O que fazer com o BackDoor.Wirenet.1

Que precauções se deve tomar na prevenção de ataques por cavalos de Troia BackDoor.Wirenet.1 ?

Bloquear todas as comunicações com 212.7.208.65 deve ser suficiente? Se for o caso, como fazer?

security

— Carnendil
fonte

não lançando nenhum programa que você não conhece / confia?

— Steabert 29/08/2012

Nenhuma etapa imediata é necessária, além de aprender sobre a segurança do Linux .

— Mikewhatever 29/08/2012

Respostas:

O BackDoor.Wirenet.1 Keylogger é um Trojan backdoor que pode ser executado no Linux e no MacOSX, roubando informações pessoais, senhas e credenciais bancárias! Ele se copia no diretório inicial do usuário em/home/WIFIADAPT

Em seguida, ele cria uma conexão com um IP remoto, atualmente 212.7.208.65

Defesa e Remoção:

Bloqueie esse IP com seu roteador / firewall.
Exclua o diretório / arquivos acima.

— Webman
fonte

Obrigado pelo conselho. Existe alguma maneira de saber a fonte da infecção?

Como poderíamos bloquear esse endereço IP específico? O UFW pode apenas bloquear portas, certo?

— precisa saber é o seguinte

hum, e como conseguiu os direitos para escrever em / home / WIFIADAPT? Ele perguntou educadamente o usuário? Ou você cometeu um erro e este é o ~ / WIFIADAPT que é direcionado?

— vaab

Looks @Glutanimate gosto desta faz o trabalho: sudo ufw reject out to 212.7.208.65. Você pode testar tentando pingesse IP posteriormente.

— Jcollado

@Glutanimate sudo - iptables -Block INPUT -s 212.7.208.65 -p all -j O DROP também fará isso, mas só persistirá até você sair, a menos que você o adicione em um dos scripts de inicialização.

— Joe

Meu entendimento é que o wirenet-1 precisa criar um arquivo no diretório ~ / WIFIADAPT. Como o Linux vê diretórios e arquivos iguais (você não pode ter um arquivo e diretório com o mesmo nome), acredito que a criação de um arquivo vazio por o nome de WIFIADAPT em seu diretório pessoal impediria que você obtivesse o Trogen, pois não seria capaz de criar o diretório WIFIADAPT no local em que ele armazena a infecção. Apenas para medidas extras, eu definiria as permissões no arquivo criado somente leitura. Esta é apenas minha sugestão, mas acredito que isso funcionaria. Também é recomendável bloquear o endereço IP mencionado acima.

— tumulto
fonte

pela lógica sim! Eu concordo

— penreturns, 01/09/09

Essa é uma abordagem interessante.

— Exeleration-G 4/12