Hilfe!!! mit "HEUR:Backdoor.Java.Agent.a" infiziert

Labtom · 11 Dez. 2014

Hallo zusammen,
habe mich wohl mit dem bot "HEUR:Backdoor.Java.Agent.a" infiziert. Benutze opensues 12.2. Aufgefallen ist es mir, da meine Prozessor Last etwas höher war als normal. im Syem-monitor sah ich wie root ständig sinnlos Befehle wie "whoami", "ls", "netstat" ausführte. Mit einer Prozessorlast von 40%. "Killen" half auch nichts. Es startete sich ein anderer Befehl, der wieder sinnlos Last Produzierte. Als ich mit "iftop" mal meinen traffic ansah, sah ich, dass ich innerhalb von Minuten (!) mehrere Gb an verschiedenste ips schickte. Konnte schließlich einen dienst in /etc/int.d finden der das verursachte. Ich deaktevierte ihn und prompt war ein neuer dienst da (unter anderem Namen) der das gleiche machte. Diese Dienste waren auch für diese Befehle mit der hohen Systemlast verantwortlich. Der Name des dienstes war immer eine sinnlose Zeichenfolge wie "yuhcsmn". Googln half nichts. Nach etwas längerer recherche fand ich dann heraus, dass ich mir wohl HEUR:Backdoor.Java.Agent.a ins Haus geholt hab. durch meine alte Java Version. Alles deutet auf diesen bot hin.

Wie werde ich ihn wieder los? Die Suchmaschinen spucken nur was für Windows raus. Bitte helft mir!

Danke

Grüße
Tom

Jägerschlürfer · 11 Dez. 2014

da dieser Virus mit DDoS Angriffen in Verbindung gebracht wird, solltest du schnell handeln und den Rechner vom Netz nehmen.

Wie man den Virus entfernt kann ich dir leider nicht sagen, aber ich rate dir denRechner neu zu installieren!

Anbei noch ein Link der Produktlebensdauer der einzelnen Opensuse Versionen.
https://de.opensuse.org/Produktlebensdauer

Deine Version, bekommt seit 27.01.2014 keine Updates mehr,...

Labtom · 12 Dez. 2014

Sophos findet ihn nicht...
scanne nun mit clamav...

Labtom · 12 Dez. 2014

clamav findet ihn auch nicht.....

marce · 12 Dez. 2014

Du scannst aber auch von einem vertrauenswürdigen Dritt-System (z.B. mit desinfec't) aus, also nicht "online auf dem befallenen System"?

manzek · 12 Dez. 2014

Soviel zum Thema veraltete Distributionen:

DDoS-Angriff via Java-Sicherheitslücke
Unter dem Titel "HEUR:Backdoor.Java.Agent.a" nistet sich der Java-Bot dabei auf allen Geräten ein, auf denen nicht das von Oracle im Juni 2013 veröffentlichte Sicherheits-Update ausgeführt wurde und nutzt dabei eine Lücke der Vorgängerversion aus, um in das System zu gelangen. Unter Windows-Nutzern verschafft sich der Schädling dabei direkten Zugang in die Registry, auf Mac- und Linux-Rechnern wiederum zum Framework "launchd" und trägt die entsprechende Schadsoftware im Verzeichnis "/etc/init.d" ein.

Quelle: http://www.chip.de/news/Java-Malware-Bot-infiziert-Windows-Mac-und-Linux_66860390.html

Labtom · 12 Dez. 2014

marce schrieb:
Du scannst aber auch von einem vertrauenswürdigen Dritt-System (z.B. mit desinfec't) aus, also nicht "online auf dem befallenen System"?

Hab bis jetzt alles direkt vom befallenen System scanen lassen... Als nächstes wollt ich eine rescue disc booten. Hat jemand gute Erfahrungen Empfehlungen für Rescue Discs, die auch Linux Betriebssysteme von bots befreien können? Die meisten sind eher für Windows Maschinen gedacht... Desinfect gibt nicht online oder?

Danke
Grüße
Tom

harley · 12 Dez. 2014

Hallo Tom,

hast Du jemanden in Deinem Bekanntenkreis, der regelmäßig die c't liest und auch aufbewahrt? In Heft 12/2014 gab es die aktuelle Desinfec't. Wenn nicht, kannst Du auch .:hier:. das Heft bestellen.

Bei dem Alter Deines Systems würde ich aber empfehlen: Reiß die Hütte ab und baue etwas neues. Wenn der Holzwurm erst einmal drin ist, hast Du mehr Arbeit mit dem Beseitigen, als mit dem Neubau. Oder was spricht von Deiner Seite dagegen?

Michael :-D

Labtom · 13 Dez. 2014

So hab mal Kaspersky Rescue Disc gebootet. Und offline vom System gescannt. 3 Dateien wurden gefunden (Heur......). Undzwar in /home/labtom/.java/cache/...
Hab sie gelöscht.
Neustart...
Gleiches Probelm...
Dachte ich mir schon... Glaub das sind bloß die Dateien gewesen mit denen der bot aufs System ist. Der muss doch irgendwo auf meine "/" Partition sein, oder? Ich hab "home" nämlcih auf einer seperaten Partition...

Blöd wer wenn meine Home-Partition betroffen wär. Dort sind nämlcih sensible Daten drauf, die ich zwar gebackupt hab aber warscheinlich dann mit bot! Was meint ihr?

Grüße
Tom

Jägerschlürfer · 13 Dez. 2014

Ich bin immer noch für neu installieren,...

Je nachdem was für dich wichtige Daten sind, musst du halt prüfen, ob diese befallen sind. Wenn es sich um Dokumente und Bilder handelt, gehe ich nicht davon aus, dass diese befallen sind.

gehrke · 13 Dez. 2014

Jägerschlürfer schrieb:
Ich bin immer noch für neu installieren,...

Ja klar, alles andere ist indiskutabel. Aber dann bitte auf ein System updaten, welches noch supported wird. Bei Verwendung eines Alt-Systems wie OpenSUSE 12.2 sollte man sich über Infektionen nicht lange wundern.

P6CNAT · 14 Dez. 2014

Hallo,

manzek schrieb:
Quelle: http://www.chip.de/news/Java-Malware-Bot-infiziert-Windows-Mac-und-Linux_66860390.html

ich dachte immer, Java würde im Kontext des Users ausgeführt. Wenn sich der Schädling in /etc/init.d einnistet, kann er ja offensichtlich root Rechte erschleichen und überall rumsauen
Das ist keine gute Nachricht für Linux

Grüße
Georg

Labtom · 15 Dez. 2014

Update:
In der aktuellen Linux Welt war ne Rescue Disc drinnen mit Avira und Clamav. Habs nochmal durchlaufen lassen... Nichts...
Nun hab ich open Suse 13.2. Alles wieder in Ordnung... Hab nur die "/" Partition formatiert. "Home" hab ich erstmal nicht angerührt. Bot ist weg...

Wie der sich root rechte verschafft hat ist aber schon sehr erschreckend...

Danke für eure Tips.
Grüße
Tom

Freddie62 · 16 Dez. 2014

Deshalb sollte man sein System ja auch immer auf dem neuesten Stand halten, was nicht unbedingt heißt, daß man immer das Neueste haben muß. Allerdings sollte man, wenn der Support abläuft, zumindest auf eine Version umschwenken, die noch etwas länger supported wird. Ich hoffe, Du (und vielleciht auch andere) haben aus dieser Geschichte gelernt!

CU Freddie

Heinz-Peter · 16 Dez. 2014

Labtom schrieb:
habe mich wohl mit dem bot "HEUR:Backdoor.Java.Agent.a" infiziert. Benutze opensues 12.2. Aufgefallen ist es mir, da meine Prozessor Last etwas höher war als normal. im Syem-monitor sah ich wie root ständig sinnlos Befehle wie "whoami", "ls", "netstat" ausführte.

Du schreibst von Syem-monitor. Was ist das?

Grüße Heinz-Peter

Rainer Juhser · 16 Dez. 2014

Heinz-Peter schrieb:
Du schreibst von Syem-monitor. Was ist das?

Er meinte wahrscheinlich so etwas wie System-Monitor

Labtom · 18 Dez. 2014

Heinz-Peter schrieb:
Labtom schrieb:

habe mich wohl mit dem bot "HEUR:Backdoor.Java.Agent.a" infiziert. Benutze opensues 12.2. Aufgefallen ist es mir, da meine Prozessor Last etwas höher war als normal. im Syem-monitor sah ich wie root ständig sinnlos Befehle wie "whoami", "ls", "netstat" ausführte.

Zum Vergrößern anklicken....

Du schreibst von Syem-monitor. Was ist das?

Grüße Heinz-Peter

jo meinte System Monitor (htop)

Grüße
Tom

Jägerschlürfer · 5 Jan. 2015

in diesem Fall gibt bzw. gab es die Backdoor allerdings auch für Linux.
Ergo sollte man sein System immer up2date halten um solchen Problemen aus dem Weg zu gehen.

Hilfe!!! mit "HEUR:Backdoor.Java.Agent.a" infiziert

Labtom

Newbie

Jägerschlürfer

Moderator

Labtom

Newbie

Labtom

Newbie

marce

Guru

manzek

Hacker

Labtom

Newbie

harley

Hacker

Labtom

Newbie

Jägerschlürfer

Moderator

gehrke

Administrator

P6CNAT

Advanced Hacker

Labtom

Newbie

Freddie62

Guru

Heinz-Peter

Guru

Rainer Juhser

Moderator

Labtom

Newbie

Jägerschlürfer

Moderator