マルウェア「/usr/bin/fuck」および「/usr/bin/fake.cfg」に感染したサーバー

マルウェア「/usr/bin/fuck」および「/usr/bin/fake.cfg」に感染したサーバー

破損した箱をどのように処理するかを尋ねるものではありません。特に、ハッカー/悪意のあるプログラムの経験があるか、「/usr/bin/fake.cfg」ファイルと「/usr/bin/fuck」ファイルを残した他の人がいるかどうかを尋ねています。私はそれが何をしているか、どうするか部分的に見ることができます。私は最も適切な措置は、切断、回収、再建することであることに気づきました。

私はこの特別な侵略についてもっと知りたいです。私はハッキングや破損したシステムに頻繁にさらされていません。私はこの機会を得て、それを学習機会に変えたいと思います。

このような特別な侵入を経験した人はいますか?私が調査できるすべての提案。

百万年前に、FBIはそのようなもののための有用なデータベースを保管していました。 911以降は無駄になりました。

アイデアはありますか?

ベストアンサー1

好奇心に発見した内容なのにマルウェア攻撃に対する分析を議論していたところでした。

http://remchp.com/blog/?p=52

人の盗難や性交に関して、攻撃者はしばしば自分の努力を容易にするためにツールを使用します。

fake.cfgに関しては、実際にはLinuxにfakeというユーティリティがあります。

$apt-cache search fake | grep ^fake
fake - IP address takeover tool 

Fake はホストに 2 番目のインターフェイスを表示し、不要な arp を使用して IP アドレスを占めるユーティリティです。 LANでバックアップサーバーを切り替えるように設計されています。

したがって、偽造は次のような方法になると思います。
- ファイアウォールルールを脱出します。
- 他のネットワークに接続します。
- インターネット上の他のサーバーを攻撃する場合、あるネットワークの複数のIPを使用して同時にパケット/スパムを生成し、ブラックリスト/fail2ban/apacheを回避します。モード回避。

くそ、目標はあまり明確ではありません。

私はこれを見つけました:

https://github.com/nvbn/thefuck

以前のコンソールコマンドを変更する優れたアプリケーションです。

funコマンドは、ルール置換を使用して前のコマンドの修正バージョンを実行します。ここでは、攻撃者が実行するいくつかの実際のコマンドを自動化/難読化/監視するための基本的なツールとして使用されているとします。

他の人がすでに述べたデバッガに加えて、アクティビティを追跡するには、またはを使用することをお勧めstracesysdigますdtrace4linux。これはカーネル呼び出しの詳細を追跡するための優れたツールです。

破損したI / Oで開かれたすべてのファイルを追跡するには、次のように実行できます。

sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open

発生すると、リスニングファイルが開きます(sysdigを使用)。

から:

http://www.sysdig.org/wiki/sysdig-examples/

Sysdigにはデモンストレーション能力があります。すべて、記録中のファイルまたはネットワーク経由で送信されるデータのバッファを含みます。

これらのコマンドを実行する前にサーバーをバックアップして隔離する必要があることは言うまでもありません。

おすすめ記事