¿Con qué vectores de infección generalmente se entregan Trojan.Linux.BillGates?

Question

¿Con qué vectores de infección generalmente se entregan Trojan.Linux.BillGates?

#1 de Bubble Hacker (6 votos)

6

Acabo de descubrir que mi servidor está infectado con Trojan.Linux.BillGates.G y se está utilizando para lanzar ataques de DOS.

Me sorprende ya que el servidor se mantiene actualizado (CentOS / Tomcat / CouchDB) tanto como sea posible. Solo se puede acceder a mi servidor SSH a través del mecanismo de clave pública / clave privada, no se permite el inicio de sesión directo.

Parece que este troyano en particular es se generaliza recientemente. He encontrado varios artículos al respecto, pero ninguno logró explicar claramente a través de qué vulnerabilidades se suele entregar el troyano. Por ejemplo, otro troyano parece siempre atado en paquetes maliciosos .

PREGUNTA: ¿Con qué vectores de infección se sabe que se usan con mayor frecuencia Trojan.Linux.BillGates?

linux trojan infection-vector

pregunta Nicolas Raoul 01.07.2016 - 10:42

fuente

1 respuesta

Lea otras preguntas en las etiquetas linux trojan infection-vector

¿Cómo funciona el token XSRF por solicitud? (Solución angular) ¿Los complementos de Wordpress vulnerables y inactivos siguen siendo inseguros?

score 6 · Accepted Answer

Por lo tanto, he encontrado algunos recursos que parecen indicar que el método principal de infección se realiza al obtener acceso al sistema utilizando SSH bruteforce:

A investigación antivirus de Avast :

La infección comienza con un intento de violar las credenciales de inicio de sesión de SSH del usuario root. Si tiene éxito, los atacantes obtienen acceso a la máquina comprometida, luego instale el troyano generalmente a través de un script de shell.
Una búsqueda de Akamai :

Al igual que la botnet XOR, se cree que este malware es de origen asiático. Los atacantes están usando los mismos métodos para la infección, que son principalmente intentos de fuerza bruta SSH para el inicio de sesión de root credenciales (anteriormente se informó que los métodos de infección incluyen una vulnerabilidad en ElasticSearch Java VM).