Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Linux/OSF-8759

Gast Wolle
Gast Wolle
in Security

Empfohlene Antworten

Veröffentlicht

Hi,

kennt jemand den Virus Linux/OSF-8759?

Ich weiß inzwischen, das es wohl der erste Linux-Virus in "freier Wildbahn" ist/war, welche Dateien er befällt, welche Ports er benutzt und das er eine Backdoor-Funktion hat.

Was ich bisher noch nicht rausgefunden habe, wie der auf meinen Router bzw. Server gekommen ist und wie man den entfernen kann.

Fakt ist, das jemand diesen Trojaner benutzt hat um über meine IP Angriffe auf einen brasilianischen IRC-Server zu fahren (war auch eine brasilianische IP die der Angreifer hatte). Da ich auf einem anderem Server von mir schon mal einen Angriff aus Brasilien hatte (da wurden auch Angriffe auf den gleichen IRC-Server gefahren. allerdings war die original IP von einem anderem Provider) wäre es auch möglich, das der Angreifer den Server anderst gehackt hat und den Trojaner selber installiert hat.

Ich habe den Rechner inzwischen neu installiert, wäre aber trotzdem interessant für mich so wissen, wie der Virus übertragen wird und wie man den entfernen kann um evt. weitere Angriffe abwehren zu können.

Hi Wolle,

woher kannst du sicher sein, das es gerade der Virus war, dem Du zum Opfer gefallen bist?

Ist es nicht möglich, dass derjenige einen beliebigen Exploit ausgeführt hat um das Angriffsskript bei dir zu hinterlegen?

Eine sinnvolle Strategie, ihn zu entfernen gibt es nicht. Der Virus besteht aus zwei Teilen: Den Viralen Part und den Backdoor Part. Den Viralen Part zu erkennen ist prinzipiell Möglich, allerdings kann man nicht wissen was alles für Modifikationen an dem befallenen System gemacht wurden. Daher kannst du nie sicher sagen, das dies, dies, und dies befallen wurde. Und davon kann bei Dir ausgegangen werden, da der Virus selbst keine Angriffe durchführt. Daher ist es nur zu empfehlen, das System neu aufzusetzen.

Eingefangen hast du ihn dir wahrscheinlich über ein ausgeführtes, kompromittiertes executable. Ist aber auch nicht sicher zu sagen. Er ändert 201 Dateien im /bin , die ausführbar sind, darunter alle die mit ps enden.

Der Virus wird nicht ausgeführt, wenn er erkennt, das er in einem Debugger läuft und wenn die uptime des Rechenrs unter 5 Minuten ist.

Erkennen könntest du ihn z.B. dadurch, dass er zu den befallenen Dateien 8759 bytes hinzufügt.

Ich empfehle dir Tripwire, welches dir solche modifikationen an Dateien sofort mitteilt.

gruß gurkenpapst

Danke für die Antwort.

Original geschrieben von gurkenpapst

woher kannst du sicher sein, das es gerade der Virus war, dem Du zum Opfer gefallen bist?

Ist es nicht möglich, dass derjenige einen beliebigen Exploit ausgeführt hat um das Angriffsskript bei dir zu hinterlegen?

Ich habe auf dem Rechner die Linuxversion von Antivir laufen, das den Virus in Dateien in /bin erkannt hat. Möglich, das der Angreifer auf andere Weise auf den Rechner gekommen ist und den Virus "von Hand" auf den Rechner gebracht hat. Deswegen auch die Frage, wie der Virus normalerweise übertragen wird. Ich hatte in letzter Zeit nichts auf den Rechner runtergeladen und nichts installiert.

Original geschrieben von gurkenpapst

da der Virus selbst keine Angriffe durchführt.

Das ist richtig. Über tcpdump konnte ich sehen, das der Rechner versucht hat mit eben dieser IP-Adresse aus Brasilien Kontakt auf zu nehmen. Ich hatte vermutet, das das durch den Virus passiert. Wäre aber auch möglich, das der Angreifer noch etwas anderes installiert hat, was den Kontakt herstellt.

Hi,

wie gesagt, der Virus öffnet auch eine Hintertüre (Port 3049, falls belegt versucht er immer einen Port darüber zu benutzen). Es wäre interessant wenn du die Pakete mitgeloggt hättest, um darin vielleicht ein paar infos auszulesen.

gruß gurkenpapst

Original geschrieben von gurkenpapst

Es wäre interessant wenn du die Pakete mitgeloggt hättest, um darin vielleicht ein paar infos auszulesen.

Nein, hab ich leider nicht. Ich kann auch Auswendig nicht mehr sagen, ob das Port 3049, bzw. in dem Bereich war.

Der Angreifer hatte auch das komplette /var/log und die bash-Historie gelöscht, so das da drüber auch nichts mehr raus zu lesen war. Was ich gefunden hatte, war ein IRC-Log in portugisisch wo auch seine echte IP drin stand.

Die Fragen die mir am wichtigsten waren, waren ob man den Virus hätte entfernen können ohne den Rechner zu plätten und wie sich der Virus normalerweise verbreitet, was du ja beantwortet hast.

Danke nochmal :)

Original geschrieben von nic_power

Schau Dir mal den folgenden Link an, dort findest Du Software+Quellcode zum entfernen des Virus:

Wäre also gegangen. Danke...

@gurkenpapst: Werd ich mir mal genauer ansehen.

Original geschrieben von Wolle

Wäre also gegangen. Danke...

jein, denn du hättest immer noch nicht die Hintertüre geschlossen, da zwar der Virus entfernt wird, aber nicht die eventuell modifizierten Daten, die der Virus nicht ändert, sondern der "Angreifer". Aber soweit sollte das Thema geklärt sein...

gruß, gurkenpapst

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.