The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.01.2008 08:25  Загадочная инфекция поражает web-сайты на Linux/Apache

Компания Finjan опубликовала пресс-релиз, из которого следует, что она обнаружила новый вид сетевой инфекции, из-за которой уже пострадало более 10 тыс. сайтов. Заражению подвержены только компьютеры под управлением Linux с установленным HTTP-сервером Apache.

Марк Кокс из команды безопасности Apache заявил, что не имеет никаких доказательств того, что инфекция эксплуатирует незакрытую уязвимость в Apache. Команда безопасности RedHat тоже заявила, что не может прокомментировать происходящее, т.к. на данный момент еще не получила доступ к инфицированным машинам. Компания cPanel опубликовала предупреждение, в котором описано поведение инфекции после заражения системы ( установка rootkit и замена ряда исполняемых файлов, динамически создающие JavaScript вставки вклинивающиеся в трафик сайтов).

В качестве одного из способов обнаружения паразитной активности, предлагается использовать tcpdump:


   tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'".

Инфекцию назвали Random JS Toolkit и пока не найден способ ее удаления, кроме повторной установки ОС (переустановку модифицированных файлов) и замены паролей.

Наиболее реальное подозрение связано с возможностью попадания в руки злоумышленников пароля суперпользователя на машине хостига, что в сочетании с некорректной настройкой сервера, дает им возможность установки руткита.

Ранее, в системах хостинга получила широкое распространение инфекция, вылавливающая пароли на Windows машинах владельцев аккаунтов и через ftp, в автоматическом режиме, добавляющая к страницам сайта JavaScript или iframe вставки, которые через уязвимость в web-браузере Internet Explorer, заражали новые машины и продолжали свое распространение.

  1. Главная ссылка к новости (http://www.linux.com/feature/1...)
Автор новости: specialm
Тип: Тема для размышления
Ключевые слова: linux, apache, secure, virus
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, leonid.ko, 13:14, 25/01/2008 [ответить] [смотреть все]
  • +/
    Что-то на утку похоже. Слишком серьёзная уязвимость что бы её так просто пропустили разработчики и администраторы (ИМХО).
     
  • 1.3, sakal, 13:22, 25/01/2008 [ответить] [смотреть все]
  • +/
    ну по поводу инфекции ранее, могу подтвердить, к нам обращалось множество клиентов с жалобой на неизвестно откуда взявшийся javascript-код на страницах (правда чаще говорили "касперский ругается на наш сайт") :) зараза дописывала в конце всех index.php файлов js-код и при открытии предлагала скачать exe-файлек
     
     
  • 2.34, garmahis, 16:16, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Мы тоже на этом обожглись Организация, предоставляющая нам хостинг до сих пор н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Dvorkin, 20:08, 25/01/2008 [^] [ответить] [смотреть все]  
  • +/
    мой опыт говорит, что инфекция, вставляющая в index php index html свой код на... весь текст скрыт [показать]
     
     
  • 4.92, Юрий, 10:49, 22/02/2008 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Не полгода Эта дрянь уже года полтора бегает Раньше пр... весь текст скрыт [показать]
     
     
  • 5.93, Dvorkin, 11:11, 22/02/2008 [^] [ответить] [смотреть все]  
  • +/
    я своим немногочисленным строго-настрого наказал насчет Тотал Коммандера и смены... весь текст скрыт [показать]
     
     
  • 6.94, Юрий, 11:23, 22/02/2008 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Надоело это уже так Своим уже приказал пароли не сохран... весь текст скрыт [показать]
     
  • 3.42, Аноним, 21:26, 25/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Попробуйте на акки на FTP пароль сменить и не хранить пароли на компьютере
     
  • 1.4, spa, 13:27, 25/01/2008 [ответить] [смотреть все]  
  • +/
    слава Чертям! правда уж больно похоже на миф.
     
  • 1.5, Аноним, 13:33, 25/01/2008 [ответить] [смотреть все]  
  • +/
    пока не найден способ ее удаления, кроме повторной установки ОС и замены пароле... весь текст скрыт [показать]
     
     
  • 2.6, Домовые, 13:40, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Уверен, что 99 нет Это раз Два - какой толк от разграничения прав, если в кон... весь текст скрыт [показать] [показать ветку]
     
  • 2.71, Michael Shigorin, 00:07, 27/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Очередной анонимный теоретик Который не в курсе, что обычно веб-сервер в чрут... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.81, X, 23:03, 29/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Неправда ваша, дяденька Chroot можно сделать очень компактным Особенно если серв... весь текст скрыт [показать]
     
     
  • 4.82, Michael Shigorin, 01:49, 30/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Вот только толку с него обычно пропорционально Статику относительно безопасно ... весь текст скрыт [показать]
     
     
  • 5.83, Dvorkin, 02:04, 30/01/2008 [^] [ответить] [смотреть все]  
  • +/
    мой опыт с разными мандривами на одном базовом OpenVZ говорит, что смысла в соби... весь текст скрыт [показать]
     
     
  • 6.85, Michael Shigorin, 15:12, 30/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то vzctl -- тоже рулилка А берёшь ты всегда непонятно чьи тарболы, что ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.7, Аноним, 13:41, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав ... весь текст скрыт [показать]
     
     
  • 2.9, Z00Ke, 13:44, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ИМХО Можно повысить привилегии даже гдето сплойтик видел но под старый линух... весь текст скрыт [показать] [показать ветку]
     
  • 2.10, Аноним, 13:46, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, кажется всё понятно Надо было статью до конца переводить, а не в лучших тр... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Z00Ke, 13:43, 25/01/2008 [ответить] [смотреть все]  
  • +/
    да фигня это всё быть такого не может просто утка очередная
     
  • 1.11, Аноним, 13:46, 25/01/2008 [ответить] [смотреть все]  
  • +/
    может это через CPanel попадает ..
     
  • 1.12, Ewgen, 13:49, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Может кто сталкивался с проблемкой - частенько попадают сайты с внедренным в index кодом типа:
    <!--[z0s]--><script>document.write(unescape("%3Cscript%3Eif%28eD%21%3D1%29%7Bfunction%20f...
    Гугл дает много сведений но каким образом этот код внедряется в индексные страницы понять не могу.
    http://www.google.ru/search?hl=ru&q=%3C%21--%5Bz0s%5D--&#
    Хотя вот тут http://forum.joom.ru/index.php?topic=11183.msg56137 малость расписано.
     
     
  • 2.20, Аноним, 14:14, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да про это же написано в новости -- предыдущая эпидемия Попадпает от юзеров по... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, 235, 19:44, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    опеделенно, сайты на джумле не могут быть показателем они так ламаються часто... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 13:49, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Это, случаем, не про
    http://www.securitylab.ru/poc/312226.php
     
  • 1.14, Pers, 13:53, 25/01/2008 [ответить] [смотреть все]  
  • +/
    1. cPanel ни при чём, иначе бы серваки рутали.

    2. Linux, похоже, тоже ни при чём - траблы есть и на фре.

    3. А PHP как таковой никто не учёл?

     
     
  • 2.15, Impec, 14:03, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В оригинале же четко написано что эта хрень могла быть положена кем-то кто получ... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, Great.Megatron, 14:27, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А это точно эти траблы, а не тыренье ftp паролей ... весь текст скрыт [показать] [показать ветку]
     
  • 2.41, ЩекнИтрч, 20:33, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не Фре нету ... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, viper, 14:04, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Бред.
    Страницы правятся через ftp с использование тыренных троянами паролей.
    Обычно вставляется iframe, !--[z0s]--><script>document.write и т.д. в конец index.php во всех каталогах.

     
  • 1.17, Аноним, 14:08, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Почитал пресс-релизы информация к размышлению 1 It has been established that... весь текст скрыт [показать]
     
  • 1.18, Аноним, 14:13, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Да В прошлый раз нас тоже коснулось Но там юзеры хостинга сами были виноваты... весь текст скрыт [показать]
     
     
  • 2.30, Anatoliy, 14:50, 25/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не понял, а права root для ssh были разрешены ранее, или происходит переконфигур... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, Аноним, 18:30, 25/01/2008 [^] [ответить] [смотреть все]  
  • +/
    B Linux - разрешено by default, во FreeBSD к примеру - наоборот, по умолчанию за... весь текст скрыт [показать]
     
     
  • 4.39, Dvorkin, 20:14, 25/01/2008 [^] [ответить] [смотреть все]  
  • +/
    в нормальном линуксе запрещено ssh root somesite by default вы что-то с чем-то ... весь текст скрыт [показать]
     
  • 4.59, Денис Смирнов, 12:12, 26/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Не пользуйтесь кривыми дистрибутивами где совершеная такая идиотская ошибка Ибо... весь текст скрыт [показать]
     
     
  • 5.72, Michael Shigorin, 00:37, 27/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Перевожу Дениса в ALT Linux с рутовым паролем по ssh ломиться по умолчанию сове... весь текст скрыт [показать]
     
  • 1.19, Аноним, 14:13, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Есть такие вирусы под Windows, который MAC гейта на свой меняет, и как прокся вы... весь текст скрыт [показать]
     
     
  • 2.87, MX, 05:44, 02/02/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Что за бред вы несёте ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.89, ва, 16:19, 13/02/2008 [^] [ответить] [смотреть все]  
  • +/
    Э не бред, однако Просто криво написано Вирь проводит arp spoofing свича, ... весь текст скрыт [показать]
     
  • 1.21, Аноним, 14:16, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Это не утка. Эпидемия уже 3 неделю. Странно что только сейчас написали
     
  • 1.22, Pilat, 14:23, 25/01/2008 [ответить] [смотреть все]  
  • +/
    Замените
    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'").

    на

    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

     
  • 1.28, Аноним, 14:40, 25/01/2008 [ответить] [смотреть все]  
  • +/
    жесть When the system is fully online in an infected state, the kernel will beg... весь текст скрыт [показать]
     
  • 1.33, Аноним, 15:52, 25/01/2008 [ответить] [смотреть все]  
  • +/
    У меня у узеров трояном перли акаунты фтпишные и вставлялась такая хер.
     
  • 1.48, aZ, 01:07, 26/01/2008 [ответить] [смотреть все]  
  • +/
    Проблема существует, вчера клиент жаловался на это. (все файлы сайта целы и не изменены, рамдомно в страницы вставляется код). У клиента стоит линукс.
     
     
  • 2.68, Dvorkin, 17:31, 26/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а есть ли уверенность, что пароль FTP знает только он ... весь текст скрыт [показать] [показать ветку]
     
  • 1.55, Timurko, 08:37, 26/01/2008 [ответить] [смотреть все]  
  • +/
    Стыд и позор опенету за такую утку...
     
     
  • 2.57, ЩекнИтрч, 11:20, 26/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Какую утку?
    Вас кидди, разнесший БуБу, кстати, сумел миновать?
     
     
  • 3.61, ZeiBa, 12:39, 26/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Уверен что это проявление трояна, который тырит сохраненные пароли на фтп А апа... весь текст скрыт [показать]
     
     
  • 4.73, Michael Shigorin, 00:40, 27/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Совершенно не стыдно, когда есть какая-то такая вот непонятка -- лишний раз обра... весь текст скрыт [показать]
     
     
  • 5.77, Аноним, 12:14, 27/01/2008 [^] [ответить] [смотреть все]  
  • +/
    cat etc redhat-release CentOS release 5 Final cat etc ssh sshd_config ... весь текст скрыт [показать]
     
     
  • 6.79, oops, 08:09, 28/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Это как раз говорит о том, что по умолчанию разрешено ... весь текст скрыт [показать]
     
     
  • 7.90, playnet, 21:43, 14/02/2008 [^] [ответить] [смотреть все]  
  • +/
    Может хватить чушь нести Ну получи доступ к машине как рут, где эта строка зако... весь текст скрыт [показать]
     
     
  • 8.91, Michael Shigorin, 02:21, 16/02/2008 [^] [ответить] [смотреть все]  
  • +/
    Вот и не несите Когда подрастёте и ознакомитесь с практикой хорошо комментирова... весь текст скрыт [показать]
     
  • 6.80, Michael Shigorin, 13:42, 28/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Я не альт рекламирую , а предлагаю думать по мере надобности Тот же альт --... весь текст скрыт [показать]
     
  • 1.58, Nir0, 11:51, 26/01/2008 [ответить] [смотреть все]  
  • +/
    эта хрень распространяется через виндовые машины админов, которые панасахраняли пароли на фтп
    хостер имхо любой - фря, линух, винда, мак...
    вадя сразу после нового года антивирус написал на шелле, который чистит от вредоносного кода все папочки :) в понедельник попрошу выложить сюда..
     
     
  • 2.60, Роман, 12:34, 26/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы новость читали? Файлы создаются в /sbin.
     
     
  • 3.62, Аноним, 13:34, 26/01/2008 [^] [ответить] [смотреть все]  
  • +/
    А вы комментарии Речь в пердыдущем посте идет по зараженных файлах по ftp ... весь текст скрыт [показать]
     
     
  • 4.66, Den, 15:41, 26/01/2008 [^] [ответить] [смотреть все]  
  • +/
    и причем тут Linux, если скрипты выполняются от юзера user1, то каким макаром он... весь текст скрыт [показать]
     
  • 2.67, koiviii, 16:19, 26/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Действительно было такое, в конец HTML PHP файла дописывался javascript код с IF... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.69, Sivolday, 19:54, 26/01/2008 [^] [ответить] [смотреть все]  
  • +/
    План крупномасштабной акции - берем десяток крупных хостеров - выявляем в них ... весь текст скрыт [показать]
     
     
  • 4.75, Аноним, 02:43, 27/01/2008 [^] [ответить] [смотреть все]  
  • +/
    Не говорите бред. За клиентсикми машинами следит надо.
     
  • 1.70, 6a6ep, 20:26, 26/01/2008 [ответить] [смотреть все]  
  • +/
    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'

    И что ? Этот регексп выцепит прохождение любых яваскриптов, чьё имя состоит из пяти буквенных символов. Куча срабатываний.  

     
     
  • 2.74, Michael Shigorin, 00:43, 27/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тоже удивился, почему в переводе новости выбрали этот тест, а не то, что подменё... весь текст скрыт [показать] [показать ветку]
     
  • 1.76, Аноним, 10:14, 27/01/2008 [ответить] [смотреть все]  
  • +/
    Уфф! Слава богу - апач - это не ко мне!-)
     
  • 1.78, Аноним, 15:25, 27/01/2008 [ответить] [смотреть все]  
  • +/
    За 2 дня насобирал sudo tcpdump -nAs 2048 src port 80 124 grep a-zA-Z 5 ... весь текст скрыт [показать]
     
  • 1.84, lbcom, 12:44, 30/01/2008 [ответить] [смотреть все]  
  • +/
    новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.


     
     
  • 2.86, Аноним, 18:11, 30/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Какой там разбор Дырявый phpmyadmin поюзан Все кто хотели уже давно разобралис... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor