Fórum:
Egy korábban ismeretlen, moduláris kártevőcsaládot, amely Linux rendszereket céloz meg, célzott támadásokban használtak fel hitelesítő adatok gyűjtésére és a cél rendszerekhez való hozzáférésre – jelentette 2021.12.02-án az ESET.
A FontOnLake névre keresztelt rosszindulatú programcsalád rootkitet alkalmaz jelenlétének elrejtésére, és minden egyes mintához különböző parancs- és vezérlőszervereket használ, ami azt mutatja, hogy az üzemeltetők mennyire ügyelnek az felfedhetőség megnehezítésére.
Sőt, a rosszindulatú programok fejlesztői folyamatosan módosítják a FontOnLake modulokat, amit három kategóriájú összetevő használatára terveztek: trójai alkalmazás, hátsó ajtó és rootkitekre.
A bizonyítékok arra utalnak, hogy a FontOnLake-et délkelet-ázsiai szervezetek elleni támadásokhoz használták.
A családhoz kapcsolódó első rosszindulatú programminták tavaly májusban jelentek meg. A kártevőt korábban az Avast és a Lacework HCRootkit / Sutersu, valamint a Tencent Security Response Center Linux rootkitként írta le egy februári jelentésében .
Az ESET kutatói által a vizsgálat során azonosított különféle trójai alkalmazásokat egyéni backdoor vagy rootkit modulok betöltésére, de szükség esetén érzékeny adatok gyűjtésére is használják. A szabványos Linux segédprogramokként ezeket a fájlokat úgy tervezték, hogy a feltört rendszereken is megmaradjanak.
A kutatók még nem jöttek rá, hogy a trójai alkalmazásokat milyen módon juttatják el az áldozatokhoz.
további infó: https://www.securityweek.com/fontonlake-linux-malware-used-targeted-attacks
És van valamilyen védekezés,
Beküldte kimarite -
És van valamilyen védekezés, azaz törlés ellene?
Most futtattam az rkhunter és a chkrootkit alkalmazásokat, false positive eredményeken kívül, csak egy LKM false positive eredmény (rövid verzió):
A weboldal éppen nem működik:
Check the FAQ for some additional info: http://chkrootkit.org/faq/
(https://forum.configserver.com/viewtopic.php?t=11240)
Egyebek
https://www.bleepingcomputer.com/news/security/fontonlake-malware-infects-linux-systems-via-trojanized-utilities/
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
# https://linuxhint.com/detect_linux_system_hacked/
Script e-mail értesítésre: https://github.com/installation/chkrootkit
Értékelés:
És van valamilyen védekezés,
Beküldte T.István -
mivel ennyire új, azt gondolom, hogy erre készült eszköz nincs. Viszont átolvastam az Eset jelentését itt:
https://www.welivesecurity.com/wp-content/uploads/2021/10/eset_fontonlake.pdf
Azt írja, vannak beégetett részletek az SSHD konfigurációra vonatkozóan:
Port 26657
ListenAddress 127.0.0.1
Protocol 2
LogLevel QUIET
SyslogFacility AUTHPRIV
IgnoreUserKnownHosts yes
PasswordAuthentication yes
AcceptEnv XMODIFIERS
X11Forwarding yes
TCPKeepAlive yes
PermitRootLogin yes
HostKey /tmp/.ssh/ssh_host_rsa_key
Így egyéb híján lehet figyuzni a
kimenetre. Ha 26657 szerepel az outputban, akkor az gyanús. Meg az is, ha valamilyen random generált név jelenik meg. Hm, nekem most egy ilyen gyanús dolog volt:
unix 2 [ ACC ] STREAM LISTENING 27799 1142/ssh-agent /tmp/ssh-jHbsyuE9JEmL/agent.1019
töröltem.... (tmp mappából lehet törölni minden további nélkül), vissza íródott pár másodpercen belül...
ez persze nem távolítja el a sittet, csak keresztbe tesz neki. Amúgy az eset jelentése arról ír, hogy jelenleg semmi mást nem csinál a kód, csak hallgatózik. Úgy néz ki, mint egy előkészület valami későbbi bevetésre.
Értékelés:
És van valamilyen védekezés: man, help, rtfm...
Beküldte kimarite -
Ha 26657 szerepel az outputban, akkor az gyanús. Meg az is, ha valamilyen random generált név jelenik meg.
Nyilván vannak más szálak is, de:
The options are as follows: -a bind_address Bind the agent to the unix-domain socket bind_address. The default is /tmp/ssh-XXXXXXXXXX/agent.<ppid>.Forrás: https://linux.die.net/man/1/ssh-agent
Értékelés:
És van valamilyen védekezés: man, help, rtfm...
Beküldte kimarite -
Nincs eredmény:
Nyitott portok:
vagy
for p in {1..1023} do (echo >/dev/tcp/localhost/$p) >/dev/null 2>&1 && echo "$p open" doneÉrtékelés:
És van valamilyen védekezés: man, help, rtfm...
Beküldte kimarite -
Vagy (kimenettel):
for p in {1..65535} do (echo >/dev/tcp/localhost/$p) >/dev/null 2>&1 && echo "$p open" done 25 open 53 open 631 open 1716 open 3310 open 39500 open 40122 open 40772 open 40876 open 43918 open 60364 openÉrtékelés: