The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Загадочная инфекция поражает web-сайты на Linux/Apache

25.01.2008 08:25

Компания Finjan опубликовала пресс-релиз, из которого следует, что она обнаружила новый вид сетевой инфекции, из-за которой уже пострадало более 10 тыс. сайтов. Заражению подвержены только компьютеры под управлением Linux с установленным HTTP-сервером Apache.

Марк Кокс из команды безопасности Apache заявил, что не имеет никаких доказательств того, что инфекция эксплуатирует незакрытую уязвимость в Apache. Команда безопасности RedHat тоже заявила, что не может прокомментировать происходящее, т.к. на данный момент еще не получила доступ к инфицированным машинам. Компания cPanel опубликовала предупреждение, в котором описано поведение инфекции после заражения системы ( установка rootkit и замена ряда исполняемых файлов, динамически создающие JavaScript вставки вклинивающиеся в трафик сайтов).

В качестве одного из способов обнаружения паразитной активности, предлагается использовать tcpdump:


   tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'".

Инфекцию назвали Random JS Toolkit и пока не найден способ ее удаления, кроме повторной установки ОС (переустановку модифицированных файлов) и замены паролей.

Наиболее реальное подозрение связано с возможностью попадания в руки злоумышленников пароля суперпользователя на машине хостига, что в сочетании с некорректной настройкой сервера, дает им возможность установки руткита.

Ранее, в системах хостинга получила широкое распространение инфекция, вылавливающая пароли на Windows машинах владельцев аккаунтов и через ftp, в автоматическом режиме, добавляющая к страницам сайта JavaScript или iframe вставки, которые через уязвимость в web-браузере Internet Explorer, заражали новые машины и продолжали свое распространение.

  1. Главная ссылка к новости (http://www.linux.com/feature/1...)
Автор новости: specialm
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/13845-linux
Ключевые слова: linux, apache, secure, virus
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, leonid.ko (?), 13:14, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то на утку похоже. Слишком серьёзная уязвимость что бы её так просто пропустили разработчики и администраторы (ИМХО).
     
  • 1.3, sakal (ok), 13:22, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну по поводу инфекции ранее, могу подтвердить, к нам обращалось множество клиентов с жалобой на неизвестно откуда взявшийся javascript-код на страницах (правда чаще говорили "касперский ругается на наш сайт") :) зараза дописывала в конце всех index.php файлов js-код и при открытии предлагала скачать exe-файлек
     
     
  • 2.34, garmahis (ok), 16:16, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Мы тоже на этом обожглись. Организация, предоставляющая нам хостинг до сих пор не решила эту проблему. Так и приходится периодически перезаливать php-файлы.
     
     
  • 3.38, Dvorkin (??), 20:08, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    мой опыт говорит, что инфекция, вставляющая в index.php / index.html свой код на яваскрипте появилась уже как полгода.
    виноваты в ней пользоователи виндовссс, которые забивают пароли доступа к FTP в свой Total Commander.
    забивают, а потом червяк из совершенно другой сети откуда-нибудь из ЮАР или что-то в этом духе при помощи этого пароля имеет полный FTP

    вот каждый раз я радуюсь, что у меня Линукс на PC. а любители винды сами свое г..вно вычищают со своих сайтов. не дело это сисадмина :)

     
     
  • 4.92, Юрий (??), 10:49, 22/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >на яваскрипте появилась уже как полгода.
    >виноваты в ней пользоователи виндовссс, которые забивают пароли доступа к FTP в
    >свой Total Commander.
    >забивают, а потом червяк из совершенно другой сети откуда-нибудь из ЮАР или
    >что-то в этом духе при помощи этого пароля имеет полный FTP
    >
    >
    >вот каждый раз я радуюсь, что у меня Линукс на PC. а
    >любители винды сами свое г..вно вычищают со своих сайтов. не дело
    >это сисадмина :)

    Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было. Я админ хостинга. Ежедневно чистим.
    Чистильщик конечно до безобразия прост.
    Ну и потихоньку сигнатуры собираю чтобы потом в  антивирусник прикрученный к фтп  зарядить чтоб на лету чистило

     
     
  • 5.93, Dvorkin (??), 11:11, 22/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было.
    >Я админ хостинга. Ежедневно чистим.

    я своим немногочисленным строго-настрого наказал насчет Тотал Коммандера и смены паролей на FTP.
    и пару раз заставил самим разгрести.
    все спокойно уж давно как...

    >Чистильщик конечно до безобразия прост.

    да, на sh можно написать

    >Ну и потихоньку сигнатуры собираю чтобы потом в  антивирусник прикрученный к
    >фтп  зарядить чтоб на лету чистило

    вы молодец.

     
     
  • 6.94, Юрий (??), 11:23, 22/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Надоело это уже так Своим уже приказал пароли не сохран... большой текст свёрнут, показать
     
  • 3.42, Аноним (42), 21:26, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте на акки на FTP пароль сменить и не хранить пароли на компьютере
     

  • 1.4, spa (??), 13:27, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    слава Чертям! правда уж больно похоже на миф.
     
  • 1.5, Аноним (-), 13:33, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "пока не найден способ ее удаления, кроме повторной установки ОС и замены паролей."  - упал под стол и долго ржал. Афтары похоже нетолько не знакомы c тем что обычно веб сервера работают в chroot окружении, так и вообще похоже не имеют никакого понятия о расграничении прав в *nix
     
     
  • 2.6, Домовые (?), 13:40, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >обычно веб сервера работают в
    >chroot окружении, так и вообще похоже не имеют никакого понятия о
    >расграничении прав в *nix

    Уверен, что 99% нет. Это раз.
    Два - какой толк от разграничения прав, если в конечном итоге поражается клиентская машина? Серверу-то это до одного места.

     
  • 2.71, Michael Shigorin (ok), 00:07, 27/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Очередной анонимный теоретик Который не в курсе, что обычно веб-сервер в чрут... большой текст свёрнут, показать
     
     
  • 3.81, X (?), 23:03, 29/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Который не в курсе, что обычно веб-сервер в чрут запихивать как раз
    >бессмысленно: получается по толщине эквивалент VPS,

    Неправда ваша, дяденька.Chroot можно сделать очень компактным.Особенно если сервак умеет дропать права и делать чрут уже после старта.Получается буквально сотни кб...несколько мб.Никакой VPS во столько не влезет.

    >а по надёжности изоляции -- много хуже.

    Факт.Зато и делается проще и в любой системе нахаляву.

    > chroot(2) не является средством безопасности by design.

    А чем он тогда по вашему является?Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом.С минимальным вредом для остальной системы.Если что VPS довольно недавно появились...и куда жирнее по ресурсам.

     
     
  • 4.82, Michael Shigorin (ok), 01:49, 30/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только толку с него обычно пропорционально Статику относительно безопасно ... большой текст свёрнут, показать
     
     
  • 5.83, Dvorkin (??), 02:04, 30/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux
    >Server 4.0 :-)

    мой опыт с разными мандривами на одном базовом OpenVZ говорит, что смысла в собиралке/рулилке никакого нет. лучше человеку дать внятный док в один абзац текстом, чем писать скриптами какую-то хрень, которая будет пытаться автоматизировать создание темплейта.
    этот скрипт обязательно сломается или вы что-то не учтете и вам прийдется ее поддерживать, тратить время и переписывать...
    может я ошибаюсь

     
     
  • 6.85, Michael Shigorin (ok), 15:12, 30/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то vzctl -- тоже рулилка А берёшь ты всегда непонятно чьи тарболы, что ... большой текст свёрнут, показать
     

  • 1.7, Аноним (-), 13:41, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав root'а?
     
     
  • 2.9, Z00Ke (?), 13:44, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав
    >root'а?

    ИМХО: Можно повысить привилегии. даже гдето сплойтик видел но под старый линух

     
  • 2.10, Аноним (-), 13:46, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав
    >root'а?

    Ага, кажется всё понятно. Надо было статью до конца переводить, а не в лучших традициях жёлтой прессы. Из оригинальной статьи:

    "Absent any forensic evidence of break-ins, the current thinking is that the malware authors gained access to the servers using stolen root passwords. The earliest known victims, according to quotes by researchers in this ComputerWorld story, were sites run by large hosting companies, which could give attackers root access to hundreds or even thousands of Web sites when compromised."

     

  • 1.8, Z00Ke (?), 13:43, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да фигня это всё быть такого не может просто утка очередная
     
  • 1.11, Аноним (42), 13:46, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    может это через CPanel попадает ..
     
  • 1.12, Ewgen (?), 13:49, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может кто сталкивался с проблемкой - частенько попадают сайты с внедренным в index кодом типа:
    <!--[z0s]--><script>document.write(unescape("%3Cscript%3Eif%28eD%21%3D1%29%7Bfunction%20f...
    Гугл дает много сведений но каким образом этот код внедряется в индексные страницы понять не могу.
    http://www.google.ru/search?hl=ru&q=%3C%21--%5Bz0s%5D--&#
    Хотя вот тут http://forum.joom.ru/index.php?topic=11183.msg56137 малость расписано.
     
     
  • 2.20, Аноним (-), 14:14, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да. про это же написано в новости -- предыдущая эпидемия. Попадпает от юзеров по фтп -- их компы заражены. Пусть меняют пароли и используют, ну хотя бы фар, для доступа к сайту. У нас это помогло
     
  • 2.37, 235 (?), 19:44, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    опеделенно, сайты на джумле не могут быть показателем :\ они так ламаються часто на хостинге...

    подобный вставки видел, их делали либо прямо с админки сайта (придумайте пароли посложнее) либо через множество дыр пхп-смс

     

  • 1.13, Аноним (-), 13:49, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это, случаем, не про
    http://www.securitylab.ru/poc/312226.php
     
  • 1.14, Pers (??), 13:53, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. cPanel ни при чём, иначе бы серваки рутали.

    2. Linux, похоже, тоже ни при чём - траблы есть и на фре.

    3. А PHP как таковой никто не учёл?

     
     
  • 2.15, Impec (?), 14:03, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >1. cPanel ни при чём, иначе бы серваки рутали.
    >
    >2. Linux, похоже, тоже ни при чём - траблы есть и на
    >фре.
    >
    >3. А PHP как таковой никто не учёл?

    В оригинале же четко написано что эта хрень могла быть положена кем-то кто получил рутовый пароль к хостеру нескольких тысяч сайтов. Какая нахрен загадочная инфекция.

     
  • 2.24, Great.Megatron (?), 14:27, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >2. Linux, похоже, тоже ни при чём - траблы есть и на фре.

    А это точно эти траблы, а не тыренье ftp паролей?

     
  • 2.41, ЩекнИтрч (?), 20:33, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >2. Linux, похоже, тоже ни при чём - траблы есть и на
    >фре.

    Не Фре нету :)

     

  • 1.16, viper (??), 14:04, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бред.
    Страницы правятся через ftp с использование тыренных троянами паролей.
    Обычно вставляется iframe, !--[z0s]--><script>document.write и т.д. в конец index.php во всех каталогах.

     
  • 1.17, Аноним (42), 14:08, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почитал пресс-релизы.. информация к размышлению:
    1. It has been established that this compromise requires super user privileges. It is common to see a short but successful root login via ssh 5-10 minutes before the compromise occurs.
    2. This javascript will begin exploiting several known vulnerabilities within Windows, Quicktime and Yahoo Messenger on the web visitor's PC.

    Больше похоже на ручную/полуавтоматическую эксплуатацию уже имеющихся дыр, чем на реальную заразу.

     
  • 1.18, Аноним (18), 14:13, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да. В прошлый раз нас тоже коснулось... Но там юзеры хостинга сами были виноваты -- вирус у них пароли тырил.
    А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые пароли рута. Выход для незараженных -- менять пароли и переводить ssh на нестандартный порт (если червь, я думаю он не будет сканить порты и искать ssh на всех портах)

    Про выявление. мне кажется правильная строка:
    tcpdump -nAs 2048 src port 80 | grep "'[a-zA-Z]\{5\}\.js'"
    покуда название файла состоит из рандомных 5 символов. первая кавычка пропущена в новости и в конце два лишних символа

    Про лечение. На cPanel написано, что надо загрузиться с CD и поменять несколько зараженных файлов на исходные:
    /sbin/ifconfig
    /sbin/fsck
    /sbin/route
    /bin/basename
    /bin/cat
    /bin/mount
    /bin/touch

     
     
  • 2.30, Anatoliy (??), 14:50, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые
    >пароли рута. Выход для незараженных -- менять пароли и переводить ssh

    Не понял, а права root для ssh были разрешены ранее, или происходит переконфигурирование инфекцией? Неужели на сервера разрешают по ssh входить под root???

     
     
  • 3.35, Аноним (42), 18:30, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Неужели на сервера разрешают по ssh входить под root???

    B Linux - разрешено by default, во FreeBSD к примеру - наоборот, по умолчанию запрешено.
    Должен также заметить что в данной ситуации, даже если ты запретишь логиниться рутом, зная пароль - уже есть где развернуться ...


    GR.

     
     
  • 4.39, Dvorkin (??), 20:14, 25/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >B Linux - разрешено by default, во FreeBSD к примеру - наоборот,

    в нормальном линуксе запрещено ssh root@somesite
    by default.
    вы что-то с чем-то путаете или какие-то странные, сильно "ручные" линуксы используете

     
  • 4.59, Денис Смирнов (?), 12:12, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Неужели на сервера разрешают по ssh входить под root???
    >
    >B Linux - разрешено by default, во FreeBSD к примеру - наоборот

    Не пользуйтесь кривыми дистрибутивами где совершеная такая идиотская ошибка.
    Ибо это значит что создатели этих дистрибутивов слово "security" только слышали где-то когда-то, но не помнят что оно означает.

     
     
  • 5.72, Michael Shigorin (ok), 00:37, 27/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Неужели на сервера разрешают по ssh входить под root???
    >>B Linux - разрешено by default, во FreeBSD к примеру - наоборот
    >Не пользуйтесь кривыми дистрибутивами где совершеная такая идиотская ошибка.

    Перевожу Дениса: в ALT Linux с рутовым паролем по ssh ломиться по умолчанию совершенно безнадёжно.

     

  • 1.19, Аноним (18), 14:13, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть такие вирусы под Windows, который MAC гейта на свой меняет, и как прокся выступает подпихивая JS.
     
     
  • 2.87, MX (?), 05:44, 02/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Есть такие вирусы под Windows, который MAC гейта на свой меняет, и
    >как прокся выступает подпихивая JS.

    Что за бред вы несёте?

     
     
  • 3.89, ва (?), 16:19, 13/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Есть такие вирусы под Windows, который MAC гейта на свой меняет, и
    >>как прокся выступает подпихивая JS.
    >
    >Что за бред вы несёте?

    Э... не бред, однако. Просто криво написано.
    Вирь проводит arp spoofing свича, встраивая зараженную машину между сервером (прокси, рутером или еще чем) и другими клиентами. Проходящий трафик анализируетя и по возможности модифицируется (вставляется скрипт).

     

  • 1.21, Аноним (42), 14:16, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это не утка. Эпидемия уже 3 неделю. Странно что только сейчас написали
     
  • 1.22, Pilat (?), 14:23, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Замените
    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'").

    на

    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

     
  • 1.28, Аноним (42), 14:40, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    жесть:"When the system is fully online in an infected state, the kernel will begin serving a javascript payload to random web requests"

    ядро модифицирует ответы вебсервера :)

     
  • 1.33, Аноним (42), 15:52, 25/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня у узеров трояном перли акаунты фтпишные и вставлялась такая хер.
     
  • 1.48, aZ (?), 01:07, 26/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблема существует, вчера клиент жаловался на это. (все файлы сайта целы и не изменены, рамдомно в страницы вставляется код). У клиента стоит линукс.
     
     
  • 2.68, Dvorkin (??), 17:31, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Проблема существует, вчера клиент жаловался на это. (все файлы сайта целы и
    >не изменены, рамдомно в страницы вставляется код). У клиента стоит линукс.

    а есть ли уверенность, что пароль FTP знает только он?

     

  • 1.55, Timurko (?), 08:37, 26/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Стыд и позор опенету за такую утку...
     
     
  • 2.57, ЩекнИтрч (?), 11:20, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Какую утку?
    Вас кидди, разнесший БуБу, кстати, сумел миновать?
     
     
  • 3.61, ZeiBa (ok), 12:39, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Уверен что это проявление трояна, который тырит сохраненные пароли на фтп. А апач и линукс совсем не при делах. Стыдно публиковать такие новости.
     
     
  • 4.73, Michael Shigorin (ok), 00:40, 27/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Уверен что это проявление трояна, который тырит сохраненные пароли на фтп. А
    >апач и линукс совсем не при делах. Стыдно публиковать такие новости.

    Совершенно не стыдно, когда есть какая-то такая вот непонятка -- лишний раз обратить внимание системных администраторов.

    Другое дело, что источник несколько истеричен.

    PS: а PermitRootLogin yes -- ещё одна причина неприязни к редхатоидам и выбора для себя альта.

     
     
  • 5.77, Аноним (-), 12:14, 27/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    $ cat /etc/redhat-release
    CentOS release 5 (Final)

    # cat /etc/ssh/sshd_config | grep Root
    #PermitRootLogin yes

    как видно - закомменчено по дефолту
    хватит уже рекламировать Альт )

     
     
  • 6.79, oops (?), 08:09, 28/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >$ cat /etc/redhat-release
    >CentOS release 5 (Final)
    >
    ># cat /etc/ssh/sshd_config | grep Root
    >#PermitRootLogin yes
    >
    >как видно - закомменчено по дефолту
    >хватит уже рекламировать Альт )

    Это как раз говорит о том, что по умолчанию разрешено.

     
     
  • 7.90, playnet (?), 21:43, 14/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>$ cat /etc/redhat-release
    >>CentOS release 5 (Final)
    >>
    >># cat /etc/ssh/sshd_config | grep Root
    >>#PermitRootLogin yes
    >>
    >>как видно - закомменчено по дефолту
    >>хватит уже рекламировать Альт )
    >
    >Это как раз говорит о том, что по умолчанию разрешено.

    Может хватить чушь нести? Ну получи доступ к машине как рут, где эта строка закомментирована.

    А Yes там для того, чтобы удобнее было при необходимости этот рут доступ включать: коммент снял -- доступ есть. А о дефолтном значении оно ничего не говорит.

     
     
  • 8.91, Michael Shigorin (ok), 02:21, 16/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и не несите Когда подрастёте и ознакомитесь с практикой хорошо комментирова... текст свёрнут, показать
     
  • 6.80, Michael Shigorin (ok), 13:42, 28/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >хватит уже рекламировать Альт )

    Я не альт "рекламирую", а предлагаю *думать* по мере надобности.  Тот же альт -- это уже следствие таких процессов.

     

  • 1.58, Nir0 (?), 11:51, 26/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эта хрень распространяется через виндовые машины админов, которые панасахраняли пароли на фтп
    хостер имхо любой - фря, линух, винда, мак...
    вадя сразу после нового года антивирус написал на шелле, который чистит от вредоносного кода все папочки :) в понедельник попрошу выложить сюда..
     
     
  • 2.60, Роман (??), 12:34, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вы новость читали? Файлы создаются в /sbin.
     
     
  • 3.62, Аноним (-), 13:34, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы новость читали? Файлы создаются в /sbin.

    А вы комментарии? Речь в пердыдущем посте идет по зараженных файлах по ftp.

     
     
  • 4.66, Den (??), 15:41, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вы новость читали? Файлы создаются в /sbin.
    >
    >А вы комментарии? Речь в пердыдущем посте идет по зараженных файлах по
    >ftp.

    и причем тут Linux, если скрипты выполняются от юзера user1, то каким макаром они изменят мне систему и засетапят rootkit

     
  • 2.67, koiviii (?), 16:19, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно было такое, в конец HTML/PHP файла дописывался javascript код с IFRAME для перехода на какой-то сайт в Китае, содержащий .EXE. Обновления происходили по FTP. Соответственно платформа не имела значения - были изменены файлы на unix и win хостингах. Решилось сменой пароля клиентов для FTP доступа.
     
     
  • 3.69, Sivolday (??), 19:54, 26/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    План крупномасштабной акции:
    - берем десяток крупных хостеров;
    - выявляем в них десяток-же студентов-дежурных админов;
    - за 3-5 тыс. грина получаем у них рутовых паролей;
    - начинаем заражать Вынь-машины клиентов с целью воровства паролей, данных кредиток и прочей лабуды;
    - баланс: на 50 тыс. затрат получаем 50 тыс. обутых лохов.
     
     
  • 4.75, Аноним (-), 02:43, 27/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Не говорите бред. За клиентсикми машинами следит надо.
     

  • 1.70, 6a6ep (?), 20:26, 26/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'

    И что ? Этот регексп выцепит прохождение любых яваскриптов, чьё имя состоит из пяти буквенных символов. Куча срабатываний.  

     
     
  • 2.74, Michael Shigorin (ok), 00:43, 27/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'
    >И что ? Этот регексп выцепит прохождение любых яваскриптов, чьё имя состоит
    >из пяти буквенных символов. Куча срабатываний.

    Тоже удивился, почему в переводе новости выбрали этот тест, а не то, что подменённый mkdir обламывается с чисто цифровыми именами -- бишь предлагали "mkdir 1" в качестве алярма.

     

  • 1.76, Аноним (42), 10:14, 27/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уфф! Слава богу - апач - это не ко мне!-)
     
  • 1.78, Аноним (18), 15:25, 27/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    За 2 дня насобирал:

    sudo tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
        var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
        var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
        var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
        var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];

    При этом, ничего подобного у меня на диске нет.
    Машина работает как шлюз с натом. :)

     
  • 1.84, lbcom (?), 12:44, 30/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.


     
     
  • 2.86, Аноним (42), 18:11, 30/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >  новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.

    Какой там разбор? Дырявый phpmyadmin поюзан. Все кто хотели уже давно разобрались :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру