Исследовательская лаборатория 360 Netlab сообщила о выявлении нового вредоносного ПО для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55054
Прекрасно. Найди в комбайне inject...
Воистену, хотели виндовс-лайк монолит - получили и атаки.
Надеюсь это отрезвит мейтейнеров основных дистрибутивов от привязки только к одной системе инициализации.
А кто их спрашивать-то собирается? Современный софт без libsystemd и не собирается давно.
Гентушники твои слова не подтверждают.
Кроме одного эмулятора ведроида. anbox. Там sysd используется для... работы с dbus. Видимо про libdbus они не слышали.
А так да, не подтверждаю.
врете, батенька
ArtixLinux (arch), Devuan, Slackware, Gentoo.
Некоторые сущности, как это не смешно - вечны )
Десктоп на Artix, сервер на Devuan и никаких проблем. У кого софт без системды не собирается рекомендую менять софт
А также ты рекомендуеш им сидеть без работы.
>У кого софт без системды не собирается рекомендую менять софтЛучше нормально написать разрабам, что, например, для dbus systemd не нужен, а достаточно libdbus.
dbus тоже ненужен!Это дыра которые через polkitd с Java Script политиками безопасности повышает привилегии обычного пользователя до рута.
Большинство софта в них неработают без dbus,polkit,elogind.
Так что всем рекомендую перейти на https://k1sslinux.org
Софта немного, но зато чист от троянов IBM.
Наличие dbus, elogind не смущает, как и не даёт о себе знать.
Иными словами: меньшее из зол дабы не впадать в крайности )
> Наличие dbus, elogind не смущает, как и не даёт о себе знать.ну так и троянец три года не давал о себе знать и никого не смущал.
Назовет себя dbus, или elogind и будет чувствовать себя прекрасно следующие пять лет - в вашей чудо-системе без системды, но с полным ее косплеем (из костыликов и подпорочек).
Чего же троянец ждал десятилетия? Почему сразу не порадовал нас из sysVinit?
В смысле? Вот этого всего "shitlogind", dbus-daemon --system --address=systemd: и тому подобного и ждал. Десять лет ждвал, и вот! Дождалси!А то два /sbin/init, да еще и второй не с pid1 - палево какое-то получается. Мне в свое время залетевший троянец попытался скосплеить dhcpd - тоже не очень удачно вышло, во-первых, палево, откуда на сервере такое, во-вторых, вляпался в selinux, кто ж dhcp даст развернуться-то...
А вот с shitlogind никаких проблем не было бы.
Что из этого списка имеет хоть какое-нибудь вменяемое применение?
Без системГ не собирается только гном. Оба не нужны.
Все собирается, мало того еще и работает потом - Void тому подверждение...40 гном завезли и он работает а системГ и в помине нет...
Тут про systemd разговор, а вы хвпстаетесь про сборку без мифического системГ.
Как, люди создавшие это, с аримей великовозрастных школьников на команде "фас" на каждом форуме по всему миру, способна отрезвиться..
Идея системд отличная. Да вот реализация - апофеоз идиотизма.
> Да вот реализация - апофеоз идиотизма.Вот тут на 100% согласен.
Наш хрупкий мирок it фриков будут давить. А вечно пованивающая бездумная "масса" будет блеять и обзывать маразматиками, консерваторами, динозаврами, тех кто еще что-то понимает. И нам еще придётся выбирать и не раз, что принесёт и не такие неудобства как появление системд.. таков уж мир и его хищные настроения.
Правильно директор Курчатовского сказал "пендосы выигрывают, так как играют в долгую". Невероятно глупо даже не подозревать что эьто не касается и обычных юзверских пк.
Хуже всего, что те, кто должен был бы думать за эту массу - такие же. Что Медвед со своим айфонным энтузиазмом, что Греф и остальные банкиры с переводом всего в смартфоны клиентов, что "минцифра", которая в упор не видит, что сайты ведомств кишат закладками, сливающими налево инфу о гражданах. И некуды бечь.
Эти господа и не должны про то думать -- не их компетенция. Когда Путин отвечал на троллинг про "пропатчить КДЕ под ФриБСД", что следует обратиться к специалистам, именно это и имелось ввиду.Другой вопрос, как так получилось, что Рашн ОС унд Апликейшн "разрабатывают" персонажи, у которых #define объявляет переменную, а потом подобный треш продаётся в госструктуры за бюджетные средства, и почему за эту деятельность не сажают пачками -- вот это как раз вопрос к товарищам майорам.
"Когда Путин отвечал"
Это Ющенко отвечал... путин такое даж не выговорит
Я не смотрел Ющенко (тот факт, что до него провокацию вообще допустили, уже о многом говорит). Путину вопрос повторили много позже, он его так и обыграл, что слов таких не знает, и что каждый должен заниматься своим делом, иначе получается бардак.
Эффект Мандела налицо.
Если после массированной информкомпании по поводу реакции первых лиц на мем кто-то не смог заметить кардинально отличающиеся сведения, это проявления когнитивной ригидности, а не очередной мемчик.
Все что нужно чтобы это исправить - завезти в стандартную поставку системд только 2 модуля - инициализацию и менеджер плагинов ...мне собсно кроме первого ничего не нужно из этого комбаина.
Хватайте луддита!
Сколько модулей, из этой сотен входящих в состав ненужноД, ты используеш?
>Все что нужно чтобы это исправить - завезти в стандартную поставку системд только 2 модуля - инициализацию и менеджер плагинов ...В систему инициализации добавить инит? Остановите планету, я сойду!
Наркоман? сустемд перестал быть системой инициализации примерно в версии 0.0.0.1
Прямо сейчас запущен комп с контейнером nspawn и голыми иксами (без оконного сервера и графического логина)Давайте глянем, что там есть
/lib/systemd/systemd
/usr/bin/systemd-nspawn
/lib/systemd/systemd-machined
/lib/systemd/systemd-logind
/usr/bin/dbus-daemon
/lib/systemd/systemd-timesyncd
/lib/systemd/systemd-resolved
/lib/systemd/systemd-udevd
/lib/systemd/systemd-journaldИтак, что было бы, если бы не было systemd
/lib/systemd/systemd стал бы любым удобным init
systemd-nspawn и systemd-machined стали бы ворохом программ из LXC/Docker
systemd-logind честно не знаю. Может, elogind, может, оно в целом не нужно
dbus-daemon остался бы как есть, потому что он часть не systemd, а freedesktop
/lib/systemd/systemd-resolved стал бы другим dns-клиентом
systemd-timesyncd стал бы любым другим ntp-клиентом
udevd стал бы фиг его знает чем, mdev, vdev smdev или остался бы как есть, ибо не требует systemd сам по себе
systemd-journald стал бы любым другим демоном журналирования
Серьёзно, из всего списка убрался бы разве что logind, и то не факт.
Тут ещё мог бы быть networkd, но мы его сами заменили.
Что до многочисленных сервисов в автозапуске, как будто их раньше было мало. Блин, там этот троян можно было бы внедрить в скрипт запуска любого случайного сервиса, фиг бы кто заметил.Давайте будем честны, дело не в комбайне и монолитности, дело в том, что везде один на всех systemd. Делать трояны, атакующие одно и тоже, внезапно гораздо проще, чем распыляться на сотни разных конфигураций.
Кто "мы"?
> systemd-logind честно не знаю.Зачем в контейнере logind?
> /lib/systemd/systemd-resolved стал бы другим dns-клиентом
Зачем в контейнере dns-клиент?
> systemd-timesyncd стал бы любым другим ntp-клиентом
Зачем в контейнере синхронизация времени?
> udevd стал бы фиг его знает чем
Зачем в контейнере udevd?
>> ... комп с контейнером ...
> Зачем в контейнере ...?Чукча не читатель?
Писать надо нормально. Я, конечно, удивился, как это в контейнере голые иксы появились, но решил не спрашивать.
Дело не в том, что он один такой весь и другого нет. Дело в том, что коронная "фишка" ненужноГ - "конфиг вместо скрипта" порождает вместо тонко настраиваемой под конкретного пользователя системы, некую стандартную мыльницу, которая действительно "одна на всех".При этом, поддержать весь спектр юс-кэйсов она не в состоянии, и поэтому поддерживает только _наиболее распространенные_. А их число сравнительно невелико, и на этом уже можно строить атаку. Что и делают. То есть, - если кто не понял, - история под катом, это плата за лень. За лень написать свой скрипт самому и под себя... ну или хотя бы посмотреть как устроен чужой.
И знаете что? Мне совсем ненужноГ-шников не жалко. Поделом.
ЧСХ "наиболее распространенных" юз кейсов стало уже столько что документация на сыстемдэ стала толще "войны и мира" и осилить ее наизусть в полном обьеме в одно рыло чтобы свободно без гугеля в ней ориентироваться надо иметь мозгов килограмм на двести.При этом я например сильно не уверен можно ли чрез сыстемды без костылей и синей изоленты поднять два дот1ку вилана на одном интерфейсе, но чтоб у них маки разные были. Что при дидах в одну строчку делалось.
Заглянул на боевой серверroot 1 0 0 Mar16 ? 00:05:38 /usr/lib/systemd/systemd --switched-root --system --deserialize 17
root 597 1 0 Mar16 ? 00:03:22 /usr/lib/systemd/systemd-journald
root 631 1 0 Mar16 ? 00:00:05 /usr/lib/systemd/systemd-udevd
root 808 1 0 Mar16 ? 00:01:25 /usr/lib/systemd/systemd-logind
dbus 810 1 0 Mar16 ? 00:12:13 /usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only
systemd+ 916 1 0 Mar16 ? 00:00:47 /usr/lib/systemd/systemd-networkdСобственно всё, что к системде относится. И это включая dbus и systemd-networkd. Кроме них и инита - три процесса. Такие дела. Три процесса погоды не делают.
> Воистену, хотели виндовс-лайк монолит - получили и атаки.
> Надеюсь это отрезвит мейтейнеров основных дистрибутивов от привязки только к одной системе
> инициализации.Нифига это их не отрезвит, им пофиг, они кормятся с тех рук, которые это всё и проталкивают.
Так что либо велкам на маргиналодистры без этого шлака, либо расслабляйте булки и получайте удовольствие, потом будет ещё чудесатее!
Причем здесь системд? Без него сабж станет более подозрительно выглядеть разве что =)
А чего его искать-то, коли комбайн весь из них и состоит? Или тебе принципиально именно этот, название типа красивое?/lib/systemd/system/motd-news.timer - вот, к примеру, лежит себе штатный троянец, ну, ладно, лежал - с пол-года назад испортили, гады. А ведь немало инфы о хомячках попер в правильную норку...
Ну расскажи мне, какую инфу он попёр в "правильную норку". Статистику версий Убунты? Прям очень ценная инфа, наверно за миллионы биткоинов на чёрном рынке торгуется.
> Ну расскажи мне, какую инфу он попёр в "правильную норку".а зачем тебе, шк0льнику, лишнего знать, спи спокойно.
> Статистику версий Убунты?
нет.
> Прям очень ценная инфа
видимо, предполагалась достаточно ценная, раз ее понадобилось так старательно прятать. В том числе от перехвата dlp системами.
А купили ее или нет, и сколько это было в btc - это кос...запрещенный на впопеннете персонаж только знает.
Запилил он systemd,
Чтобы было как в Винде.
три мать его года
Антивирус не нужен (с) же.
Впрочем, для детекта такой штуки сигнатурный анализ избыточен, может хватить "пакетного менеджера".
не нужен.
Вы уже посмотрели в оригинале статьи, каким образом в теле зловреда строчки шифруются?
не нашел бы дыже если бы и стоял. Кто его в базы то внесет если только нашли?
> не нашел бы дыже если бы и стоял. Кто его в базы
> то внесет если только нашли?Вы сузили понятие "антиврус" до "сигнатурный сканер" от незнания или что бы запутать?
От глупости.
Integrity: https://sourceforge.net/p/linux-ima/wiki/Home/
Простите, а каким образом ваш антивирус в принципе помог бы устранить сам корень причины, а его в статье описали - Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей
вы все сретесь на тему - ой вот еще один зловред итд, а то, что в принципе на его месте может стоять любой другой набор букв хоть скрипт шелковский вы упускаете. Антивирус за вас поставит патчи в систему и закроет дыры? иди все таки тут надо было пользоваться стандартным штатным пакетным менеджером?
к сожалению современные безопасники как раз и думают своим узколобым мышлением - поставьте антивирус на линукс и мы поставим себе галочку в работе, что систему защитили.... а то что этот антивирус может быть очень просто устранен если уж рут получили это уже на тему - ну что ты сразу начинаешь, нормально же общались....
> Простите, а каким образом ваш антивирус в принципе помог бы устранить сам
> корень причины, а его в статье описали - Вредоносное ПО могло
> быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или
> подбора ненадёжных паролейВ моём сообщении был намёк, цитирую: может хватить "пакетного менеджера". В том случае, когда его задача не распаковывать пакетики, как принято считать у некоторых, а обеспечивать целостность системы, то есть согласованность исполняемых файлов и данных. В такой ситуации появление неучтённого юнит-файла исключено, не говоря про исполняемые.
> вы все сретесь на тему - ой вот еще один зловред итд,
> а то, что в принципе на его месте может стоять любой
> другой набор букв хоть скрипт шелковский вы упускаете.Напомните, пожалуйста, ссылочкой, где я это делал.
> Антивирус за вас
> поставит патчи в систему и закроет дыры? иди все таки тут
> надо было пользоваться стандартным штатным пакетным менеджером?"Стандартный" ПМ не закроет вектор атаки, поскольку не является не_обходимым для установки в систему.
> к сожалению современные безопасники как раз и думают своим узколобым мышлением -
> поставьте антивирус на линукс и мы поставим себе галочку в работе,
> что систему защитили.... а то что этот антивирус может быть очень
> просто устранен если уж рут получили это уже на тему -
> ну что ты сразу начинаешь, нормально же общались....К сожалению современные умники как раз и думают своим узколобым мышлением - обобщают частный случай на всех, а когда им говоришь "вы делаете тоже самое" - ну что ты сразу начинаешь, нормально же общались....
"Напомните, пожалуйста, ссылочкой, где я это делал."Эта часть текста не лично вам, а вообще ко всем кто видит только софтину,а не то почему она появилась в системе.
""Стандартный" ПМ не закроет вектор атаки, поскольку не является не_обходимым для установки в систему."
Не понятен смысл предложения. Он и не должен быть необходимым он используется, чтобы обновлять систему с репозитария устанавливая все доступные обновления безопасности, чего не антивирус ни другой софт сделать не может, за исключением ручной установки.
"К сожалению современные умники как раз и думают своим узколобым мышлением - обобщают частный случай на всех, а когда им говоришь "вы делаете тоже самое" - ну что ты сразу начинаешь, нормально же общались...."
Так же смысл предложения скрыт от понимания.
> "Напомните, пожалуйста, ссылочкой, где я это делал."
> Эта часть текста не лично вам, а вообще ко всем кто видит
> только софтину,а не то почему она появилась в системе.Вон вахтёр на входе сидит, а документы лежат в сейфе. Наверное, директору делать больше нечего, кроме как ключик с собой таскать?
> ""Стандартный" ПМ не закроет вектор атаки, поскольку не является не_обходимым для установки
> в систему."
> Не понятен смысл предложения. Он и не должен быть необходимым он используется,
> чтобы обновлять систему с репозитария устанавливая все доступные обновления безопасности,
> чего не антивирус ни другой софт сделать не может, за исключением
> ручной установки.Обновления не являются достаточным условием обеспечения безопасности. Безопасность, внезапно, обеспечивается, а не "настраивается".
> "К сожалению современные умники как раз и думают своим узколобым мышлением -
> обобщают частный случай на всех, а когда им говоришь "вы делаете
> тоже самое" - ну что ты сразу начинаешь, нормально же общались...."
> Так же смысл предложения скрыт от понимания.Это предложение -- Ваше.
Это исследователи, а не вредители. Исследование длилось три года. Раз Миннесота не призналась значит никто не виноват.
Это же линукс.
Это же опенсорс.
Сделай сам.
"миллионы пар глаз не пропустят уязвимость"
> При запуске с правами root для активации вредоносного ПОЭто не уязвимость это ССЗБ. Скачай какашку истанови от рута и бэкдор готов ...
башкой они не думают, что в принципе если рут получили не благодоря этой софтине то и писать то не очем. А если уж рут поулчил то дальше какая разница чем ты пользуешься.....А сама софтина ничего из перечисленного для получения прав и повшения привилегий не умеет. ей для этого надо другие уязвимости которые или просто патчаться или никто не знает о их существовании как и антивирусы.
>> При запуске с правами root для активации вредоносного ПО
> Это не уязвимость это ССЗБ. Скачай какашку истанови от рутаЭтому бэкдору не нужна установка и рутовые права.
В систему он как попал? сам автоматически ищет уязвимости и внедряется?
> В систему он как попал? сам автоматически ищет уязвимости и внедряется?через уязвимость браузера.
через уязвимость плагинов.
через <модное по> на электроне.
через уязвимость мессенджера.
через почту.
пользователь сам скачал и запустил.
и да. после этого RotaJakiro по команде управляющего центра скачивает с гитхаба полезную нагрузку - сканер соседних машин, ищет на них уязвимости и сам автоматически ставится.особенно удобно, когда на соседнюю машину можно по SSH залогинится без ввода "сложного" пароля, с сохраненными в хомяке пользователя ключами.
Две чашки чая этому господину. Т.е. если это читают наши безопасники (мои) - вы балбесы, вам человек выше описал дыры, закрывайте их, а не пытайтесь впарить антивирус и забыть о нормальной настройке безопасности!!!
У нас просто тренд в корпорации - своим админам не верить, верить только статьям в интернете и менеджерам продающими антивирусный и прочий софт по ИБ.
>> В систему он как попал? сам автоматически ищет уязвимости и внедряется?
> через уязвимость браузера.
> через уязвимость плагинов.
> через <модное по> на электроне.
> через уязвимость мессенджера.
> через почту.
> пользователь сам скачал и запустил.Вранье! Это в венде так, а Божественный Пингвинчик неуязвим - тут нужно скачать, поправить сорц, скомпилять и запустить самому. Потому что неуловим^W Ядро защищает! Вотъ!
Бэкдор установлен в ядро?
> Бэкдор установлен в ядро?этому бэкдору не нужна установка.
Значит он изначально был заложен в ядро?
> "миллионы пар глаз не пропустят уязвимость"Придумали Флэтпэк и Снэпы, после чего утверждение уже неверно. Увы.
>> "миллионы пар глаз не пропустят уязвимость"
> Придумали Флэтпэк и Снэпы, после чего утверждение уже неверно. Увы.А что, софт в флатпаках и снапах без исходников появляется? самозарождается как плесень?
Украинские хакеры :)
Украинский регистратор, только лишь
https://ua.opennet.ru/
А вот если бы это был российский регистратор, то это было бы прямым доказательством вины России. А так всего лишь. Двойные стандарты.
> Двойные стандарты.Давай так - https://domain.glass/ua.opennet.ru
gethostbyname 193.111.9.70 [ua.opennet.ru]
IP Location Kiev Kyiv 03040 Ukraine UA
B что мне зеркало с этим именем должно доказать?
*И что...
Украинские любители аниме
Опять Миннесота чудить небось.
Ну да.
Просто мы не любим как systemd, так и Поцтеринга. Не знали, что ли?
Интересно будет, если в Gentoo вдруг появится процесс системы.
*системды
Как альтернативный инит оно и так есть. А вот если при рабочем OpenRC - это да, повод порыться или повосстаналиваться из бакапов.
Чтоб оно, вдруг само по себе, не появилось без вашего ведома:
echo "sys-apps/systemd" > /etc/portage/package.mask
> Чтоб оно, вдруг само по себе, не появилось без вашего ведома:
> echo "sys-apps/systemd" > /etc/portage/package.maskОно у меня в make.conf -systemd. Или стоит перестраховаться?
да и захочешь да не поставится или не заработает. гента выбора не дает, однако =)
Такой смотришь top или ps -A, а там systemd. В системе, где ты его не собирал O_o.
Ага, точно, в top со 100% загрузки CPU :)
Появление Gentoo где-либо в 2021м году - это само по себе редкое природное явление. Даже без systemd.
> Появление Gentoo где-либо в 2021м году - это само по себе редкое
> природное явление. Даже без systemd.Куды бечь? Деб давно скурвился, а с rpm-ами я как-то вообще не дружу. Да и привык - надрессировал и пашет аки танк :).
Статистикой владеешь? Разбрасываешься слишком сильными заявлениями.
"с учётом нагромождения современных дистрибутивов Linux"(С). Дожили! :-)
>"с учётом нагромождения современных дистрибутивов Linux"(С). Дожили! :-)А все любители компактного ПО же говорили, что ядро и дистрибутивы превращаются в блоатварь. Все эти systemd, NetworkManadger, firewalld все друг другу родные братья, отбирающие у пользователя контроль над тем, что система делает. Но им отвечали, что нынешний Windows жрёт больше ресурсов. И вот результат. Троян в системе теперь найти сложно как иголку в стоге сена. Уже не посмеёмся над Windows-юзерами с их безликими svchost.exe.
> NetworkManadgerНу дык, писать на форумах всяко легче, чем разобраться с ip или ifconfig.
Найти иголку в стоге сена очень просто. Надо сжечь стог. Да, все верно, я именно про это.
А я говорил что DOS вечен?
Вредоносное ПО, маскирующееся под вредоносное ПО. Парадокс.
Рекурсия
"_За_громождения". Нагромождение дистрибутивов - это когда дистрибутив на дистрибутив. А когда в дистрибутиве напихано хлама - это загромождение дистрибутива.
>> Нагромождение дистрибутивов - это когда дистрибутив на дистрибутивMint что ли? (Минт поверх бубунты поверх Деба, в случае LMDE - только поверх Деба :D ).
А не нарушают ли авторы статьи, размещённой на blog.netlab.360.com, законы о копирастии? Они ведь без разрешения авторов вредоноса провели реверс-инжиниринг их "интеллектуальной собственности", да ещё и публикуя результаты на сайте компании, что усиливает популярность сайта, а значит ведёт к финансовой выгоде, а значит "из корыстных побуждений". Более того, разбором вредоноса авторам вредоноса, очевидно, ещё и нанесён ущерб, включая упущенную выгоду.Предлагаю Бидону и лидерам Евросоюза лично поручить "правоохранителям" проверить наличие нарушения копирайта и в связи с этим исследовать необходимость введения санкций против указанной компании в частности и КНР в общем. Ильфак, конечно, будет против, но кто его спрашивает. Пусть Гидру АНБ используют вместо Иды.
Закон ведь должен быть один для всех, и для Take 2, и для вредоносописателей.
Пока такие как вы сидят тихо, у нас есть подобная информация.
Агентство Национальной Безопасности США действует в рамках полномочий, определённых соответствующими законодательными актами Соединённых Штатов. Могу заверить, что безответственное разглашение компанией 360 Netlab технических подробностей об упомянутом в новости программном обеспечении получит должную оценку и не останется без последствий.
Считаю при этом необходимым предостеречь неуполномоченных лиц от попыток давать поручения Агентству Национальной Безопасности США.
Узвери в кедах и на zsh могут спать спокойно?
нет, на кремацию в кедах нельзя. Только туфли или тапочки.Неэкологично, понимаешь...
Секюрити бай обскюрити даëт плоды...
>Секюрити бай обскюрити даëт плоды...Какой хитрый, потер свой комментарий про любов к дыркам винды.
> Секюрити бай обскюрити даëт плоды...
>> Security through diversity is a calculated and measured response to attacks against the mainstream and is usually used to survive and withstand uniform attacks. This response involves intentionally making things slightly different to completely different, forcing an attacker to alter a standard attack vector, tactics, and methodology.Computer and Information Security Handbook, 2009
А вот в слаке бы сразу заметно было, что какой-то systemd появился
что верно- то верно!
kworker panel-24 webcontent rcu_par_gp dconf kdeconnectd xfconfd at-spi2-registryd dbus-launch/daemon pulseaudio
системд смотрелся бы скромно, незаметно
Интересно, хоть кто-то из фапающих дочитал до методов установки зловреда? :) Или как обычно - скушали желтенькое из заголовка и сразу возбудились?
*лениво так* А шо там? Снова от рута запускать? Ничего интересного же.
Лол сам почитай там и от пользователя и от рута можно. В любой npm пакет добавь и все, делов то.
При запуске в правами root создаёт юнит-файл с Restart=always.
Ну не осилили написать непадучий вирус, что поделать. Скажи спасибо что не на питоне.
> Ну не осилили написать непадучий вирус, что поделать. Скажи спасибо что не
> на питоне.Это вообще не про падучесть. Это задача "выживания" решена средствами системы. Без root-прав (когда нет возможности создать юнит systemd) два процесса перезапускают один другой.
так и не рассказали как его подцепить-то. опять скачать скомпилить и запустить от рута?
По первой ссылке в новости все подробно расписано. Без рута тоже работоспособен, в рамках прав этого юзера конечно.Это же троян, а не вирус. Он (или его доставщик) идёт как пейлоад к какой-нибудь уязвимости.
мерзкий, мерзкий, мерзкий systemd.. сдохни поцтер, сгинь шапка.
Вредоносное ПО маскируется под другое Вредоносное ПО
Вот поэтому и ставим фряху везде где можно заменить линукс. Линукс давно протух и всех тащит в бездну.
> Вот поэтому и ставим фряху везде где можно заменить линукс.Вот когда фряха будет сразу запускаться на ноутах, тогда и поговорим...
Cuck license. Спасибо канеш...
> новое вредоносное ПО для Linux, маскирующееся под процесс systemdПроцесс systemd, маскирующийся под безобидное ПО.
Это хорошо, что под Линукс новое ПО появляется.
Хахаха, маскировка под systemd, кто бы сомневался. Уже никто не знает что в этом .... творится. Один шлако процессом больше и никто не заметит.
Особенно забавно когда никаких dbus и gvfs там быть не может в принципе, да и системд не везде. На кого это рассчитано? Лично я бы скорее не заметил лишний file.so в процессах или там thumbnailer.so -- их и так там десятки. Если рут есть, можно и вообще спрятать из процессов (не уверен насчёт ванильных ядер, но различные патчи позволяют что угодно скрывать от рута в рантайме). А вот трафик промониторить бы не плохо было, такие стрёмные домены палятся на раз. Как и айпишнике украинские. Причём, желательно, подключаться к роутеру, и получать с него, но это опционально и роутер первым заразят, так что нужно анализировать расхождения в трафике между роутером и пк.
Интересно, а трояны для intel me кто-нибудь писал? А то какой профит это вирусописателям даст, intel me имеет доступ к любой части озу, к любой железки, умеет из коробки работать с сетью и к тому же имеет более высокий приоритет, что процессор и даже то что работает в 0 кольце процессора. Да и найти такую закладку будет очень трудно и тем более её перепрошить!
Поздравляю всех любителей системды. Привет с антикса )
падержую, привет с Devuan!
Как отсутствие системд спасает от сабжа? Разве что юзеру с каким нибудь sysvinit будет легче заметить вирус, т.к системд в процессах быть не может
элементарно жеж - отсутствие сис-г спасает появлением оного в списках процессов, что должно наводить на нехорошие мысли.
ЗЫ. Коньки эту задачу облегчают - пяток топовых процессов и пара-тройка текущих соединений с нетом.
Как зеркало заднего вида на авто - достаточно изредка вросаь в него взгляд, что бы избежать неожиданностей.
Кстати - как-то ставил себе ТОР. Было прикольно - браузер не запущен, а в сетку всё равно лезет.
Снёс нафиг - купил VPN. Сейчас снова никаких непонятных коннектов
> Супернуб
> Кстати - как-то ставил себе ТОР. Было прикольно - браузер не запущен,
> а в сетку всё равно лезет.
> Снёс нафиг - купил VPN. Сейчас снова никаких непонятных коннектовНе вводи людей в заблуждение - замени в нике "нуб" на "ламер".
Оличная новость. Скоро linux сравняется таки функциональностью с windows.
надоело каждый день шляпу хоронить, ну вот и сегодня тож рип.
А, древние мифы:В линуксе нет malware. Есть.
Линуксу не нужен AV. Нужен.
Исходный код проверяют десятки тысяч людей. Часто никто, кроме коммитера.
// b.
Даже венде не нужен антивирус (который в любом случае пропустит больше половины дряни и при этом удивительным образом доконает своими false-positive там где нормальный целиком легитимный софт купленный в магазине). Ботнеты это не malware. Нужно просто приучить хомячков, подобных тебе, все левые файлы отсылать на вирус тотал. И если тот этого не сделал, прилюдно пускать по кругу. А вот шпионящие программы на ПК действительно не нужны.Пс обычно и коммитер не проверяет, так что только перекрёстные ревью устраивать, благо опенсорс хотя бы кто-то читает. Я вот читаю разнообразный опенсорс, иногда он в это время где-то на стадии прототипа. Если я вижу обфусцированные данные, у меня возникают вопросы.
> Исходный код проверяют десятки тысяч людей. Часто никто, кроме коммитера.Если этот код не в офиц. репо и вообще мало популярен. Ерунда это про десятки тысяч. Проверяют, но не всю планету, а малую часть.
Остальную часть, большую, ташат к себе хомячки. Ставшее по силам хомячкам автоматически выпадает из проверок и затухает.
Чем в Artix/Void systemd-networkd/resolved/journald заменяют обычно?
Обычно systemd-networkd/resolved/journald - заменяется на busyboxВ моем artix обхожусь:
ifconfig,route,brctl вместо systemd-networkd
dnsmasq вместо resolved
rsyslog вместо journald
https://serverfault.com/questions/458628/should-i-quit-using...)
DNS over TLS dnsmasq не поддерживает, вроде, да и там DHCP server внутри еще.
Чо? Там по умолчанию есть утилита ip.. впрочем нормальные люди при установке уже ставят все так как нужно.
Знаете ли вы какие-нибудь мониторы трафика для линукса? Ну чтобы вроде какого-нибудь nethogs только не говно. Wireshark это конечно хорошо, но во-первых не совсем реалтайм и больше про разбор пакетов и не мониторинг, во-вторых не понятно что вообще фильтруется файрволом и на каком этапе, а что пролазит. У меня весь канал забит спамом от всякого дерьма в локалке, нтп генерирует кучу рандомных коннектов, а тут ещё китайцы ломятся с миллионов ипешников.Может быть что-то навроде nettop, только чтобы geoip был и показывались соединения (куда-откуда и что и сколько), и не только реалтайм. И может быть интеграцию с ядерным файрволом. Я склоняюсь к написанию собственного мониторинга, но задача-то вроде примитивная. Почему никто не думает о пользователях?
.
На коленке - последние тёплые ламповые "коньки" и в них секретный параметр "tcp_portmon"
Быстро, дёшево, сердито, в реальном времени - что, куда, откуда, по каким портам и протоколам.
Геолокацию, конечно, не даст, но, на самом деле, она особо-то и не нужна, что бы увидеть не своё
соединение
Нужно, долгих лет проекту
Теперь будут санкции против UA ?..
> новое вредоносное ПО1. Они его хотя бы минимально отладили, не будет падать с сегфолтами, как остальные нескриптовые виросы?
2. С какой версией либси собирать систему надо?
3. Какие зависимости у него? Какие версии зависимостей? С какими флагами их собирать?
4. Откуда оно запустится на системе, если для /var, /home и /temp у меня явно запрещен запуск чего бы то ни было?
Вот тоже интересно, где эту хрень скачать можно умудриться.
В голову приходят только скрипты установки программ и сомнительные .run архивы. Может быть ещё AppImage с сомнительных источников?
Ну я на винде без антивируса сидел и не ловил вирусы, просто не устанавливал что попало. Врят ли этому линуксоиды СИЛЬНО подвержены.
Ну так вирусов уже нет давно нигде, понятно что не ловил.
>При запуске с правами root для активации вредоносного ПО создавалисьСкущно. Расходимся
Да можно и без рута. В /home/ юзера может быть куча текстовых файликов с паролями и прочими важными данными. У меня например так, и боты видел сервера на это сканировать пытаются, на всякие backup.zip, password.txt и т.д
На https://busybox.net/ нашел ссылку "Life without systemd", которая ведёт на kill_it_with_fire.txt
Спасибо, RotaJakiro! :)
пользуясь случаем, передаю привет Леонарду П. и показываю ему средний палец.
гений, просто гений.
теперь фиг разберёшь, где атака, а где нет, с этим нагромождением бинарников.
походу, надо валить на генту.
Void еще есть.
Системдунам превед!
Новый патч из Миннесоты
А rkhunter ничего не замечал? Или он на новые файлы не реагирует..
> А rkhunter ничего не замечал? Или он на новые файлы не реагирует..rkhunter в принципе что-то найти может? Я эту башпортянку не осилил, вдруг там есть какой скрытый смысл. Хватило нижеследующего фрагмента. Антируткиты под альтернативную ОС используют драйвера не от избытка лишнего времени разработчиков.
# Evil strings
STRINGSCAN="crond:LOGNAME=root:Illogic Rootkit
hostname:phalanx:Phalanx Rootkit
init:/dev/proc/fuckit:Fuckit Rootkit
init:FUCK:Suckit Rootkit
init:backdoor:Suckit Rootkit (backdoored init file)
init:/usr/bin/rcpc:Portacelo Rootkit
init:/usr/sbin/login:trNkit Rootkit ulogin
killall:/dev/ptyxx/.proc:Ambient (ark) Rootkit
login:vt200:Linux Rootkit (LRK4)
login:/usr/bin/xstat:Linux Rootkit (LRK4)
login:/bin/envpc:Linux Rootkit (LRK4)
login:L4m3r0x:Linux Rootkit (LRK4)
login:/lib/libext:SHV4 Rootkit
login:/usr/sbin/login:Flea Linux Rootkit
login:/usr/lib/.tbd:TBD Rootkit
login:sendmail:Ambient (ark) Rootkit
login:cocacola:cb Rootkit
login:joao:Spanish Rootkit
ls:/dev/ptyxx/.file:Dica-Kit Rootkit
ls:/dev/ptyxx/.file:Ambient (ark) Rootkit
ls:/dev/sgk:Linux Rootkit (LRK4)
ls:/var/lock/subsys/...datafile...:Ohhara Rootkit
ls:/usr/lib/.tbd:TBD Rootkit...
# Possible rootkit files and directories
# The '%' character represents a space.
FILESCAN="file:/dev/sdr0:T0rn Rootkit MD5 hash database
file:/dev/pisu:Rootkit component
file:/dev/xdta:Dica-Kit Rootkit
file:/dev/saux:Trojaned SSH daemon sniffer log
file:/dev/hdx:Linux.RST.B infection
file:/dev/hdx1:Linux.RST.B infection
file:/dev/hdx2:Linux.RST.B infection
В базе сигнатур известных руткитов нет ничего плохого. Насколько я помню, ркх реагирует на изменение файлов в системе (чем, кстати, должен заниматься пакетный менеджер и какой-нибудь селинукс, если что).
> В базе сигнатур известных руткитов нет ничего плохого.Место занимает, даёт пользователям иллюзию неких гарантий. Даёт явные указания авторам: вас нашли.
Руткит под альтернативной ОС "не имеет" файлов, а стало быть и сигнатур. Там RootkitRevealer Марка Руссиновича получает списки файлов двумя различными способами и сравнивает, таким образом находит скрытые.
> Насколько я помню, ркх
> реагирует на изменение файлов в системе (чем, кстати, должен заниматься пакетный
> менеджер и какой-нибудь селинукс, если что).Вот-вот, информация о файлах для пакетного менеджера доступна, но почему-то изменения он не отслеживает. Уних-вэй, ага, инфекции должна ловить отдельная программулина, дублируя функционал. А если я случайно файл удалил, это вообще никто не решает, значит я ССЗБ и всё тут.
"Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей. "Дальше вопрос можно закрывать, очередная фейко новость для тупых начальников ИБ. Они не будут думать, что первопричина это не софтина в новости, а дыры в системе которые оказались там или потому, что систему не патчили обычным пакетным менеджером или об этих уязвимостях еще вообще никто не знает. А то что в итоге получая рут и доступ ты там ставишь/удаляешь/маскируешь хоть что угодно это уже тупых начальников не колышит. Главное воткнуть антивирус, который не пакеты не умеет писать раньше чем они в репозитории появятся ни дыры эти самые не закроет,по факту только в качестве системы мониторинга ставится.
В итоге если есть уязвимости для поулчения рута то каким боков тут вообще новость про какуюто говно софтину? вы лучше скажите как они рут получили, что там за дыры были. Почему у них в итоге оказались права рута что они смогли какуюто левую софтину там поднять? где основной материал то? почему пишут в стиле рекламы антивирусных программ? А то описали в принципе обычный клиент удаленного управления с кучей крутых фишек, а вот, что на самом деле к безопасности относится - нету. Как оно попало в систему??? как это можно было избежать? корень зла в итоге совсем не там где описано в статье. Вы же думайте головой, что вас тупые ИБшники читают и им палец в рот не клади дай систему защитить антивирусом и нафеячить проблем админам , а не защитить систему Linux, как оно должно быть. когда злоумышленник получил рута используя уязвимости в системе - какая вообще после этого разница какое он туда ПО поставил??? сообщать надо материал - КАК ОН РУТ ПОЛУЧИЛ. а то, что он туда в итоге понаставил это уже хоть башь скрипт хоть удаленное управление это уже вторичная проблема.
> сообщать надо материал - КАК ОН РУТ ПОЛУЧИЛ. а то, что
> он туда в итоге понаставил это уже хоть башь скрипт хоть
> удаленное управление это уже вторичная проблема.Рут получен терморектокриптоанализом. Тем же способом получены обязательства админа умолчать о компрометации системы. Ещё вопросы? Ещё желающие?
Я думал форум фантазеров и сказочников по другим адресам находится. Вы безопасность так же настраиваете с учетом что вам проведут - терморектокриптоанализ, а руководствоваться навыками администрирования Linux систем уже выше ваших знаний?
Дело в том что я не обменистратор ЛВС, потому не знаю, что означает "настраивать безопасность". Зато я немножко в курсе теории (кое-что слышал про доказательства корректности, без которых императивные реализации априори уязвимы) и практики, где безопасность это, так сказать, процесс. Кстати, когда Вашу Home Page начнёт атаковать эксперт с паяльником, не советую его бить -- даже если сломать ему ногу, он это не почувствует, только разозлится.
> Дело в том что я не обменистратор ЛВС, потому не знаю, что
> означает "настраивать безопасность". Зато я немножко в курсе теории (кое-что слышал
> про доказательства корректности, без которых императивные реализации априори уязвимы)
> и практики, где безопасность это, так сказать, процесс. Кстати, когда к
> Вам придёт эксперт с паяльником, не советую его бить -- даже
> если сломать ему ногу, он это не почувствует, только разозлится.К вам никаких претензий не имею, просто эти статьи иногда читают наши (мои) безопасники. А мне потом пол года разгребать их глупые потуги нагадить в моих линукс системы. Потому, что знаний и опыта работы в Linux системах у них нет, в универе им преподают как осуществлять защиту периметра на бумаге не вдаваясь в инженерную часть всего оборудования и ПО на Linux от точки доступа в интернет корпорации до последнего пользователя, в итоге все, что они могут это читать вот такие рекламные новости и ставить антивирус который им тоже прорекламировали.... а когда я им пишу - ребята я рут в системе, вы написали бумаги где написано, что вы защищаете систему в том числе от меня.... у меня рут есть вам о чем то это говорит???... они верят в святость и непогрешимость антивируса под Linux, он всемогущ. Потому, что настоящая настройка Linux в сторону безопасности это настолько сложный геморойный процесс, что никому не охото за это браться когда у тебя 200+ систем только на линуксах и нужно не наломать дров.
Зато вот такие новости про софт в Linux им как голодной собаке косточка, чувствую после праздников опять письмо прилетит официальное с этой статьей... Потому, что в статье нет акцента на то как получен доступ в систему, а есть только сам факт уже полученного доступа и что само ПО детектируется антивирусом....спустя три года....Очень существенная разница искать причину-дыру как проникли в систему и закрыть ее или просто тупо пытаться защититься антивирусником от трояна. так если хакеры доступ получили какая им разница, что троян спалили антивирсуником, если им надо они что угодно могут наворотить через те же дыры. Хоть 1005001 троянов наставить, хоть снести ее, хоть зашифровать.
понаберут винтузятников по объявлению на работу в ИБ, а потом они мне вот такие статьи про Linux тыкают на работе. Ну или со стажем 40+ лет и которые сидят на своем месте уже просто по сроку службы, а по знаниям ноль без палочки, потому, что новые технологии они не изучали. В ИТ все меняется и устаревает очень быстро. Чтобы быть в тренде надо постоянно учится, а наши только и могут, что жопу просиживать и получать ЗП за былые заслуги и выслугу лет.
Вам открыть секрет? Вантуз всем нужен, а потому ванузятники. Пусть 200 не на вантузе, но все же один сервер это все те же знания винды. Линукс без патчей безопасности дыряв предположим, а они платными стали. Так зачем объяснять всем как эксплуатировали дыру? Вот когда перестанете на других как на арагов глядеть так начнете внятно объяснять им и учить их как надо работать с компами. А то есть психопаты что думают они будут в крупной конторе работать только с железом. И да никому ненужно 5 лет учить как защитить комп. Там материала то на пол года от силы если преподавать все прямо и понятно. Так вот странно видеть от админы непонятные эмоции. Пока уязвимость не исправят информация о ней должна оставаться закрытой. Главный в OpenBSD разок отличился когда шобла типа продвинутых корпорастов проигнориала его существование и опубликовал патчи уязвимостей процессоров. Вони тогда было дофига. Вы же не публикуете свои личные и паспортные данные на каждом заборе. Вот и безопасникам по мозгам трактор проехался "делать вид деятельности" пока учзвимость не исправят. Вы может и привыкли только с компами бороться, но с людьми можно и нужно сотрудничать. А то обычно программиста и администратора принудительно делают врагами и типа так лучше. Нет, хуже. Так делают те, кто не занимается одним делом - построением программы и внедрением. Пуско-наладочные работы делают не работники заводов, а программисты написавшие софт (или иные сотрудники связанные с ними напрямую). Если бы онибыли врагами, то за любую лшибку всех казрили бы. Сами то в двух словах не объяснили как должно быть. Потому что те кто пишут статью должны, а чукча не писатель. Надеюсь понятно объяснил, а то многие мозгоеды думают с ними кто-то правда хочет общаться.
> эти статьи иногда читают наши
> (мои) безопасники.Слава Богу, хоть кто-то читает. Некоторые даже дочитывают до "при выполнении с правами обычного пользователя".
> Потому, что в статье нет акцента на то как получен доступ
> в системуВ статье, если под ней понимать оригинал, вообще про получение доступа не сказано (во всяком случае, при беглом просмотре я не нашёл). При этом приведены фрагменты псевдокода многих фрагментов зловреда, то есть анализ выполнен достаточно подробно и вариант "не нашли" отпадает. Это говорит о том, что в обнаруженных экземплярах код установки в систему отсутствует. Значит либо "установщик" с системы удалён (представляет бо́льшую ценность, чем рабочий модуль), либо там рядом руткит, который не обнаружили.
да я тоже статьи почитал, что в интернете сейчас про него пишут, нет информации как зловред оказался в системе. но сам он этого не умеет.
Итак, как же все-таки был получен рут доступ? Или закладка была в ядре?
А обвинят опять Петрова и Баширова :)
Новость от китайцев, создавших антивирь.