Desculpa por me envolver meus amigos. Entendo pouco a respeito do assunto, mas li a um tempo atras alguma coisa sobre redirecionamento. No caso, tratava-se de envenenamento arp. Não lembro mais onde li. O artigo explicava que esse tipo de ataque possibilitava ao atacante redirecionar conexões. Com certeza vocês sabem o que é.
Em Quinta-feira, 16 de Outubro de 2014 18:03, Nelson Pereira Ramos <nelson.pra...@gmail.com> escreveu: Olá Paulino. Eu não acredito, como eu disse, que se trata apenas de um malware que afeta o navegador. Explico, vejam minhas tentativas: 1 - Excluir os profiles do Chrome e Firefox de todos os usuários. Resultado: Malware ainda presente; 2 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover as aplicações com o "purge" e reinstalar as aplicações. Resultado: Malware ainda presente; 3 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover as aplicações com o "purge", zerar o cache do apt e reinstalar as aplicações. Resultado: Malware ainda presente; Acho que isso levanta suspeitas, no mínimo, de que o buraco é mais embaixo... Obrigado pela atenção. Se mais alguém tiver alguma outra dica, ficarei muito feliz em ouvir (ou ler, melhor dizendo). Att., Nelson ------ Mensagem original ------ De: "Paulino Kenji Sato" <pks...@gmail.com> Para: "Lista Debian" <debian-user-portuguese@lists.debian.org> Enviado(s): 15/10/2014 16:57:01 Assunto: Re: Como remover o Akamaihd Bom dia. >Esse Akamaihd parece ser somente um dessas extensões que afetam somente o >navegador. Um profile novo resolve. > >Essa semana me deparei com um problema muito mais sério. >Quando instalo o debian, uma das primeiras providencias e configurar o sshd >para não aceitar login do root. >Em um host, pelo visto não fiz isso. Esse host a principio deveria ficar em >uma intranet, sem conexão com a internet. Em alguma época, tive que configurar >um redirecionamento no roteador para ter acesso a esse host, porta 22022 >mapeda para tal. A senha to root, ficou com uma facinha de lembrar. >Outro dia enquanto estava fazendo uma manutenção nesse host, vejo na lista do >ps algo suspeito, um processo /etc/spell. Um exec rodando a partir do /etc ? >Muito suspeito. >Submeti esse arquivo ao site virustotal, deu que 19 de 54 anti-vírus >detectaram como vírus. > >Ad-Aware Linux.Mayday.C 20141015 >Avast ELF:Elknot-M [Trj] 20141015 >BitDefender Linux.Mayday.C 20141015 >CAT-QuickHeal Linux.Elknot.E61 20141015 >DrWeb Linux.DDoS.1 20141015 >ESET-NOD32 Linux/Agent.W 20141015 >Emsisoft Linux.Mayday.C (B) 20141015 >F-Secure Linux.Mayday.C 20141015 >GData Linux.Mayday.C 20141015 >Ikarus DoS.Linux.Elknot 20141015 >Kaspersky HEUR:Backdoor.Linux.Mayday.h 20141015 >MicroWorld-eScan Linux.Mayday.C 20141015 >Microsoft DoS:Linux/Elknot.E 20141015 >Qihoo-360 Trojan.Generic 20141015 >Sophos Linux/DDoS-AZ 20141015 >Symantec Trojan.Chikdos.B!gen1 20141015 >Tencent Linux.Backdoor.Mayday.Hoew 20141015 >Zillya Downloader.OpenConnection.JS.104102 20141015 >nProtect Linux.Mayday.C 20141015 > >O ClamAV diz que esta ok. Amostra enviada a eles. > > >Ação adequada nesse caso seria providenciar uma nova maquina e substituir, e >colocar a comprometida em quarentena. Mas, a analize inicial mostrou que >nenhum outro arquivo aparenta ter sido alterado. Além do binário /etc/spell o >rc.local foi modificado, com as seguintes linhas >/etc/init.d/iptables stop >service iptables stop >SuSEfirewall2 stop >reSuSEfirewall2 stop >chmod 0755 /etc/spell >nohup /etc/spell > /dev/null 2>&1& > > >um usuário chamado kang com id 0 também foi criado, com senha. > > > >O /etc/spell e um binário estaticamente lincado. > > >spell: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, >for GNU/Linux 2.6.4, not stripped > >md5sum: 242efa8a7d52332a11a810ac069023e7 >shasum: 4841ffda99f86188582b2c548fd9c1e1e98ea4ab > >algumas palavras que surgem quando se usa o strings >SuSESuSE >183.60.149.219 > > >Pela pesquisa que fiz, variações desse 'bicho" estão infectando roteadores >SOHO. > >Nesse caso, foi via ssh, mas nada impede que isso seja injetado por outros >meios, como bugs na shell, daemons, etc. > >Uma analise de caso similar. >http://blog.malwaremustdie.org/2014/05/linux-reversing-is-fun-toying-with-elf.html > > >Esse caso da freenode e bem mais preocupante >https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-linux-backdoor-used-in- >freenode-irc-network-compromise/ > > >Preocupante... > > > > > > >2014-10-15 13:46 GMT-03:00 Leandro <leandro...@gmail.com>: > >Cara monitore pelo shell a atividade ao abrir o navegador assim e mais >acertivo de mata-lo top ps iostat... >>Em 15/10/2014 13:30, "Nelson Ramos" <nelson.pra...@gmail.com> escreveu: >> >> >>Obrigado pela resposta! >>> >>> >>> Concordo que zerando o disco e reinstalando o sistema resolverá o >>> problema, porém se o malware entrou, deve ter uma forma de removê-lo de lá >>> sem reinstalar tudo, e é esse o caminho que eu gostaria de trilhar. Não >>> descarto a sua sugestão, mas prefiro deixar para pô-la em prática quando as >>> demais alternativas menos destrutivas tiverem se esgotado. >>> >>> >>> Se mais alguém tiver alguma sugestão neste sentido será muito bem >>> vinda. >>> >>> >>>Obrigado a todos! >>> >>> >>>Em 15 de outubro de 2014 07:40, julio santos peppe <juliope...@gmail.com> >>>escreveu: >>> >>>O porque desse malware estar infectado em uma máquina linux, agora não >>>>vem mais ao caso, sugestão: >>>> >>>>- tudo o que você possa fazer agora dentro do sistema pode ser >>>>monitorado pelo MALWARE, portanto sugiro que salve seus dados em um pem >>>>drive, dê um boot com uma versão livecd do linux "prefiro a rescueCD", >>>>utilize o DD para apagar tudo no disco "dependendo do tamanho do disco >>>>vai demorar um tempão" e finalmente instale um linux estável e seguro da >>>>versão STABLE "prefiro utilizar distribuições DEBIAN"... >>>> >>>>Enfim depois dessa manutenção toda, você pode instalar um clamav no seu >>>>sistema novo e lembre-se utilize sempre a conta de usuário, evite dar >>>>acesso ao root dentro de sua conta de usuário.... >>>> >>>>se seguir esses passos acredito que seu pc funcionará perfeitamente >>>>BEM... >>>> >>>>é só :P >>>> >>>>Em Ter, 2014-10-14 às 14:00 -0300, Nelson Ramos escreveu: >>>> >>>>> Boa tarde amigos listeiros. >>>>> >>>>> >>>>> De uns tempos para cá percebi que minha máquina, rodando o bom e >>>>> velho sistema do pinguim, está me dando trabalho com este adware, >>>>> malware, malditoware, seja lá como costumam chamá-lo. >>>>> >>>>> >>>>> A navegação está lenta, a tela é invadida por popups e ao >>>>> acessar sites como o facebook, por exemplo, a tela de login é >>>>> substituída por uma bem diferente da original do site. >>>>> >>>>> >>>>> Pesquisando na internet, achei muita coisa para windows >>>>> (inclusive recomendações para substituí-lo por Linux), mas nada que >>>>> atendesse ao nosso sistema. Encontrei também informações para a >>>>> remoção desta praga de máquinas rodando mac os, mas nada para o >>>>> pinguim. >>>>> >>>>> >>>>> Alguém faz alguma ideia de como me livrar desta tranqueira? >>>>> >>>>> >>>>> Obrigado a todos. >>>>> >>>>> -- >>>>> Atenciosamente, >>>>> >>>>> Nelson P. Ramos >>>>> Linux User #448514 >>>>> >>>> >>>> >>>> >>>>-- >>>>To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >>>>with a subject of "unsubscribe". Trouble? Contact >>>>listmas...@lists.debian.org >>>>Archive: https://lists.debian.org/1413369604.4092.5.camel@note-juliopeppe >>>> >>>> >>> >>> >>> >>>-- >>> >>>Atenciosamente, >>> >>>Nelson P. Ramos >>>Linux User #448514 >>> > > >-- >Paulino Kenji Sato >