Hola  tod@s.

Acabo de recibir la noticia de un criptominero muy sofisticado que ataca servidores y sistemas linux, le llaman Shikitega.
He buscado el tema en las listas de Debian y no he visto nada, en
internet he encontrado bastante información pero relativo a prevención, detección y eliminación muy poca cosa.

Me gustaría poder sentirme seguro ante esto y poder certificar la
integridad de mis maquinas.

¿Algún consejo u orientación?

Muchas gracias.

Salud.

https://unaaldia.hispasec.com/2022/09/nuevo-malware-para-linux-elude-la-deteccion-mediante-un-despliegue-en-varias-fases.html

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

El 2022-09-10 a las 17:38 +0200, Juan Gómez "Txonta" escribió:

Acabo de recibir la noticia de un criptominero muy sofisticado que ataca servidores y sistemas linux, le llaman Shikitega.
He buscado el tema en las listas de Debian y no he visto nada, en internet
he encontrado bastante información pero relativo a prevención, detección y eliminación muy poca cosa.

Me gustaría poder sentirme seguro ante esto y poder certificar la integridad de mis maquinas.

¿Algún consejo u orientación?

Muchas gracias.

Salud.

https://unaaldia.hispasec.com/2022/09/nuevo-malware-para-linux-elude-la-deteccion-mediante-un-despliegue-en-varias-fases.html

Ayer lo leí en Hispasec, que sigo mediante RSS, pero sinceramente, no
entendí absolutamente nada :-)

Normalmente de estos anuncios de vulnerabilidades me fijo en el vector
de ataque (cómo entra el bicho en el sistema) y el rastro que deja una
vez dentro (para poder comprobar si el bicho está dentro) pero en este
caso no lo dice (o no he podido descifrarlo de la noticia), no sé si por desconocimiento porque no saben aún cómo logra acceder a los sistemas o
por cualquier otro motivo.

En fin, se trata de una noticia interesante por el riesgo que supone,
pero que me ha dejado así → (·_·)

Cualquier aclaración o traducción a los efectos prácticos de saber cómo mitigar/evitar la infección o una vez dentro, cómo detectarla, se agradecerá.

Saludos,

--
Camaleón

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Casualmente acabo de encontrar esto: https://www.linuxadictos.com/shikitega-nuevo-malware-sigiloso-dirigido-a-linux.html




------- Original Message -------
Em sábado, 10 de setembro de 2022 às 17:38, Juan Gómez "Txonta" <[email protected]> escreveu:

Hola tod@s.

Acabo de recibir la noticia de un criptominero muy sofisticado que ataca servidores y sistemas linux, le llaman Shikitega.
He buscado el tema en las listas de Debian y no he visto nada, en
internet he encontrado bastante información pero relativo a prevención, detección y eliminación muy poca cosa.

Me gustaría poder sentirme seguro ante esto y poder certificar la
integridad de mis maquinas.

¿Algún consejo u orientación?

Muchas gracias.

Salud.

https://unaaldia.hispasec.com/2022/09/nuevo-malware-para-linux-elude-la-deteccion-mediante-un-despliegue-en-varias-fases.html

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ok si es peligroso pero.

La primer pregunta es. ¿Y como llegan esos scripts al servidor?

Si se debe a una acción del usuario, pues algo de lo que hay que estar precavido, pues muchos instalan y compilan tantas cosas sin leer al
menos lo basico del código buscando solventar problemas a la ligera y
cuando al fin encuentran la herramienta, quedan tantas aplicaciones
compiladas en el sistema que no se toman la molestia de sacarlas de ahi.

Si se debe de una acción debida a algun software instalado, sería útil mencionar el puerto o el app afectado, pues en caso de tener un firewall
se puede hacer un filtro al puerto y buscar permitir al puerto solo las solicitudes referente al servicio, es decir que no vallan consultas bind
al puerto http o viceversa, solicitudes que no correspondan que a veces
son tipos de ataque y pocas veces errores de usuario.

Hay que seguir leyendo...

On 12/9/22 02:07, MLP wrote:

Casualmente acabo de encontrar esto: https://www.linuxadictos.com/shikitega-nuevo-malware-sigiloso-dirigido-a-linux.html

------- Original Message -------
Em sábado, 10 de setembro de 2022 às 17:38, Juan Gómez "Txonta" <[email protected]> escreveu:

Hola tod@s.

Acabo de recibir la noticia de un criptominero muy sofisticado que ataca
servidores y sistemas linux, le llaman Shikitega.
He buscado el tema en las listas de Debian y no he visto nada, en
internet he encontrado bastante información pero relativo a prevención,
detección y eliminación muy poca cosa.

Me gustaría poder sentirme seguro ante esto y poder certificar la
integridad de mis maquinas.

¿Algún consejo u orientación?

Muchas gracias.

Salud.

https://unaaldia.hispasec.com/2022/09/nuevo-malware-para-linux-elude-la-deteccion-mediante-un-despliegue-en-varias-fases.html

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Encontré otro link interesante.

https://blog.basetis.com/en/content/security-tips-nuevo-malware-para-linux-elude-la-deteccion-mediante-un-despliegue-en-varias-0

Por el momento que se diga que se desconoce el método de infección
inicial es bien preocupante.

Podría ser mediante algun puerto abierto algun tipo de comando que
indique alojar los primeros bits o solicitud en memoria para luego
enviar el resto del codigo, quien sabe, pero sigo leyendo y al menos se
conoce que hay un problema pero aún no hay una solución definitiva.

On 8/11/22 22:36, Roberto J. Blandino Cisneros wrote:

Ok si es peligroso pero.

La primer pregunta es. ¿Y como llegan esos scripts al servidor?

Si se debe a una acción del usuario, pues algo de lo que hay que estar precavido, pues muchos instalan y compilan tantas cosas sin leer al
menos lo basico del código buscando solventar problemas a la ligera y
cuando al fin encuentran la herramienta, quedan tantas aplicaciones compiladas en el sistema que no se toman la molestia de sacarlas de ahi.

Si se debe de una acción debida a algun software instalado, sería útil mencionar el puerto o el app afectado, pues en caso de tener un
firewall se puede hacer un filtro al puerto y buscar permitir al
puerto solo las solicitudes referente al servicio, es decir que no
vallan consultas bind al puerto http o viceversa, solicitudes que no correspondan que a veces son tipos de ataque y pocas veces errores de usuario.

Hay que seguir leyendo...

On 12/9/22 02:07, MLP wrote:

Casualmente acabo de encontrar esto:
https://www.linuxadictos.com/shikitega-nuevo-malware-sigiloso-dirigido-a-linux.html





------- Original Message -------
Em sábado, 10 de setembro de 2022 às 17:38, Juan Gómez "Txonta"
<[email protected]> escreveu:

Hola tod@s.

Acabo de recibir la noticia de un criptominero muy sofisticado que
ataca
servidores y sistemas linux, le llaman Shikitega.
He buscado el tema en las listas de Debian y no he visto nada, en
internet he encontrado bastante información pero relativo a prevención, >>> detección y eliminación muy poca cosa.

Me gustaría poder sentirme seguro ante esto y poder certificar la
integridad de mis maquinas.

¿Algún consejo u orientación?

Muchas gracias.

Salud.

https://unaaldia.hispasec.com/2022/09/nuevo-malware-para-linux-elude-la-deteccion-mediante-un-despliegue-en-varias-fases.html

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)