ValdikSS 19 апр 2014 в 23:25

Кого атакует BillGates?

2 мин

47K

Информационная безопасность*Реверс-инжиниринг*

+88

Комментарии 19

VBKesha 19 апр 2014 в 23:54

Адреса CnC серверов вшиты намертво? Или он их как то хитро выискивает?

ValdikSS 19 апр 2014 в 23:55

Вшиты. В Gates он закодирован в конфигурационных параметрах (RSA-строка), а в Melinda он тоже закодирован, но очень просто. Обычно, на компьютер попадает 5 или 6 штук Melinda, т.к. один экземпляр умеет работать только с одним сервером.

constnw88 20 апр 2014 в 00:45

Сейчас, благодаря хабраэффекту, топ атакуемых серверов уйдет в отказ и без ботнета. xD

НЛО прилетело и опубликовало эту надпись здесь

ValdikSS 20 апр 2014 в 00:53

Обнаружить проще простого — процессы со странными именами занимают 100% канала и процессора.
Избавиться тоже достаточно просто (написано на странице трекера на github), однако, чисто теоретически, у вас может быть руткит (в Bill есть код, который его загружает), однако я не видел его ни на одной машине еще. Так что лучше всего будет переустановить ОС.

pavelodintsov 2 мая 2014 в 00:24

А разбирались, как руткит повышает полномочия? У нас как раз случай, когда машина получила и билла и мелинду уже с root полномочиями. Подняла она их или просто пароли были компрометированы — не ясано.

JagaJaga 20 апр 2014 в 01:05

Хабр торт :)

ivlis 20 апр 2014 в 05:12

А как он распространяется? Brute force по ssh?

ValdikSS 20 апр 2014 в 09:48

Да, вроде только так.

Godless 20 апр 2014 в 13:51

Только на стандартном порту?

ValdikSS 20 апр 2014 в 13:52

Да.

НЛО прилетело и опубликовало эту надпись здесь

mickvav 20 апр 2014 в 11:47

То-то я смотрю, количество дерьма, стучащегося в ssh выросло…

marchelly 20 апр 2014 в 15:20

fail2ban перенос ssh на другой порт и iptables доступ только с определенных ip и вход только по ключу.

luckyredhot 20 апр 2014 в 18:33

Зачем так много? Очень параноидально)
В принципе, вполне хватит безопасной настройки ssh и авторизации по ключам + fail2ban. iptables априори должны быть настроены.