Trojan Horse Linux/DDos.XOR - Ubuntu

[WilsonBom]

Gente,

Um servidor Linux Ubuntu foi infectado com o Vírus destacado no assunto.

Teria uma forma "fácil" de remove-lo ?

[druidaobelix]

E como é que você sabe que o sistema realmente está infectado?

De que forma objetivamente apurou isso?

Como possivelmente já saiba, essa eventual infecção **não é** uma falha do Linux e sim do dispositivo que fica entre a cadeira e o monitor, vez que se trata de uso de senha frágil, porque o acesso é por SSH e força bruta, quebrando a senha do root.

[WilsonBom]

Executando este comando:

 ls -la /etc/init.d/ | egrep -i “ [a-z]{10}$”

Percebe-se uma lista de arquivos como:

"pgavugkmwd"
"xbapoglxig"

etc... Muitos arquivos criados...

Apaga-se eles, e são recriados com outros nomes....

[jkmsjq]

Veja se este link  contribui na solução do seu problema.

[druidaobelix]

Na verdade o tema foge um pouco ao escopo do fórum, já que não se trata de discutir características específicas de sistema operacional Linux e muito menos de alguma particularidade do Ubuntu. O problema é mesmo estranho ao Ubuntu. Fóruns que tratam especificamente de segurança talvez possam melhor abordar a questão.

De toda forma, na mesma linha já sugerida, no "Blaze's Security Blog" (Blog about internet & malware threats), em artigo de 2015/09/25, "Notes on Linux/Xor.DDoS" a questão está muito bem detalhada, exposta de forma bastante didática a conceituação e diagnóstico e bem assim a desinfecção, arrematando com a necessária prevenção.

Confira aqui:

http://bartblaze.blogspot.com.br/2015/09/notes-on-linuxxorddos.html

Um bom administrador de redes não terá de fato muita dificuldade em resolver a questão seguindo o roteiro sugerido, que é mais que suficiente na solução do problema.

Evidentemente que o caso concreto é que irá determinar a melhor solução. Um pequeno servidor artesanal e quase doméstico não é a mesma coisa que um parque de 500 máquinas rodando profissionalmente aplicações de missão crítica. Em determinados ambientes o melhor a fazer é chamar e contratar um especialista; em outras situações simplesmente voltar um backup resolve o problema e até mesmo pura e simplesmente reinstalar o sistema pode ser o caminho mais fácil. Com dito, o caso concreto é que irá ditar o melhor caminho.

[zekkerj]

Como possivelmente já saiba, essa eventual infecção **não é** uma falha do Linux e sim do dispositivo que fica entre a cadeira e o monitor, vez que se trata de uso de senha frágil, porque o acesso é por SSH e força bruta, quebrando a senha do root.

Lembrando que o Ubuntu, por padrão, não define senha de root, ao contrário, mantém esse usuário desativado.
Também é padrão para o Ubuntu manter o acesso SSH ao root desativado.
Assim, é necessário desativar duas trancas pra tornar um servidor Ubuntu vulnerável a esse Trojan.

Como agora é tarde demais pra admoestar, é preciso ser objetivo. Avalie se vale a pena tentar recuperar o servidor, ou se é mais fácil reinstalá-lo do zero.
Se você usa mais de um servidor, lembre-se de verificar todos os outros com quem o servidor afetado pode ser comunicar. Se o mesmo usuário loga-se em mais de um servidor, troque a senha dele.
Adote práticas de segurança mais consistentes, evitando abrir serviços de acesso remoto em portas padrão, desativando acesso externo direto ao root,  e se possível, pare de usar senhas pra se autenticar, passe a usar certificados criptográficos.
Mantenha um backup regular de seus dados, dessa vez foi um vírus, mas poderia ter sido um incêndio ou crash de hardware.