Re: Skript pro kontrolu napadení operací Windigo

[Pavel Kankovsky]

On Thu, 20 Mar 2014, Ing. Leoš Houser wrote:

> Na základě informací ze zprávy Operation Windigo Whitepaper jsem připravil 
> skript pro automatickou kontrolu napadení Linux serveru operací Windigo.

Hlavně by měl zkusit, jestli to funguje, i někdo opravdu infikovaný :)

Dvě poznámky podle toho, co o tom psali Eseti:

1. Možná by se dala provést i kontrola velikosti libkeyutils.so, protože 
normálně je to mrňavý soubor, ale při napadení se zvětší o nějakých 20 kB.
(Osobně se divím, že si nevybrali nějakou jinou dynamickou knihovnu.)

2. Tip použít tcpdump na kontrolu podivných dotazů do DNS by možná měl 
zdůraznit důležitost toho "-p", protože bez něj se rozhraní přepne do 
promiskuitního módu, což prý trojský kůň detekuje a odmlčí se.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /