我的系统管理员通知我,我的 Ubuntu 16 PC 已被名为“Ganiw”的僵尸网络感染。互联网上的信息非常少,您能给我一些关于如何删除它的建议吗?
谢谢
答案1
在谷歌上找到的链接:Telus 安全实验室并深入分析安全列表。最后一个充满了暗示。后门被描述为(来自第一个链接)...
Backdoor.Linux.Ganiw.A 是一个针对 Linux 平台的后门和机器人代理。该恶意软件会联系远程服务器,识别自身并发送系统信息。此外,它还会接收控制命令,在受感染的系统上执行各种恶意活动。此外,该恶意软件还能够发起不同类型的 DoS 攻击。为了在系统重启后继续存在,它会在初始化目录“/etc/init.d”中添加一个条目。
由此你可以推断出两件事:
如果是“Backdoor.Linux.Ganiw.a (cupsdd)”:检查
/etc/init.d
执行此操作的文件。“恶意软件还会在 /etc/rc[1-5].1/S97DbSecuritySpt 中创建指向脚本的符号链接”。如果是“Backdoor.Linux.Ganiw.a (cupsddh)”,则“它会创建文件 /tmp/bill.lock,其中存储当前进程的 PID。cupsddh 将系统数据存储在结构 g_statBase 中,该结构与 cupsdd 使用的结构相同。”它还会检查“/usr/libamplify.so”,该文件包含配置(而不是库)(所有这些都来自第二个链接)。因此请检查这些文件。(大部分内容来自第二个链接)
检查您的传出连接(例如您的路由器日志)上可疑的传出连接。
我不同意另一个答案:不要让 clamav “修复”这个问题……如果你的系统上有这个问题,请重新安装它并恢复备份(并确认备份是干净的)。并获得一个比现在更好的密码:它有你的管理员密码,否则它无法安装/etc/
。
请确认您确实有这个后门。这是我第一次看到有人有这个后门 ;-)
答案2
也许 clamav 会检测并隔离该恶意软件,因为 Ganiw 自 2016 年 6 月左右就已存在于 clamav 库中:virustotal.com/en/file/69070048be6a27d5c9179f412aea9ef00d10ce8cdd99f881447335e15e464ec7/analysis/
可以在 apt 存储库中找到适用于 Ubuntu 的 ClamAV。在终端窗口中运行此命令来安装 ClamAV:
sudo apt-get install clamav
如果您想要安装 clamav 守护进程“clamd”在后台运行,您可能还需要输入:
sudo apt-get install clamav-daemon
欲了解更多信息,请点击此 clamav 网站页面上的“Ubuntu”链接:https://www.clamav.net/downloads#otherversions