Re: OT: Criptominador Outlaw en cuenta de usuario
El mié, 25 oct 2023 a las 12:35, JavierDebian
(<javier.debian.bb.ar@gmail.com>) escribió:
>
> Buenas tardes.
>
> Hace un par de años fui víctima de Outlaw's
>
> https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html
>
> Ahora, desde hace un mes, con alguna variante, otra vez.
>
> Se mete a través de la cuenta de una de mis hijas, se cuela en el
> crontab, y a diferencia del anterior, crea la carpeta ~/.configrc5;
> antes lo hacía en~./.configrc
>
> La solución es tan fácil como desde root hacer
> # killall -s 9 kswapd0 rsync
> # rm -r /home/hija/.configrc5
>
> y vaciar su crontab
> # crontab -u isabella -e
>
> Detectarlo, es fácil: en mi escritorio salta a la vista que usa el 100%
> de 4 núcleos sin respiro.
>
> Ahora la pregunta:
>
> ¿Alguien tiene idea de dónde se esconde el maldito gusano?
>
> Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no
> encuentro un script o algo que lo lance.
Podria estar en la configuracion de arranque del escritorio, por eso
infecta a nivel usuario.
> Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021.
>
> Saludos.
>
> JAP
>
Reply to: