Перейти к содержимому


Фото
- - - - -

Угроза Linux.Mirai1483


  • Закрыто Тема закрыта
59 ответов в этой теме

#41 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 281 Сообщений:

Отправлено 09 Июль 2018 - 22:01

я один не могу в логе найти детектов? :( это какое то проклятое место. в продукте не понять кто качал, смех и грех. добавлю детекты в системный эвентлог.

 

netfilter.log - на 1.5 Гига...при открытии (не хватка памяти), и не посмотреть что там.

 

 

Что ловим семплы это хорошо, но я IP тоже оформил.

 

drweb.com #8265548 - Form submitted - parental control


Сообщение было изменено Dmitry Shutov: 09 Июль 2018 - 22:03


#42 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 359 Сообщений:

Отправлено 09 Июль 2018 - 22:06

в логе отражено 3 минуты работы, 22:30:54 - 22:33:33 и в этом периоде нет детектов
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#43 SergSG

SergSG

    The Master

  • Posters
  • 11 072 Сообщений:

Отправлено 09 Июль 2018 - 22:10

добавлю детекты в системный эвентлог.

Заспамите еще и этим. И так в системных эвентах один Доктор. Лучше уж отдельный лог для детектов сделать.



#44 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 359 Сообщений:

Отправлено 09 Июль 2018 - 22:14

добавлю детекты в системный эвентлог.

Заспамите еще и этим. И так в системных эвентах один Доктор. Лучше уж отдельный лог для детектов сделать.

у нас свой журнал, что тебя смущает?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#45 SergSG

SergSG

    The Master

  • Posters
  • 11 072 Сообщений:

Отправлено 09 Июль 2018 - 22:20

 

 

добавлю детекты в системный эвентлог.

Заспамите еще и этим. И так в системных эвентах один Доктор. Лучше уж отдельный лог для детектов сделать.

 

у нас свой журнал, что тебя смущает?

 

Свой фиг с ним, я понял что в системный.



#46 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 359 Сообщений:

Отправлено 09 Июль 2018 - 22:21

добавлю детекты в системный эвентлог.

Заспамите еще и этим. И так в системных эвентах один Доктор. Лучше уж отдельный лог для детектов сделать.

у нас свой журнал, что тебя смущает?

Свой фиг с ним, я понял что в системный.

в системный в смысле в виндовый эвентлог, само собой в Doctor Web
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#47 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 10 Июль 2018 - 08:15

 

 

Спасибо за информацию. Передам ее разработчикам эмулятора.


#48 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 801 Сообщений:

Отправлено 10 Июль 2018 - 13:30

Покажите вывод "netstat -a" с виндовой консоли.



#49 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 10 Июль 2018 - 19:51

Покажите вывод "netstat -a" с виндовой консоли.

Но здесь не работает блюстак, я его весь день не запускал и ни одной атаки.

Прикрепленные файлы:


Сообщение было изменено NekoPower: 10 Июль 2018 - 19:54


#50 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 801 Сообщений:

Отправлено 10 Июль 2018 - 19:55

 

Покажите вывод "netstat -a" с виндовой консоли.

 

 

Хм, а эмулятор в этот момент работал?



#51 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 10 Июль 2018 - 19:55

 

 

Покажите вывод "netstat -a" с виндовой консоли.

 

 

Хм, а эмулятор в этот момент работал?

 

нет, дописал там. Надо запустить?



#52 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 801 Сообщений:

Отправлено 10 Июль 2018 - 19:57

 

 

 

Покажите вывод "netstat -a" с виндовой консоли.

 

 

Хм, а эмулятор в этот момент работал?

 

нет, дописал там. Надо запустить?

 

 

Да и потом заново выполнить netstat -a.



#53 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 10 Июль 2018 - 20:04

Вот с рабочим, но атак пока никаких не было.

Прикрепленные файлы:


Сообщение было изменено NekoPower: 10 Июль 2018 - 20:05


#54 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 801 Сообщений:

Отправлено 10 Июль 2018 - 20:14

Полагаю, если прикроете 5555 порт от интернета, то трой скачиваться больше не будет (при условии, что образ на эмуле чист).



#55 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 10 Июль 2018 - 20:16

Полагаю, если прикроете 5555 порт от интернета, то трой скачиваться больше не будет (при условии, что образ на эмуле чист).

Образ скачивал с офф сайта, там в принципе не должно быть) ох, протестил на другом сайте. там открыт написано, ну щас закрою)

Прикрепленные файлы:


Сообщение было изменено NekoPower: 10 Июль 2018 - 20:17


#56 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 10 Июль 2018 - 20:21

Прикрыл, но атак никаких и не было до сих пор, может уже разрабы эмулятора нашли и прикрыли эту дыру)

Прикрепленные файлы:



#57 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 801 Сообщений:

Отправлено 10 Июль 2018 - 20:31

Прикрыл, но атак никаких и не было до сих пор, может уже разрабы эмулятора нашли и прикрыли эту дыру)

 

Никакой дыры нет. Существует несколько ботнетов, которые сканят интернет на наличие открытого adb порта (5555) и при обнаружении такового, инфицируют устройство.

 

В вашем случае попался линуксовый ботнет основанный на сорцах Mirai.


Сообщение было изменено Ivan Korolev: 10 Июль 2018 - 20:31


#58 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 10 Июль 2018 - 20:33

 

Прикрыл, но атак никаких и не было до сих пор, может уже разрабы эмулятора нашли и прикрыли эту дыру)

 

Никакой дыры нет. Существует несколько ботнетов, которые сканят интернет на наличие открытого adb порта (5555) и при обнаружении такового, инфицируют устройство.

 

В вашем случае попался линуксовый ботнет основанный на сорцах Mirai.

 

окей, а почему же он тогда пытался проникнуть именно во время работы эмулятора? И какие ещё тогда порты следует прикрыть, а то мало ли) 



#59 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 801 Сообщений:

Отправлено 11 Июль 2018 - 08:39

 

 

Прикрыл, но атак никаких и не было до сих пор, может уже разрабы эмулятора нашли и прикрыли эту дыру)

 

Никакой дыры нет. Существует несколько ботнетов, которые сканят интернет на наличие открытого adb порта (5555) и при обнаружении такового, инфицируют устройство.

 

В вашем случае попался линуксовый ботнет основанный на сорцах Mirai.

 

окей, а почему же он тогда пытался проникнуть именно во время работы эмулятора? И какие ещё тогда порты следует прикрыть, а то мало ли) 

 

 

Да потому что это эмулятор слушает порт 5555, чтобы вы могли отлаживать свои приложения через adb. 



#60 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 12 Июль 2018 - 19:43

Думаю, можно закрывать тему, атаки больше не наблюдаются, только в тот день и были.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых