The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В результате атаки Windigo вредоносным ПО поражены более 25 ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от opennews (??) on 19-Мрт-14, 12:56 
Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../) 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/ope...), 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.


После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. В частности, программа ssh подменялась  на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра (http://www.opennet.ru/opennews/art.shtml?num=35392) или модифицировались исполняемые файлы http-серверов Apache (http://www.opennet.ru/opennews/art.shtml?num=36810), lighttpd или nginx (http://www.opennet.ru/opennews/art.shtml?num=36917) для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама.

Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.

Сообщается, что нашумевшие взломы cPanel (http://www.opennet.ru/opennews/art.shtml?num=36810), kernel.org (http://www.opennet.ru/opennews/art.shtml?num=32226) и серверов Linux Foundation (http://www.opennet.ru/opennews/art.shtml?num=31726) были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G". Если будет выведено сообщение о недоступности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.

URL: http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=39350

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –5 +/
Сообщение от Аноним (??) on 19-Мрт-14, 13:01 
ССЗБ
неудивительно, что работает и на других платформах, где есть перл.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

117. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Уважаемый on 27-Мрт-14, 23:43 
Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделаны?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +9 +/
Сообщение от JL2001 (ok) on 19-Мрт-14, 13:06 
...продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки ... за три года был получен контроль над более чем 25 тысячами серверов...

<После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей...>

ох шит...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от NikolayV81 (ok) on 19-Мрт-14, 14:17 
Да дело в том что это серьёзная спланированная акция, в которой продуманы шаги вперёд ( как получить доступ, как спрятать инфу об этом, как использовать для извлечения прибыли/дальнейшего распространения ). Тут же ещё не известно, возможно использовались на начальном этапе (получение паролей), в том числе, дыры роутерах.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

87. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от ананим on 19-Мрт-14, 20:40 
> в том числе, дыры роутерах.

Дары в роутерах (админ:админ) не дают рута на сам сервант.
Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

88. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:10 
>> в том числе, дыры роутерах.
> Дары в роутерах (админ:админ) не дают рута на сам сервант.
> Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.

Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети ), потом компы на работах, корп. сети, и т.д. Тут как раз дело возможно в хорошо продуманной стратегии роста ботнета.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

92. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от ананим on 19-Мрт-14, 21:26 
> Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети )

Рута? У вас все в конторе им владеют что ли? А то вон ssh по-умоланию рута вообще не принимает.
Вы уж давайте точный и технически-грамотный (или хотя бы технически-правдоподобный) ответ, понятный инженеру или не давайте вообще.
А то... беременность, она того, заразна.

зыж
Ещё раз, вантуз с кейлогером и путти самый простой вариант.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

4. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Андрей (??) on 19-Мрт-14, 13:15 
На счёт x64 ничего не написано? Или я не увидел?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от AlexYeCu_not_logged on 19-Мрт-14, 13:18 
Да там нечего видеть. Главным моментом всех подобных сообщений всегда является способ распространения. Он здесь такой же, как обычно: брутфорс паролей да подобранные ключи. Имея ключ или пароль с соответствующими правами от системы можно творить с ней что хочешь -- вот новость-то!
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +2 +/
Сообщение от AlexYeCu_not_logged on 19-Мрт-14, 13:20 
*пролюбленные ключи
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

32. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Andrey Mitrofanov on 19-Мрт-14, 14:30 
> На счёт x64 ничего не написано? Или я не увидел?

ESET .pdf:

"""The traffic of the hosts infected by Perl/Calfbot yields other interesting data.[...] Analysing the User-Agent information we found out that the most prevalent strings are, without surprises, from x86 and x64 Linux systems. We also observed User-Agent strings from OpenBSD, perl/calfbot FreeBSD, OS X and Cygwin.

>>всех подобных сообщений всегда является способ распространения.

Не этого. Тут акцент на макс.использование _всего, что уже есть. Скрытно и портируемо.

Но да, поминается не-использование уязвимостей и _использование проснифанных паролей ssh при логине через форвард через заражённую машину [и, видимо, использование их для "подбора"].

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

57. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Адекват (ok) on 19-Мрт-14, 17:05 
> Но да, поминается не-использование уязвимостей и _использование проснифанных паролей
> ssh при логине через форвард через заражённую машину

А разве пароли можно вообще проснифать ? вся ssh-сессия будет зашифрована.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

72. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –2 +/
Сообщение от Andrey Mitrofanov on 19-Мрт-14, 18:07 
>> Но да, поминается не-использование уязвимостей и _использование проснифанных паролей
>> ssh при логине через форвард через заражённую машину

[[Хотя возможны другие варианты форварда, нежели запуск ssh на средней машине. форвард порта, netcat в строке Proxy ssh.conf.]]

> А разве пароли можно вообще проснифать ? вся ssh-сессия будет зашифрована.

Новость не читай ("В частности, программа ssh подменялась  на вариант"), обсуждение не читай (#39), оригинал(ы) не читай, в лужа газики пускай. На заражённой заменяется бинарь ssh.

Уж ли он не проснифает то, что _сам берёт со стдина, сам шифрует и шлёт?

Тов.из #33 делает ту же ошибку:

> 1) как можно перхватить пароль пароль? Я думал, что для ssh его не перехватить даже если сеть доступна и всякие "злые люди между тобой и сервером".

Злые дяди не "между", они внутри ssh, которому ты говоришь пароль. (и внутри sshd, с которым соединяешься, возможно.)

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

90. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от pansa (ok) on 19-Мрт-14, 21:22 
Не путайте архитектуру х86 и разрядность.
x86_86 и x86_64 это все x86 - речь была об этом.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

93. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от Мегазаычы on 20-Мрт-14, 00:05 
x86_86 - это очень ооок.
самая крутая система.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

10. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от knike email on 19-Мрт-14, 13:22 
>достаточно запустить "ssh -G"

Не обнаружил данный ключ в мане http://www.opennet.ru/man.shtml?topic=ssh&category=1&russian=2

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +15 +/
Сообщение от Аноним (??) on 19-Мрт-14, 13:27 
Поражённый ман!
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от анонимус (??) on 19-Мрт-14, 13:28 
>Если будет выведено сообщение о недоступности опции, то система не поражена.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от knike email on 19-Мрт-14, 13:29 
Сори. Подумал, что наоборот, если ключ не доступен, то система поражена.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

96. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Led (ok) on 20-Мрт-14, 03:36 
> Подумал, что наоборот, если ключ не доступен, то система поражена.

Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

105. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от vi on 20-Мрт-14, 10:49 
>> Подумал, что наоборот, если ключ не доступен, то система поражена.
> Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"

"недоступен" != "не, доступен"

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

17. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от zeroname on 19-Мрт-14, 13:31 
Как я понял, речь о том, что в отличие от нормального ssh, в подмененном этот ключ есть.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +16 +/
Сообщение от axe (??) on 19-Мрт-14, 13:31 
это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

40. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от Xasd (ok) on 19-Мрт-14, 15:02 
> это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)

...и при этом программа завершает свою работу с магическим значением 255

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Censored on 19-Мрт-14, 13:35 
В том-то и фишка! :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

55. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 16:46 
Просто после выпуска сабжевой новости хакеры уже поменяли ключ на существующий редко используемый.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

81. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 18:59 
Не там "G" искал
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +21 +/
Сообщение от Фыр on 19-Мрт-14, 13:23 
>Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы

Ну хоть в чём-то пользователям iOS повезло...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +7 +/
Сообщение от Аноним (??) on 19-Мрт-14, 15:28 
Ну так какая аудитория - такие и предпочтения. Наверняка отправляют на ресурсы с накачанными симпатичными мальчиками.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

107. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от cat666 email(ok) on 20-Мрт-14, 12:47 
"А пользователи iOS перенаправлялись на порноресурсы." я таки подозревал что они все дрочеры.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

114. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Anonym2 on 21-Мрт-14, 09:12 
>>Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы
> Ну хоть в чём-то пользователям iOS повезло...

Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрессивным и плохо сочетающимся с устаревшими направлениям в данной области >:-)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 13:27 
если уж списывать, то списывать полностью из статьи
> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 13:39 
> если уж списывать, то списывать полностью из статьи
>> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Это не во всех shell сработает, не нужно думать, что у всех bash.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

36. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Andrey Mitrofanov on 19-Мрт-14, 14:47 
> Это не во всех shell сработает, не нужно думать, что у всех
> bash.

Я, конечно, не активист посикса и не знаток оного, но под busybox-sh и dash, вполне сработало. Как и под bash, само.

Подучи POSIX, болезный?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

54. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –2 +/
Сообщение от kazh on 19-Мрт-14, 16:46 
"2>&1" - под csh/tcsh не сработает, болезный.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

59. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от Crazy Alex (ok) on 19-Мрт-14, 17:09 
А ещё не работает в CP/M и прочих древностях. И что?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

68. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –2 +/
Сообщение от kazh on 19-Мрт-14, 17:55 
В вашем детсаде все что старее недели древность?
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

103. "В результате атаки Windigo вредоносным ПО поражены более..."  +/
Сообщение от arisu (ok) on 20-Мрт-14, 08:47 
> В вашем детсаде все что старее недели древность?

в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

110. "В результате атаки Windigo вредоносным ПО поражены более..."  +/
Сообщение от Аноним (??) on 21-Мрт-14, 00:57 
> в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.

У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

111. "В результате атаки Windigo вредоносным ПО поражены более..."  +/
Сообщение от arisu (ok) on 21-Мрт-14, 00:59 
вот я и говорю: на лечение, потом на пенсию. галлюцинации от большого здоровья не возникают.
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

71. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от volax email on 19-Мрт-14, 18:05 
csh variant:

ssh -G | & grep -e illegal -e unknown > /dev/null ; if ( $? == 255 ) echo "System clean"

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 13:43 
> for(i = 0; i < strlen(encrypted_string) / 2; i++) {

Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на серверах в XXI-ом веке. К тому же, про то, что кто-то с сервера по паролю ходит на другие сервера.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +3 +/
Сообщение от Грустный Нуб on 19-Мрт-14, 14:04 
> кто-то с сервера по паролю ходит на другие сервера

Я один такой? Ищу друзей по нещастью. :(

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от backbone (ok) on 19-Мрт-14, 14:07 
>> кто-то с сервера по паролю ходит на другие сервера
> Я один такой? Ищу друзей по нещастью. :(

Ну, разве что вы ходите на сервера потенциального противника. :)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

46. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 15:52 
> Ну, разве что вы ходите на сервера потенциального противника. :)

Я на свои сервера по паролю хожу во многих случаях. Правда, пароли длинные и я разборчив на предмет того что, как и откуда я делаю. Пока никто за 7 лет не поломал. Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

49. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 15:59 
>> Ну, разве что вы ходите на сервера потенциального противника. :)
> Я на свои сервера по паролю хожу во многих случаях. Правда, пароли
> длинные и я разборчив на предмет того что, как и откуда
> я делаю. Пока никто за 7 лет не поломал. Но у
> вас еще все впереди, 160Мб логов с попытками брута ssh за
> неделю - еще не предел.

Ну брутят то как-раз пароли, это могут делать боты, так как другой информации, кроме ip:port им не нужно. В данном случае можно посоветовать fail2ban, sshguard...

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

60. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Адекват (ok) on 19-Мрт-14, 17:27 
> вас еще все впереди, 160Мб логов с попытками брута ssh за
> неделю - еще не предел.

Кстати, а можно как-то пароли увидеть подбираемые ?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

75. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Неадекват on 19-Мрт-14, 18:38 
> Кстати, а можно как-то пароли увидеть подбираемые ?

Да, например с помощью смоляной ямы

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

112. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 21-Мрт-14, 00:59 
> Кстати, а можно как-то пароли увидеть подбираемые ?

Гуглите по слову honeypot. Еще когда-то был левый патч для sshd, обеспечивающий логгирование неправильных паролей, но вряд ли он покатит на современных версиях sshd.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

113. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 21-Мрт-14, 01:00 
> Еще когда-то был левый патч для sshd, обеспечивающий
> логгирование неправильных паролей, но вряд ли он покатит на современных версиях
> sshd.

Впрочем, при минимальных познаниях Си поправить можно и самому.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

78. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от SubGun (ok) on 19-Мрт-14, 18:50 
> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.

Зачем вы вообще наружу SSH выставляете?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

82. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Anonymous528 on 19-Мрт-14, 19:03 
А что есть более безопасные способы попадания на сервер с наружи?
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

89. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от Анононо on 19-Мрт-14, 21:21 
portknock например
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

91. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от pansa (ok) on 19-Мрт-14, 21:26 
>> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
> Зачем вы вообще наружу SSH выставляете?

Хотя бы стандартный порт сменить - это отсеит 99% bf

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

95. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 20-Мрт-14, 00:41 
>>> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
>> Зачем вы вообще наружу SSH выставляете?
> Хотя бы стандартный порт сменить - это отсеит 99% bf

да не отсеивает оно его... А так ну пусть 5 паролей из словоря попробует, через неделю ещё 5...

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

51. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от freehck email(ok) on 19-Мрт-14, 16:03 
Я тоже имею доступ к своим серверам по паролю. Пользуюсь этой возможностью в крайнем случае: если нет возможности зайти по ключу, а зайти надо.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от XoRe (ok) on 19-Мрт-14, 14:17 
>> for(i = 0; i < strlen(encrypted_string) / 2; i++) {
> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
> серверах в XXI-ом веке. К тому же, про то, что кто-то
> с сервера по паролю ходит на другие сервера.

I have a bad news for you...
Вы даже не представляете, сколько админов ни разу в жизни не настраивали доступ по ключу...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 14:24 
> I have a bad news for you...
> Вы даже не представляете, сколько админов ни разу в жизни не настраивали
> доступ по ключу...

А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

69. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от XoRe (ok) on 19-Мрт-14, 17:57 
>> I have a bad news for you...
>> Вы даже не представляете, сколько админов ни разу в жизни не настраивали
>> доступ по ключу...
> А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.

Это если знать, что делать.
Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь.
Кучу людей делали по статье из инета, не понимая, что они делают.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

70. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 18:03 
> Это если знать, что делать.
> Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь.
> Кучу людей делали по статье из инета, не понимая, что они делают.

Ну, если взломают их сервер, то будет уроком - наймут специалиста для решения данной задачи. Либо, ещё лучше, начнут вникать в проблему.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

43. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 15:30 
> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
> серверах в XXI-ом веке.

Правильно, используйте ключи - их на автомате пи...ть проще :).

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

44. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 15:36 
>> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
>> серверах в XXI-ом веке.
> Правильно, используйте ключи - их на автомате пи...ть проще :).

И храните их закрытую часть на сервере, да.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 15:48 
> И храните их закрытую часть на сервере, да.

Ну рулить то вы откуда-то будете, правда? А что помешает оттуда ключ свистнуть? На ключ конечно тоже пароль можно поставить, но если утверждается что пароль можно спереть - пароль на ключ тоже спереть можно. А вот гемора добавляется.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

47. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 15:56 
> Ну рулить то вы откуда-то будете, правда? А что помешает оттуда ключ
> свистнуть? На ключ конечно тоже пароль можно поставить, но если утверждается
> что пароль можно спереть - пароль на ключ тоже спереть можно.
> А вот гемора добавляется.

Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие порты и вообще за NAT.

Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с паролем так не получится. Если злоумышленник получил доступ к вашему ПК, то для него нет особой разницы - ставить кейлоггер или воровать ключ.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

62. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Адекват (ok) on 19-Мрт-14, 17:31 
> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан

Ничего мы не узнаем - почистят нам логи и поставят бекдор за полсекунды, так все сделают что мы подумать не сможем что кто-то заходил :)

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

64. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 17:33 
>> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан
> Ничего мы не узнаем - почистят нам логи и поставят бекдор за
> полсекунды, так все сделают что мы подумать не сможем что кто-то
> заходил :)

Чтобы логи почистить, нужны локальные привилегии.

Если это взлом не для организации ботнета, а целенаправленный, то на таких серверах неплохо бы удалённый лог писать.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

104. "В результате атаки Windigo вредоносным ПО поражены более..."  +/
Сообщение от arisu (ok) on 20-Мрт-14, 08:49 
> Ничего мы не узнаем - почистят нам логи и поставят бекдор за
> полсекунды, так все сделают что мы подумать не сможем что кто-то
> заходил :)

а что, отправлять логи на другой сервер уже немодно?

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

77. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 18:45 
> Преимуществ больше.

ORLY? :)
> Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации.

Логин нэйм нужен по любому. И это два.
(Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :)
Если у вас до сих пор против этого нет защиты sshguard, fail2ban - да мильЁн их! - вы тоже буратина.

Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа, с ремарками пр идиотов выше.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

79. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от backbone (ok) on 19-Мрт-14, 18:51 
> ORLY? :)

Ну да, и я написал только то, что сразу в голову пришло.

>> Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации.
> Логин нэйм нужен по любому. И это два.

Бот его подбирает. Посмотрите /var/log/messages.

> (Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :)

Не всегда это так. Если настроить PAM и вход с определённого IP, то это может быть полезно для бэкапов.

> Если у вас до сих пор против этого нет защиты sshguard, fail2ban
> - да мильЁн их! - вы тоже буратина.

Вы тоже, если полагаетесь исключительно на временные блокировщики.

> Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа,
> с ремарками пр идиотов выше.

ну-ну

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

115. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Anonym2 on 21-Мрт-14, 09:40 
>[оверквотинг удален]
> Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно
> никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее
> данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что
> он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие
> порты и вообще за NAT.
> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан
> (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с
> паролем так не получится. Если злоумышленник получил доступ к вашему ПК,
> то для него нет особой разницы - ставить кейлоггер или воровать
> ключ.

Секретней ключа ещё только лицензионная электронная цифросепулька. (юмор, сарказм и так далее).

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

53. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от freehck email(ok) on 19-Мрт-14, 16:07 
>> И храните их закрытую часть на сервере, да.
> Ну рулить то вы откуда-то будете, правда?

Есть такая штука, называется пробросом ssh. Она как раз позволяет ходить туда-сюда по серверам, не держа на них отдельной копии закрытого ключа.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

76. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 18:39 
Че?
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

108. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от oraerkx on 20-Мрт-14, 14:26 
ssh-agent forwarding
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

52. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +1 +/
Сообщение от freehck email(ok) on 19-Мрт-14, 16:05 
>> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
>> серверах в XXI-ом веке.
> Правильно, используйте ключи - их на автомате пи...ть проще :).

Да. Вот зайду я на вражеский сервер, сворую оттуда открытый ключ, и положу его на своём, чтобы вражина мог на мой сервер зайти и попасть в мои хитроумные ловушки. :)

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

29. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от XoRe (ok) on 19-Мрт-14, 14:19 
Дополнительный пинок к переходу на запароленные ssh ключи.
Вместе с ssh agent это даже удобнее, чем пароли.
Не говоря о безопасности.
Хотя... скорее это пинок к изучению документации по ключам.
А то бездумное использование тоже чревато.

P.S.
Что-то мельчают тролли на опеннете.
Ни одного возгласа "linux - решето!!!111".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Andrey Mitrofanov on 19-Мрт-14, 14:58 
> Дополнительный пинок к переходу на запароленные ssh ключи.
> Вместе с ssh agent это даже удобнее, чем пароли.
> Не говоря о безопасности.
>Хотя... скорее это пинок к изучению документации по ключам.
> А то бездумное использование тоже чревато.

соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована форвард-машина -> скажи ключу до свидания (безо всякого пароля)

бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connec...
скрипты с соединениями по ssh с ключами вызывают трепет.
а ещё мастер-сокеты...

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

67. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от XoRe (ok) on 19-Мрт-14, 17:54 
> соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована
> форвард-машина -> скажи ключу до свидания (безо всякого пароля)

Не совсем понял, как можно увести ключ при форвардинге.
А вот выполнить команды - да, дыра.
Как вариант - зловред может сгенерить свой ключ и разложить его везде, пользуясь форвардингом.

> бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connec...
> скрипты с соединениями по ssh с ключами вызывают трепет.
> а ещё мастер-сокеты...

Спасибо, буду знать.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

80. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Andrey Mitrofanov on 19-Мрт-14, 18:57 
> Не совсем понял, как можно увести ключ при форвардинге.

Имел в виду, если включён форвард ssh-agent-а -- как по ссылке ниже.
Впрочем, эти зловреды ключами не заморачиваются. Пока, видимо.

>> бди! ssh-agent -c, blog.endpoint.com/2014/03/scripting-ssh-master-connections.html
> Спасибо, буду знать.

Не-не, я нагнетаю и труню. Я не источник знаний! Я настаиваю. :>

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

63. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от SergMarkov email(ok) on 19-Мрт-14, 17:32 
> Ни одного возгласа "linux - решето!!!111".

А зачем ? :-) решета не нада, достататочна одын дырка, чтоб оказаться в г.. :-)

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –4 +/
Сообщение от vi on 19-Мрт-14, 14:23 
> В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов

За что им только деньги плотятЪ?
Даже мои тапочки чуть не лопнули от смеха ;)
Это же надо за три года 25 т. серверов, с оффтопиком за 15 минут можно миллионы накрутить ;)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 14:31 
2 вопроса:
1) как можно перхватить пароль пароль? Я думал, что для ssh его не перехватить даже если сеть доступна и всякие "злые люди между тобой и сервером".
Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги. Тогда как они заменяют на них модули и апач если у юзера нет прав?
2) Чего eset 2 года молчал? Безуспешно пытался наваять защиту замалчивая проблему, но т к не потятнул, то решил просто попиариться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +6 +/
Сообщение от тоже Аноним email(ok) on 19-Мрт-14, 14:44 
ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус на Линукс-серверах по-прежнему нахрен не нужен.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

66. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Адекват (ok) on 19-Мрт-14, 17:37 
> ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус
> на Линукс-серверах по-прежнему нахрен не нужен.

Нет, ну почему же ? ClamAv для проверки ворд-эксель-поверпоинт и прочее для виндовс-машинв корпоративной сети же.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

39. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 14:58 
> 1) как можно перхватить пароль пароль? Я думал, что для ssh его
> не перехватить даже если сеть доступна и всякие "злые люди между
> тобой и сервером".

На винде перехватывают ввод пароля при помощи кейлоггера, а на сервере перехватывают пароль входа на другой сервер через подмену утилиты ssh.


> Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги.

Если пользователь зашёл на внешнюю систему по ключу, но с использованием троянской утилиты ssh, то злодей получит и ключи удалённой строны.

> Тогда как они заменяют на них модули и апач если у
> юзера нет прав?

Видимо модуль внедряют на системах с root/root, входомами под root через ssh или с открытым доступом через sudo. На остальных просто спамерский бот ставят.

> 2) Чего eset 2 года молчал? Безуспешно пытался наваять защиту замалчивая проблему,
> но т к не потятнул, то решил просто попиариться?

Не, просто они обобщили и связали имеющиеся данные. Походите по ссылкам к новости, там как раз за последние три года разные сообщения от Eset встречаются.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

48. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от vi on 19-Мрт-14, 15:58 
>> 1) как можно перхватить пароль пароль? Я думал, что для ssh его
>> не перехватить даже если сеть доступна и всякие "злые люди между
>> тобой и сервером".
> На винде перехватывают ввод пароля при помощи кейлоггера,

Тут все понятно.
> а на сервере перехватывают
> пароль входа на другой сервер через подмену утилиты ssh.

Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир? :(
Может загружать в свой хомяк статически слинкованный клиент ssh?

>> Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги.
> Если пользователь зашёл на внешнюю систему по ключу, но с использованием троянской
> утилиты ssh, то злодей получит и ключи удалённой строны.

Немного слаб в этой теме. Попроще, каким образом?

>> Тогда как они заменяют на них модули и апач если у
>> юзера нет прав?
> Видимо модуль внедряют на системах с root/root, входомами под root через ssh
> или с открытым доступом через sudo. На остальных просто спамерский бот
> ставят.

Все может быть. Но как лучше мониторить? Простые методы вперед.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

50. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от vi on 19-Мрт-14, 16:01 

>> а на сервере перехватывают
>> пароль входа на другой сервер через подмену утилиты ssh.
> Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир?
> :(
> Может загружать в свой хомяк статически слинкованный клиент ssh?

Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или я не прав).

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

74. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от Andrey Mitrofanov on 19-Мрт-14, 18:32 
>>> а на сервере перехватывают
>>> пароль входа на другой сервер через подмену утилиты ssh.
>> Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир?
>> :(
>> Может загружать в свой хомяк статически слинкованный клиент ssh?

Не пускай там ssh (ssh.conf+ProxyCommand+netcat и второй ssh - тоже твой локальный). Не форварди агента. Не... ходи в интернеты. Не смотри прон. Не возжелай.... ЭЭЭэ, о чём это мы??

> Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или
> я не прав).

Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли, вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh от локального агента.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

94. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от freehck email(ok) on 20-Мрт-14, 00:25 
> Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для
> соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли,
> вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh
> от локального агента.

Андрей, если бы оно ТАК работало, это было бы по меньшей мере глупо.
Вот хорошая статья на этот счёт: http://www.clockwork.net/blog/2012/09/28/602/ssh_agent_hijac...

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

116. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Andrey Mitrofanov on 21-Мрт-14, 19:16 
>> Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для
> Андрей, если бы оно ТАК работало,
> Вот хорошая статья на этот счёт:

Спасибо. Я нёс полную чушь, признаю.

Private ключ не унесут. Могут рас- или зашифровать с его использованием любое сообщение или залогиниться по нему на любой сервер, где это прокатит. //Правильно эти ботнетчики не заморачиваются. Пока root пароли снифятся, чего в эту криптографию лезть.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

37. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +2 +/
Сообщение от skb7 (ok) on 19-Мрт-14, 14:52 
> После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей

Это единственное, о чем было бы интересно почитать. Когда есть пароль -- можно делать что хочешь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 15:06 
Замечена еще какая-то хрень. Чаще всего на бсдшных машинах из exUSSR прется (RU, UA). На зараженных хостах ставится 3proxy, слушающий на 1080 и 8080, требует авторизацию. Достаточно глупые дроны ботнета ломятся в несколько IRC сетей, в виде которых ботнет неплохо демаскируется благодаря крайне глупой логике, вызывающей анноянс у посетителей каналов :). Используют слова русского происхождения для ников. Это что за выводок? Явно exUSSRовское творчество.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от dimasp on 19-Мрт-14, 16:56 
у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично
вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме.  
с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено.
и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M.
и пока живу так, отслеживая изменение файлов в tripwire.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Адекват (ok) on 19-Мрт-14, 17:09 
К слову о скриптах - скрипты они такие, что каждый админ пишет под себя, и велика доля вероятности что другой админ их  сделает, а другой не разберет, тем более что кто-то предпочитает bash, кто-то perl, а кто-то питон.
А вот "специально придуманные для этого инструменты, не велосипеды", типа веб-морд-управлялок на php+*sql - тут да, один админ настроит и все остальные админы разберутся.
Это было мое большое ИМХО, спасибо за внимание :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от SergMarkov email(ok) on 19-Мрт-14, 17:30 
"против лома нет приема" © - можно иметь теоретически безупречную ось и кривую систему идентификации и q-q
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Сергей (??) on 19-Мрт-14, 20:26 
> можно иметь теоретически безупречную ось

и кривой маздай у админа

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

73. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 18:09 
достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор при компиляции бинарника и выложить этот бинарник в репозиторий. через пару дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте найти иголку в стоге сена ^^
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 20:01 
> достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор
> при компиляции бинарника и выложить этот бинарник в репозиторий. через пару
> дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте
> найти иголку в стоге сена ^^

самая подстава в том что хозяин репа может и не знать что в его датацентр приходили компетентные люди.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

83. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от anonymous (??) on 19-Мрт-14, 19:35 
>модуль рассылки спама был написан на Perl

На самом деле это обычный почтовый клиент - там просто в 14 строчке один символ похерился.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от EuPhobos (ok) on 19-Мрт-14, 19:53 
Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде ненадёжных паролей и проё**ных ключей!

Когда же хомячки вирус-ОС ..эмм виндус-ОС наконец перестанут клепать жёлтые новости про Unixоподобные)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

100. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Чепукот on 20-Мрт-14, 07:37 
>>Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде

пользователей...

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

109. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  –1 +/
Сообщение от клоун Стаканчик on 20-Мрт-14, 17:49 
Падение меньше, чем на 50% считаем ростом. 25 тысяч заражённых серверов считаем незаражёнными, т.к. метод заражения не утверждён синодом как каноничный. Что дальше?
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

98. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Пушистик (ok) on 20-Мрт-14, 06:45 
Ну и параноики же работают в этой компании ESET.
Надо же слепить в кучу тысячи несвязанных между собой атак и взломов. Да ещё и кернел.орг и линукс фоундейшен сюда же прилепили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

101. "В результате атаки Windigo вредоносным ПО поражены более..."  +/
Сообщение от arisu (ok) on 20-Мрт-14, 08:37 
учишь эникейщиков не вводить никакие пароли в винду, учишь — а толку…
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

102. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от lucentcode (ok) on 20-Мрт-14, 08:45 
Что-то та часть, что касается подмены одной из либ SSH очень мне напоминает Linux/Ebury, с которым у всех сейчас головняка хватает. Хорошо хоть, что факт заражения несложно обнаружить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."  +/
Сообщение от Аноним (??) on 20-Мрт-14, 11:41 
25000 серверов. А сколько это от общего количества? Капля в море или ощутимое количество?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor