Que faire en ce qui concerne BackDoor.Wirenet.1

10

Quelles précautions faut-il prendre pour prévenir les attaques de chevaux de Troie BackDoor.Wirenet.1 ?

Le blocage de toutes les communications avec le 212.7.208.65 devrait être suffisant? Dans l'affirmative, comment le faire?

security carnendil
la source
1
en ne lançant aucun programme que vous ne connaissez pas / en qui vous avez confiance?
steabert
6
Aucune étape immédiate n'est nécessaire, autre que l'apprentissage de la sécurité Linux .
mikewwhat

Réponses:

8

BackDoor.Wirenet.1 Keylogger est un cheval de Troie de porte dérobée qui peut fonctionner sur Linux et MacOSX, volant des informations personnelles, des mots de passe et des informations d'identification bancaires! Il se copie dans le répertoire personnel de l'utilisateur à l'adresse/home/WIFIADAPT

Il crée ensuite une connexion à une adresse IP distante, actuellement 212.7.208.65

Défense et renvoi:

  1. Bloquez cette IP avec votre routeur / pare-feu.
  2. Supprimez le répertoire / fichiers ci-dessus.
Webman
la source
Merci pour le conseil. Existe-t-il un moyen de connaître la source de l'infection?
Comment procéder pour bloquer cette adresse IP particulière? UFW ne peut bloquer que les ports, non?
Glutanimate
hum, et comment a-t-il obtenu le droit d'écrire dans / home / WIFIADAPT? Il a demandé poliment à l'utilisateur? Ou avez-vous fait une erreur et c'est ~ / WIFIADAPT qui est ciblé?
vaab
2
Looks @Glutanimate aiment ce fait le travail: sudo ufw reject out to 212.7.208.65. Vous pouvez tester en essayant pingcette adresse IP ultérieurement.
jcollado
1
@Glutanimate sudo - iptables -Block INPUT -s 212.7.208.65 -p all -j DROP le fera également, mais ne persistera que jusqu'à votre déconnexion, sauf si vous l'ajoutez à l'un de vos scripts de démarrage.
Joe
9

Ma compréhension est que wirenet-1 doit créer un fichier dans le répertoire ~ / WIFIADAPT Étant donné que Linux voit les répertoires et les fichiers comme les mêmes (vous ne pouvez pas avoir un fichier et un répertoire du même nom), je crois que la création d'un fichier vide par le nom de WIFIADAPT dans votre répertoire personnel vous empêcherait d'obtenir le Trogen car il ne pourrait pas créer le répertoire WIFIADAPT à l'emplacement où il stocke l'infection. Juste pour des mesures supplémentaires, je définirais les autorisations sur le fichier créé en lecture seule. Ce n'est que ma suggestion, mais je crois que cela fonctionnerait. Il serait également judicieux de bloquer l'adresse IP mentionnée ci-dessus.

émeute
la source
par logique ouais! je suis d'accord
penreturns
Il s'agit d'une approche intéressante.
Exeleration-G