人們現在可能已經知道,一些駭客向 Linux 世界發布了一個木馬「HiddenWasp」。
文章來自 Intezer:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
到目前為止,我還沒有看到被感染的最初原因是什麼以及如何預防它,但我讀過一些關於尋找用戶的內容“sftp” 這是木馬腳本創建的,然後往裡面看/etc/rc.local因為它應該只有“出口0」。該腳本顯然將一些程式碼附加到該文件中。
還有一個提示可以找「ld.so“沒有字串的檔案”/etc/ld.so.preload」
他們提到可以透過阻止文章網站上詳細介紹的命令和控制 IP 位址來實現預防。
如何屏蔽特定 IP 位址?
答案1
你會設定iptables(請參閱您的特定發行版文件)以阻止與該文章中的 IP 位址的連接,但是這些命令和控制位址可能會經常變更。
還有一些選項,例如配置應用裝甲對於您正在使用的特定發行版,或專注於安全的桌面發行版,例如Qubes作業系統在自己的容器中執行瀏覽器和其他程序,或其他沙箱程序,例如恩賈爾可能會防止感染,但由於文章表明攻擊媒介尚不清楚,因此尚不清楚防禦 HiddenWasp 的最佳方法。