Поиск:
Страницы 1 по 11


Умер SSH на iPhone …



Рубрика: Apple,iPhone | автор macik | 31.08.10 | 10:23
Очень, как по мне, необычная история сомной приключилась.  Как-то умудрился на iPhone подцепить вирус ( червь )! Не знаю где и как, но факт … Название этом чуду iPhoneOS.Ikee. А обнаружил я данную проблему после того, как не смог подключится по SSH к своему iPhone (надо было карты обновить на iGO). Вот и начал копать в интернете инфу. Вот, что мне удалось нарыть.
Цитирую умных людей, да продлятся дни их и Рода ихнего:
PhoneOS.Ikee — червь для операционной системы iPhoneOS. запущенный на айфоне червь сканирует некоторые диапазоны IP-адресов
192.168.0.0-192.168.255.255
202.81.64.0-202.81.79.255
23.98.128.0-123.98.143.255
120.16.0.0-120.23.255.255
114.72.0.0-114.75.255.255
203.2.75.0-203.2.75.255
210.49.0.0-210.49.255.255
203.17.140.0-203.17.140.255
203.17.138.0-203.17.138.255
211.28.0.0-211.31.255.255
58.160.0.0-58.175.255.25
и пытается подключиться по SSH используя стандартный пароль alpine. если червю удалось войти в систему, он будет пытаться записать себя в качестве одного из наборов файлов
/ BIN / POC-bbot
/ BIN / sshpass
или
/usr/libexec/cydia/startup
/usr/libexec/cydia/startup-helper
после этого он подменяет фоновый рисунок
/var/log/youcanbeclosertogod.jpg
/usr/libexec/cydia/startup.so
и наконец прописывается в автозагрузку
/ System / Library / LaunchDaemons / com.ikey.bbot.plist
/ System / Library / LaunchDaemons / com.saurik.Cydia.Startup.plist
чтобы при следующем запуске телефона активироваться и прибить SSH удалив /bin/sshd (видимо чтоб нельзя было заразить его повторно)
в принципе и всё, алгоритм стар как дискета — прописать себя в автозагрузку и напугать при запуске юзера, только вот с распостранением проблема — очень мало шансов, что по близости окажется точка доступа к которой подключен джейлнутый айфон с «не заснувшим» WiFi, так как WiFi через минуту после гашения экрана отваливается (ну, конечно, если не пользоваться чем-то типа инсомнии).
от червя избавиться легко, надо всего лишь удалить
/bin/poc-bbot
/bin/sshpass
/usr/libexec/cydia/startup
/usr/libexec/cydia/startup-helper
/var/log/youcanbeclosertogod.jpg
/usr/libexec/cydia/startup.so
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
переустановить SSH и, если неоходимо, Cydia.
ну или сделать рестор, кому как проще.
предохраниться от червя можно заменив стандартный пароль на свой
запускаем терминал и пишем:
su
alpine
passwd
alpine
new password
new password
Источник http://www.symantec.com
Я у себя на телефоне нашел вот эти файлы:
/bin/poc-bbot
/bin/sshpass
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist,
после удаления которых SSH заработал нормально.

Тэги: , ,

  • Pingback: macik.net

  • <img class="identicon" src="http://macik.net/wp-content/plugins/wp-identicon/identicon/919a3c72155f21c.png" alt="atollIdenticon" height="35" width="35" /> atoll

    автор, не мог бы связаться со мной? есть тема поговорить о вышенаписанном
    atoll.dnb@gmail.com

    буду благодарен

    macikIdenticon macik Reply:
    декабря 22, 2010 at 14:19

    Отправил вам ответ.



Страницы 1 по 11
Лицензия от Creative Commons | Локализация от Тема: ВордПресс | Всего понемногу …