Bom dia. Esse Akamaihd parece ser somente um dessas extensões que afetam somente o navegador. Um profile novo resolve.
Essa semana me deparei com um problema muito mais sério. Quando instalo o debian, uma das primeiras providencias e configurar o sshd para não aceitar login do root. Em um host, pelo visto não fiz isso. Esse host a principio deveria ficar em uma intranet, sem conexão com a internet. Em alguma época, tive que configurar um redirecionamento no roteador para ter acesso a esse host, porta 22022 mapeda para tal. A senha to root, ficou com uma facinha de lembrar. Outro dia enquanto estava fazendo uma manutenção nesse host, vejo na lista do ps algo suspeito, um processo /etc/spell. Um exec rodando a partir do /etc ? Muito suspeito. Submeti esse arquivo ao site virustotal, deu que 19 de 54 anti-vírus detectaram como vírus. Ad-Aware Linux.Mayday.C 20141015 Avast ELF:Elknot-M [Trj] 20141015 BitDefender Linux.Mayday.C 20141015 CAT-QuickHeal Linux.Elknot.E61 20141015 DrWeb Linux.DDoS.1 20141015 ESET-NOD32 Linux/Agent.W 20141015 Emsisoft Linux.Mayday.C (B) 20141015 F-Secure Linux.Mayday.C 20141015 GData Linux.Mayday.C 20141015 Ikarus DoS.Linux.Elknot 20141015 Kaspersky HEUR:Backdoor.Linux.Mayday.h 20141015 MicroWorld-eScan Linux.Mayday.C 20141015 Microsoft DoS:Linux/Elknot.E 20141015 Qihoo-360 Trojan.Generic 20141015 Sophos Linux/DDoS-AZ 20141015 Symantec Trojan.Chikdos.B!gen1 20141015 Tencent Linux.Backdoor.Mayday.Hoew 20141015 Zillya Downloader.OpenConnection.JS.104102 20141015 nProtect Linux.Mayday.C 20141015 O ClamAV diz que esta ok. Amostra enviada a eles. Ação adequada nesse caso seria providenciar uma nova maquina e substituir, e colocar a comprometida em quarentena. Mas, a analize inicial mostrou que nenhum outro arquivo aparenta ter sido alterado. Além do binário /etc/spell o rc.local foi modificado, com as seguintes linhas /etc/init.d/iptables stop service iptables stop SuSEfirewall2 stop reSuSEfirewall2 stop chmod 0755 /etc/spell nohup /etc/spell > /dev/null 2>&1& um usuário chamado kang com id 0 também foi criado, com senha. O /etc/spell e um binário estaticamente lincado. spell: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, for GNU/Linux 2.6.4, not stripped md5sum: 242efa8a7d52332a11a810ac069023e7 shasum: 4841ffda99f86188582b2c548fd9c1e1e98ea4ab algumas palavras que surgem quando se usa o strings SuSESuSE 183.60.149.219 Pela pesquisa que fiz, variações desse 'bicho" estão infectando roteadores SOHO. Nesse caso, foi via ssh, mas nada impede que isso seja injetado por outros meios, como bugs na shell, daemons, etc. Uma analise de caso similar. http://blog.malwaremustdie.org/2014/05/linux-reversing-is-fun-toying-with-elf.html Esse caso da freenode e bem mais preocupante https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-linux-backdoor-used-in- freenode-irc-network-compromise/ Preocupante... 2014-10-15 13:46 GMT-03:00 Leandro <leandro...@gmail.com>: > Cara monitore pelo shell a atividade ao abrir o navegador assim e mais > acertivo de mata-lo top ps iostat... > Em 15/10/2014 13:30, "Nelson Ramos" <nelson.pra...@gmail.com> escreveu: > > Obrigado pela resposta! >> >> Concordo que zerando o disco e reinstalando o sistema resolverá o >> problema, porém se o malware entrou, deve ter uma forma de removê-lo de lá >> sem reinstalar tudo, e é esse o caminho que eu gostaria de trilhar. Não >> descarto a sua sugestão, mas prefiro deixar para pô-la em prática quando as >> demais alternativas menos destrutivas tiverem se esgotado. >> >> Se mais alguém tiver alguma sugestão neste sentido será muito bem >> vinda. >> >> Obrigado a todos! >> >> Em 15 de outubro de 2014 07:40, julio santos peppe <juliope...@gmail.com> >> escreveu: >> >>> O porque desse malware estar infectado em uma máquina linux, agora não >>> vem mais ao caso, sugestão: >>> >>> - tudo o que você possa fazer agora dentro do sistema pode ser >>> monitorado pelo MALWARE, portanto sugiro que salve seus dados em um pem >>> drive, dê um boot com uma versão livecd do linux "prefiro a rescueCD", >>> utilize o DD para apagar tudo no disco "dependendo do tamanho do disco >>> vai demorar um tempão" e finalmente instale um linux estável e seguro da >>> versão STABLE "prefiro utilizar distribuições DEBIAN"... >>> >>> Enfim depois dessa manutenção toda, você pode instalar um clamav no seu >>> sistema novo e lembre-se utilize sempre a conta de usuário, evite dar >>> acesso ao root dentro de sua conta de usuário.... >>> >>> se seguir esses passos acredito que seu pc funcionará perfeitamente >>> BEM... >>> >>> é só :P >>> >>> Em Ter, 2014-10-14 às 14:00 -0300, Nelson Ramos escreveu: >>> > Boa tarde amigos listeiros. >>> > >>> > >>> > De uns tempos para cá percebi que minha máquina, rodando o bom e >>> > velho sistema do pinguim, está me dando trabalho com este adware, >>> > malware, malditoware, seja lá como costumam chamá-lo. >>> > >>> > >>> > A navegação está lenta, a tela é invadida por popups e ao >>> > acessar sites como o facebook, por exemplo, a tela de login é >>> > substituída por uma bem diferente da original do site. >>> > >>> > >>> > Pesquisando na internet, achei muita coisa para windows >>> > (inclusive recomendações para substituí-lo por Linux), mas nada que >>> > atendesse ao nosso sistema. Encontrei também informações para a >>> > remoção desta praga de máquinas rodando mac os, mas nada para o >>> > pinguim. >>> > >>> > >>> > Alguém faz alguma ideia de como me livrar desta tranqueira? >>> > >>> > >>> > Obrigado a todos. >>> > >>> > -- >>> > Atenciosamente, >>> > >>> > Nelson P. Ramos >>> > Linux User #448514 >>> > >>> >>> >>> >>> -- >>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >>> with a subject of "unsubscribe". Trouble? Contact >>> listmas...@lists.debian.org >>> Archive: >>> https://lists.debian.org/1413369604.4092.5.camel@note-juliopeppe >>> >>> >> >> >> -- >> Atenciosamente, >> >> Nelson P. Ramos >> Linux User #448514 >> > -- Paulino Kenji Sato
