Como la gente probablemente ya sabrá, algunos piratas informáticos lanzaron un troyano "HiddenWasp" en el mundo Linux.
Artículo de Intezer:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
Hasta ahora no he visto cuál es la causa inicial de infectarse y cómo prevenirlo, pero he leído algo sobre cómo buscar un usuario "ftp"que es creado por el script troyano y luego mira dentro/etc/rc.localya que se supone que solo debe tener "salir 0". Aparentemente, el script agrega algún código a ese archivo.
También hay una pista para buscar "ld.so"archivos que no tienen cadena"/etc/ld.so.precargar"
Mencionan que la prevención se puede realizar bloqueando las direcciones IP de comando y control que se detallan en el sitio del artículo.
¿Cómo bloqueo direcciones IP específicas?
Respuesta1
Lo haríasconfigurar iptables(consulte la documentación específica de su distribución) para bloquear las conexiones a las direcciones IP en ese artículo; sin embargo, es probable que estas direcciones de comando y control cambien con frecuencia.
También hay opciones como configurarArmadura de aplicacionespara la distribución específica que está utilizando, o distribuciones de escritorio centradas en la seguridad, comoSistema operativo Qubesque ejecutan navegadores y otros programas en su propio contenedor, u otros programas de espacio aislado comocárcelpara posiblemente prevenir la infección, sin embargo, dado que el artículo indica que aún no se conoce el vector de ataque, no está claro de inmediato cuál es la mejor manera de defenderse contra HiddenWasp.