Wie wahrscheinlich bereits bekannt ist, haben einige Hacker den Trojaner „HiddenWasp“ in die Linux-Welt gebracht.
Artikel von Intezer:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
Bisher habe ich nicht gesehen, was die ursprüngliche Ursache für eine Infektion ist und wie man sie verhindern kann, aber ich habe etwas über die Suche nach einem Benutzer gelesen "sftp", das vom Trojaner-Skript erstellt wird, und dann ein Blick hinein/etc/rc.localda es angeblich nur "Ausfahrt 0". Das Skript hängt offenbar etwas Code an diese Datei an.
Es gibt auch einen Hinweis zu suchen "ld.so" Dateien, die keine Zeichenfolge haben "/etc/ld.so.preload"
Sie erwähnen, dass eine Vorbeugung durch die Blockierung der auf der Artikelseite aufgeführten Command-and-Control-IP-Adressen möglich ist.
Wie blockiere ich bestimmte IP-Adressen?
Antwort1
Du würdestiptables konfigurieren(siehe die Dokumentation zu Ihrer spezifischen Distribution), um Verbindungen zu den in diesem Artikel beschriebenen IP-Adressen zu blockieren. Es ist jedoch wahrscheinlich, dass sich diese Command-and-Control-Adressen häufig ändern.
Es gibt auch Optionen wie die KonfigurationAppArmourfür die spezifische Distribution, die Sie verwenden, oder sicherheitsorientierte Desktop-Distributionen wieQubes-Betriebssystemdie Browser und andere Programme in einem eigenen Container ausführen, oder andere Sandboxing-Programme wieAbonnierenum möglicherweise eine Infektion zu verhindern. Da der Artikel jedoch darauf hinweist, dass der Angriffsvektor noch nicht bekannt ist, ist nicht sofort klar, wie man sich am besten gegen HiddenWasp verteidigt.