger läuft und wenn die uptime des Rechenrs unter 5 Minuten ist.

Erkennen könntest du ihn z.B. dadurch, dass er zu den befallenen Dateien 8759 bytes hinzufügt.

Ich empfehle dir Tripwire, welches dir solche modifikationen an Dateien sofort mitteilt.

gruß gurkenpapst

Link zu diesem Kommentar
Auf anderen Seiten teilen
Wolle

Wolle

Geschrieben
  • Autor
Geschrieben

Danke für die Antwort.

Original geschrieben von gurkenpapst

woher kannst du sicher sein, das es gerade der Virus war, dem Du zum Opfer gefallen bist?

Ist es nicht möglich, dass derjenige einen beliebigen Exploit ausgeführt hat um das Angriffsskript bei dir zu hinterlegen?

Ich habe auf dem Rechner die Linuxversion von Antivir laufen, das den Virus in Dateien in /bin erkannt hat. Möglich, das der Angreifer auf andere Weise auf den Rechner gekommen ist und den Virus "von Hand" auf den Rechner gebracht hat. Deswegen auch die Frage, wie der Virus normalerweise übertragen wird. Ich hatte in letzter Zeit nichts auf den Rechner runtergeladen und nichts installiert.

Original geschrieben von gurkenpapst

da der Virus selbst keine Angriffe durchführt.

Das ist richtig. Über tcpdump konnte ich sehen, das der Rechner versucht hat mit eben dieser IP-Adresse aus Brasilien Kontakt auf zu nehmen. Ich hatte vermutet, das das durch den Virus passiert. Wäre aber auch möglich, das der Angreifer noch etwas anderes installiert hat, was den Kontakt herstellt.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Wolle

Wolle

Geschrieben
  • Autor
Geschrieben
Original geschrieben von gurkenpapst

Es wäre interessant wenn du die Pakete mitgeloggt hättest, um darin vielleicht ein paar infos auszulesen.

Nein, hab ich leider nicht. Ich kann auch Auswendig nicht mehr sagen, ob das Port 3049, bzw. in dem Bereich war.

Der Angreifer hatte auch das komplette /var/log und die bash-Historie gelöscht, so das da drüber auch nichts mehr raus zu lesen war. Was ich gefunden hatte, war ein IRC-Log in portugisisch wo auch seine echte IP drin stand.

Die Fragen die mir am wichtigsten waren, waren ob man den Virus hätte entfernen können ohne den Rechner zu plätten und wie sich der Virus normalerweise verbreitet, was du ja beantwortet hast.

Danke nochmal :)

Link zu diesem Kommentar
Auf anderen Seiten teilen
gurkenpapst

gurkenpapst

Geschrieben
Geschrieben
Original geschrieben von Wolle

Wäre also gegangen. Danke...

jein, denn du hättest immer noch nicht die Hintertüre geschlossen, da zwar der Virus entfernt wird, aber nicht die eventuell modifizierten Daten, die der Virus nicht ändert, sondern der "Angreifer". Aber soweit sollte das Thema geklärt sein...

gruß, gurkenpapst

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...