forum.opennet.ru

"В результате атаки Windigo вредоносным ПО поражены более 25 ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
Сообщение от Andrey Mitrofanov (?), 19-Мрт-14, 18:32
>>> а на сервере перехватывают >>> пароль входа на другой сервер через подмену утилиты ssh. >> Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир? >> :( >> Может загружать в свой хомяк статически слинкованный клиент ssh? Не пускай там ssh (ssh.conf+ProxyCommand+netcat и второй ssh - тоже твой локальный). Не форварди агента. Не... ходи в интернеты. Не смотри прон. Не возжелай.... ЭЭЭэ, о чём это мы?? > Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или > я не прав). Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли, вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh от локального агента.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В результате атаки Windigo вредоносным ПО поражены более 25 ..., opennews, 19-Мрт-14, 12:56 [смотреть все]

ССЗБнеудивительно, что работает и на других платформах, где есть перл , Аноним, 19-Мрт-14, 13:01 (2) //
- Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделан, Уважаемый, 27-Мрт-14, 23:43 (117)
продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под , JL2001, 19-Мрт-14, 13:06 (3) //
- Да дело в том что это серьёзная спланированная акция, в которой продуманы шаги в, NikolayV81, 19-Мрт-14, 14:17 (28) //
  - Дары в роутерах админ админ не дают рута на сам сервант Проще с вантуза на кот, ананим, 19-Мрт-14, 20:40 (87) //
    - Да оно может постепенно происходить, сначала роутеры, потом случайно переданные , Аноним, 19-Мрт-14, 21:10 (88)
      - Рута У вас все в конторе им владеют что ли А то вон ssh по-умоланию рута вообщ, ананим, 19-Мрт-14, 21:26 (92)
На счёт x64 ничего не написано Или я не увидел , Андрей, 19-Мрт-14, 13:15 (4) //
- Да там нечего видеть Главным моментом всех подобных сообщений всегда является с, AlexYeCu_not_logged, 19-Мрт-14, 13:18 (7) //
  - пролюбленные ключи, AlexYeCu_not_logged, 19-Мрт-14, 13:20 (9)
- ESET pdf The traffic of the hosts infected by Perl Calfbot yields other inte, Andrey Mitrofanov, 19-Мрт-14, 14:30 (32) //
  - А разве пароли можно вообще проснифать вся ssh-сессия будет зашифрована , Адекват, 19-Мрт-14, 17:05 (57) //
    - Хотя возможны другие варианты форварда, нежели запуск ssh на средней машине ф, Andrey Mitrofanov, 19-Мрт-14, 18:07 (72)
- Не путайте архитектуру х86 и разрядность x86_86 и x86_64 это все x86 - речь был, pansa, 19-Мрт-14, 21:22 (90) //
  - x86_86 - это очень ооок самая крутая система , Мегазаычы, 20-Мрт-14, 00:05 (93)
Не обнаружил данный ключ в мане http www opennet ru man shtml topic ssh catego, knike, 19-Мрт-14, 13:22 (10) //
- Поражённый ман , Аноним, 19-Мрт-14, 13:27 (13)
- В результате атаки Windigo вредоносным ПО поражены более 25 ..., анонимус, 19-Мрт-14, 13:28 (15)
- Сори Подумал, что наоборот, если ключ не доступен, то система поражена , knike, 19-Мрт-14, 13:29 (16) //
  - Поражён мозг у того, кто пишет слово недоступен как не доступен , Led, 20-Мрт-14, 03:36 (96) //
    - недоступен не, доступен , vi, 20-Мрт-14, 10:49 (105)
- Как я понял, речь о том, что в отличие от нормального ssh, в подмененном этот кл, zeroname, 19-Мрт-14, 13:31 (17)
- это недокументированный ключ, он выводит сообщение о недоступности этой опции , axe, 19-Мрт-14, 13:31 (18) //
  - и при этом программа завершает свою работу с магическим значением 255, Xasd, 19-Мрт-14, 15:02 (40)
- В том-то и фишка , Censored, 19-Мрт-14, 13:35 (19)
- Просто после выпуска сабжевой новости хакеры уже поменяли ключ на существующий р, Аноним, 19-Мрт-14, 16:46 (55)
- Не там G искал, Аноним, 19-Мрт-14, 18:59 (81)
Ну хоть в чём-то пользователям iOS повезло , Фыр, 19-Мрт-14, 13:23 (11) //
- Ну так какая аудитория - такие и предпочтения Наверняка отправляют на ресурсы с, Аноним, 19-Мрт-14, 15:28 (42)
- А пользователи iOS перенаправлялись на порноресурсы я таки подозревал что они, cat666, 20-Мрт-14, 12:47 (107)
- Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрес, Anonym2, 21-Мрт-14, 09:12 (114)
если уж списывать, то списывать полностью из статьи, Аноним, 19-Мрт-14, 13:27 (12) //
- Это не во всех shell сработает, не нужно думать, что у всех bash , Аноним, 19-Мрт-14, 13:39 (20) //
  - Я, конечно, не активист посикса и не знаток оного, но под busybox-sh и dash, впо, Andrey Mitrofanov, 19-Мрт-14, 14:47 (36) //
    - 2 1 - под csh tcsh не сработает, болезный , kazh, 19-Мрт-14, 16:46 (54)
      - А ещё не работает в CP M и прочих древностях И что , Crazy Alex, 19-Мрт-14, 17:09 (59)
        
        В вашем детсаде все что старее недели древность , kazh, 19-Мрт-14, 17:55 (68)
        
        в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом н, arisu, 20-Мрт-14, 08:47 (103)
        
        У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах , Аноним, 21-Мрт-14, 00:57 (110)
        
        вот я и говорю на лечение, потом на пенсию галлюцинации от большого здоровья н, arisu, 21-Мрт-14, 00:59 (111)
  - csh variant ssh -G 124 grep -e illegal -e unknown dev null if , volax, 19-Мрт-14, 18:05 (71)
Так вот, почему антивирусы тормозят систему Вообще странно писать про пароли на, backbone, 19-Мрт-14, 13:43 (21) //
- Я один такой Ищу друзей по нещастью , Грустный Нуб, 19-Мрт-14, 14:04 (24) //
  - Ну, разве что вы ходите на сервера потенциального противника , backbone, 19-Мрт-14, 14:07 (25) //
    - Я на свои сервера по паролю хожу во многих случаях Правда, пароли длинные и я р, Аноним, 19-Мрт-14, 15:52 (46)
      - Ну брутят то как-раз пароли, это могут делать боты, так как другой информации, к, backbone, 19-Мрт-14, 15:59 (49)
      - Кстати, а можно как-то пароли увидеть подбираемые , Адекват, 19-Мрт-14, 17:27 (60)
        
        Да, например с помощью смоляной ямы, Неадекват, 19-Мрт-14, 18:38 (75)
        Гуглите по слову honeypot Еще когда-то был левый патч для sshd, обеспечивающий , Аноним, 21-Мрт-14, 00:59 (112)
        
        Впрочем, при минимальных познаниях Си поправить можно и самому , Аноним, 21-Мрт-14, 01:00 (113)
      - Зачем вы вообще наружу SSH выставляете , SubGun, 19-Мрт-14, 18:50 (78)
        
        А что есть более безопасные способы попадания на сервер с наружи , Anonymous528, 19-Мрт-14, 19:03 (82)
        
        portknock например, Анононо, 19-Мрт-14, 21:21 (89)
        
        Хотя бы стандартный порт сменить - это отсеит 99 bf, pansa, 19-Мрт-14, 21:26 (91)
        
        да не отсеивает оно его А так ну пусть 5 паролей из словоря попробует, через , Аноним, 20-Мрт-14, 00:41 (95)
  - Я тоже имею доступ к своим серверам по паролю Пользуюсь этой возможностью в кра, freehck, 19-Мрт-14, 16:03 (51)
- I have a bad news for you Вы даже не представляете, сколько админов ни разу в , XoRe, 19-Мрт-14, 14:17 (27) //
  - А ведь это не сложнее, чем сделать chmod x kaspersky exe sh , backbone, 19-Мрт-14, 14:24 (31) //
    - Это если знать, что делать Это как когда в первый раз самоподписанный ssl сертиф, XoRe, 19-Мрт-14, 17:57 (69)
      - Ну, если взломают их сервер, то будет уроком - наймут специалиста для решения да, backbone, 19-Мрт-14, 18:03 (70)
- Правильно, используйте ключи - их на автомате пи ть проще , Аноним, 19-Мрт-14, 15:30 (43) //
  - И храните их закрытую часть на сервере, да , backbone, 19-Мрт-14, 15:36 (44) //
    - Ну рулить то вы откуда-то будете, правда А что помешает оттуда ключ свистнуть , Аноним, 19-Мрт-14, 15:48 (45)
      - Преимуществ больше Во-первых, отсеиваются боты, перебирающие пароли, которым не, backbone, 19-Мрт-14, 15:56 (47)
        
        Ничего мы не узнаем - почистят нам логи и поставят бекдор за полсекунды, так все, Адекват, 19-Мрт-14, 17:31 (62)
        
        Чтобы логи почистить, нужны локальные привилегии Если это взлом не для организац, backbone, 19-Мрт-14, 17:33 (64)
        а что, отправлять логи на другой сервер уже немодно , arisu, 20-Мрт-14, 08:49 (104)
        
        ORLY Логин нэйм нужен по любому И это два Кто разрешает заходить рутом 99 , Аноним, 19-Мрт-14, 18:45 (77)
        
        Ну да, и я написал только то, что сразу в голову пришло Бот его подбирает Посмо, backbone, 19-Мрт-14, 18:51 (79)
        
        gt оверквотинг удален Секретней ключа ещё только лицензионная электронная цифр, Anonym2, 21-Мрт-14, 09:40 (115)
      - Есть такая штука, называется пробросом ssh Она как раз позволяет ходить туда-сю, freehck, 19-Мрт-14, 16:07 (53)
        
        Че , Аноним, 19-Мрт-14, 18:39 (76)
        
        ssh-agent forwarding, oraerkx, 20-Мрт-14, 14:26 (108)
  - Да Вот зайду я на вражеский сервер, сворую оттуда открытый ключ, и положу его н, freehck, 19-Мрт-14, 16:05 (52)
Дополнительный пинок к переходу на запароленные ssh ключи Вместе с ssh agent это, XoRe, 19-Мрт-14, 14:19 (29) //
- соединение с одним ключём через форвард - форвард агента если скомпрометиро, Andrey Mitrofanov, 19-Мрт-14, 14:58 (38) //
  - Не совсем понял, как можно увести ключ при форвардинге А вот выполнить команды -, XoRe, 19-Мрт-14, 17:54 (67) //
    - Имел в виду, если включён форвард ssh-agent-а -- как по ссылке ниже Впрочем, эти, Andrey Mitrofanov, 19-Мрт-14, 18:57 (80)
- А зачем - решета не нада, достататочна одын дырка, чтоб оказаться в г - , SergMarkov, 19-Мрт-14, 17:32 (63)
За что им только деньги плотятЪ Даже мои тапочки чуть не лопнули от смеха Это, vi, 19-Мрт-14, 14:23 (30)
2 вопроса 1 как можно перхватить пароль пароль Я думал, что для ssh его не пер, Аноним, 19-Мрт-14, 14:31 (33) //
- ESET долго надеялся на чудо, но наконец был вынужден признать правду антивирус , тоже Аноним, 19-Мрт-14, 14:44 (34) //
  - Нет, ну почему же ClamAv для проверки ворд-эксель-поверпоинт и прочее для винд, Адекват, 19-Мрт-14, 17:37 (66)
- На винде перехватывают ввод пароля при помощи кейлоггера, а на сервере перехваты, Аноним, 19-Мрт-14, 14:58 (39) //
  - Тут все понятно Это как То есть хостерам уже нельзя доверять Куда катится этот, vi, 19-Мрт-14, 15:58 (48) //
    - Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать или я не, vi, 19-Мрт-14, 16:01 (50)
      - Не пускай там ssh ssh conf ProxyCommand netcat и второй ssh - тоже твой локальн , Andrey Mitrofanov, 19-Мрт-14, 18:32 (74)
        
        Андрей, если бы оно ТАК работало, это было бы по меньшей мере глупо Вот хорошая , freehck, 20-Мрт-14, 00:25 (94)
        
        Спасибо Я нёс полную чушь, признаю Private ключ не унесут Могут рас- или зашиф, Andrey Mitrofanov, 21-Мрт-14, 19:16 (116)
Это единственное, о чем было бы интересно почитать Когда есть пароль -- можно д, skb7, 19-Мрт-14, 14:52 (37)
Замечена еще какая-то хрень Чаще всего на бсдшных машинах из exUSSR прется RU,, Аноним, 19-Мрт-14, 15:06 (41)
у меня на сервере под FreeBSD дважды за год добавляли левый модуль апача, и до, dimasp, 19-Мрт-14, 16:56 (56)
К слову о скриптах - скрипты они такие, что каждый админ пишет под себя, и велик, Адекват, 19-Мрт-14, 17:09 (58)
против лома нет приема - можно иметь теоретически безупречную ось и кривую с, SergMarkov, 19-Мрт-14, 17:30 (61) //
- и кривой маздай у админа, Сергей, 19-Мрт-14, 20:26 (86)
достаточно написать востребованное приложение, через некоторое время всунуть туд, Аноним, 19-Мрт-14, 18:09 (73) //
- самая подстава в том что хозяин репа может и не знать что в его датацентр приход, Аноним, 19-Мрт-14, 20:01 (85)
На самом деле это обычный почтовый клиент - там просто в 14 строчке один символ , anonymous, 19-Мрт-14, 19:35 (83)
Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD Эти системы оказы, EuPhobos, 19-Мрт-14, 19:53 (84) //
- пользователей , Чепукот, 20-Мрт-14, 07:37 (100)
- Падение меньше, чем на 50 считаем ростом 25 тысяч заражённых серверов считаем , клоун Стаканчик, 20-Мрт-14, 17:49 (109)
Ну и параноики же работают в этой компании ESET Надо же слепить в кучу тысячи н, Пушистик, 20-Мрт-14, 06:45 (98)
учишь эникейщиков не вводить никакие пароли в винду, учишь 8212 а толку 8230, arisu, 20-Мрт-14, 08:37 (101)
Что-то та часть, что касается подмены одной из либ SSH очень мне напоминает Linu, lucentcode, 20-Мрт-14, 08:45 (102)
25000 серверов А сколько это от общего количества Капля в море или ощутимое ко, Аноним, 20-Мрт-14, 11:41 (106)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру