Olá Paulino.
Eu não acredito, como eu disse, que se trata apenas de um malware que afeta o navegador. Explico, vejam minhas tentativas:
1 - Excluir os profiles do Chrome e Firefox de todos os usuários. Resultado: Malware ainda presente;
2 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover as aplicações com o "purge" e reinstalar as aplicações. Resultado: Malware ainda presente;
3 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover as aplicações com o "purge", zerar o cache do apt e reinstalar as aplicações. Resultado: Malware ainda presente;
Acho que isso levanta suspeitas, no mínimo, de que o buraco é mais embaixo...
Obrigado pela atenção.
Se mais alguém tiver alguma outra dica, ficarei muito feliz em ouvir (ou ler, melhor dizendo).
Att.,
Nelson
------ Mensagem original ------
Enviado(s): 15/10/2014 16:57:01
Assunto: Re: Como remover o Akamaihd
Bom dia.
Esse Akamaihd parece ser somente um dessas extensões que afetam somente o navegador. Um profile novo resolve. Essa semana me deparei com um problema muito mais sério. Quando instalo o debian, uma das primeiras providencias e configurar o sshd para não aceitar login do root. Em um host, pelo visto não fiz isso. Esse host a principio deveria ficar em uma intranet, sem conexão com a internet. Em alguma época, tive que configurar um redirecionamento no roteador para ter acesso a esse host, porta 22022 mapeda para tal. A senha to root, ficou com uma facinha de lembrar. Outro dia enquanto estava fazendo uma manutenção nesse host, vejo na lista do ps algo suspeito, um processo /etc/spell. Um exec rodando a partir do /etc ? Muito suspeito. Submeti esse arquivo ao site virustotal, deu que 19 de 54 anti-vírus detectaram como vírus.
Ad-Aware |
Linux.Mayday.C |
20141015 |
Avast |
ELF:Elknot-M [Trj] |
20141015 |
BitDefender |
Linux.Mayday.C |
20141015 |
CAT-QuickHeal |
Linux.Elknot.E61 |
20141015 |
DrWeb |
Linux.DDoS.1 |
20141015 |
ESET-NOD32 |
Linux/Agent.W |
20141015 |
Emsisoft |
Linux.Mayday.C (B) |
20141015 |
F-Secure |
Linux.Mayday.C |
20141015 |
GData |
Linux.Mayday.C |
20141015 |
Ikarus |
DoS.Linux.Elknot |
20141015 |
Kaspersky |
HEUR:Backdoor.Linux.Mayday.h |
20141015 |
MicroWorld-eScan |
Linux.Mayday.C |
20141015 |
Microsoft |
DoS:Linux/Elknot.E |
20141015 |
Qihoo-360 |
Trojan.Generic |
20141015 |
Sophos |
Linux/DDoS-AZ |
20141015 |
Symantec |
Trojan.Chikdos.B!gen1 |
20141015 |
Tencent |
Linux.Backdoor.Mayday.Hoew |
20141015 |
Zillya |
Downloader.OpenConnection.JS.104102 |
20141015 |
nProtect |
Linux.Mayday.C |
20141015 |
O ClamAV diz que esta ok. Amostra enviada a eles.
Ação adequada nesse caso seria providenciar uma nova maquina e substituir, e colocar a comprometida em quarentena. Mas, a analize inicial mostrou que nenhum outro arquivo aparenta ter sido alterado. Além do binário /etc/spell o rc.local foi modificado, com as seguintes linhas /etc/init.d/iptables stop service iptables stop SuSEfirewall2 stop reSuSEfirewall2 stop chmod 0755 /etc/spell nohup /etc/spell > /dev/null 2>&1&
um usuário chamado kang com id 0 também foi criado, com senha.
O /etc/spell e um binário estaticamente lincado.
spell: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, for GNU/Linux 2.6.4, not stripped
md5sum: 242efa8a7d52332a11a810ac069023e7 shasum: 4841ffda99f86188582b2c548fd9c1e1e98ea4ab
algumas palavras que surgem quando se usa o strings SuSESuSE 183.60.149.219
Pela pesquisa que fiz, variações desse 'bicho" estão infectando roteadores SOHO.
Preocupante...
|