Wolle Geschrieben 30. April 2003 Geschrieben 30. April 2003 Hi, kennt jemand den Virus Linux/OSF-8759? Ich weiß inzwischen, das es wohl der erste Linux-Virus in "freier Wildbahn" ist/war, welche Dateien er befällt, welche Ports er benutzt und das er eine Backdoor-Funktion hat. Was ich bisher noch nicht rausgefunden habe, wie der auf meinen Router bzw. Server gekommen ist und wie man den entfernen kann. Fakt ist, das jemand diesen Trojaner benutzt hat um über meine IP Angriffe auf einen brasilianischen IRC-Server zu fahren (war auch eine brasilianische IP die der Angreifer hatte). Da ich auf einem anderem Server von mir schon mal einen Angriff aus Brasilien hatte (da wurden auch Angriffe auf den gleichen IRC-Server gefahren. allerdings war die original IP von einem anderem Provider) wäre es auch möglich, das der Angreifer den Server anderst gehackt hat und den Trojaner selber installiert hat. Ich habe den Rechner inzwischen neu installiert, wäre aber trotzdem interessant für mich so wissen, wie der Virus übertragen wird und wie man den entfernen kann um evt. weitere Angriffe abwehren zu können. Zitieren
gurkenpapst Geschrieben 1. Mai 2003 Geschrieben 1. Mai 2003 Hi Wolle, woher kannst du sicher sein, das es gerade der Virus war, dem Du zum Opfer gefallen bist? Ist es nicht möglich, dass derjenige einen beliebigen Exploit ausgeführt hat um das Angriffsskript bei dir zu hinterlegen? Eine sinnvolle Strategie, ihn zu entfernen gibt es nicht. Der Virus besteht aus zwei Teilen: Den Viralen Part und den Backdoor Part. Den Viralen Part zu erkennen ist prinzipiell Möglich, allerdings kann man nicht wissen was alles für Modifikationen an dem befallenen System gemacht wurden. Daher kannst du nie sicher sagen, das dies, dies, und dies befallen wurde. Und davon kann bei Dir ausgegangen werden, da der Virus selbst keine Angriffe durchführt. Daher ist es nur zu empfehlen, das System neu aufzusetzen. Eingefangen hast du ihn dir wahrscheinlich über ein ausgeführtes, kompromittiertes executable. Ist aber auch nicht sicher zu sagen. Er ändert 201 Dateien im /bin , die ausführbar sind, darunter alle die mit ps enden. Der Virus wird nicht ausgeführt, wenn er erkennt, das er in einem Debugger läuft und wenn die uptime des Rechenrs unter 5 Minuten ist. Erkennen könntest du ihn z.B. dadurch, dass er zu den befallenen Dateien 8759 bytes hinzufügt. Ich empfehle dir Tripwire, welches dir solche modifikationen an Dateien sofort mitteilt. gruß gurkenpapst Zitieren
Wolle Geschrieben 1. Mai 2003 Autor Geschrieben 1. Mai 2003 Danke für die Antwort. Original geschrieben von gurkenpapst woher kannst du sicher sein, das es gerade der Virus war, dem Du zum Opfer gefallen bist? Ist es nicht möglich, dass derjenige einen beliebigen Exploit ausgeführt hat um das Angriffsskript bei dir zu hinterlegen? Ich habe auf dem Rechner die Linuxversion von Antivir laufen, das den Virus in Dateien in /bin erkannt hat. Möglich, das der Angreifer auf andere Weise auf den Rechner gekommen ist und den Virus "von Hand" auf den Rechner gebracht hat. Deswegen auch die Frage, wie der Virus normalerweise übertragen wird. Ich hatte in letzter Zeit nichts auf den Rechner runtergeladen und nichts installiert. Original geschrieben von gurkenpapst da der Virus selbst keine Angriffe durchführt. Das ist richtig. Über tcpdump konnte ich sehen, das der Rechner versucht hat mit eben dieser IP-Adresse aus Brasilien Kontakt auf zu nehmen. Ich hatte vermutet, das das durch den Virus passiert. Wäre aber auch möglich, das der Angreifer noch etwas anderes installiert hat, was den Kontakt herstellt. Zitieren
gurkenpapst Geschrieben 1. Mai 2003 Geschrieben 1. Mai 2003 Hi, wie gesagt, der Virus öffnet auch eine Hintertüre (Port 3049, falls belegt versucht er immer einen Port darüber zu benutzen). Es wäre interessant wenn du die Pakete mitgeloggt hättest, um darin vielleicht ein paar infos auszulesen. gruß gurkenpapst Zitieren
Wolle Geschrieben 1. Mai 2003 Autor Geschrieben 1. Mai 2003 Original geschrieben von gurkenpapst Es wäre interessant wenn du die Pakete mitgeloggt hättest, um darin vielleicht ein paar infos auszulesen. Nein, hab ich leider nicht. Ich kann auch Auswendig nicht mehr sagen, ob das Port 3049, bzw. in dem Bereich war. Der Angreifer hatte auch das komplette /var/log und die bash-Historie gelöscht, so das da drüber auch nichts mehr raus zu lesen war. Was ich gefunden hatte, war ein IRC-Log in portugisisch wo auch seine echte IP drin stand. Die Fragen die mir am wichtigsten waren, waren ob man den Virus hätte entfernen können ohne den Rechner zu plätten und wie sich der Virus normalerweise verbreitet, was du ja beantwortet hast. Danke nochmal Zitieren
gurkenpapst Geschrieben 1. Mai 2003 Geschrieben 1. Mai 2003 kein problem, wie gesagt, tripwire eine gute Vorsichtsmassnahme. http://www.tripwire.org/qanda/index.php gruß, gurkenpapst Zitieren
nic_power Geschrieben 1. Mai 2003 Geschrieben 1. Mai 2003 @Wolle: Schau Dir mal den folgenden Link an, dort findest Du Software+Quellcode zum entfernen des Virus: http://packetstormsecurity.nl/trojans/indexdate.shtml Nic Zitieren
Wolle Geschrieben 1. Mai 2003 Autor Geschrieben 1. Mai 2003 Original geschrieben von nic_power Schau Dir mal den folgenden Link an, dort findest Du Software+Quellcode zum entfernen des Virus: Wäre also gegangen. Danke... @gurkenpapst: Werd ich mir mal genauer ansehen. Zitieren
gurkenpapst Geschrieben 1. Mai 2003 Geschrieben 1. Mai 2003 Original geschrieben von Wolle Wäre also gegangen. Danke... jein, denn du hättest immer noch nicht die Hintertüre geschlossen, da zwar der Virus entfernt wird, aber nicht die eventuell modifizierten Daten, die der Virus nicht ändert, sondern der "Angreifer". Aber soweit sollte das Thema geklärt sein... gruß, gurkenpapst Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.