web analytics

Gebruikers melden malware in Linux

Print Friendly, PDF & Email

Op het Linux forum van Seniorennet meldt een gebruiker dat hij via zijn virusscanner een melding van malware binnengekregen heeft:

met gebruik van Clamav heb ik gisteren volgende malware gevonden in mijn Ubuntu :

.cache/mozilla/firefox/fejqtls3.default/cache2/entries/1DA82B3E04A218C89EA28F24F49EFFD94C5780B3 PUA.Win.Trojan.Xored-1

ik heb deze lijn in quarantaine gestoken en de cache van Firefox gewist.

Kan ik iets pro-actief doen om te vermijden dat dergelijke beestjes nog kunnen binnenkomen ?

Het feit dat er malware binnenkomt op je systeem is natuurlijk beangstigend. Het goede nieuws is dat de virusscanners het detecteren.

Is dat malware waar wij, Linux gebruikers, angst voor moeten hebben?

Een zoekslag op de aard van deze malware levert volgend resultaat op:
Op http://askubuntu.com/questions/747113/clam-scan-files-on-14-04 wordt het volgende gemeld:

They are files from a rather dangerous Trojan virus and rootkit.

The Trojan, called XOR.DDoS installs itself onto compatible Linux systems and hides its files so the user doesn’t know it’s there. It uses your computer to run DDoS attacks.

However, it relies on you having not changed any default logins on your devices, which means if you have a password you’re probably OK. I would delete those files and maybe look into removing rootkits just in case, however.

Het antwoord op de vraag is dus JA wanneer je voor bepaalde apparaten de default login methode gebruikt.
Tussen weten dat we een besmetting kunnen hebben op ons Linux systeem en effectief besmet zijn is er natuurlijk een hele wereld verschil.
Verder zoeken levert volgende info op:

Wat doet het onding?

Het maakt een botnet van besmette PC’s om DDoS (Distributed Denial of Service) aanvallen uit te voeren en zal zich als rootkit nestelen. Dat wil zeggen dat je systeem gegijzeld wordt en zonder je medeweten gebruikt wordt om datapaketten te sturen naar een bepaald IP-adres om de website die achter dat IP-adres hangt, plat te leggen en gezien het als rootkit op je systeem zit, daarenboven ook heel moeilijk te verwijderen is.

Hoe kan het dat doen?

De besmetting begint met een poging om in te loggen als root via een brute force attack op je systeem via SSH (Secure Socket Shell). Dat is voor ons, desktop gebruiker wel een stukje goed nieuws, daar er heel weinig desktop gebruikers zijn die hun systeem via SSH vanop een andere Linux computer benaderen. Dat is meer een techniek die door sysadmins op servers gebruikt wordt.
Indien de hackers met succes via SSH als root op je systeem geraken, dan installeren ze via een shell script, de Trojan zelf.

Betekent dit dat we als desktop gebruiker safe zijn voor deze malware?

100% safe ben je nooit, maar als je anti virus dat stukje software aantreft op je systeem, en je werkt niet met SSH, dan ben je inderdaad relatief veilig.
Om de besmetting door te voeren moet er immers iemand via SSH op je systeem zijn binnengekomen en er nadien het shell script achtergelaten hebben. Werk je niet via SSH dan ben je safe.

Wat is SSH

SSH staat voor Secure Socket Shell en is een een protocol uit de toepassingslaag van de TCP/IP-protocolgroep. De term ssh werd gemakshalve ook gebruikt voor het clientprogramma dat het protocol toepast (het serverprogramma heet sshd, ‘Secure Shell daemon’). De standaard poort van SSH is 22.

Hoe testen of de poort 22 openstaat?

Je kan nagaan of de SSH deamon, sshd draait. Dat doe je als volgt:

$ ps aux | grep sshd

Als de deamon niet draait, krijg je als resultaat van deze opdracht enkel iets in die aard:

alain@desktop ~ $ ps aux | grep sshd
alain     6152  0.0  0.0  11780  2220 pts/2    S+   11:27   0:00 grep --colour=auto sshd
alain@desktop ~ $

Draait de SSH deamon wel, dan krijg je iets in de aard van:

root@server ~# ps aux | grep sshd
root      1399  0.0  0.2   8292  1092 ?        Ss   Sep13   0:00 /usr/sbin/sshd
root@server ~#

Dus hier draait de gebruiker root, sshd met process ID 1399!
Op zich is het draaien van de SSH Deamon geen reden tot paniek, daar aan extra condities, namelijk het luisteren op en openstaan van poort 22 ook voldaan moet worden om tot besmetting te kunnen overgaan.

Testen of je poort 22 luistert doe je als volgt:

alain@desktop ~ $ sudo netstat -plant | grep :22
alain@desktop ~ $ 

In bovenstaand geval, luistert mijn systeem niet poort 22 niet.
Krijg je iets in de aard van:

root@server ~# netstat -plant | grep :22
tcp 0      0 0.0.0.0:22  0.0.0.0:* LISTEN      1399/sshd
tcp 0      0 :::22       :::*      LISTEN      1399/sshd

dan zien we dat proces met ID 1399 (sshd) luistert op poort 22 om eventuele oproepen om in te loggen via SSH te verwerken.
Indien op je systeem sshd draait en luistert naar poort 22, moet je nagaan of poort 22 effectief open staat.
Dat doe je als volgt:

root@server ~]# lsof -i | grep sshd
COMMAND    PID   USER   FD   TYPE     DEVICE SIZE/OFF NODE NAME
sshd      1399   root    3u  IPv4 1235481137      0t0  TCP *:ssh (LISTEN)
root@server ~#

In bovenstaand geval draait sshd (SSH daemon) en luistert uit op de ssh poort.

Rootkit

Daar deze malware ook een rootkit installeert, doe je er best aan, indien je vermoed besmet te zijn door de malware om via het programma rkhunter de rootkit te verwijderen.
Kijk op https://help.ubuntu.com/community/RKhunter hoe je dat kan doen.

 Conclusie

Zoals je ziet kan je makkelijk nagaan of je systeem via SSH kan aangevallen worden. Is dat niet het geval dan ben je safe voor ‘deze’ trojan. Voor andere aanvallen kunnen andere technieken gebruikt worden en moet je dus voor de nieuwe bedreiging opnieuw aan de slag om uit te zoeken wat ze doet en hoe je de bedreiging kan neutraliseren.

Een extra reden om preventief een anti-virus te draaien.

1,218 totaal aantal vertoningen, 6 aantal vertoningen vandaag

Beoordeling

5 Reacties

  1. Zorinhendrik

    Prachtige uitleg, mag ik daar op concluderen dat Clamav een goede antivirus software is voor Linux?

    Reageren
    1. eijie (Auteur bericht)

      Clamav is een goed product. Waar het bij een anti-virus op aankomt is de snelheid waarmee de virus signatures geïmplementeerd worden nadat een besmetting is gedetecteerd enerzijds en anderzijds het zoek algoritme dat gebruikt wordt.
      Deze trojan bestaat reeds vanaf oktober vorig jaar en is voor het eerst gedetecteerd in Linux in januari dit jaar. Het is ook normaal dat drie maand later iedere anti-virus deze zou vinden, maar wat in de maand januari. Waren alle anti-virus programma’s evensnel met het upgraden van hun lijst van signaturen? Dat kan je als gebruiker niet weten.
      Daarom kan ik ook niet antwoorden op je vraag. Ik gebruik Sophos, maar is die beter dan Avira, Clamav, Comodo, …?

      Reageren
    2. fcbrugge

      Zorinhendrik,
      Betere woorden heb ik ook niet voor die uitleg!!!
      Beetje verder gelezen ,nu weet ik dat een trojan geen virus is.Natuurlijk is het voor één simpele mens zo als ik allemaal boosdoeners die je pc zeker niet gaan beter maken.
      Wat maakt het uit trojan,virus malware ransomeware problemen heb je altijd.
      Dan zijn er mensen die oplossing aanbieden,en mensen die commentaar geven ,maar geen oplossing!!!
      Alain doe zo verder,super uit gelegd,daar hebben mensen iets aan!!!
      De rest is ….???

      Reageren
  2. François

    Ik heb er een artikeltje van op mijn blog staan .
    http://www.webstekvanswake.be/linux-botnet-opgerold/

    Reageren
  3. François

    Ik wil dit toch even kwijt .
    Een trojan is geen virus . Een trojan is iets wat je met eigen toestemming binnenhaalt op je computer ! Ik denk dat de meesten het verhaal van het paard van troje wel zullen kunnen .
    https://nl.wikipedia.org/wiki/Paard_van_Troje

    Wie zijn PC/laptop met een trojan opgezadelt zit , zit met een groot probleem . Een trojan is dan in staat om alle poorten te gaan openen waardoor virussen en andere malware vrije loop hebben om het systeem binnen te glippen .
    Ik lees in het topic op seniorennet .

    “P.S. normaal zoekt mijn systeem elke dag naar updates maar ik heb al enkele dagen niets meer binnengekregen. Is dat normaal of kan dat gemanipuleerd zijn door een Trojan ? ”

    Dat zou zeker kunnen . Er zijn trojans die de anti-virus kunnen gaan manipuleren en uitschakelen . ClamAV is een eenvoudige anti-virus die gaat scannen of er zich virussen op het systeem bevinden . Maar als de anti-virus uitgeschakeld werd en zijn werk niet meer kan uitvoeren kan deze ook niet meer Updaten . Sophos , Comodo , Eset zijn geen anti-virus alleen . Het zijn beveiligingspaketten die gaan (proberen) te voorkomen dat er geen indringers op het systeem binnenraken die dan malware op het systeem gaan installeren . Bij een gewone thuisgebruik word dit fenomeen nog zo niet misbruikt , maar op servers wel . Dit is trouwens de bedoeling ook van computer en internet criminelen , om trachten zoveel mogelijk computers via internet te besmetten, en een server is dan ook de meest geschikte machine hiervoor .
    Vele bedrijven en ook thuisgebruikers maken hedendaags gebruik van hun eigen servertje . Velen hebben dan ook niet de nodige kennis hoe hun servertje op de juiste wijze te beveiligen , en deze juist zijn de grootste doelwitten die internet criminelen gaan hacken om in een botnet te gaan gebruiken .
    Velen vinden het niet nodig om de superuser te beveiligen met een wachtwoord . Dit zijn dan de natuurlijk de kwetsbaarste systemen , want de superuser is het account met de allerhoogste gebruikersrechten .

    Reageren

Geef een reactie

%d bloggers liken dit: