Olá Paulino.
Eu não acredito, como eu disse, que se trata apenas de um malware que afeta o navegador. Explico, vejam minhas tentativas:
1 - Excluir os profiles do Chrome e Firefox de todos os usuários. Resultado: Malware ainda presente;
2 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover as aplicações com o "purge" e reinstalar as aplicações. Resultado: Malware ainda presente;
3 - Excluir os profiles do Chrome e Firefox de todos os usuários, remover as aplicações com o "purge", zerar o cache do apt e reinstalar as aplicações. Resultado: Malware ainda presente;
Acho que isso levanta suspeitas, no mínimo, de que o buraco é mais embaixo...
Obrigado pela atenção.
Se mais alguém tiver alguma outra dica, ficarei muito feliz em ouvir (ou ler, melhor dizendo).
Att.,
Nelson
------ Mensagem original ------
Enviado(s): 15/10/2014 16:57:01
Assunto: Re: Como remover o Akamaihd
Bom dia.
Esse Akamaihd parece ser somente um dessas extensões que afetam somente o navegador. Um profile novo resolve.
Essa semana me deparei com um problema muito mais sério.
Quando instalo o debian, uma das primeiras providencias e configurar o sshd para não aceitar login do root.
Em um host, pelo visto não fiz isso. Esse host a principio deveria ficar em uma intranet, sem conexão com a internet. Em alguma época, tive que configurar um redirecionamento no roteador para ter acesso a esse host, porta 22022 mapeda para tal. A senha to root, ficou com uma facinha de lembrar.
Outro dia enquanto estava fazendo uma manutenção nesse host, vejo na lista do ps algo suspeito, um processo /etc/spell. Um exec rodando a partir do /etc ? Muito suspeito.
Submeti esse arquivo ao site virustotal, deu que 19 de
54 anti-vírus detectaram como vírus.
Ad-Aware | Linux.Mayday.C | 20141015 |
Avast | ELF:Elknot-M [Trj] | 20141015 |
BitDefender | Linux.Mayday.C | 20141015 |
CAT-QuickHeal | Linux.Elknot.E61 | 20141015 |
DrWeb | Linux.DDoS.1 | 20141015 |
ESET-NOD32 | Linux/Agent.W | 20141015 |
Emsisoft | Linux.Mayday.C (B) | 20141015 |
F-Secure | Linux.Mayday.C | 20141015 |
GData | Linux.Mayday.C | 20141015 |
Ikarus | DoS.Linux.Elknot | 20141015 |
Kaspersky | HEUR:Backdoor.Linux.Mayday.h | 20141015 |
MicroWorld-eScan | Linux.Mayday.C | 20141015 |
Microsoft | DoS:Linux/Elknot.E | 20141015 |
Qihoo-360 | Trojan.Generic | 20141015 |
Sophos | Linux/DDoS-AZ | 20141015 |
Symantec | Trojan.Chikdos.B!gen1 | 20141015 |
Tencent | Linux.Backdoor.Mayday.Hoew | 20141015 |
Zillya | Downloader.OpenConnection.JS.104102 | 20141015 |
nProtect | Linux.Mayday.C | 20141015 |
O ClamAV diz que esta ok. Amostra enviada a eles.
Ação adequada nesse caso seria providenciar uma nova maquina e substituir, e colocar a comprometida em quarentena. Mas, a analize inicial mostrou que nenhum outro arquivo aparenta ter sido alterado. Além do binário /etc/spell o rc.local foi modificado, com as seguintes linhas
/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
chmod 0755 /etc/spell
nohup /etc/spell > /dev/null 2>&1&
um usuário chamado kang com id 0 também foi criado, com senha.
O /etc/spell e um binário estaticamente lincado.
spell: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, for GNU/Linux 2.6.4, not stripped
md5sum: 242efa8a7d52332a11a810ac069023e7
shasum: 4841ffda99f86188582b2c548fd9c1e1e98ea4ab
algumas palavras que surgem quando se usa o strings
SuSESuSE
183.60.149.219
Pela pesquisa que fiz, variações desse 'bicho" estão infectando roteadores SOHO.
Preocupante...