Resultados 1 al 7 de 7

Tema: malware tengo un problema de virus.

  1. #1

    Predeterminado malware tengo un problema de virus.

    Hola a todos, tengo problemas en el PC las cosas no van como deben ir, porlo que deduzco que tengo un trollano. virus, malware, por lo tanto eintentado instalar ClamAV y Maldet.
    Buenoaqui comenzó mi devenir de manual en manual ClamAV me costo un pocopero encontré un manual y creo que lo tengo, ahora bien maldet (metiene ami) los manuales, complicaitos, solo estan de acuerdo en queel archivo conf.maldet las dos primeras lineas de comandoemail-alert: (1) y mail-addr: (tu correo) el resto un manual diceblanco el otro negro y son entre 30 y 40 linias de comando.
    Elcaso es que de un manual y otro saque uno de aqui dos de alla los queme parecieron mas razonables, claro que con mi ingles de osflo y eltraductor googles no se que e consegui.
    creoque tengo en el primero 22 malware pero no se si los tengo aun o siestan en cuarentena
    la2|ª creo que marca 15 pero tambien en cuarentena.
    Yose que me costaria solucionar el problema, y me encuentro que no seleer el resultado del escaner, llevo 10 dias con manuales y e doycuenta de que no se solucionarlo. lo intente pero nivel deconocimiento es muy bajo por lo que les pido ayuda es te el elarchivo que resulto del 1º escaner.


    HOST:bocus-G41M-Combo
    SCAN ID: 200124-2141.21649
    STARTED: ene 242020 21:41:33 +0100
    COMPLETED: ene 24 2020 23:01:13+0100
    ELAPSED: 4780s [find: 65s]
    PATH: /
    TOTAL FILES:223036
    TOTAL HITS: 22
    TOTAL CLEANED: 0
    FILE HITLIST:
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php :/home/bocus/maldetect-1.6.4/files/sigs/rfxn.ndb=>
    /usr/local/maldetect/pub/bocus/quar/rfxn.ndb.613524759
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/md5v2.dat=>
    /usr/local/maldetect/pub/bocus/quar/md5v2.dat.195984637
    {HEX}php.gzbase64.inject.452: /home/bocus/maldetect-1.6.4/files/sigs/rfxn.yara=>
    /usr/local/maldetect/pub/bocus/quar/rfxn.yara.2749126753
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/md5.dat=>
    /usr/local/maldetect/pub/bocus/quar/md5.dat.3252928675
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/hex.dat=>
    /usr/local/maldetect/pub/bocus/quar/hex.dat.421423467
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/rfxn.hdb=>
    /usr/local/maldetect/pub/bocus/quar/rfxn.hdb.178088332
    {HEX}php.gzbase64.inject.452: /home/bocus/maldetect-1.6.4/files/clean/gzbase64.inject.unclassed=>
    /usr/local/maldetect/pub/bocus/quar/gzbase64.inject.unclassed.2919916218
    {HEX}php.gzbase64.inject.452: /home/bocus/.local/share/Trash/files/maldetect-current.tar.gz.2=>
    /usr/local/maldetect/pub/bocus/quar/maldetect-current.tar.gz.2.2750121051
    {HEX}php.gzbase64.inject.452: /home/bocus/.local/share/Trash/files/maldetect-current.tar.gz.1=>
    /usr/local/maldetect/pub/bocus/quar/maldetect-current.tar.gz.1.174861696
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/.clamtk/history/ene-23-2020.log=>
    /usr/local/maldetect/pub/bocus/quar/ene-23-2020.log.3065118876
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/.clamtk/history/ene-24-2020.log=>
    /usr/local/maldetect/pub/bocus/quar/ene-24-2020.log.11216945
    {HEX}php.gzbase64.inject.452: /home/bocus/maldetect-current.tar.gz=>
    /usr/local/maldetect/pub/bocus/quar/maldetect-current.tar.gz.91102476
    {YARA}php_malware_hexinject:/usr/src/linux-headers-4.15.0-74-generic/arch/x86/purgatory/kexec-purgatory.c=>
    /usr/local/maldetect/pub/bocus/quar/kexec-purgatory.c.1060922249
    {YARA}php_malware_hexinject:/usr/src/linux-headers-4.15.0-20-generic/arch/x86/purgatory/kexec-purgatory.c=>
    /usr/local/maldetect/pub/bocus/quar/kexec-purgatory.c.2652223135
    {YARA}r57shell_php_php: /usr/sbin/chkrootkit =>/usr/local/maldetect/pub/bocus/quar/chkrootkit.785225705
    {YARA}obfuscated_eval:/usr/lib/thunderbird-addons/extensions/{e2fda1a4-762b-4020-b5ad-a41df1933103}.xpi=>
    /usr/local/maldetect/pub/bocus/quar/{e2fda1a4-762b-4020-b5ad-a41df1933103}.xpi.2040512297
    {YARA}r57shell_php_php: /var/log/syslog =>/usr/local/maldetect/pub/bocus/quar/syslog.23985484
    {YARA}r57shell_php_php: /var/log/clamav/clamav.log =>/usr/local/maldetect/pub/bocus/quar/clamav.log.300632906
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /var/mail/bocus =>/usr/local/maldetect/pub/bocus/quar/
    bocus.145016189
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /var/lib/clamav/rfxn.ndb=>
    /usr/local/maldetect/pub/bocus/quar/rfxn.ndb.2963511229
    {HEX}php.gzbase64.inject.452: /var/lib/clamav/rfxn.yara=>
    /usr/local/maldetect/pub/bocus/quar/rfxn.yara.2957923046
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /var/lib/clamav/rfxn.hdb=>
    /usr/local/maldetect/pub/bocus/quar/rfxn.hdb.247504769
    ===============================================
    LinuxMalware Detect v1.6.4 <
    proj@rfxn.com >

    Supongo que esta mal configurado el archivo " conf.maldet " pero al menos se que tengo los virus, pero como los elimino sin dejar secuelas en mi PC.
    Gracias por buestra ayuda

  2. #2

    Predeterminado Re: malware tengo un problema de virus.

    Creo que maldet es más para usuarios avanzados y es bastante complicado que alguien lo resuma y luego se entienda.

    Sólo voy a comentarte 2 cosas por si te interesan.

    En ese log que pones parece que envío archivos sospechosos a la cuarentena pero no eliminó nada.

    Si quieres enviar a cuarentena y que automáticamente intente limpiar las infecciones tienes que poner en el archivo de configuración:

    Primero

    quarantine_hits ponerlo a 1

    quarantine_clean ponerlo a 1

    Si antes utilizaste únicamente quarantine_hits con valor 1 pero el quarantine_clean lo usaste con valor 0, para intentar limpiarlos tras mandarlos a cuarentena tendrías que hacer un

    maldet –clean SCANID

    ó según qué distros

    sudo maldet –clean SCANID

    donde SCANID es un dato del informe del análisis

    OJO, si pones esos 2 valores a 1 y haces un análisis yo no me hago responsable de los archivos que se cargue . Ten en cuenta que está pensado para CentOS (y similares Red Hat, ..) aunque lo puedes usar en Debian, derivados,...

    PD1: si escribes un poco mejor se entenderá todo mejor

    PD2: si prefieres esperar a alguien que maneje bien Linux ... porque yo hace años que no lo toco salvo en contadas ocasiones

    Un saludo.
    Última edición por erchinchetas; 31/01/2020 a las 15:14

  3. #3

    Predeterminado Re: malware tengo un problema de virus.

    Buenas, bien podrían ser falsos positivos, me inclinaría más por otro tipo de problemas, ¿lo que tienes es lentitud en general? ¿o publicidad en los navegadores? Siempre tienes htop o similares para ver los procesos que están corriendo y ver si consumen mucha cpu/ram.

    Saludos
    "Azar es el nombre científico de la ignorancia."
    MUY IMPORTANTE Lee el REF Lee las normas|ESCANEOS Y MÁS ONLINE GRATUITOS|Protocolo de desinfección
    En este subforo hay una COMPARATIVA DE ANTIVIRUS Y CORTAFUEGOS, donde se discuten esos temas. Entra al CHAT

  4. #4

    Predeterminado Re: malware tengo un problema de virus.

    Cita Iniciado por zagloj Ver mensaje
    Buenas, bien podrían ser falsos positivos, me inclinaría más por otro tipo de problemas, ¿lo que tienes es lentitud en general? ¿o publicidad en los navegadores? Siempre tienes htop o similares para ver los procesos que están corriendo y ver si consumen mucha cpu/ram. Saludos
    Yo ni me paré a revisar el informe, sólo la parte superior del resumen pero no me extrañaría nada lo que dices, sobre todo si como dice, instaló ClamAV previamente y le dio la orden en el archivo de configuración de utilizar "adicionalmente" el motor de ClamAV y sus bases de virus.

    Lo que podría hacer es una comparación de estos 3 casos:

    - analizar sólo con ClamAV
    - desinstalar ClamAV o no dar la instrucción de usarlo en el archivo de configuración de maldet, y así usar sólo maldet y sus definiciones
    - usar ClamAV dando la orden en el archivo de configuración de maldet y así usarlo adicionalmente, su motor y bases, junto con maldet

    Y una vez haya hecho los 3 casos comparar los 3 informes, para saber qué detecciones hace uno y otro y en conjunto, porque bien podrían ser falsos positivos de ClamAV, lo cual tampoco es muy raro.

    Un saludo.

  5. #5
    El señor de los forillos Avatar de el_angel_caido
    Ubicación
    En un lugar de Asturias de cuyo nombre no quiero acordarme...
    Edad
    45
    Mensajes
    4,716

    Predeterminado Re: malware tengo un problema de virus.

    Hola.

    Lo primero decir que lo que a mí me ha fallado es el traductor, no de inglés, si no de castellano del post inicial del hilo...

    Luego, sin idea de la existencia de ese programa, el Maldet, lo he instalado en una instalación limpia de Xubuntu, junto con el ClamAV, y, siendo lo que me suponía al ver el reporte de este hilo, me ha detectado y metido en cuarentena los archivos de firmas del propio Maldet. Es decir:
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php :/home/bocus/maldetect-1.6.4/files/sigs/rfxn.ndb=>/usr/local/maldetect/pub/bocus/quar/rfxn.ndb.613524759
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/md5v2.dat=>/usr/local/maldetect/pub/bocus/quar/md5v2.dat.195984637
    {HEX}php.gzbase64.inject.452: /home/bocus/maldetect-1.6.4/files/sigs/rfxn.yara=>/usr/local/maldetect/pub/bocus/quar/rfxn.yara.2749126753
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/md5.dat=>/usr/local/maldetect/pub/bocus/quar/md5.dat.3252928675
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/hex.dat=>/usr/local/maldetect/pub/bocus/quar/hex.dat.421423467
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/maldetect-1.6.4/files/sigs/rfxn.hdb=>/usr/local/maldetect/pub/bocus/quar/rfxn.hdb.178088332
    {HEX}php.gzbase64.inject.452: /home/bocus/maldetect-1.6.4/files/clean/gzbase64.inject.unclassed=>/usr/local/maldetect/pub/bocus/quar/gzbase64.inject.unclassed.2919916218
    {HEX}php.gzbase64.inject.452: /home/bocus/.local/share/Trash/files/maldetect-current.tar.gz.2=>/usr/local/maldetect/pub/bocus/quar/maldetect-current.tar.gz.2.2750121051
    {HEX}php.gzbase64.inject.452: /home/bocus/.local/share/Trash/files/maldetect-current.tar.gz.1=>/usr/local/maldetect/pub/bocus/quar/maldetect-current.tar.gz.1.174861696
    {HEX}php.gzbase64.inject.452: /home/bocus/maldetect-current.tar.gz=>/usr/local/maldetect/pub/bocus/quar/maldetect-current.tar.gz.91102476
    {HEX}php.gzbase64.inject.452: /home/bocus/maldetect-current.tar.gz=>/usr/local/maldetect/pub/bocus/quar/maldetect-current.tar.gz.91102476
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /var/lib/clamav/rfxn.ndb=>/usr/local/maldetect/pub/bocus/quar/rfxn.ndb.2963511229
    {HEX}php.gzbase64.inject.452: /var/lib/clamav/rfxn.yara=>/usr/local/maldetect/pub/bocus/quar/rfxn.yara.2957923046
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /var/lib/clamav/rfxn.hdb=>/usr/local/maldetect/pub/bocus/quar/rfxn.hdb.247504769
    son falsos positivos. De hecho, y pudiendo equivocarme, son detectados por el motor de ClamAV, ya que un análisis con éste también detecta esos archivos como infectados.

    Por otra parte, curioso también que el archivo de log del ClamAV sea detectado como malicioso, en concreto el generado por el GUI del antivirus, clamtk:
    YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/.clamtk/history/ene-23-2020.log=>/usr/local/maldetect/pub/bocus/quar/ene-23-2020.log.3065118876
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /home/bocus/.clamtk/history/ene-24-2020.log=>/usr/local/maldetect/pub/bocus/quar/ene-24-2020.log.11216945
    Como he dicho, siendo la primera vez que pruebo el Maldet, creo que estos resultados son también falsos positivos.

    Lo siguiente, si las cabeceras se han instalado del repo oficial, no debería ser tampoco una infección:
    {YARA}php_malware_hexinject:/usr/src/linux-headers-4.15.0-74-generic/arch/x86/purgatory/kexec-purgatory.c=>/usr/local/maldetect/pub/bocus/quar/kexec-purgatory.c.1060922249
    {YARA}php_malware_hexinject:/usr/src/linux-headers-4.15.0-20-generic/arch/x86/purgatory/kexec-purgatory.c=>/usr/local/maldetect/pub/bocus/quar/kexec-purgatory.c.2652223135
    Ya que kexec parece ser una parte legítima del kernel de Linux (y he mirado tanto en Manjaro (basada en Arch) como en Xubuntu, y aparecen partes nombrando a kexec y a purgatory en las correspondientes carpetas de las cabeceras).

    Y ésto, si de nuevo ha sido instalado de una fuente fiable (un repo oficial), tiene toda la pinta de ser otro falso positivo:
    {YARA}r57shell_php_php: /usr/sbin/chkrootkit =>/usr/local/maldetect/pub/bocus/quar/chkrootkit.785225705
    Vamos, que marca como infectado al ejecutable del chkrootkit...

    {YARA}obfuscated_eval:/usr/lib/thunderbird-addons/extensions/{e2fda1a4-762b-4020-b5ad-a41df1933103}.xpi=>/usr/local/maldetect/pub/bocus/quar/{e2fda1a4-762b-4020-b5ad-a41df1933103}.xpi.2040512297
    Ésto, buscando por el archivo xpi, tiene toda la pinta de ser el Lighnting Calendar para el Thunderbird, que, de nuevo, si se ha instalado de la fuente original, en principio, no debería ser malo.
    Decir que en mi caso me ha "limpiado" algo del Firefox, y repito, es una instalación limpia, sin complementos ni nada en el navegador.

    Y lo siguiente, salvo trampa, parecen ser sólo logs del sistema:
    {YARA}r57shell_php_php: /var/log/syslog =>/usr/local/maldetect/pub/bocus/quar/syslog.23985484
    {YARA}r57shell_php_php: /var/log/clamav/clamav.log =>/usr/local/maldetect/pub/bocus/quar/clamav.log.300632906
    Hombre... habría que mirar los permisos y los atributos... si un log tiene marcado el atributo de ejecutable... pues igual sí es para sospechar, pero lo dudo, que no lo aseguro. Y mirar su contenido con un editor, claro está.

    Y por último, tenemos la carpeta del correo del usuario local bocus:
    {YARA}Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der _php: /var/mail/bocus =>/usr/local/maldetect/pub/bocus/quar/bocus.145016189
    Pues aquí no se, podría haber algo raro, sobre todo si tenemos un correo con un adjunto o contenido malicioso... claro que habría que saber si se usa sólo para correos locales o se tiene un servidor de correo con dominio en Internet.
    También se me ocurre que se esté usando algún complemento o aplicación para leer el correo electrónico, no se, algún complemento para Wordpress o algún cliente de correo como RoundCube, SquirreMail o similar, y que no esté correctamente protegido.

    Es más, también creo que dependerá mucho de lo que se use ese equipo, si es un servidor Web, de correo o de otra cosa, si está o no expuesto a Internet (si es un VPS ya se puede adelantar que sí está expuesto), y de más factores.

    Pero, en principio, y dentro de mi desconocimiento en ese programa, yo diría que el reporte sólo muestra falsos positivos, y que si se nota algo raro en el rendimiento del equipo, como ha mencionado zagloj, habría que mirar otras cosas.

    En este artículo, en los comentarios, se recomienda usar Maldet sólo como detector, no dejarlo en modo limpieza, y que cada uno investigue y decida qué archivos son peligrosos y cuales no.

    Normalmente, o eso creo, los problemas con ataques e infecciones a servidores Linux suelen producirse por el servicio web, en especial a través de plugins de Wordpress, por ejemplo, aunque, por supuesto, puede haber otras vías de entrada.
    Pero si no es lo anterior y no se ha "invitado" a entrar al "bicho" (por ejemplo ejecutando algo como root sin tener certeza de la fiabilidad del origen) y se han usado fuentes oficiales... en principio, y sin bajar la guardia, yo diría que el servidor tiene muchas posibilidades de estar limpio.

    Un saludo.
    Dios es ateo, no cree en mí.

  6. #6

    Predeterminado Re: malware tengo un problema de virus.

    ClamAV haciendo de las suyas.

    Por eso decía que era mejor hacer primero un análisis sólo con ClamAV y luego sólo con maldet, por ejemplo sin tener instalado ClamAV y así no hay que modificar nada, porque la configuración por defecto de maldet si detecta que está instalado ClamAV es que lo va a utilizar, tanto su motor como las firmas.

    Si uno hace esa comparación .... blanco y en botella, seguro, se ve todo más claro.

    Y tienes toda la razón, mejor no usar la limpieza salvo caso de necesidad o que se sepa lo que se está haciendo.

    Menuda currada, pasito a pasito, explicaste todo

    Y que no se me malinterprete.

    ClamAV es un buen antivirus, pero bien conocido por sus falsos positivos, lo cual no quita que maldet también los produzca de vez en cuando, aunque por el origen de obtención de las amenazas (orientadas a servidores) que detecta me parece más fiable en ese sentido.

    Y lo de que ClamAV detecte como amenazas algunas firmas de entre los archivos de maldet ........... tampoco es nuevo. De hecho, hay gente que recomienda excluir de los escaneos ciertos directorios de ClamAV y maldet para evitar estas historias entre ellos o incluso en ellos mismos

    https://ubuntuforums.org/showthread.php?t=2426424

    Teniendo en cuenta que cada vez que se detecta algo hay que estudiarlo antes de decidir ... no es una herramienta para usuarios no avanzados.

    Un saludo.
    Última edición por erchinchetas; 02/02/2020 a las 17:50

  7. #7

    Predeterminado Re: malware tengo un problema de virus.

    Sí, a mi también me parece que maldet es algo complicadillo para novatos. Suerte y ve comentando

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •