Qué hacer con respecto a BackDoor.Wirenet.1

10

¿Qué precauciones se deben tomar para prevenir el ataque del troyano BackDoor.Wirenet.1 ?

¿Bloquear todas las comunicaciones con 212.7.208.65 debería ser suficiente? Si es así, ¿cómo hacerlo?

carnendil
fuente
1
al no lanzar ningún programa que no conoces / en el que no confías?
steabert
66
No son necesarios pasos inmediatos, aparte de aprender sobre la seguridad de Linux .
mikewhatever

Respuestas:

8

BackDoor.Wirenet.1 Keylogger es un troyano de puerta trasera que puede ejecutarse en Linux y MacOSX, robando información personal, contraseñas y credenciales bancarias. Se copia en el directorio de inicio del usuario en/home/WIFIADAPT

Luego crea una conexión a una IP remota, actualmente 212.7.208.65

Defensa y remoción:

  1. Bloquee esa IP con su enrutador / firewall.
  2. Eliminar el directorio / archivos anteriores.
Webman
fuente
Gracias por el consejo. ¿Hay alguna manera de saber la fuente de infección?
¿Cómo haríamos para bloquear esa dirección IP en particular? UFW solo puede bloquear puertos, ¿verdad?
Glutanimate
¿Cómo obtuvo los derechos para escribir en / home / WIFIADAPT? Preguntó cortésmente al usuario? ¿O cometió un error y esto es ~ / WIFIADAPT que está dirigido?
vaab
2
Las apariencias @Glutanimate gusta esto hace el trabajo: sudo ufw reject out to 212.7.208.65. Puede probar intentando acceder pinga esa IP más tarde.
jcollado
1
@Glutanimate sudo - iptables -Block INPUT -s 212.7.208.65 -p all -j DROP también lo hará, pero solo persistirá hasta que cierre la sesión a menos que lo agregue a uno de sus scripts de inicio.
Joe
9

Tengo entendido que el wirenet-1 tiene que crear un archivo en el directorio ~ / WIFIADAPT Dado que Linux ve los directorios y los archivos de la misma manera (no puede tener un archivo y un directorio con el mismo nombre) creo que crear un archivo vacío el nombre de WIFIADAPT en su directorio de inicio evitaría que obtenga el Trogen ya que no podría crear el Directorio WIFIADAPT en la ubicación donde almacena la infección. Solo para medidas adicionales, establecería los permisos en el archivo creado de solo lectura. Esta es solo mi sugerencia, pero creo que esto funcionaría. También sería una buena idea bloquear la dirección IP mencionada anteriormente.

alboroto
fuente
por lógica si!
Estoy de
Este es un enfoque interesante.
Exeleration-G