大家现在可能已经知道,一些黑客向 Linux 世界发布了一种木马“HiddenWasp”。
文章来自 Intezer:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
到目前为止,我还没有看到被感染的最初原因是什么以及如何预防它,但我读过一些关于寻找用户的内容“sftp” 这是木马脚本创建的,然后往里面看/etc/rc.local因为它应该只有“出口0”。该脚本显然将一些代码附加到该文件中。
还有一个提示可以寻找“ld.so“没有字符串的文件”/etc/ld.so.preload”
他们提到可以通过阻止文章网站上详细介绍的命令和控制 IP 地址来进行预防。
如何屏蔽特定 IP 地址?
答案1
你会配置iptables(请参阅您的特定发行版文档)以阻止与该文章中的 IP 地址的连接,但是这些命令和控制地址可能会经常更改。
还有一些选项,例如配置应用装甲对于您正在使用的特定发行版,或注重安全的桌面发行版,例如Qubes操作系统在自己的容器中运行浏览器和其他程序,或其他沙箱程序,例如恩贾尔可能会防止感染,但由于文章表明攻击媒介尚不清楚,因此尚不清楚防御 HiddenWasp 的最佳方法。