Кого атакует BillGates?

[@VBKesha]

Адреса CnC серверов вшиты намертво? Или он их как то хитро выискивает?

[@ValdikSS]

Вшиты. В Gates он закодирован в конфигурационных параметрах (RSA-строка), а в Melinda он тоже закодирован, но очень просто. Обычно, на компьютер попадает 5 или 6 штук Melinda, т.к. один экземпляр умеет работать только с одним сервером.

[@constnw88]

Сейчас, благодаря хабраэффекту, топ атакуемых серверов уйдет в отказ и без ботнета. xD

[@ValdikSS]

Обнаружить проще простого — процессы со странными именами занимают 100% канала и процессора.
Избавиться тоже достаточно просто (написано на странице трекера на github), однако, чисто теоретически, у вас может быть руткит (в Bill есть код, который его загружает), однако я не видел его ни на одной машине еще. Так что лучше всего будет переустановить ОС.

[@pavelodintsov]

А разбирались, как руткит повышает полномочия? У нас как раз случай, когда машина получила и билла и мелинду уже с root полномочиями. Подняла она их или просто пароли были компрометированы — не ясано.

[@JagaJaga]

Хабр торт :)

[@ivlis]

А как он распространяется? Brute force по ssh?

[@ValdikSS]

Да, вроде только так.

[@Godless]

Только на стандартном порту?

[@ValdikSS]

Да.

[@mickvav]

То-то я смотрю, количество дерьма, стучащегося в ssh выросло…

[@marchelly]

fail2ban перенос ssh на другой порт и iptables доступ только с определенных ip и вход только по ключу.

[@luckyredhot]

Зачем так много? Очень параноидально)
В принципе, вполне хватит безопасной настройки ssh и авторизации по ключам + fail2ban. iptables априори должны быть настроены.

[@mickvav]

Да знаю, знаю.

[@ComodoHacker]

Китайцы атакуют китайцев с территории России.

[@catharsis]

механизма распространения внутри нет, заливается централизованно?

[@ValdikSS]

Именно так, причем, вероятно, вручную.