Desculpa por me envolver meus amigos. Entendo pouco a respeito do assunto, mas
li a um tempo atras alguma coisa sobre redirecionamento. No caso, tratava-se de
envenenamento arp. Não lembro mais onde li. O artigo explicava que esse tipo
de ataque possibilitava ao atacante redirecionar conexões. Com certeza vocês
sabem o que é.
Em Quinta-feira, 16 de Outubro de 2014 18:03, Nelson Pereira Ramos
<nelson.pra...@gmail.com> escreveu:
Olá Paulino.
Eu não acredito, como eu disse, que se trata apenas de um malware que afeta
o navegador. Explico, vejam minhas tentativas:
1 - Excluir os profiles do Chrome e Firefox de todos os usuários.
Resultado: Malware ainda presente;
2 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover
as aplicações com o "purge" e reinstalar as aplicações. Resultado: Malware
ainda presente;
3 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover
as aplicações com o "purge", zerar o cache do apt e reinstalar as aplicações.
Resultado: Malware ainda presente;
Acho que isso levanta suspeitas, no mínimo, de que o buraco é mais
embaixo...
Obrigado pela atenção.
Se mais alguém tiver alguma outra dica, ficarei muito feliz em ouvir (ou ler,
melhor dizendo).
Att.,
Nelson
------ Mensagem original ------
De: "Paulino Kenji Sato" <pks...@gmail.com>
Para: "Lista Debian" <debian-user-portuguese@lists.debian.org>
Enviado(s): 15/10/2014 16:57:01
Assunto: Re: Como remover o Akamaihd
Bom dia.
>Esse Akamaihd parece ser somente um dessas extensões que afetam somente o
>navegador. Um profile novo resolve.
>
>Essa semana me deparei com um problema muito mais sério.
>Quando instalo o debian, uma das primeiras providencias e configurar o sshd
>para não aceitar login do root.
>Em um host, pelo visto não fiz isso. Esse host a principio deveria ficar em
>uma intranet, sem conexão com a internet. Em alguma época, tive que configurar
>um redirecionamento no roteador para ter acesso a esse host, porta 22022
>mapeda para tal. A senha to root, ficou com uma facinha de lembrar.
>Outro dia enquanto estava fazendo uma manutenção nesse host, vejo na lista do
>ps algo suspeito, um processo /etc/spell. Um exec rodando a partir do /etc ?
>Muito suspeito.
>Submeti esse arquivo ao site virustotal, deu que 19 de 54 anti-vírus
>detectaram como vírus.
>
>Ad-Aware Linux.Mayday.C 20141015
>Avast ELF:Elknot-M [Trj] 20141015
>BitDefender Linux.Mayday.C 20141015
>CAT-QuickHeal Linux.Elknot.E61 20141015
>DrWeb Linux.DDoS.1 20141015
>ESET-NOD32 Linux/Agent.W 20141015
>Emsisoft Linux.Mayday.C (B) 20141015
>F-Secure Linux.Mayday.C 20141015
>GData Linux.Mayday.C 20141015
>Ikarus DoS.Linux.Elknot 20141015
>Kaspersky HEUR:Backdoor.Linux.Mayday.h 20141015
>MicroWorld-eScan Linux.Mayday.C 20141015
>Microsoft DoS:Linux/Elknot.E 20141015
>Qihoo-360 Trojan.Generic 20141015
>Sophos Linux/DDoS-AZ 20141015
>Symantec Trojan.Chikdos.B!gen1 20141015
>Tencent Linux.Backdoor.Mayday.Hoew 20141015
>Zillya Downloader.OpenConnection.JS.104102 20141015
>nProtect Linux.Mayday.C 20141015
>
>O ClamAV diz que esta ok. Amostra enviada a eles.
>
>
>Ação adequada nesse caso seria providenciar uma nova maquina e substituir, e
>colocar a comprometida em quarentena. Mas, a analize inicial mostrou que
>nenhum outro arquivo aparenta ter sido alterado. Além do binário /etc/spell o
>rc.local foi modificado, com as seguintes linhas
>/etc/init.d/iptables stop
>service iptables stop
>SuSEfirewall2 stop
>reSuSEfirewall2 stop
>chmod 0755 /etc/spell
>nohup /etc/spell > /dev/null 2>&1&
>
>
>um usuário chamado kang com id 0 também foi criado, com senha.
>
>
>
>O /etc/spell e um binário estaticamente lincado.
>
>
>spell: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked,
>for GNU/Linux 2.6.4, not stripped
>
>md5sum: 242efa8a7d52332a11a810ac069023e7
>shasum: 4841ffda99f86188582b2c548fd9c1e1e98ea4ab
>
>algumas palavras que surgem quando se usa o strings
>SuSESuSE
>183.60.149.219
>
>
>Pela pesquisa que fiz, variações desse 'bicho" estão infectando roteadores
>SOHO.
>
>Nesse caso, foi via ssh, mas nada impede que isso seja injetado por outros
>meios, como bugs na shell, daemons, etc.
>
>Uma analise de caso similar.
>http://blog.malwaremustdie.org/2014/05/linux-reversing-is-fun-toying-with-elf.html
>
>
>Esse caso da freenode e bem mais preocupante
>https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-linux-backdoor-used-in-
>freenode-irc-network-compromise/
>
>
>Preocupante...
>
>
>
>
>
>
>2014-10-15 13:46 GMT-03:00 Leandro <leandro...@gmail.com>:
>
>Cara monitore pelo shell a atividade ao abrir o navegador assim e mais
>acertivo de mata-lo top ps iostat...
>>Em 15/10/2014 13:30, "Nelson Ramos" <nelson.pra...@gmail.com> escreveu:
>>
>>
>>Obrigado pela resposta!
>>>
>>>
>>> Concordo que zerando o disco e reinstalando o sistema resolverá o
>>> problema, porém se o malware entrou, deve ter uma forma de removê-lo de lá
>>> sem reinstalar tudo, e é esse o caminho que eu gostaria de trilhar. Não
>>> descarto a sua sugestão, mas prefiro deixar para pô-la em prática quando as
>>> demais alternativas menos destrutivas tiverem se esgotado.
>>>
>>>
>>> Se mais alguém tiver alguma sugestão neste sentido será muito bem
>>> vinda.
>>>
>>>
>>>Obrigado a todos!
>>>
>>>
>>>Em 15 de outubro de 2014 07:40, julio santos peppe <juliope...@gmail.com>
>>>escreveu:
>>>
>>>O porque desse malware estar infectado em uma máquina linux, agora não
>>>>vem mais ao caso, sugestão:
>>>>
>>>>- tudo o que você possa fazer agora dentro do sistema pode ser
>>>>monitorado pelo MALWARE, portanto sugiro que salve seus dados em um pem
>>>>drive, dê um boot com uma versão livecd do linux "prefiro a rescueCD",
>>>>utilize o DD para apagar tudo no disco "dependendo do tamanho do disco
>>>>vai demorar um tempão" e finalmente instale um linux estável e seguro da
>>>>versão STABLE "prefiro utilizar distribuições DEBIAN"...
>>>>
>>>>Enfim depois dessa manutenção toda, você pode instalar um clamav no seu
>>>>sistema novo e lembre-se utilize sempre a conta de usuário, evite dar
>>>>acesso ao root dentro de sua conta de usuário....
>>>>
>>>>se seguir esses passos acredito que seu pc funcionará perfeitamente
>>>>BEM...
>>>>
>>>>é só :P
>>>>
>>>>Em Ter, 2014-10-14 às 14:00 -0300, Nelson Ramos escreveu:
>>>>
>>>>> Boa tarde amigos listeiros.
>>>>>
>>>>>
>>>>> De uns tempos para cá percebi que minha máquina, rodando o bom e
>>>>> velho sistema do pinguim, está me dando trabalho com este adware,
>>>>> malware, malditoware, seja lá como costumam chamá-lo.
>>>>>
>>>>>
>>>>> A navegação está lenta, a tela é invadida por popups e ao
>>>>> acessar sites como o facebook, por exemplo, a tela de login é
>>>>> substituída por uma bem diferente da original do site.
>>>>>
>>>>>
>>>>> Pesquisando na internet, achei muita coisa para windows
>>>>> (inclusive recomendações para substituí-lo por Linux), mas nada que
>>>>> atendesse ao nosso sistema. Encontrei também informações para a
>>>>> remoção desta praga de máquinas rodando mac os, mas nada para o
>>>>> pinguim.
>>>>>
>>>>>
>>>>> Alguém faz alguma ideia de como me livrar desta tranqueira?
>>>>>
>>>>>
>>>>> Obrigado a todos.
>>>>>
>>>>> --
>>>>> Atenciosamente,
>>>>>
>>>>> Nelson P. Ramos
>>>>> Linux User #448514
>>>>>
>>>>
>>>>
>>>>
>>>>--
>>>>To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>>>>with a subject of "unsubscribe". Trouble? Contact
>>>>listmas...@lists.debian.org
>>>>Archive: https://lists.debian.org/1413369604.4092.5.camel@note-juliopeppe
>>>>
>>>>
>>>
>>>
>>>
>>>--
>>>
>>>Atenciosamente,
>>>
>>>Nelson P. Ramos
>>>Linux User #448514
>>>
>
>
>--
>Paulino Kenji Sato
>
