Buenas tardes.

Hace un par de años fui víctima de Outlaw's

https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html

Ahora, desde hace un mes, con alguna variante, otra vez.

Se mete a través de la cuenta de una de mis hijas, se cuela en el
crontab, y a diferencia del anterior, crea la carpeta ~/.configrc5;
antes lo hacía en~./.configrc

La solución es tan fácil como desde root hacer
# killall -s 9 kswapd0 rsync
# rm -r /home/hija/.configrc5

y vaciar su crontab
# crontab -u isabella -e

Detectarlo, es fácil: en mi escritorio salta a la vista que usa el 100%
de 4 núcleos sin respiro.

Ahora la pregunta:

¿Alguien tiene idea de dónde se esconde el maldito gusano?

Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no encuentro un script o algo que lo lance.
Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021.

Saludos.

JAP

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El mié, 25 oct 2023 a las 12:35, JavierDebian (<javier.debian.bb.ar@gmail.com>) escribió:

Buenas tardes.

Hace un par de años fui víctima de Outlaw's

https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html

Ahora, desde hace un mes, con alguna variante, otra vez.

Se mete a través de la cuenta de una de mis hijas, se cuela en el
crontab, y a diferencia del anterior, crea la carpeta ~/.configrc5;
antes lo hacía en~./.configrc

La solución es tan fácil como desde root hacer
# killall -s 9 kswapd0 rsync
# rm -r /home/hija/.configrc5

y vaciar su crontab
# crontab -u isabella -e

Detectarlo, es fácil: en mi escritorio salta a la vista que usa el 100%
de 4 núcleos sin respiro.

Ahora la pregunta:

¿Alguien tiene idea de dónde se esconde el maldito gusano?

Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no encuentro un script o algo que lo lance.

Podria estar en la configuracion de arranque del escritorio, por eso
infecta a nivel usuario.

Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021.

Saludos.

JAP

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El 2023-10-25 a las 15:34 -0300, JavierDebian escribió:

Buenas tardes.

Hace un par de años fui víctima de Outlaw's

https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html

(...)

¿Alguien tiene idea de dónde se esconde el maldito gusano?

Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no encuentro un script o algo que lo lance.
Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021.

En la página que mandas de Trendmicro algo dicen:

****
Routine

Our data shows that the malware gains access to the system with
brute-force attacks via SSH and executes two possible command files.
Components of the file and routine appear similar to those of a
published entry, while our sample executed .x15cache, the bash script
that downloads the malware.

(...)

The shell script downloads, extracts, and executes the miner payload.
The extracted TAR file contains folders with scripts and the miner and
backdoor components.
****

También en esta otra de Microsoft que enlazan desde la anterior:

https://www.microsoft.com/en-us/security/blog/2019/05/23/uncovering-linux-based-cyberattack-using-azure-security-center/

****
After the initial successful SSH brute force compromise, the attacker
proceeds to download a first stage ‘tddwrt7s.sh’ script using utilities like ‘wget’ that delivers further payload to the host. Azure Security Center surfaces this behavior via a “Detected suspicious file
download” alert.

Post stage 1 download, the attacker executed the script to find ‘dota.tar.gz’ by enumerating multiple hosting URLs. Once a live hosting
IP was found, the second stage file gets delivered in directory ‘/tmp/.mountfs.’ Most of these exploitation and persistence techniques
are observed from the /tmp folder. In this case all activities were
tracked under /tmp/.mountfs and /tmp/.mountfs/.rsync directories.
Creating directories with a dot keeps the activity hidden from the user interface, a common technique used by attackers.
****

Saludos,

--
Camaleón

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El 26/10/23 a las 05:36, Camaleón escribió:

El 2023-10-25 a las 15:34 -0300, JavierDebian escribió:

Buenas tardes.

Hace un par de años fui víctima de Outlaw's

https://www.trendmicro.com/en_us/research/19/f/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor.html

(...)

¿Alguien tiene idea de dónde se esconde el maldito gusano?

Porque he revisado TODO (bashrc y los etcéteras que se les ocurran) y no
encuentro un script o algo que lo lance.
Y a nivel WEB, no encuentro nada nuevo, todo del 2020/2021.

En la página que mandas de Trendmicro algo dicen:

****
Routine

Our data shows that the malware gains access to the system with
brute-force attacks via SSH and executes two possible command files. Components of the file and routine appear similar to those of a
published entry, while our sample executed .x15cache, the bash script
that downloads the malware.

(...)

The shell script downloads, extracts, and executes the miner payload.
The extracted TAR file contains folders with scripts and the miner and backdoor components.
****

También en esta otra de Microsoft que enlazan desde la anterior:

https://www.microsoft.com/en-us/security/blog/2019/05/23/uncovering-linux-based-cyberattack-using-azure-security-center/

****
After the initial successful SSH brute force compromise, the attacker proceeds to download a first stage ‘tddwrt7s.sh’ script using utilities like ‘wget’ that delivers further payload to the host. Azure Security Center surfaces this behavior via a “Detected suspicious file
download” alert.

Post stage 1 download, the attacker executed the script to find ‘dota.tar.gz’ by enumerating multiple hosting URLs. Once a live hosting IP was found, the second stage file gets delivered in directory ‘/tmp/.mountfs.’ Most of these exploitation and persistence techniques are observed from the /tmp folder. In this case all activities were
tracked under /tmp/.mountfs and /tmp/.mountfs/.rsync directories.
Creating directories with a dot keeps the activity hidden from the user interface, a common technique used by attackers.
****

Saludos,

Estoy presumiendo que el problema vino por allí, que hace dos años me hackearon, y guardaron la clave en algún bot. Asociado a mi dirección No-IP.

Justamente, hace cosa de un par de meses, mi ISP me cambió el módem-router.

E hice una chambonada: dejé el puerto 22 abierto directo al 22 de la PC.
Ayer lo cambié a otro más alto que sólo tiene sentido para mí redireccionado a la PC.

Espero haya sido eso solamente.
Estoy verificando día a día.

JAP

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El día 26/10/2023, a las 13:16, JavierDebian escribió:

Estoy presumiendo que el problema vino por allí, que hace dos años me hackearon, y guardaron la clave en algún bot. Asociado a mi dirección No-IP.

Justamente, hace cosa de un par de meses, mi ISP me cambió el módem-router.

E hice una chambonada: dejé el puerto 22 abierto directo al 22 de la PC. Ayer lo cambié a otro más alto que sólo tiene sentido para mí redireccionado
a la PC.

Cambiar a un puerto interno diferente si sigues dejando abierto el 22 afuera
no soluciona nada, es igual de inseguro que antes.

En realidad abrir cualquier puerto es inseguro, es como no cerrar la puerta
de casa.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)