Kirjoittaja Aihe: Skidmap haittaohjelma ja Bitin uutinen  (Luettu 319 kertaa)

Pontus12

  • Käyttäjä
  • Viestejä: 1268
    • Profiili
Skidmap haittaohjelma ja Bitin uutinen
« : 20.09.19 - klo:10.25 »
Bitissä oli uutinen Skidmap haittaohjelmasta, joka iskee Linux-koneisiin. Lehden mukaan siitä on erittäin hankalaa päästä eroon. Googlasin ohjelmaa ja siitä löytyi paljon tietoa eri lähteistä mm.
Zednetistä.
 https://www.zdnet.com/article/skidmap-malware-buries-into-the-kernel-to-hide-cryptocurrency-mining/

Onko siitä vaaraa tavalliselle Ubuntu-käyttäjälle ja pitääkö kone suojata jotenkin sitä vastaan?

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 10722
    • Profiili
    • Tomin kotisivut
Vs: Skidmap haittaohjelma ja Bitin uutinen
« Vastaus #1 : 20.09.19 - klo:22.26 »
Lehden mukaan siitä on erittäin hankalaa päästä eroon.

Vähän liioittelun makua mielestäni. Rootkit on toki siitä hankala, että se piilottaa itsensä asennetulta järjestelmältä, joten havaitseminen on hankalaa. Ainakin jos ei tiedä mitä etsiä. Toisaalta toisesta käyttöjärjestelmästä (esim. Linuxin ajo muistitikulta) poisto on melko helppoakin.

Onko siitä vaaraa tavalliselle Ubuntu-käyttäjälle ja pitääkö kone suojata jotenkin sitä vastaan?

Vaikka luin Trendmicron kirjoituksen aiheesta, niin itselleni ei ainakaan selvinnyt, millä tavalla tuon voi saada. Vähän jäi sellainen käsitys, että tuota varten jonkun pitäisi murtautua koneelle, hankkia root-oikeudet ja asentaa tuo ensimmäisen vaiheen cron-työ.

Käytännössä siis tavalliset tavat suojautua pätevät tässäkin: asenna ohjelmia vain luotettavista lähteistä ja asenna päivitykset, kun niitä on saatavilla. Hämärien nettisivujen välttäminen ja kunnollinen salasana auttavat toki nekin.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

AimoE

  • Käyttäjä
  • Viestejä: 1552
    • Profiili
Vs: Skidmap haittaohjelma ja Bitin uutinen
« Vastaus #2 : 21.09.19 - klo:08.48 »
Googlasin asiaa hakusanoilla
Koodia: [Valitse]
"skidmap" crontab root accessja kaikki löytämäni sivut sanovat jotain sen tapaista että
Lainaus
A number of the miner’s routines need root access, signifying that its attack vector is the same that offered the attackers root or administrative access to the system.
Suomeksi käännettynä ja lyhentäen: hyökkääjän täytyy ensin pääsät koneelle root-oikeuksilla. Miten tämä tapahtuu kuuluu sitten tontille "yleistä arvailua siitä miten huonosti järjestelmät suojataan".

Kuinka helposti tavallinen käyttäjä lipsahtaa tilanteeseen että hyökkääjä saa root-oikeudet on sitten se varsinainen alkuperäinen kysymys jonka Pontus12 esitti.