Mumblehard malware

Linux-security

Sziasztok!

Valaki találkozott már vele?? Van rá valami megoldás??

  • 4694 megtekintés

( andrej_ v | 2015. 05. 04., h – 15:43 )

Frissítsd a CMS-eket. A PHP-ban tiltsd le a kódfuttatást (shell_exec, exec és tsai a disable functions -ba), open_basedir -el korlátozd a könyvtárak elérhetőségét. Erősen figyeld a cronokat.

Szerk: ez persze inkább megelőzés.

Ma kaptam én is.
Open_basedir be volt kapcsolva. Minden user külön ID-val futott. exec és társai tíltva.
Még is beette a fene. Hogyan?
Oké, noexec a tmp-re, de az csak tüneti kezelés. Hogy kaphat jogot cronjobot létrehozni?
A szerveren most az iptables output láncot szigorítom. Új kapcsolatot szerver->világ irányba csak dedikált userek, dedikált porton nyithatnak.
Jobb ötletem hirtelen nincs.

( zegige | 2015. 05. 04., h – 21:11 )

Ma kaptam egy levelet a hosztingcégtől, hogy
"A Kormányzati Eseménykezelő Központtól az alábbi bejelentés érkezett.
A bejelentés szerint az önök felügyelete alatt álló IP című gépen Mumblehard malware található"

wordpresses weboldalak futnak a szerveremen.
SUBUP

( Fisher v | 2016. 04. 13., sze – 07:57 )

Subscribe. Én nem találtam nyomát, de érdekel, ha a crontab listán túl van valami detektálási lehetőség.
(Oké, pl. a forgalom figyelése az adott ip címekre.)

( hendrick v | 2016. 04. 18., h – 16:39 )

Followup post? Nincs katarzis, hiányérzetem van :) (p.s. még egy év után is él... úgy tűnik egész családdá gyarapodott a kicsike.. ha valakinek van infoja, hogy egy év alatt mi változott a mumblehardban, az ne tartsa magában)

Elvileg kimúlt ...

http://www.eset.com/int/about/press/articles/malware/article/mumblehard…
http://www.welivesecurity.com/2016/04/07/mumblehard-takedown-ends-army-…