正如许多人听到/读到的新闻一样,由国家支持的木马恶意软件的一个模块名为“图拉”最近发现,该病毒会感染 Linux 主机:(来自 ArsTechnica 的新闻)(OMG-Ubuntu 新闻)(卡巴斯基技术报告)
在 ArsTechnica 文章中提到:
想要检查是否受 Turla 感染的 Linux 系统的管理员可以检查传出的流量是否与 news-bbc.podzone[.]org 或 80.248.65.183 连接。管理员还可以使用名为 YARA 的工具构建签名,该工具可以检测字符串“TREX_PID=%u”和“远程 VS 为空!”
这个简短的解释并不能真正帮助我弄清楚我应该如何检查我的系统是否被感染!
那么有人可以给出清晰的逐步解释吗?
更新:虽然似乎没有绝对的方法来检测感染,但是,如果能提供使用方便的网络监控工具来检测与上述地址的连接(例如 vnstat、netstat 等)的清晰、逐步的解释,以及使用方便的工具来阻止与上述地址的连接(例如 ufw、iptables 等)的步骤,将受到极大的赞赏和期望!
答案1
我昨天刚刚在security.stackexchange.com,涵盖 Windows 和 Linux 版本。您可以找到这里。
好消息,通过阅读它,你可以更好地了解 Turla 家族的能力。
坏消息“尽管已知 Turla 框架存在 Linux 变体,但我们尚未发现任何变体。” - 卡巴斯基实验室
这意味着,迄今为止所做的唯一分析是针对蜜罐中捕获的恶意软件,而且非常很难被发现。如果您感兴趣的话,我在我的文章中重点介绍了一些已知的反检测方法。
我想您会发现,除了文章中已经介绍的内容之外,您目前能做的事情确实不多。
答案2
使用iptables
:
sudo su
iptables -A OUTPUT -s 80.248.65.183 -j DROP
iptables -A INPUT -s 80.248.65.183 -j DROP
确保在重启后检查这些行是否已加载(例如在crontab
使用中@reboot
)。