Links encontrados no google: uma descrição dele em laboratórios de segurança da Telus e uma análise detalhada sobre securelist . Esse último é cheio de dicas. O backdoor é descrito como (a partir do primeiro link) ...
O Backdoor.Linux.Ganiw.A é um agente Backdoor e Bot que tem como alvo a plataforma Linux. O malware entra em contato com um servidor remoto, identificando-se e enviando informações do sistema. Além disso, recebe comandos de controle para executar várias atividades nefastas no sistema infectado. Além disso, o malware tem a capacidade de embarcar em diferentes tipos de ataques DoS. Para sobreviver a uma reinicialização do sistema, ele adiciona uma entrada ao diretório de inicialização "/etc/init.d".
A partir disso, você pode deduzir duas coisas:
-
se for "Backdoor.Linux.Ganiw.a (cupsdd)": verifique
/etc/init.dpara um arquivo que faz isso. "O malware também cria links simbólicos para o script em /etc/rc[1-5].1/S97DbSecuritySpt". Se for "Backdoor.Linux.Ganiw.a (cupsddh)" então "cria o arquivo /tmp/bill.lock, no qual armazena o PID do processo atual. Cupsddh armazena dados do sistema na estrutura g_statBase, que é idêntico ao usado pelo cupsdd. " Ele também verifica por um "/usr/libamplify.so" que arquivos contém uma configuração (e não é uma biblioteca) (tudo isso a partir do segundo link).Portanto, verifique esses arquivos (a maior parte do segundo link
-
Verifique suas conexões de saída (seu log de roteador, por exemplo) em conexões de saída duvidosas.
Eu não concordo com a outra resposta: não deixe o clamav "consertar" isso ... se você tiver isso no seu sistema, reinstale-o e restaure um backup (e confirme que o backup está limpo). E obtenha uma senha melhor do que a que você tem agora: ela tem sua senha de administrador; caso contrário, não é possível instalá-la em /etc/ .
Por favor, confirme que você tem esse backdoor. Seria a primeira vez que vejo alguém tendo um; -)