Вредоносное программное обеспечение ботнета Ganiw
Я был уведомлен моим системным администратором, что мой ПК Ubuntu 16 был заражен ботнетом под названием "Ganiw". Информация в Интернете очень недостаточна, Вы могли дать мне некоторый совет относительно того, как удалить его?
спасибо
2 ответа
Ссылки нашли на Google: описание его на лабораториях безопасности Telus и подробно анализ securelist. Тот последний полон подсказок. Бэкдор описан как (из 1-й ссылки)...
Бэкдор. Linux. Ganiw. A является Бэкдор и агент Bot, который предназначается для платформы Linux. Вредоносное программное обеспечение связывается с удаленным сервером, идентифицируя себя, и отправляя информацию о системе. Кроме того, это получает команды управления для выполнения различных низких операций по зараженной системе. Кроме того, вредоносное программное обеспечение имеет возможности начать различные типы DoS-атак. Для выживания системной перезагрузки это добавляет запись в каталог инициализации "/etc/init.d".
От этого можно вычесть 2 вещи:
если это - "Бэкдор. Linux. Ganiw.a (cupsdd)": проверить
/etc/init.dдля файла, который делает это. "Вредоносное программное обеспечение также создает символьные ссылки на сценарий в/etc/rc[1-5].1/S97DbSecuritySpt". Если это - "Бэкдор. Linux. Ganiw.a (cupsddh)" затем "это создает файл/tmp/bill.lock, в котором это хранит PID текущего процесса. cupsddh хранит системные данные в структуре g_statBase, который идентичен используемому cupsdd". Это также проверяет на "/usr/libamplify.so", Что файлы содержат конфигурацию (и это не библиотека) (все это из 2-й ссылки).Так проверяют на те файлы. (большая часть из этого из 2-й ссылки
Проверьте свои исходящие соединения (Ваш журнал маршрутизатора, например) на сомнительных исходящих соединениях.
Я не соглашаюсь с другим ответом: не позволяйте clamav "зафиксировать" это..., если Вы действительно имеете, это в Вашей системе переустанавливает его и восстанавливает резервное копирование (и подтверждают, что резервное копирование является чистым). И получите лучший пароль, чем Вы имеете теперь: это ИМЕЕТ Ваш пароль администратора иначе, это не могло установить в /etc/.
Подтвердите, что у Вас действительно есть этот бэкдор. Это был бы 1-й раз, когда я вижу, что кто-то имеет тот ;-)
Возможно, clamav обнаружит и изолирует вредоносное программное обеспечение, так как Ganiw был в clamav библиотеке с тех пор приблизительно июнь 2016: virustotal.com/en/file/69070048be6a27d5c9179f412aea9ef00d10ce8cdd99f881447335e15e464ec7/analysis/
ClamAV может быть найден для Ubuntu в способном репозитории. Выполните эту команду в окне терминала для установки ClamAV:
sudo apt-get install clamav
, Если Вы хотите установить clamav демона "clamd" для работы в фоновом режиме, можно также хотеть ввести:
sudo apt-get install clamav-daemon
Для большего количества информации, нажмите на ссылку "Ubuntu" на этой clamav странице веб-сайта: https://www.clamav.net/downloads#otherversions