Re: Skript pro kontrolu napadení operací Windigo
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Březen 20 10:02:04 CET 2014
On Thu, 20 Mar 2014, Ing. Leoš Houser wrote:
> Na základě informací ze zprávy Operation Windigo Whitepaper jsem připravil
> skript pro automatickou kontrolu napadení Linux serveru operací Windigo.
Hlavně by měl zkusit, jestli to funguje, i někdo opravdu infikovaný :)
Dvě poznámky podle toho, co o tom psali Eseti:
1. Možná by se dala provést i kontrola velikosti libkeyutils.so, protože
normálně je to mrňavý soubor, ale při napadení se zvětší o nějakých 20 kB.
(Osobně se divím, že si nevybrali nějakou jinou dynamickou knihovnu.)
2. Tip použít tcpdump na kontrolu podivných dotazů do DNS by možná měl
zdůraznit důležitost toho "-p", protože bez něj se rozhraní přepne do
promiskuitního módu, což prý trojský kůň detekuje a odmlčí se.
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux