Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Hidden Wasp malware - co z tym zrobic?
#1 2019-06-09 04:59:18
wikingagressor - 
Użytkownik
- wikingagressor
- Użytkownik
- Skąd: Józefów k.Błonia, mazowieck
- Zarejestrowany: 2015-02-03
Hidden Wasp malware - co z tym zrobic?
Ktos slyszal o tym chinskim malwerze?
Tu jest niby opisane jak to wszystko dziala, ale nie moge sie pokapowac jak sprawdzic czy to u mnie siedzi?
https://www.intezer.com/blog-hiddenwasp-malware-tar … inux-systems/
Peace, Love and Debian for the World!!!
Offline
#2 2019-06-09 11:02:07
morfik - Cenzor wirtualnego świata
Re: Hidden Wasp malware - co z tym zrobic?
No najprościej to zrobić obraz pamięci RAM i potraktować go yarą wykorzystując tę regułę którą podali. Pytanie tylko jak zrobić zrzut pamięci RAM, bo np. u mnie się nie da czytać pliku /dev/mem . xD
Offline
#3 2019-06-09 18:21:26
wikingagressor - Użytkownik
- wikingagressor
- Użytkownik
- Skąd: Józefów k.Błonia, mazowieck
- Zarejestrowany: 2015-02-03
Re: Hidden Wasp malware - co z tym zrobic?
Na razie zastosowalem takie dzialania:
Kod:
sudo ufw deny from 103.206.123.13 to any sudo ufw deny from 103.206.122.245 to any
Problemem wydaje sie byc plik /etc/ld.so.cache gdzie panuje duzy balagan zwiazany z roznymi bibliotekami w wiekszosci polaczanych ze steamem.
Polecenie
Kod:
cat /etc/ld.so.cache
wyplulo mi duuuuuzy rozgardiasz...
Ostatnio edytowany przez wikingagressor (2019-06-10 01:46:05)
Peace, Love and Debian for the World!!!
Offline
#4 2019-06-09 18:27:17
wikingagressor - Użytkownik
- wikingagressor
- Użytkownik
- Skąd: Józefów k.Błonia, mazowieck
- Zarejestrowany: 2015-02-03
Re: Hidden Wasp malware - co z tym zrobic?
Najpierw jest takie dziwne cos, a pozniej wypisane jest wiekszosc bibliotek zakonczonych na .so.
Kod:
(cOc]c�c�c�c�c�c�cd$d=dIdod|d�d�d�d�deKeee�e�e�e�efIfYf�f�f�f�f�fgAgQg{g�g�g�g�gh-h;hchxh�h�h�h�hi,iSigi�i�i�i�i jj;jUj�j�j�j�jk'kSklk�k�k�k�kl)lOl_l�l�l�l�l�lm'm>mom�m�m�m�m�mn&nSnmn�n�n�n�n#o3o[opo�o�o�o�o
p5pBpipvp�p�p�p�p qqCqSq}q�q�q�q�r;rTr�r�r�r�rs4ses|s�s�s�s�s(tOtat�t�t�t�tuu;uWu�u�u�u�u�uv/vBvovv�v�v�v�v
ww9wHw`wlw�w�w�w�wxx2xCxnx}x�x�x�x�xyyByRy|y�y�y�y�y�y�z)zRzbz�z�z�z�z
{{@{M{r{}{�{�{�{�{|@|O|x|�|�|�|�}0}D}_}q}�}�}�}�}~~.~<~d~{~�~�~�~,Fv���� �0�C�l������Ӏ��!�I�[�������������,�P�`�w����������#�6�P�a�������ʃ����$�7�A�e�r�����фބ��7�B�g�v�����߅��+�S�d�����ņ҆��
�7�G�q�������߇��%�:�i�����Ɉ��
�5�E�^�z��������"�7�f�r�����܊�Ս��:�N�|�����������)�L�W�|�����̏��
�0�@�d�t�������Č����!�:�U����� �6�D�l�}���������%�N�\�������Б���<�L�v������������(�P�b�����Ɠ֓��8�L�z���������4�H�v���Ε� �3�`�p�����ؖ��!�L�Z������������+�R�_�����Θ�� �H�V�~��������$�2�V�d�������̚��� �,�R�b�������˛���$�/�T�k���������/�Y�l�����ѝޝ��;�J�s�������Ԟ�
��@�L�r������؟���
�2�B�l�{�������:�W�����Щ��'�V�i�����Ϊ��/�d�����̫���<�Q�������լ��<�R�����ҭ�&�:�h�|�������.�C�r����������#�H�U�|�������Ӱ� ��I�X�����DZױ��I�T�y����������'�A�u������������-�Z�m�����δܴ��>�O�x�����˵���.�?�j�{���������2�`�t�����Է���B�O�v�����ĸ���2�A�j�����¹���$�5�Z�p�����Ժ����/�?�i����������-�U�c�������ȼ��-�>�i�v�����Ͻڽ���W�g�����Ѿ���I�Y�������¿���*�U�c�����������
�5�D�m���������3�E�q����������� �I�\�����������G�X������������+�8�]�j�����������
��C�R�{�����������%�6�_�p��������� ��?�N�w�����������'�8�a�r�����������
���C�R�y������������0�[�l�����������E�W�����������
�5��E�U�{����������+�K���������'�=�m�y����������$�M�b����������4�e�t������������D�U������������2�H�x��������%�T�f���������.�@�l����������4�E�p����������:�S������������<�P�~���������>�T����������%�R�o���������$�7�d�w���������$�7�d�w���������$�:�j����������D�[����������%�P�f���������&�8�d�w���������0�J�|��������'�T�t��������0�H�z��������J�]����������0�b��������6�J�v������������(�L�]������������&�K�^��������� �G�Y�������������#�/�S�i����������'�O�`������������7�I�o������������I�]��������� ��C�[������������A�Y�z���������
�:�X���������(�?�p����������&�:�h�|����������%�L�[���������,�=�h�y�����������>�L�t������������$�9�G�o���������?�O�y����������� �3�O�e������������%�;�Z�o�������������"�3�^�s���������(Bv�����$9hz���� 3`p����
J\����&Bv���
#Rg���� La����)Vi���� ) P ] � � � � � �
?
O
u
�
�
�
�
�
,
Y
i
�
�
�
�
�
1
?
a
o
�
�
�
�
�
�
%L\������"0Xk�����
2Bl|����#N_�����:O~�����)P]������
@[����(Cx���=v�����L�`��������� 0@j|����&7bq�����2dy���
S����
BX����.:^h�����0Fv���� 2 ? f r � � � � !!F!T!z!�!�!�!�!�!"*"N"\"~"�"�"�"�"�"#+#T#b#�#�#�#�#�#$0$K$�$�$�$�$%%<%P%~%�%�%�%�%�%&&3&Z&l&�&�&�&�& '0'Z'h'�'�'�'�'�'(&(6(`(m(�(�(�(�(�()$)1)X)e)�)�)�)�)$*;*l*�*�*�*�*+4+O+�+�+�+�+
,,:,J,t,�,�,�,�,�,--S-�-�-�-�-�-.<.P.|.�.�.�.�.
/4/D/n/�/�/�/�/�/(040Z0f0�0�0�0�011@1O1x1�1�1�122@2X2u2�2�2�2 3353@3_3j3|3�3�3�3�3�34(4W4j4�4�4�4�4�4 565F5p5�5�5�566@6V6�6�6�6�6�67.7D7t7�7�7�7�7
808F8v8�8�8�8�8�8"9/9V9j9�9�9�9�9�9:>:M:v:�:�:�:�:�:(;5;\;k;�;�;�;�;�;</<@<k<|<�<�<�<�<'=7=a=n=�=�=�=�=>>A>U>>�>�>�>�?1?D?q??�?�?�?�?�?@(@:@f@x@�@�@�@�@A#ANA^A�A�A�A�A�A
B:BIBrB�B�B�B�B�B C3C`CtC�C�C�C�C D1D\DoD�D�D�D�D(E@ErE�E�E�E�ERFeF�F�F�F�F�F�FG-GSGsG�G�G�G�GH%HOHbH~H�H�H�H�H�H�HI0IBI]ImI�IL%L5LNL\LsL�L�L�L�L�L)M<MXMgMM�M�M�M�MNAN\N�N�N�N�NOOGOYO�O�O�O�OPPEP\P�P�P�P�PQQ?QMQuQ�Q�Q�Q�Q�Q'RMR\R�R�R�R�R�R�RS$SISZS�S�S�S�ST"TOT\T�T�T�T�T�T U/U;UaU�U�U�UV+V[VoV�V�V�V�V WWAWKWkWuW�W�W�W�W�W�WX�X>XKXrX�X�X�X�X�XY*YPY\Y�Y�Y�Y�Y�YZ@ZQZxZ�Z�Z�[[N[p[�[�[�[\F\W\�\�\�\
]D]d]�]�]�]^6^H^t^�^�^�^_#_P_j_�_�_�_�_,`G`|`�`�`�`�a4aha�a�a�a�a
b@bSb�b�b�b�b"cAczc�c�c�cd4dfd�d�d�d&eBexe�e�e�e.fQf�f�f�fg@g\g�g�g�ghDh[h�h�h�h�h�i0i`i}i�i�i�ijLjaj�j�j�j�j*kGk~k�k�k�kl+lZlwl�l�l�l
m<mLmvm�m�m�mn%nRnon�n�n�no@obo�o�o�op:pLpxp�p�p�p$q;}}I}Z}�}�}�}�}~"~O~b~�~�~�~�~*Yn������9�F�m�{�����ۀ���G�Y�������́��{e{u{�{�{�{�{-|Y|j|�|�|�|�|
�=�N�y�����Â���#�2�[�g�����ǃփ���5�B�i�u�����τ܄��7�F�o�������ԅ��&�V�h�����Ԇ�� �H�Z�����·��%�L�X�~�������ވ�
��8�D�W�a�������ĉ���)�Q�]�����͊��%�U�g�������3�L����Ì�'�W�n�����ߍ��)�=�k�����Ǝ�
�?�T�����͏��'�Y�m��������+�=�i�w�����ّ��A�M�s�����͒���+�6�[�g�������Ǔ���%�5�]�k�����͔ݔ��;�L�w�����Ǖ���!�.�U�`������������"�G�R�w�������A�M�s����������!�,�Q�\��������ݛ�ߙ�
���C�R�{����������&�K�V�{����������'�Q�a�������Ϟ�� �1�?�g�z��������!�/�W�c�������Ǡ����&�M�]�����áԡ��.�=�b�q�������Ƣܢ�
��:�C�f�r�����ܣ� �7�h����Ť���0�?�h�|�������2�H�x���¦��D�V�������ѧ��8�J�v�����Ϩ��@�V�������ѩ���<�M�x�����Ȫ���B�T�������ϫ���H�j���������(�P�a�����ѭ�� �2�D�p�����Ǯ���(�4�Z�o�����ܯ��,�B�r�������ް���G�V�}���űֱ��K�]��������-�F�y�����г��=�U�����Ŵڴ ��A�P�y����������6�i�����̶���C�T����շ�!�0�Y�h�����øи���1�@�i�z���������/�[�j�����Ӻ�3�e�y��������'�4�[�g�������ɼ����)�M�[�����ʽ� ��?�R������ξ��
�5�F�o�{�����ѿۿ��
�1�=�a�k�����������=�H�m�|����������'�Q�]���������������;�H�o�|��������� ���E�Q�w�����������)�Q�c������������+�=�i�u���������!�/�W�u��������_�������
�!�Q�t������"�W�m�������S�l��������=�Y���������)�M���������1�F�u�������'�A�u��������4�k��������$�a��������
�5�J�f�y����������,�K�]�x��������������Peace, Love and Debian for the World!!!
Offline
#5 2019-06-09 22:25:14
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Hidden Wasp malware - co z tym zrobic?
Weź zapuść rkhuntera, żeby zobaczył, czy coś podejrzanego się nie pojawiło na dyziu.
Możesz też odpalić chkrootkit i zobaczyć, co ma do powiedzenia.
Zaprzyjaźnij się też z pstree, ten wyświetla drzewko procesów i potrafi wiele wyjaśnić.
Ostatnio edytowany przez Jacekalex (2019-06-09 22:38:41)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2019-06-10 01:54:27
wikingagressor - Użytkownik
- wikingagressor
- Użytkownik
- Skąd: Józefów k.Błonia, mazowieck
- Zarejestrowany: 2015-02-03
Re: Hidden Wasp malware - co z tym zrobic?
rkhunter wyplul mi takie cos:
Kod:
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
chkrootkit znalazl tylko to:
Kod:
The following suspicious files and directories were found: /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id /usr/lib/debug/.build-id
Peace, Love and Debian for the World!!!
Offline
#7 2019-06-10 05:40:18
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Hidden Wasp malware - co z tym zrobic?
wikingagressor napisał(-a):
...
chkrootkit znalazl tylko to:Kod:
The following suspicious files and directories were found: /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id /usr/lib/debug/.build-id
i tu prawdopodobnie siedzi malware.
Instalatory pakietów nie pakują tych pakietów do ukrytych katalogów i plików.
/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id
/usr/lib/debug/.build-id
Na 99% to pliki twojego exploita.
Ukryte pliki i foldery w Linuxie mają nazwy zaczynające się od kropki.
Pewnie jeszcze coś siedzi w konfigach crona.
Zobacz, czy pstree pokaże jakieś podejrzane procesy.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#8 2019-06-10 16:10:15
wikingagressor - Użytkownik
- wikingagressor
- Użytkownik
- Skąd: Józefów k.Błonia, mazowieck
- Zarejestrowany: 2015-02-03
Re: Hidden Wasp malware - co z tym zrobic?
Pytanko, czy kasowac te katalogi i czy moze odinstalowac wogole openjdk ?
Peace, Love and Debian for the World!!!
Offline
#9 2019-06-10 17:00:14
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Hidden Wasp malware - co z tym zrobic?
Miałeś dać wynik pstree?
prawda?
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#10 2019-06-11 00:26:41
wikingagressor - Użytkownik
- wikingagressor
- Użytkownik
- Skąd: Józefów k.Błonia, mazowieck
- Zarejestrowany: 2015-02-03
Re: Hidden Wasp malware - co z tym zrobic?
Oki to jest wynik z pstree:
Kod:
systemd─┬─ModemManager───2*[{ModemManager}]
├─NetworkManager─┬─2*[dhclient]
│ └─2*[{NetworkManager}]
├─accounts-daemon───2*[{accounts-daemon}]
├─agetty
├─alsactl
├─avahi-daemon───avahi-daemon
├─cron
├─cups-browsed───2*[{cups-browsed}]
├─cupsd───dbus
├─dbus-daemon
├─exim4
├─gnome-keyring-d───3*[{gnome-keyring-d}]
├─irqbalance───{irqbalance}
├─lightdm─┬─Xorg───2*[{Xorg}]
│ ├─lightdm─┬─sh─┬─ssh-agent
│ │ │ └─xfce4-session───xfce4-session─┬─applet.py
│ │ │ ├─light-locker───3*[{light-locker}]
│ │ │ ├─nm-applet───3*[{nm-applet}]
│ │ │ ├─pidgin───3*[{pidgin}]
│ │ │ ├─polkit-gnome-au───5*[{polkit-gnome-au}]
│ │ │ ├─volumeicon───4*[{volumeicon}]
│ │ │ ├─xfce4-clipman───2*[{xfce4-clipman}]
│ │ │ ├─xfce4-panel─┬─firefox-esr─┬─Web Content───17*[{Web Content+
│ │ │ │ │ ├─2*[Web Content───22*[{Web Cont+
│ │ │ │ │ ├─Web Content───30*[{Web Content+
│ │ │ │ │ └─62*[{firefox-esr}]
│ │ │ │ ├─panel-12-whiske─┬─sgt-mines───3*[{sgt-mines}+
│ │ │ │ │ └─3*[{panel-12-whiske}]
│ │ │ │ ├─panel-20-system───3*[{panel-20-system}]
│ │ │ │ ├─panel-22-weathe───{panel-22-weathe}
│ │ │ │ ├─panel-23-xfce4-───2*[{panel-23-xfce4-}]
│ │ │ │ ├─panel-28-dateti───3*[{panel-28-dateti}]
│ │ │ │ ├─panel-29-xkb───2*[{panel-29-xkb}]
│ │ │ │ ├─panel-3-systray
│ │ │ │ ├─panel-39-screen───4*[{panel-39-screen}]
│ │ │ │ ├─panel-55-xfce4-───3*[{panel-55-xfce4-}]
│ │ │ │ ├─panel-57-notifi───2*[{panel-57-notifi}]
│ │ │ │ └─5*[{xfce4-panel}]
│ │ │ ├─xfdesktop───2*[{xfdesktop}]
│ │ │ ├─xfwm4───{xfwm4}
│ │ │ └─2*[{xfce4-session}]
│ │ └─2*[{lightdm}]
│ └─2*[{lightdm}]
├─minissdpd
├─monopd
├─nmbd
├─polkitd───2*[{polkitd}]
├─rsyslogd───3*[{rsyslogd}]
├─rtkit-daemon───2*[{rtkit-daemon}]
├─smartd
├─smbd─┬─cleanupd
│ ├─lpqd
│ └─smbd-notifyd
├─systemd─┬─(sd-pam)
│ ├─at-spi-bus-laun─┬─dbus-daemon
│ │ └─3*[{at-spi-bus-laun}]
│ ├─at-spi2-registr───2*[{at-spi2-registr}]
│ ├─dbus-daemon
│ ├─dconf-service───2*[{dconf-service}]
│ ├─goa-daemon───3*[{goa-daemon}]
│ ├─goa-identity-se───3*[{goa-identity-se}]
│ ├─gpg-agent
│ ├─gvfs-afc-volume───3*[{gvfs-afc-volume}]
│ ├─gvfs-goa-volume───2*[{gvfs-goa-volume}]
│ ├─gvfs-gphoto2-vo───2*[{gvfs-gphoto2-vo}]
│ ├─gvfs-mtp-volume───2*[{gvfs-mtp-volume}]
│ ├─gvfs-udisks2-vo───2*[{gvfs-udisks2-vo}]
│ ├─gvfsd─┬─gvfsd-trash───2*[{gvfsd-trash}]
│ │ └─2*[{gvfsd}]
│ ├─gvfsd-fuse───5*[{gvfsd-fuse}]
│ ├─gvfsd-metadata───2*[{gvfsd-metadata}]
│ ├─powerline-daemo
│ ├─pulseaudio───4*[{pulseaudio}]
│ ├─xfce4-notifyd───2*[{xfce4-notifyd}]
│ └─xfconfd
├─systemd-journal
├─systemd-logind
├─systemd-timesyn───{systemd-timesyn}
├─systemd-udevd
├─udisksd───4*[{udisksd}]
├─upowerd───2*[{upowerd}]
├─wpa_supplicant
├─xfce4-power-man───2*[{xfce4-power-man}]
└─xfsettingsd─┬─xfce4-terminal─┬─bash───sudo───pstree
│ └─4*[{xfce4-terminal}]
└─2*[{xfsettingsd}]Peace, Love and Debian for the World!!!
Offline
#11 2019-06-11 14:16:55
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Hidden Wasp malware - co z tym zrobic?
Po nazwach nie widzę podejrzanych procesów, ale malware potrafi się nieźle ukrywać.
Zainstaluj sobie Clamav, potem odpal kompa z LiveCD jakiegoś, wejdź do systemu głównego przez chroota, zaktualizuj bazę wirusów, główną i clamav-unofficial-sigs, następnie przeskanuj cały system na dyziu tym clamem, żeby wywalił wszystko, co uzna za podejrzane.
Wywal też te podejrzane lokalizacje, które wypisał chkrootkit, ale też z chroota,
bez uruchamiania systemu głównego na dysku.
Powinno pomóc.
Ostatnio edytowany przez Jacekalex (2019-06-11 14:22:24)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#12 2019-06-19 20:35:27
hi - Zbanowany
- hi
- Zbanowany
- Zarejestrowany: 2016-03-24
Re: Hidden Wasp malware - co z tym zrobic?
chroot na drugiej maszynie rkhunter+chkrootkit+unhide (brute+sys) i wireshark. Cholera jakim cudem coś złapałeś stary, może tmp miałeś montowany na lamera (bez flagi noexec) i coś skubnąłeś na homie wykonywalnego (ubuntu chyba na takie akcje pozwala bo na pewno nie debian)?
Ostatnio edytowany przez hi (2019-06-19 20:42:20)
"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Hidden Wasp malware - co z tym zrobic?