¿Con qué vectores de infección generalmente se entregan Trojan.Linux.BillGates?

6

Acabo de descubrir que mi servidor está infectado con Trojan.Linux.BillGates.G y se está utilizando para lanzar ataques de DOS.

Me sorprende ya que el servidor se mantiene actualizado (CentOS / Tomcat / CouchDB) tanto como sea posible. Solo se puede acceder a mi servidor SSH a través del mecanismo de clave pública / clave privada, no se permite el inicio de sesión directo.

Parece que este troyano en particular es se generaliza recientemente. He encontrado varios artículos al respecto, pero ninguno logró explicar claramente a través de qué vulnerabilidades se suele entregar el troyano. Por ejemplo, otro troyano parece siempre atado en paquetes maliciosos .

PREGUNTA: ¿Con qué vectores de infección se sabe que se usan con mayor frecuencia Trojan.Linux.BillGates?

    
pregunta Nicolas Raoul 01.07.2016 - 10:42
fuente

1 respuesta

6

Por lo tanto, he encontrado algunos recursos que parecen indicar que el método principal de infección se realiza al obtener acceso al sistema utilizando SSH bruteforce:

  1. A investigación antivirus de Avast :

      

    La infección comienza con un intento de violar las credenciales de inicio de sesión de SSH del usuario root. Si tiene éxito, los atacantes obtienen acceso a la máquina comprometida, luego instale el troyano generalmente a través de un script de shell.

  2. Una búsqueda de Akamai :

      

    Al igual que la botnet XOR, se cree que este malware es de origen asiático. Los atacantes están usando   los mismos métodos para la infección, que son principalmente intentos de fuerza bruta SSH para el inicio de sesión de root   credenciales (anteriormente se informó que los métodos de infección incluyen una vulnerabilidad en   ElasticSearch Java VM).

respondido por el Bubble Hacker 01.07.2016 - 14:28
fuente

Lea otras preguntas en las etiquetas