Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-06-09 04:59:18

  wikingagressor - Użytkownik

wikingagressor
Użytkownik
Skąd: Józefów k.Błonia, mazowieck
Zarejestrowany: 2015-02-03

Hidden Wasp malware - co z tym zrobic?

Ktos slyszal o tym chinskim malwerze?
Tu jest niby opisane jak to wszystko dziala, ale nie moge sie pokapowac jak sprawdzic czy to u mnie siedzi?
https://www.intezer.com/blog-hiddenwasp-malware-tar … inux-systems/


Peace, Love and Debian for the World!!!

Offline

 

#2  2019-06-09 11:02:07

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Hidden Wasp malware - co z tym zrobic?

No najprościej to zrobić obraz pamięci RAM i potraktować go yarą wykorzystując tę regułę którą podali. Pytanie tylko jak zrobić zrzut pamięci RAM, bo np. u mnie się nie da czytać pliku /dev/mem . xD

Offline

 

#3  2019-06-09 18:21:26

  wikingagressor - Użytkownik

wikingagressor
Użytkownik
Skąd: Józefów k.Błonia, mazowieck
Zarejestrowany: 2015-02-03

Re: Hidden Wasp malware - co z tym zrobic?

Na razie zastosowalem takie dzialania:

Kod:

sudo ufw deny from 103.206.123.13 to any
sudo ufw deny from 103.206.122.245 to any

Problemem wydaje sie byc plik /etc/ld.so.cache gdzie panuje duzy balagan zwiazany z roznymi bibliotekami w wiekszosci polaczanych ze steamem.

Polecenie

Kod:

 cat /etc/ld.so.cache

wyplulo mi duuuuuzy rozgardiasz...

Ostatnio edytowany przez wikingagressor (2019-06-10 01:46:05)


Peace, Love and Debian for the World!!!

Offline

 

#4  2019-06-09 18:27:17

  wikingagressor - Użytkownik

wikingagressor
Użytkownik
Skąd: Józefów k.Błonia, mazowieck
Zarejestrowany: 2015-02-03

Re: Hidden Wasp malware - co z tym zrobic?

Najpierw jest takie dziwne cos, a pozniej wypisane jest wiekszosc bibliotek zakonczonych na .so.

Kod:

(cOc]c�c�c�c�c�c�cd$d=dIdod|d�d�d�d�deKeee�e�e�e�efIfYf�f�f�f�f�fgAgQg{g�g�g�g�gh-h;hchxh�h�h�h�hi,iSigi�i�i�i�i    jj;jUj�j�j�j�jk'kSklk�k�k�k�kl)lOl_l�l�l�l�l�lm'm>mom�m�m�m�m�mn&nSnmn�n�n�n�n#o3o[opo�o�o�o�o
p5pBpipvp�p�p�p�p    qqCqSq}q�q�q�q�r;rTr�r�r�r�rs4ses|s�s�s�s�s(tOtat�t�t�t�tuu;uWu�u�u�u�u�uv/vBvovv�v�v�v�v
                                                                                                                 ww9wHw`wlw�w�w�w�wxx2xCxnx}x�x�x�x�xyyByRy|y�y�y�y�y�y�z)zRzbz�z�z�z�z
                                                         {{@{M{r{}{�{�{�{�{|@|O|x|�|�|�|�}0}D}_}q}�}�}�}�}~~.~<~d~{~�~�~�~,Fv����    �0�C�l������Ӏ��!�I�[�������������,�P�`�w����������#�6�P�a�������ʃ����$�7�A�e�r�����фބ��7�B�g�v�����߅��+�S�d�����ņ҆��
                                                                                                                           �7�G�q�������߇��%�:�i�����Ɉ��
�5�E�^�z��������"�7�f�r�����܊�Ս��:�N�|�����������)�L�W�|�����̏��
�0�@�d�t�������Č����!�:�U�����                                 �6�D�l�}���������%�N�\�������Б���<�L�v������������(�P�b�����Ɠ֓��8�L�z���������4�H�v���Ε� �3�`�p�����ؖ��!�L�Z������������+�R�_�����Θ�� �H�V�~��������$�2�V�d�������̚��� �,�R�b�������˛���$�/�T�k���������/�Y�l�����ѝޝ��;�J�s�������Ԟ�
��@�L�r������؟���
�2�B�l�{�������:�W�����Щ��'�V�i�����Ϊ��/�d�����̫���<�Q�������լ��<�R�����ҭ�&�:�h�|�������.�C�r����������#�H�U�|�������Ӱ�    ��I�X�����DZױ��I�T�y����������'�A�u������������-�Z�m�����δܴ��>�O�x�����˵���.�?�j�{���������2�`�t�����Է���B�O�v�����ĸ���2�A�j�����¹���$�5�Z�p�����Ժ����/�?�i����������-�U�c�������ȼ��-�>�i�v�����Ͻڽ���W�g�����Ѿ���I�Y�������¿���*�U�c�����������
                                                                                                         �5�D�m���������3�E�q����������� �I�\�����������G�X������������+�8�]�j�����������
��C�R�{�����������%�6�_�p���������      ��?�N�w�����������'�8�a�r�����������
                                                                          ���C�R�y������������0�[�l�����������E�W�����������
                                                                                                                            �5��E�U�{����������+�K���������'�=�m�y����������$�M�b����������4�e�t������������D�U������������2�H�x��������%�T�f���������.�@�l����������4�E�p����������:�S������������<�P�~���������>�T����������%�R�o���������$�7�d�w���������$�7�d�w���������$�:�j����������D�[����������%�P�f���������&�8�d�w���������0�J�|��������'�T�t��������0�H�z��������J�]����������0�b��������6�J�v������������(�L�]������������&�K�^���������    �G�Y�������������#�/�S�i����������'�O�`������������7�I�o������������I�]���������    ��C�[������������A�Y�z���������
                         �:�X���������(�?�p����������&�:�h�|����������%�L�[���������,�=�h�y�����������>�L�t������������$�9�G�o���������?�O�y����������� �3�O�e������������%�;�Z�o�������������"�3�^�s���������(Bv�����$9hz���� 3`p����
                                                                                                        J\����&Bv���
                                                                                                                    #Rg���� La����)Vi����     )    P    ]    �    �    �    �    �    �    

?
O
u
�
�
�
�
�

,
 Y
  i
   �
    �
     �
      �
       �

1
 ?
  a
   o
    �
     �
      �
       �
        �
         �
%L\������"0Xk�����
2Bl|����#N_�����:O~�����)P]������
@[����(Cx���=v�����L�`���������  0@j|����&7bq�����2dy���
S����
BX����.:^h�����0Fv���� 2 ? f r � � � � !!F!T!z!�!�!�!�!�!"*"N"\"~"�"�"�"�"�"#+#T#b#�#�#�#�#�#$0$K$�$�$�$�$%%<%P%~%�%�%�%�%�%&&3&Z&l&�&�&�&�& '0'Z'h'�'�'�'�'�'(&(6(`(m(�(�(�(�(�()$)1)X)e)�)�)�)�)$*;*l*�*�*�*�*+4+O+�+�+�+�+
,,:,J,t,�,�,�,�,�,--S-�-�-�-�-�-.<.P.|.�.�.�.�.
/4/D/n/�/�/�/�/�/(040Z0f0�0�0�0�011@1O1x1�1�1�122@2X2u2�2�2�2    3353@3_3j3|3�3�3�3�3�34(4W4j4�4�4�4�4�4    565F5p5�5�5�566@6V6�6�6�6�6�67.7D7t7�7�7�7�7
808F8v8�8�8�8�8�8"9/9V9j9�9�9�9�9�9:>:M:v:�:�:�:�:�:(;5;\;k;�;�;�;�;�;</<@<k<|<�<�<�<�<'=7=a=n=�=�=�=�=>>A>U>>�>�>�>�?1?D?q??�?�?�?�?�?@(@:@f@x@�@�@�@�@A#ANA^A�A�A�A�A�A
B:BIBrB�B�B�B�B�B C3C`CtC�C�C�C�C D1D\DoD�D�D�D�D(E@ErE�E�E�E�ERFeF�F�F�F�F�F�FG-GSGsG�G�G�G�GH%HOHbH~H�H�H�H�H�H�HI0IBI]ImI�IL%L5LNL\LsL�L�L�L�L�L)M<MXMgMM�M�M�M�MNAN\N�N�N�N�NOOGOYO�O�O�O�OPPEP\P�P�P�P�PQQ?QMQuQ�Q�Q�Q�Q�Q'RMR\R�R�R�R�R�R�RS$SISZS�S�S�S�ST"TOT\T�T�T�T�T�T    U/U;UaU�U�U�UV+V[VoV�V�V�V�V    WWAWKWkWuW�W�W�W�W�W�WX�X>XKXrX�X�X�X�X�XY*YPY\Y�Y�Y�Y�Y�YZ@ZQZxZ�Z�Z�[[N[p[�[�[�[\F\W\�\�\�\
]D]d]�]�]�]^6^H^t^�^�^�^_#_P_j_�_�_�_�_,`G`|`�`�`�`�a4aha�a�a�a�a
                                                                 b@bSb�b�b�b�b"cAczc�c�c�cd4dfd�d�d�d&eBexe�e�e�e.fQf�f�f�fg@g\g�g�g�ghDh[h�h�h�h�h�i0i`i}i�i�i�ijLjaj�j�j�j�j*kGk~k�k�k�kl+lZlwl�l�l�l
                                                                         m<mLmvm�m�m�mn%nRnon�n�n�no@obo�o�o�op:pLpxp�p�p�p$q;}}I}Z}�}�}�}�}~"~O~b~�~�~�~�~*Yn������9�F�m�{�����ۀ���G�Y�������́��{e{u{�{�{�{�{-|Y|j|�|�|�|�|
                                                                  �=�N�y�����Â���#�2�[�g�����ǃփ���5�B�i�u�����τ܄��7�F�o�������ԅ��&�V�h�����Ԇ�� �H�Z�����·��%�L�X�~�������ވ�
                                             ��8�D�W�a�������ĉ���)�Q�]�����͊��%�U�g�������3�L����Ì݌�'�W�n�����ߍ��)�=�k�����Ǝ�
                                                                                                                            �?�T�����͏��'�Y�m��������+�=�i�w�����ّ��A�M�s�����͒���+�6�[�g�������Ǔ���%�5�]�k�����͔ݔ��;�L�w�����Ǖ���!�.�U�`������������"�G�R�w�������A�M�s����������!�,�Q�\��������ݛ�ߙ�
                                   ���C�R�{����������&�K�V�{����������'�Q�a�������Ϟ��    �1�?�g�z��������!�/�W�c�������Ǡ����&�M�]�����áԡ��.�=�b�q�������Ƣܢ�
                            ��:�C�f�r�����ܣ� �7�h����Ť���0�?�h�|�������2�H�x���¦��D�V�������ѧ��8�J�v�����Ϩ��@�V�������ѩ���<�M�x�����Ȫ���B�T�������ϫ���H�j���������(�P�a�����­ѭ��    �2�D�p�����Ǯ���(�4�Z�o�����ܯ��,�B�r�������ް���G�V�}���űֱ��K�]��������-�F�y�����г��=�U�����Ŵڴ    ��A�P�y����������6�i�����̶���C�T����շ�!�0�Y�h�����øи���1�@�i�z���������/�[�j�����Ӻ�3�e�y��������'�4�[�g�������ɼ����)�M�[�����ʽ�    ��?�R������ξ��
�5�F�o�{�����ѿۿ��
                 �1�=�a�k�����������=�H�m�|����������'�Q�]���������������;�H�o�|���������    ���E�Q�w�����������)�Q�c������������+�=�i�u���������!�/�W�u��������_�������
                                             �!�Q�t������"�W�m�������S�l��������=�Y���������)�M���������1�F�u�������'�A�u��������4�k��������$�a��������
                         �5�J�f�y����������,�K�]�x��������������

Peace, Love and Debian for the World!!!

Offline

 

#5  2019-06-09 22:25:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Hidden Wasp malware - co z tym zrobic?

Weź zapuść rkhuntera, żeby zobaczył, czy coś podejrzanego się nie pojawiło na dyziu.
Możesz też odpalić chkrootkit i zobaczyć, co ma do powiedzenia.
Zaprzyjaźnij się też z pstree, ten wyświetla drzewko procesów i potrafi wiele wyjaśnić.

Ostatnio edytowany przez Jacekalex (2019-06-09 22:38:41)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2019-06-10 01:54:27

  wikingagressor - Użytkownik

wikingagressor
Użytkownik
Skąd: Józefów k.Błonia, mazowieck
Zarejestrowany: 2015-02-03

Re: Hidden Wasp malware - co z tym zrobic?

rkhunter wyplul mi takie cos:

Kod:

Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable

chkrootkit znalazl tylko to:

Kod:

The following suspicious files and directories were found:  
/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id
/usr/lib/debug/.build-id

Peace, Love and Debian for the World!!!

Offline

 

#7  2019-06-10 05:40:18

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Hidden Wasp malware - co z tym zrobic?

wikingagressor napisał(-a):

...
chkrootkit znalazl tylko to:

Kod:

The following suspicious files and directories were found:  
/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id
/usr/lib/debug/.build-id

i tu prawdopodobnie siedzi malware.

Instalatory pakietów nie pakują tych pakietów do ukrytych katalogów i plików.

/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id
/usr/lib/debug/.build-id

Na 99% to pliki twojego exploita.

Ukryte pliki i foldery w Linuxie mają nazwy zaczynające się od kropki.

Pewnie jeszcze coś siedzi w konfigach crona.

Zobacz, czy pstree pokaże jakieś podejrzane procesy.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2019-06-10 16:10:15

  wikingagressor - Użytkownik

wikingagressor
Użytkownik
Skąd: Józefów k.Błonia, mazowieck
Zarejestrowany: 2015-02-03

Re: Hidden Wasp malware - co z tym zrobic?

Pytanko, czy kasowac te katalogi i  czy moze odinstalowac wogole openjdk ?


Peace, Love and Debian for the World!!!

Offline

 

#9  2019-06-10 17:00:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Hidden Wasp malware - co z tym zrobic?

Miałeś dać wynik pstree?
prawda?


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2019-06-11 00:26:41

  wikingagressor - Użytkownik

wikingagressor
Użytkownik
Skąd: Józefów k.Błonia, mazowieck
Zarejestrowany: 2015-02-03

Re: Hidden Wasp malware - co z tym zrobic?

Oki to jest wynik z pstree:

Kod:

systemd─┬─ModemManager───2*[{ModemManager}]
        ├─NetworkManager─┬─2*[dhclient]
        │                └─2*[{NetworkManager}]
        ├─accounts-daemon───2*[{accounts-daemon}]
        ├─agetty
        ├─alsactl
        ├─avahi-daemon───avahi-daemon
        ├─cron
        ├─cups-browsed───2*[{cups-browsed}]
        ├─cupsd───dbus
        ├─dbus-daemon
        ├─exim4
        ├─gnome-keyring-d───3*[{gnome-keyring-d}]
        ├─irqbalance───{irqbalance}
        ├─lightdm─┬─Xorg───2*[{Xorg}]
        │         ├─lightdm─┬─sh─┬─ssh-agent
        │         │         │    └─xfce4-session───xfce4-session─┬─applet.py
        │         │         │                                    ├─light-locker───3*[{light-locker}]
        │         │         │                                    ├─nm-applet───3*[{nm-applet}]
        │         │         │                                    ├─pidgin───3*[{pidgin}]
        │         │         │                                    ├─polkit-gnome-au───5*[{polkit-gnome-au}]
        │         │         │                                    ├─volumeicon───4*[{volumeicon}]
        │         │         │                                    ├─xfce4-clipman───2*[{xfce4-clipman}]
        │         │         │                                    ├─xfce4-panel─┬─firefox-esr─┬─Web Content───17*[{Web Content+
        │         │         │                                    │             │             ├─2*[Web Content───22*[{Web Cont+
        │         │         │                                    │             │             ├─Web Content───30*[{Web Content+
        │         │         │                                    │             │             └─62*[{firefox-esr}]
        │         │         │                                    │             ├─panel-12-whiske─┬─sgt-mines───3*[{sgt-mines}+
        │         │         │                                    │             │                 └─3*[{panel-12-whiske}]
        │         │         │                                    │             ├─panel-20-system───3*[{panel-20-system}]
        │         │         │                                    │             ├─panel-22-weathe───{panel-22-weathe}
        │         │         │                                    │             ├─panel-23-xfce4-───2*[{panel-23-xfce4-}]
        │         │         │                                    │             ├─panel-28-dateti───3*[{panel-28-dateti}]
        │         │         │                                    │             ├─panel-29-xkb───2*[{panel-29-xkb}]
        │         │         │                                    │             ├─panel-3-systray
        │         │         │                                    │             ├─panel-39-screen───4*[{panel-39-screen}]
        │         │         │                                    │             ├─panel-55-xfce4-───3*[{panel-55-xfce4-}]
        │         │         │                                    │             ├─panel-57-notifi───2*[{panel-57-notifi}]
        │         │         │                                    │             └─5*[{xfce4-panel}]
        │         │         │                                    ├─xfdesktop───2*[{xfdesktop}]
        │         │         │                                    ├─xfwm4───{xfwm4}
        │         │         │                                    └─2*[{xfce4-session}]
        │         │         └─2*[{lightdm}]
        │         └─2*[{lightdm}]
        ├─minissdpd
        ├─monopd
        ├─nmbd
        ├─polkitd───2*[{polkitd}]
        ├─rsyslogd───3*[{rsyslogd}]
        ├─rtkit-daemon───2*[{rtkit-daemon}]
        ├─smartd
        ├─smbd─┬─cleanupd
        │      ├─lpqd
        │      └─smbd-notifyd
        ├─systemd─┬─(sd-pam)
        │         ├─at-spi-bus-laun─┬─dbus-daemon
        │         │                 └─3*[{at-spi-bus-laun}]
        │         ├─at-spi2-registr───2*[{at-spi2-registr}]
        │         ├─dbus-daemon
        │         ├─dconf-service───2*[{dconf-service}]
        │         ├─goa-daemon───3*[{goa-daemon}]
        │         ├─goa-identity-se───3*[{goa-identity-se}]
        │         ├─gpg-agent
        │         ├─gvfs-afc-volume───3*[{gvfs-afc-volume}]
        │         ├─gvfs-goa-volume───2*[{gvfs-goa-volume}]
        │         ├─gvfs-gphoto2-vo───2*[{gvfs-gphoto2-vo}]
        │         ├─gvfs-mtp-volume───2*[{gvfs-mtp-volume}]
        │         ├─gvfs-udisks2-vo───2*[{gvfs-udisks2-vo}]
        │         ├─gvfsd─┬─gvfsd-trash───2*[{gvfsd-trash}]
        │         │       └─2*[{gvfsd}]
        │         ├─gvfsd-fuse───5*[{gvfsd-fuse}]
        │         ├─gvfsd-metadata───2*[{gvfsd-metadata}]
        │         ├─powerline-daemo
        │         ├─pulseaudio───4*[{pulseaudio}]
        │         ├─xfce4-notifyd───2*[{xfce4-notifyd}]
        │         └─xfconfd
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-timesyn───{systemd-timesyn}
        ├─systemd-udevd
        ├─udisksd───4*[{udisksd}]
        ├─upowerd───2*[{upowerd}]
        ├─wpa_supplicant
        ├─xfce4-power-man───2*[{xfce4-power-man}]
        └─xfsettingsd─┬─xfce4-terminal─┬─bash───sudo───pstree
                      │                └─4*[{xfce4-terminal}]
                      └─2*[{xfsettingsd}]

Peace, Love and Debian for the World!!!

Offline

 

#11  2019-06-11 14:16:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Hidden Wasp malware - co z tym zrobic?

Po nazwach nie widzę podejrzanych procesów, ale malware potrafi się nieźle ukrywać.
Zainstaluj sobie Clamav, potem odpal kompa z LiveCD jakiegoś, wejdź do systemu głównego przez chroota, zaktualizuj bazę wirusów, główną i clamav-unofficial-sigs, następnie przeskanuj cały system na dyziu tym clamem, żeby wywalił wszystko, co uzna za podejrzane.
Wywal też te podejrzane lokalizacje, które wypisał chkrootkit, ale też z chroota,
bez uruchamiania systemu głównego na dysku.

Powinno pomóc.

Ostatnio edytowany przez Jacekalex (2019-06-11 14:22:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2019-06-19 20:35:27

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Hidden Wasp malware - co z tym zrobic?

chroot na drugiej maszynie rkhunter+chkrootkit+unhide (brute+sys) i wireshark. Cholera jakim cudem coś złapałeś stary, może tmp miałeś montowany na lamera (bez flagi noexec) i coś skubnąłeś na homie wykonywalnego (ubuntu chyba na takie akcje pozwala bo na pewno nie debian)?

Ostatnio edytowany przez hi (2019-06-19 20:42:20)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)