Как многие, вероятно, уже знают, какие-то хакеры выпустили в мир Linux троян «HiddenWasp».
Статья из Intezer:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
Пока я не видел, какова первопричина заражения и как это предотвратить, но я читал что-то о поиске пользователя.sftp" который создан троянским скриптом, а затем заглянув внутрь/etc/rc.localпоскольку предполагается, что он должен иметь только "выход 0". По-видимому, скрипт добавляет какой-то код в этот файл.
Также есть подсказка, которую нужно искать:ld.so" файлы, не имеющие строки "/etc/ld.so.preload"
Они отмечают, что предотвратить это можно путем блокировки IP-адресов командно-контрольных центров, подробно описанных на сайте статьи.
Как заблокировать определенные IP-адреса?
решение1
Ты бынастроить iptables(см. документацию вашего дистрибутива) для блокировки подключений к IP-адресам, указанным в этой статье, однако вполне вероятно, что эти адреса управления и контроля будут часто меняться.
Также есть такие опции, как настройкаAppArmourдля конкретного дистрибутива, который вы используете, или для настольных дистрибутивов, ориентированных на безопасность, таких какОС Qubesкоторые запускают браузеры и другие программы в своем собственном контейнере, или другие программы-песочницы, такие какnsjailОднако, поскольку в статье указано, что вектор атаки пока неизвестен, неясно, как лучше всего защититься от HiddenWasp.