Co zrobić z BackDoor.Wirenet.1

10

Jakie środki ostrożności należy podjąć, aby zapobiec atakowi trojana BackDoor.Wirenet.1 ?

Zablokować całą komunikację z 212.7.208.65? Jeśli tak, jak to zrobić?

security Carnendil
źródło
1
nie uruchamiając żadnego programu, którego nie znasz / nie ufasz?
steabert
6
Żadne natychmiastowe kroki nie są konieczne, oprócz nauki o Linux Security .
mikewhthing

Odpowiedzi:

8

BackDoor.Wirenet.1 Keylogger to trojan typu backdoor, który może działać w systemach Linux i MacOSX, kradnąc dane osobowe, hasła i poświadczenia bankowe! Kopiuje się do katalogu domowego użytkownika pod adresem/home/WIFIADAPT

Następnie tworzy obecnie połączenie ze zdalnym adresem IP 212.7.208.65

Obrona i usuwanie:

  1. Zablokuj ten adres IP za pomocą routera / zapory.
  2. Usuń powyższy katalog / pliki.
Webman
źródło
Dzięki za radę. Czy jest jakiś sposób, aby poznać źródło infekcji?
Jak moglibyśmy zająć się blokowaniem tego konkretnego adresu IP? UFW może blokować tylko porty, prawda?
Glutanimate
szum i skąd się wzięły prawa do pisania w / home / WIFIADAPT? Zapytał grzecznie użytkownika? Czy popełniłeś błąd i celem jest ~ / WIFIADAPT?
vaab
2
@Glutanimate wygląda to spełnia swoje zadanie: sudo ufw reject out to 212.7.208.65. Możesz przetestować, próbując pingpóźniej uzyskać dostęp do tego adresu IP.
jcollado,
1
@Glutanimate sudo - iptables -Block INPUT -s 212.7.208.65 -p all -j DROP również to zrobi, ale pozostanie tylko do momentu wylogowania, chyba że dodasz go do jednego ze skryptów uruchamiania.
Joe
9

Rozumiem, że wirenet-1 musi utworzyć plik w katalogu ~ / WIFIADAPT Ponieważ Linux widzi katalogi i pliki tak samo (nie możesz mieć pliku i katalogu o tej samej nazwie) Wierzę, że utworzenie pustego pliku przez nazwa WIFIADAPT w twoim katalogu domowym uniemożliwiłaby ci zdobycie Trogena, ponieważ nie byłoby możliwe utworzenie katalogu WIFIADAPT w miejscu, w którym przechowuje infekcję. Dla dodatkowych miar ustawiłbym uprawnienia do utworzonego pliku tylko do odczytu. To tylko moja sugestia, ale wierzę, że to zadziała. Dobrym pomysłem byłoby również zablokowanie wyżej wymienionego adresu IP.

zamieszki
źródło
przez logikę tak! Zgadzam się
penreturns
To ciekawe podejście.
Przyspieszenie-G