Кого атакует BillGates?

[VBKesha]

Адреса CnC серверов вшиты намертво? Или он их как то хитро выискивает?

[ValdikSS]

Вшиты. В Gates он закодирован в конфигурационных параметрах (RSA-строка), а в Melinda он тоже закодирован, но очень просто. Обычно, на компьютер попадает 5 или 6 штук Melinda, т.к. один экземпляр умеет работать только с одним сервером.

[constnw88]

Сейчас, благодаря хабраэффекту, топ атакуемых серверов уйдет в отказ и без ботнета. xD

[ValdikSS]

Обнаружить проще простого — процессы со странными именами занимают 100% канала и процессора.
Избавиться тоже достаточно просто (написано на странице трекера на github), однако, чисто теоретически, у вас может быть руткит (в Bill есть код, который его загружает), однако я не видел его ни на одной машине еще. Так что лучше всего будет переустановить ОС.

[pavelodintsov]

А разбирались, как руткит повышает полномочия? У нас как раз случай, когда машина получила и билла и мелинду уже с root полномочиями. Подняла она их или просто пароли были компрометированы — не ясано.

[JagaJaga]

Хабр торт :)

[ivlis]

А как он распространяется? Brute force по ssh?

[ValdikSS]

Да, вроде только так.

[Godless]

Только на стандартном порту?

[ValdikSS]

Да.

[mickvav]

То-то я смотрю, количество дерьма, стучащегося в ssh выросло…

[marchelly]

fail2ban перенос ssh на другой порт и iptables доступ только с определенных ip и вход только по ключу.

[luckyredhot]

Зачем так много? Очень параноидально)
В принципе, вполне хватит безопасной настройки ssh и авторизации по ключам + fail2ban. iptables априори должны быть настроены.

[mickvav]

Да знаю, знаю.

[ComodoHacker]

Китайцы атакуют китайцев с территории России.

[catharsis]

механизма распространения внутри нет, заливается централизованно?

[ValdikSS]

Именно так, причем, вероятно, вручную.