Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

1. Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Henrique
Henrique-RJ

(usa Outra)

Enviado em 26/09/2023 - 01:15h

Pessoal, cuidado com o site de programadores GitHub que parece estar hospedando vírus que são baixados ao ser acessado.

Percebi isso agora na noite desta segunda-feira quando fiz a varredura com o Kaspersky Rescue Disk no boot que detectou várias pragas ( backdoors, trojans, mineradores, exploits ) no cache de navegação do Firefox baixados no horário da manhã ( por volta das 11h ) quando entrei no GitHub.

Cuidado que até os navegadores podem ser contaminados sem que seja necessário senha de root para tal. Acabei perdendo o sono por causa desse incidente tentando saber o que fazer para não ter senhas furtadas ou acesso de hackers a logins bancários.

Nem pensem em entrar no GitHub agora. O endereço que acessei de manhã estava correto pois verifiquei.


  


2. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Random
Rand0m

(usa Arch Linux)

Enviado em 26/09/2023 - 19:41h

Isso me parece extremamente improvável. Você deve ter pego vírus acessando outro site ou por sequestro de dns


3. Re: Cuidado com o site GitHub que parece ter sido contaminado

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 26/09/2023 - 19:55h

Reinicie a máquina e use o comando netstat -n -at , sem abrir nenhum programa que usa conexão com a internet, para ver quais são as conexões ativas com a internet.

Mas também acredito que seja pouco provável ser o Github a fonte.


https://odysee.com/@sabotagem:b


4. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Henrique
Henrique-RJ

(usa Outra)

Enviado em 27/09/2023 - 03:51h


Rand0m escreveu:

Isso me parece extremamente improvável. Você deve ter pego vírus acessando outro site ou por sequestro de dns


Sim posso ter acessado outro endereço ao clicar em download dos malwares para Linux que eu queria baixar para testar com meu antivírus mas foi por meio da página do GitHub.

Até agora não percebi nenhum comportamento estranho tanto no celular quanto no desktop onde uso o Bodhi Linux.

Também nada mais encontrei com o Kaspersky Rescue Disk depois que apaguei o cache dos navegadores onde estavam os vírus que devem ter sido executados na memória antes de depositados nesse cache nem em outros diretórios do sistema.

Pode ter sido tentado instalar algo que o KRD desconhece ou que não consegue detectar mas nada percebi de estranho nesses sistemas tanto Android quanto Bodhi Linux.

Uma das pragas detectadas foi um trojan banker para Android. Outras foram mineradores e backdoors.

Teve alguém em outro fórum que já descobriu trojan.js.agent em cache de navegador em um escaneamento de rotina com o KRD.

Tenho o Comodo Antivirus for Linux no desktop apenas para escaneamentos por demanda. Parece que não existe para Linux programa de segurança que monitore comportamentos além das simples assinaturas e heurística e que funcione de verdade.

Os crackers parecem estar mais á vontade com seus ataques contra Linux pois em geral não há essa proteção ativa bem feita em tempo real nos sistemas.

Esse sistemas Linux/Unix parecem apenas correr atrás do prejuízo quando ele já foi feito providenciando remendos.


_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam


5. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

aguamole
aguamole

(usa KUbuntu)

Enviado em 27/09/2023 - 03:55h

Fica salvo no navegador o endereço do arquivo baixado e também a lista dos redirecionamento, pega o IP do site usando programa para identificar o IP e bloqueia o IP no UFW.


6. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Henrique
Henrique-RJ

(usa Outra)

Enviado em 27/09/2023 - 06:26h


aguamole escreveu:

Fica salvo no navegador o endereço do arquivo baixado e também a lista dos redirecionamento, pega o IP do site usando programa para identificar o IP e bloqueia o IP no UFW.


Acabei de olhar e o endereço da baixa dos arquivos e é o do GitHub

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam


7. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Henrique
Henrique-RJ

(usa Outra)

Enviado em 27/09/2023 - 08:54h


Giovanni_Menezes escreveu:

Reinicie a máquina e use o comando netstat -n -at , sem abrir nenhum programa que usa conexão com a internet, para ver quais são as conexões ativas com a internet.

Mas também acredito que seja pouco provável ser o Github a fonte.


https://odysee.com/@sabotagem:b



root@Henrique-Bodhi-5:~# netstat -n -at
Conexões Internet Ativas (servidores e estabelecidas)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado
tcp 0 0 0.0.0.0:139 0.0.0.0:* OUÇA
tcp 0 0 127.0.0.1:30800 0.0.0.0:* OUÇA
tcp 0 0 127.0.0.1:30900 0.0.0.0:* OUÇA
tcp 0 0 127.0.0.53:53 0.0.0.0:* OUÇA
tcp 0 0 127.0.0.1:631 0.0.0.0:* OUÇA
tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA
tcp 0 0 0.0.0.0:445 0.0.0.0:* OUÇA
tcp 0 0 127.0.0.1:3551 0.0.0.0:* OUÇA
tcp 0 0 127.0.0.1:52290 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52322 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52306 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52302 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52382 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52284 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52316 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52402 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52384 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52320 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52308 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52282 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52372 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52342 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52324 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52328 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52374 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52338 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52358 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52288 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52398 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52356 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52396 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52298 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52314 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52380 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52346 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52370 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52350 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52294 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52386 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52354 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52292 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52360 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52376 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52400 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52388 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52304 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52326 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52334 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52300 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52340 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52366 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52332 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52336 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52348 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52318 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52286 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52352 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52310 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52394 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52364 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52368 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52312 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52296 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52392 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52378 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52390 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52330 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52362 127.0.0.1:3551 TIME_WAIT
tcp 0 0 127.0.0.1:52344 127.0.0.1:3551 TIME_WAIT
tcp6 0 0 :::139 :::* OUÇA
tcp6 0 0 ::1:631 :::* OUÇA
tcp6 0 0 ::1:25 :::* OUÇA
tcp6 0 0 :::445 :::* OUÇA



_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam


8. Re: Cuidado com o site GitHub que parece ter sido contaminado

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 27/09/2023 - 10:06h

Pelo resultado do netstat, não tem nenhuma conexão estranha sendo estabelecida, as pragas maliciosas que você pegou a principio, parecem que não infectaram o sistema.

As pragas maliciosas podem ter apenas sido baixadas no diretório mas sem privilégios administrativos, se tornaram inúteis.


https://odysee.com/@sabotagem:b


9. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Henrique
Henrique-RJ

(usa Outra)

Enviado em 27/09/2023 - 10:22h


Giovanni_Menezes escreveu:

Pelo resultado do netstat, não tem nenhuma conexão estranha sendo estabelecida, as pragas maliciosas que você pegou a principio, parecem que não infectaram o sistema.

As pragas maliciosas podem ter apenas sido baixadas no diretório mas sem privilégios administrativos, se tornaram inúteis.


https://odysee.com/@sabotagem:b


Mas não há aí um loopback do host testando a conexão e portas se livres ou bloqueadas ?

Não seria isso algum processo ou possível backdoor verificando o estado da conexão à internet ?

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam


10. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Mauriciodez
Mauriciodez

(usa Debian)

Enviado em 27/09/2023 - 10:34h


Giovanni_Menezes escreveu:
As pragas maliciosas podem ter apenas sido baixadas ...


foi o próprio usuário quem baixou por livre e espontânea vontade, não sei qual a intenção de baixar malware de um site super renomado e depois levantar suspeitas !!!


------------------------------------------------------| Linux User #621728 |------------------------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------------------| Linux User #621728 |------------------------------------------------------




11. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

Henrique
Henrique-RJ

(usa Outra)

Enviado em 27/09/2023 - 11:14h


Mauriciodez escreveu:


Giovanni_Menezes escreveu:
As pragas maliciosas podem ter apenas sido baixadas ...


foi o próprio usuário quem baixou por livre e espontânea vontade, não sei qual a intenção de baixar malware de um site super renomado e depois levantar suspeitas !!!


------------------------------------------------------| Linux User #621728 |------------------------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------------------| Linux User #621728 |------------------------------------------------------



Maurício, eu baixei 50 malwares desse GitHub para testar com os antivirus que tenho e assim avaliar sua eficácia mas aconteceu de outros malwares diferentes terem ido parar no cache do navegador. Quando se faz um download ele não fica no cache do navegador.

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam


12. Re: Cuidado com o site GitHub que parece ter sido contaminado [RESOLVIDO]

aguamole
aguamole

(usa KUbuntu)

Enviado em 27/09/2023 - 11:33h

Bloqueia o GitHub no UFW.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts