DoS ["KERN0DAYS"] Private exploit botnet

B4ckdoor · 12 Ottobre 2014

EDIT.

And®e@ · 12 Ottobre 2014

Re: ["KERN0DAYS"] Private exploit botnet

Appena ho aperto la pagina l'antivirus mi ha detto "è stato rilevato malware"

- - - Updated - - -

è normale?

WE ARE LEGION · 12 Ottobre 2014

Re: ["KERN0DAYS"] Private exploit botnet

pacman94 ha detto:
Appena ho aperto la pagina l'antivirus mi ha detto "è stato rilevato malware"

- - - Updated - - -

è normale?

Si penso che l'antivirus rileva dei falsi/positivi.
Comunque adesso lo provo e vediamo come funziona

Santya95 · 12 Ottobre 2014

Mi puzza sta cosa..

#TheRunixx · 12 Ottobre 2014

Puzza un casino io non lo scaricherei

sheireen · 12 Ottobre 2014

cazzata mostruosa

AlphaAttack · 12 Ottobre 2014

Sono falsi positivi,nell'archivio non c'è traccia di un .exe

#TheRunixx · 12 Ottobre 2014

Non è una botnet

sheireen · 12 Ottobre 2014

e cosa c'è nell'archivio?? da me nemmeno scarica

RiperRotten · 12 Ottobre 2014

sheireen ha detto:
e cosa c'è nell'archivio?? da me nemmeno scarica

Il contenuto è questo qua:

http://i.imgur.com/9LFVOdq.png

@syscall, ho un problemino: ho aperto l'immagine, "newz.png", che da quanto ho capito c'ha bindato Shellbot.
Per il momento controllo i processi, dovrei preoccuparmi?

sheireen · 12 Ottobre 2014

Re: [&quot;KERN0DAYS&quot;] Private exploit botnet

si che è una botnet, scritta in gran parte in perl e nascosta male in un file con l'estensione di un'immagine.... lavora attraverso irc e si collega al server 107.150.45.138 sulla porta 1835 dove gira un server irc, ed il bot ci fa loggare al canale #Tangodown

- - - Updated - - -

per capire che cosa ha co binato ti basta lanciare netstat -tp, se hai un canale aperto verso quell'ip allora sei fregato, i processi che ti dovrebbero spuntare sono [bash] (che si chiude con un kill ben assestato) e cron (davvero difficile da estirpare), ma potrebbero essercene altri

- - - Updated - - -

soluzione temporanea al problema è un bel
iptables -A OUTPUT -s 107.150.45.138 -j DROP
iptables -A INPUT -s 107.150.45.138 -j DROP

ma al riavvio del co puter o al reset di iptables perdi la modofica tampone

RiperRotten · 12 Ottobre 2014

Re: [&quot;KERN0DAYS&quot;] Private exploit botnet

sheireen ha detto:
si che è una botnet, scritta in gran parte in perl e nascosta male in un file con l'estensione di un'immagine.... lavora attraverso irc e si collega al server 107.150.45.138 sulla porta 1835 dove gira un server irc, ed il bot ci fa loggare al canale #Tangodown

per capire che cosa ha co binato ti basta lanciare netstat -tp, se hai un canale aperto verso quell'ip allora sei fregato, i processi che ti dovrebbero spuntare sono [bash] (che si chiude con un kill ben assestato) e cron (davvero difficile da estirpare), ma potrebbero essercene altri

Ok, ti ringrazio.
Fortunatamente gli unici processi che ho sono di Firefox, ma per sicurezza setterò a dovere iptables

text · 12 Ottobre 2014

Re: ["KERN0DAYS"] Private exploit botnet

Visto che nell'archivio ci stava un virus vero e proprio e non solo sorgenti, chiudo e aspetto l'intervento di un supermoderatore.

Cerca

DoS ["KERN0DAYS"] Private exploit botnet

B4ckdoor

And®e@

WE ARE LEGION

Santya95

#TheRunixx

sheireen

AlphaAttack

#TheRunixx

sheireen

RiperRotten

sheireen

RiperRotten

text

DISCUSSIONI SIMILI