forum.opennet.ru

"Выявлен новый rootkit для Linux, осуществляющий подстановку ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."	+/–
Сообщение от Аноним (-), 21-Ноя-12, 16:48
> там по дефолту в работающей системе нельзя засунуть посторонний код в ядро А в лине мало того что сто лет есть опция запрета вгрузки модулей, для тех кто маньяк, так еще и с ядра 3.7 можно засунуть в ядро ключ и вклчить опцию форсированной проверки подпией - тогда ядро будет грузить только то что подписано правильным привкеем парным к этому ключу. Хоть это и делалось для секурбута, но кроме всего прочего это при желании можно поюзать и просто в пику хакерам.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выявлен новый rootkit для Linux, осуществляющий подстановку ..., opennews, 21-Ноя-12, 12:10 [смотреть все]

Опять руткит, который сначала ещё поставить нужно Хм , Darth Revan, 21-Ноя-12, 12:12 (2) //
- У RHEL _фрагментация_ версий таргетов сильно выше Киддизы одобряе стабил, Andrey Mitrofanov, 21-Ноя-12, 12:27 (12) //
  - СМС надо отправлять , pavlinux, 21-Ноя-12, 14:51 (57) //
    - Он сам отправит, если оставишь телефон подключенным к компу , Аноним, 21-Ноя-12, 15:16 (68)
- Я невнимательно читал, или в статье нет подробностей 171 заражения 187 , AlexYeCu, 21-Ноя-12, 16:12 (87)
- Кстати, в наше-то время кто-то ещё без NoScript в Сеть ходит Мдааа , Fyjybv, 22-Ноя-12, 07:41 (150)
Поправьте, пожалуйста Было бы интересно узнать, подвержены ли более новые ядра и, DannyBoy, 21-Ноя-12, 12:17 (4) //
- Подвержены чему Руткит это не вирус, он сам не распространяется, его устанавлив, Аноним, 21-Ноя-12, 12:25 (9) //
  - да а остальные трояны и вирусы распространяются по протоколу TCP IP сами , Аноним, 21-Ноя-12, 13:08 (24) //
    - Червяки например - самораспостраняются На то и червяки , Аноним, 21-Ноя-12, 16:57 (101)
      - прочитайте пост с чего началась эта нить подчеркиваю его устанавливают на уже, res2500, 21-Ноя-12, 20:54 (122)
        
        Я ответил на конкретный тезис А что там было 100500 сообщений назад - не мои пр, Аноним, 21-Ноя-12, 22:27 (126)
        
        травой не увлекаюсь, зашел новость почитаь и упал от смеха с написанных слов , res2500, 21-Ноя-12, 23:49 (142)
        
        Руткитов и червей полно, а вирусов нет Проблема в том, что если Вы скомпилируете, 1, 22-Ноя-12, 05:37 (149)
        
        Есть http ru wikipedia org wiki Вредоносные_программы_для_Unix-подобных_систе, коксюзер, 22-Ноя-12, 09:23 (151)
        
        Да все там есть Только найти крайне сложно В принципе да, однако проблема в то, Аноним, 22-Ноя-12, 15:35 (169)
        
        На сложность написания вирусов это не влияет Для вируса, который распространяетс, коксюзер, 22-Ноя-12, 16:24 (172)
        
        Судя по вашим постингам - у меня большие сомнения насчет вашей честности в этом , Аноним, 22-Ноя-12, 15:25 (168)
  - Вопрос в том, кто взламывает и устанавливает Похоже на червие , Аноним, 21-Ноя-12, 14:44 (53)
- Для противодействия достаточно монтировать на серверах etc и lib в read-only , Сергей, 21-Ноя-12, 13:56 (35) //
  - И после этого, никогда не обновляться , Аноним, 21-Ноя-12, 14:05 (37) //
    - Наркоман man 8 mount на предмет remount а , ZloySergant, 21-Ноя-12, 15:04 (62)
      - То есть даже без аппаратной защиты от записи LOL Что мешает сделать remount сам, Аноним, 21-Ноя-12, 15:08 (64)
        
        Геморность реализации парирования всех заскоков админов Ушибленных админов м, Аноним, 21-Ноя-12, 16:59 (102)
        
        А кто вам сказал что автор руткита один , BratSinot, 21-Ноя-12, 17:48 (108)
        админы, у вас Чуство Собвственной Важности похоже что запредельно вы хоть пр, Xasd, 21-Ноя-12, 18:46 (115)
        
        Да никакого там особого геморроя Гражданин исследующий этот экспонат пришел к в, Аноним, 21-Ноя-12, 22:39 (127)
        
        ладно тогда предлагаю другой алгоритм если вы так сопративляетесь -- если о, Xasd, 22-Ноя-12, 00:48 (144)
        
        И немедленно палим свою активность и обращаем внимание на проблемы А зачем Рут, Аноним, 22-Ноя-12, 15:42 (171)
        
        Посмотреть в proc mounts или список разделов внутри ядра и перемонтировать дл, коксюзер, 22-Ноя-12, 09:43 (152)
        
        Да, ибо вариантов как и что может быть смонтировано - туева хуча А если какой-т, Аноним, 22-Ноя-12, 16:36 (174)
        
        Определить точку монтирования раздела, на котором лежит нужный файл, очень прост, коксюзер, 22-Ноя-12, 19:03 (184)
        gt оверквотинг удален Не позорь имя онанима, теж сказали в ядре все пути есть , away, 25-Ноя-12, 19:37 (188)
        
        АГА Вот так вот и будет изобретён ИИАА искусственный интелект анти-админа а т, Bvz, 23-Ноя-12, 09:39 (186)
У меня даже на роутере ядро собранное без возможности загружать модули Кто став, Аноним, 21-Ноя-12, 12:19 (6) //
- RHEL CentOS Ubuntu Server , DannyBoy, 21-Ноя-12, 12:20 (7) //
  - -D этопять , Аноним, 21-Ноя-12, 12:26 (11)
  - Пффф, даже в этих дистрибутивах можно пересобрать ядро , Аноним, 21-Ноя-12, 12:30 (14) //
    - Тогда ты неправильно задал первый вопрос Кто-то ещё здесь _так пересобирает ядр, Andrey Mitrofanov, 21-Ноя-12, 12:34 (16)
- Разве на роутере есть смысл собирать ядро как-то по другому , Аноним, 21-Ноя-12, 14:23 (44) //
  - Безмодульная сборка - дешевый выпендреж, не более Ни на скорость, ни на потребл, Аноним, 21-Ноя-12, 14:38 (47) //
    - Да и dev kmem не отменяет, если уж начинать Помнится, когда-то иные любители на, Michael Shigorin, 21-Ноя-12, 14:50 (56)
      - На самом деле, красивая идея, только рулить этим во время работы немножко неудоб, Аноним, 21-Ноя-12, 15:05 (63)
      - Можно пойти чуть дальше и законфигурить все через ядро , Аноним, 21-Ноя-12, 17:00 (103)
    - Мы говорим о безопасности Руткит грузится как модуль, а в безмодульной сборке н, Аноним, 21-Ноя-12, 16:16 (88)
      - Для решения этой задачи можно не выпендриваться с пересборкой http www opennet, Аноним, 21-Ноя-12, 16:44 (95)
        
        Ну вот, пришел поручик Ржевский и все опошлил Теперь школьники научившиеся щ, Аноним, 21-Ноя-12, 22:41 (128)
Какая интересная зверушка, работает хирО, это вам не винлоки Конечно, самый инт, Анонимный аноним, 21-Ноя-12, 12:23 (8) //
- Под DOS были и более хитрые штуки , Аноним, 21-Ноя-12, 12:26 (10)
- руткит сам себя никак не распространяет советую почитать http ru wikipedia org, Аноним, 21-Ноя-12, 14:28 (46) //
  - Но кто-то же должен его распространять И это больше похоже не на ручную работу,, Аноним, 21-Ноя-12, 14:42 (51) //
    - Как раз это похоже на ручную работу , Аноним, 21-Ноя-12, 15:49 (80)
      - Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлен, Аноним, 21-Ноя-12, 15:57 (83)
        
        Думается что вместе с руткитом идет нагрузка в виде червяка Иначе смысла просто, CyberDaemon, 22-Ноя-12, 10:29 (160)
Дык это же rootkit, а где sploit что его в систему внедрить , Alukardd, 21-Ноя-12, 12:28 (13) //
- Начни с http www debian org security 2012 и продолжай движение в сторону гори, Andrey Mitrofanov, 21-Ноя-12, 12:36 (18) //
  - DSA это хорошо, а готового sploit а-то у меня нету - , Alukardd, 21-Ноя-12, 12:39 (20) //
    - Большая Земля сказала, не быть тебе киддизом Преподаватель лопух Ло-пух Но , Andrey Mitrofanov, 21-Ноя-12, 12:51 (21)
      - Ч-т, профессор же , Andrey Mitrofanov, 21-Ноя-12, 18:31 (113)
      - , ВовкаОсиист, 22-Ноя-12, 00:23 (143)
  - А кто сказал, что там оно есть Дебиан - не RHEL, к безопасности досаточно пофиг, Аноним, 21-Ноя-12, 14:07 (38) //
    - А кто сказал, что нет До кучи - вот еще http security-tracker debian org tra, myhand, 21-Ноя-12, 15:11 (65)
      - Факт наличия инфицированных серваков Если бы апдейты вышли своевременно - их бы, Аноним, 21-Ноя-12, 15:14 (66)
        
        Ну простите, что пока Debian не умеет заменять локального администратора Мы в , myhand, 21-Ноя-12, 15:29 (75)
        
        Прежде всего, он объясняется тем, что обновления безопасности надо _выпускать_ Э, Аноним, 21-Ноя-12, 15:59 (84)
        
        Обновления выпускаются, http security debian org Ваш КО Про ваш Как будет, myhand, 21-Ноя-12, 16:08 (85)
        
        Но не все и с большим опозданием Возьмем, например, ядро http security-tracke, Аноним, 21-Ноя-12, 16:35 (91)
        
        Слыхал звон А теперь тыкаем случайная выборка CVE-2012-3511 - статус NEW в R, myhand, 21-Ноя-12, 17:27 (107)
        
        как это 171 не заботились 187 вон, даже openssl патчили, чтобы секурность , arisu, 24-Ноя-12, 01:03 (187)
    - Кто оно -то Ядро Новость сказала мне - под управлением Debian Squeezy с ядро, Andrey Mitrofanov, 21-Ноя-12, 18:35 (114)
  - А для убунты чтото подобное есть , Аноним, 21-Ноя-12, 14:13 (40) //
    - В поисковик ubuntu security совсем не вбивается ubuntu com usn, Andrey Mitrofanov, 21-Ноя-12, 20:53 (121)
Прикольный зверёк Проверили все etc rc local нормальные , АнониМ, 21-Ноя-12, 12:33 (15) //
- Думаю, что после выкладки на секлисте, руткит уже пропатчился на предмет выдачи , Hugo Reyes, 21-Ноя-12, 13:23 (25) //
  - А, там уже правильный rc local отдаетсяhttp 4 bp blogspot com -c6xVri0YRjo U, Hugo Reyes, 21-Ноя-12, 13:30 (28)
Вы все ешё хостите сервисы на голом железе Тогда мы идем к вам PS Вроде как ст, klalafuda, 21-Ноя-12, 12:34 (17) //
- Те же контейнеры вроде как работают с тем же ядром , mee too, 21-Ноя-12, 12:52 (22) //
  - Вот только они не позволяют грузить модули ядра изнутри контейнера, в котором ок, klalafuda, 21-Ноя-12, 13:00 (23) //
    - Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера , Hugo Reyes, 21-Ноя-12, 13:25 (27)
      - Нарисовать указанный сплойт и его целевую нагрузку перехватчик тем более долго, klalafuda, 21-Ноя-12, 13:33 (30)
        
        Отлично Мы практически взломали Интернет Дело за малым - как мы будем управлят, klalafuda, 21-Ноя-12, 14:14 (41)
        
        Пойти к админу и попросить рута на хосте, очевидно же , Аноним, 21-Ноя-12, 14:43 (52)
        Дело даже не в том -- пусть сначала продемонстрирует хоть в каком виде загрузку , Michael Shigorin, 21-Ноя-12, 15:28 (73)
        
        Товарищ видимо имел ввиду sys_module container capability bit Parallels Virtuozz, klalafuda, 21-Ноя-12, 15:52 (81)
        
        Да, и по дефолту в всех хостеров в здравом уме и всех остальных - никто не дает , Аноним, 21-Ноя-12, 16:50 (98)
        
        В ядре бывают баги Но они бывают и много где еще Хотя тру параноик может распи, Аноним, 21-Ноя-12, 23:08 (138)
        
        , а его прикрыть SELinux-ом Рукописным , Andrey Mitrofanov, 22-Ноя-12, 10:14 (156)
        
        Не, возможно конечно все, но чтобы конкретно взятый руткит прошибал вообще все и, Аноним, 21-Ноя-12, 23:02 (137)
        Товарищ, видимо, безнадёжен Продемонстрируем это на практике при помощи ALT Li, Michael Shigorin, 21-Ноя-12, 23:29 (141)
        
        Всем и каждому известно, что в линуксе нет уязвимостей Security bugs are just , коксюзер, 22-Ноя-12, 10:01 (153)
        
        Пардон, Берштейн тоже так считает Хоть и по иному поводу Троллинг нормальный, Аноним, 22-Ноя-12, 16:41 (175)
      - Ставьте OpenBSD и спите спокойно , akamit, 21-Ноя-12, 13:34 (31)
        
        Почему , Анонище, 21-Ноя-12, 13:39 (32)
        
        Потому что Неуловимый Джо Любая экзотическая ось хороша тем, что под ней работае, Аноним, 21-Ноя-12, 14:09 (39)
        
        А что, linux уже mainstream , Анонище, 21-Ноя-12, 14:23 (43)
        
        На серверах - да , Аноним, 21-Ноя-12, 14:39 (49)
        Есть корпорации, которые заинтересованы в том, чтоб оси на базе ядра Linux 8482, akamit, 21-Ноя-12, 14:45 (54)
        
        У вас в голове каша Как связаны дырявость и цена на саппорт Дырявость - лишь п, Аноним, 21-Ноя-12, 15:03 (60)
        Хотите я вас расстрою С точки зрения простейшей логики несложно понять что чем , Аноним, 21-Ноя-12, 22:58 (136)
        
        Вот только количество этих багов и последствия их эксплуатации могут серьёзно ва, коксюзер, 22-Ноя-12, 10:08 (154)
        
        Давно , Michael Shigorin, 21-Ноя-12, 15:30 (76)
        С разморозкой вас Хорошо видать криокамера морозила Да, в 2012 году - он уже в, Аноним, 21-Ноя-12, 22:44 (129)
        
        Так почему openbsd, а не haiku, QNX, etc , Анонище, 21-Ноя-12, 15:22 (69)
        
        Лучше Minix Не знаю правда, умеет ли он TCP IP, но как минимум модули грузить о, Аноним, 21-Ноя-12, 22:56 (135)
        
        А потом спрашивают, зачем пилить своё, когда есть дебиан , Michael Shigorin, 21-Ноя-12, 15:29 (74)
        
        Фрагментация дистрибутивов линукса создает проблемы авторам любого софта и малв, Аноним, 21-Ноя-12, 19:46 (117)
        
        Это были примеры малвари А то адоба вон рассылает уже спам с угрозами, например, Аноним, 21-Ноя-12, 22:45 (130)
        
        лучше уж сразу полуось ecomstation , ainanim, 21-Ноя-12, 16:29 (89)
        
        DOS тогда уж сразу Если среди хакеров не попадется некрофила, вы в безопасности, Аноним, 21-Ноя-12, 17:14 (104)
        
        там по дефолту в работающей системе нельзя засунуть посторонний код в ядро, akamit, 21-Ноя-12, 14:24 (45)
        
        На самом деле, можно , Аноним, 21-Ноя-12, 14:40 (50)
        А в лине мало того что сто лет есть опция запрета вгрузки модулей, для тех кто м , Аноним, 21-Ноя-12, 16:48 (97)
        
        В пику хакерам это поюзать не удастся, потому что инфраструктура модулей в ядре , коксюзер, 22-Ноя-12, 10:12 (155)
        
        Если ты проэксплуатировал уязвимость в ядре и можешь переколбашивать режим ядра , Аноним, 22-Ноя-12, 16:45 (176)
        
        Для упрощения разработки и деплоя руткита , коксюзер, 22-Ноя-12, 18:48 (183)
        
        Угу В мавзолее Все-равно она железа с гулькин нос не поддерживает , Аноним, 21-Ноя-12, 16:38 (93)
        
        Это миф Было даже время, когда OpenBSD поддерживала наибольшее количество WiFi-, коксюзер, 22-Ноя-12, 10:14 (157)
        
        Это время было Но давно прошло В пингвине нынче разработка беспроводных сетей , Аноним, 22-Ноя-12, 16:51 (177)
  - Вот только модули из контейнеров в то ядро не грузятся , Michael Shigorin, 21-Ноя-12, 14:53 (58) //
    - Да, обламается, проверено А в ядре 3 7 нынче стало можно еще и зафорсить циф, Аноним, 21-Ноя-12, 16:44 (94)
  - Только через них не получается модули ядра грузить Мелочи какие , Аноним, 21-Ноя-12, 16:45 (96)
Ничего страшного Просто человеческий фактор , Анонище, 21-Ноя-12, 13:32 (29)
Классный курсовик Наконец-то показали что не перевелись ещё ядрёные программе, 1, 21-Ноя-12, 13:50 (34) //
- Предположительно российских Досадно то, что какой-никакой талант идёт на вредн, Michael Shigorin, 21-Ноя-12, 15:30 (77) //
  - Не ругайте кузнеца, чей топор Раскольников на старушке опробовал , myhand, 21-Ноя-12, 15:32 (78)
  - Видел этот ну или похожий по действию руткит в продаже около года назад Автор , Аноним, 21-Ноя-12, 19:51 (119) //
    - Судя по тому, что эта игрушка делает - эти неадекватные деньги отобьются ифрей, Crazy Alex, 21-Ноя-12, 21:21 (124)
Где можно скачать и как устанавливать , Сергей, 21-Ноя-12, 13:59 (36)
Что характерно, автор, судя по содержимому модуля - наш соотечественник , 3cky, 21-Ноя-12, 14:22 (42) //
- Касперский , pavlinux, 21-Ноя-12, 14:46 (55) //
  - Может все-таки Касперски PS Мягко говоря сложно представить себе Каспера, заним, klalafuda, 21-Ноя-12, 14:55 (59) //
    - 1, Анонище, 21-Ноя-12, 15:25 (70)
    - Этот бобик дезертировал в пиндосию, пущай там и сдохнет А у Касперского и Ко, уж, pavlinux, 21-Ноя-12, 15:28 (72)
      - Так и не понял всей важности этого ALREADY и почему это столь ключевое слово в з, klalafuda, 21-Ноя-12, 16:11 (86)
Лекарство одно - не оставляйте сервак с дефолтными настройками chattr i etc , pavlinux, 21-Ноя-12, 14:39 (48) //
- он не сделает chattr -i по религиозным соображением , ololo, 21-Ноя-12, 15:04 (61) //
  - Обычно это делают роботы, которым естественно нужно это заложить в алгоритм , pavlinux, 21-Ноя-12, 15:26 (71) //
    - Ну так боты нам багрепорты на мыло шлют Мы ценим пользователей наших продуктов , sdf, 22-Ноя-12, 10:31 (161)
  - Шанс этого раз в 100 ниже при автоматическом взломе, т е такую фигню юзают менее, Anonim, 21-Ноя-12, 15:33 (79)
- Лучше сделай rc local директорией Во руткит лулзов словит когда файл как бы ест, Аноним, 21-Ноя-12, 16:35 (92) //
  - каталог autorun infВирусы в панике и часть антивирусов тоже , старыйвиндузятник, 21-Ноя-12, 16:56 (99)
  - Директория autorun inf на флеше в корне, klalafuda, 21-Ноя-12, 16:56 (100) //
    - Ну да, знатное западло самоходным экспонатам , Аноним, 21-Ноя-12, 17:16 (105)
      - ничего подобного последние flash-вирусы которые были на заре заката WinXP -- , Xasd, 22-Ноя-12, 00:54 (146)
        
        Ну поставить ему readonly-hidden-system Интересно, бывает ли зараза которая доп, Аноним, 22-Ноя-12, 16:54 (178)
- отлично задавайте следующая версия руткита будет использовать crontab reboot ,, Xasd, 22-Ноя-12, 01:03 (147)
FAIL , Аноним, 21-Ноя-12, 16:33 (90)
тем не менее фигня такая есть и кавота заразила с этого момента можно считать, , Аноним, 21-Ноя-12, 17:17 (106) //
- А вас походу неграмотость заразила P , Аноним, 21-Ноя-12, 22:51 (133)
- а какже -- открыть http localhost , Xasd, 22-Ноя-12, 01:05 (148)
Весь трёп не читал, но стоит отметить факт работы web-сервера с UID 0 и GID 0 ТО, modal, 21-Ноя-12, 19:04 (116) //
- Савсем глупый, да Нигда там не написано про полномочия сервера А insmod запуск, Аноним, 21-Ноя-12, 19:48 (118)
Пионеры заново открывают для себя stealth технологии начала 90-х годов Не виж, ram_scan, 21-Ноя-12, 20:56 (123) //
- Всё по кругу идёт Вот интересно, как с этим бороться распознавать хотя бы н, Crazy Alex, 21-Ноя-12, 21:25 (125) //
  - Надеяться что хостер не полный дебил Хотя в ответственных случаях лучше быть, Аноним, 21-Ноя-12, 22:48 (131)
- Справедливости ради, я не видел вирусов вклинивающихся в TCP IP стек и дописываю, Аноним, 21-Ноя-12, 22:50 (132) //
  - Почему-то такие вещи как резалка баннеров на прозрачном прокси и наличие ip_conn, ram_scan, 22-Ноя-12, 10:31 (162) //
    - Ну не ппц достижение, но достаточно оригинально , Аноним, 22-Ноя-12, 16:55 (179)
Мдя Интересно, какие такие Tools, Techniques, and Procedures выдали что он ру, Аноним, 21-Ноя-12, 22:55 (134) //
- 1 Наши комменты не пишут 2 Функции, переменные и константы вида void set_jop, pavlinux, 21-Ноя-12, 23:22 (140)
За каждым таким вредоносом, особенно с такими далеко идущими целями, как в этом , EXTRAMISsionisT, 22-Ноя-12, 12:30 (163) //
- да ты поехавший, Reinar, 22-Ноя-12, 15:41 (170)
Следующее поколение ядра Linux будет с изоляцией модулей , A_n_D, 22-Ноя-12, 13:10 (164)
А какая тогда ось считается безопасной для web серверов, на текущее время , peering, 22-Ноя-12, 14:17 (165) //
- IIS, Анонист, 22-Ноя-12, 14:24 (166) //
  - Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающ, Аноним, 22-Ноя-12, 16:57 (180) //
    - SCTP hack protocol , Анонист, 01-Дек-12, 19:26 (189)
- Та, вместе с которой наняли администратора Как и было всегда , myhand, 22-Ноя-12, 14:56 (167) //
  - Администраторы разные бывают Вон тут у нас несколько экспонатов по форуму ходит, Аноним, 22-Ноя-12, 16:59 (181) //
    - Здравствуй, Кэптен Каким еще откровением ты жаждешь поделиться , myhand, 22-Ноя-12, 17:52 (182)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру