Обнаружен троян, превращающий Linux-машины в прокси
Текст взят от сюда https://xakep.ru/2017/01/26/linux-proxy-10/
Новые угрозы для Linux-систем стали появляться заметно чаще, и обнаруженный экспертами компании «Доктор Веб» троян Linux.Proxy.10 – лишнее тому доказательство.
Специалисты пишут, что малварь была найдена в январе 2017 года и уже успела инфицировать несколько тысяч устройств. Как и следует из названия, присвоенного вредоносу, он предназначен для запуска на устройстве жертвы SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic Socks Server. Злоумышленники используют этого трояна для обеспечения собственной анонимности в интернете.Для распространения малварь хакеры авторизуются на уязвимых узлах, используя SSH. При этом список узлов, а также логин и пароль к ним хранятся на сервере злоумышленников. Список имеет следующий вид: «IP-адрес:login:password». Исследователи отмечают, что пользователей с такими учетными данными как правило создают в системе другие Linux-трояны. То есть Linux.Proxy.10 проникает на устройства, либо имеющие стандартные настройки, либо уже инфицированные другой Linux-малварью. Через использование вышеупомянутого списка формируется сценарий, который выполняется на заражаемых устройствах при помощи утилиты sshpass. Так и происходит заражение Linux.Proxy.10.
Также помимо списков уязвимых узлов исследователи обнаружили на серверах злоумышленников панель управления Spy-Agent и сборку вредоносной программы для Windows, относящейся к известному семейству шпионских троянов BackDoor.TeamViewer.Чтобы подключиться к прокси-серверу, запущенному при помощи Linux.Proxy.10, злоумышленникам достаточно знать только IP-адрес девайса и номер порта, который сохраняется в теле троянца при его компиляции.
___________________________________________________________________________________________________________________________________________________________________________________________________
И от сюда http://vms.drweb.ru/virus/?_is=1&i=14906958
Добавлен в вирусную базу Dr.Web: 2017-01-24
Описание добавлено: 2017-01-24
SHA1:
f23c4e3dd93bc54ec67dc97023c0b1251a6ca784
Linux-троянец, предназначенный для организации на инфицированном компьютере SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic Socks Server.
Для распространения троянца злоумышленники авторизуются на уязвимых узлах по протоколу SSH. Списки IP-адресов уязвимых узлов, а также логинов и паролей для авторизации хранятся на сервере злоумышленников. Эти списки имеют вид:
IP-адрес:login:password
Примечательно, что пользователей с такими учетными данными обычно создают в системе другие Linux-троянцы. С использованием этого списка формируется сценарий, который выполняется на атакуемых устройствах при помощи утилиты sshpass.Порт для доступа к прокси-серверу сохраняется в теле троянца в процессе его компиляции. Исследованные образцы используют следующие порты:
18902
27891
28910
33922
37912
39012
48944
49082
49098
56494
61092
61301
а спонсор трояна "doctor web"
то есть все как обычно. Берем дефолтное устройство имени длинк/тплинк/прочее(с обычными настройками и дефолтной прошивкой со всем бекдорами производителя) - и объявляем это "линух устройствами", обвиняя линукс в дырах, которые создает производитель преднамеренно.
Обнаружен троян, превращающий Linux-машины
Как нам защитьться от этого и другого подобного ?
Легко:
Это не вирус ибо он не в состоянии заразить комп. это пакет управления системой, у которй есть доступные пары логин, пароль, ИП адрес.
Не использовать легко доступные места хранения пар логин пароль
менять в обязательном порядке дефолный пароль на свежекупленом устройстве ака роутер, медиастанция, и прочее аналогичное.
На тех самых маршрутизаторах к примеру DIR-100 на борту Linux.
> Список имеет следующий вид: «IP-адрес:login:password» ... То есть Linux.Proxy.10 проникает на устройства, либо имеющие стандартные настройки,
Т.е. "стандартные" login:password для SSH-сервера?
Пикантно ... Пикантно...
© поручик Ржевский
легко: любой роутер в сети. Та же линукс система, со всеми дырами имени тплинка/длинка/прочих производителей.
В качестве решения для себя я выбрал брать устройства, на которых можно поставить не фирменную прошивку. У меня обычно openwrt.
Более того я даже уже научился прошивки нормально компилить... Инструкции с сайта опенврт нужно выполнять дословно, и все получится.:-)
А было время, если мне склероз не изменяет, про опенврт как-то не очень душевно высказывался :) Или может путаю чего ...
про ддврт... И сейчас тоже. Оно как то не совсем открытое получается.:-(
наконец-то, хоть кто-то сможет настроить у меня прокси
а ты в списках есть?:-)
IP-адрес:login:password
типа 192.168.1.1:admin:admin
Отправить комментарий