The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик

21.11.2012 11:13

На ряде web-серверов обнаружен новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением Debian Squeeze с ядром 2.6.32-5-amd64. После активации в ядро системы загружается специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.

В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются и скрываются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. Первая информация о новом рутките была опубликована несколько дней назад в списке рассылки Full Disclosure. Администратор одной из поражённых систем привёл первичный разбор странной активности на своём сервере, из-за которой с хоста данные уходили с подстановкой вредоносного iframe, но локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый для отдачи контента nginx при проверке через strace отдавал в сетевой сокет корректные данные.

В дальнейшем один из исследователей безопасности, получивший доступ к поражённой системе, проанализировал руткит и опубликовал подробный отчёт о методах его работы. Наиболее важным выводом является то, что выявленный руткит является новой разработкой, не основанной ни на одном из ранее доступных руткитов или инструментов для их создания. При этом реализация и качество исполнения руткита свидетельствует о том, что он создавался не для проведения целевых атак, а как начальная попытка создания ещё одного средства для распространения вредоносного ПО.

После загрузки руткит осуществляет перехват управления некоторых функций ядра Linux (vfs_readdir, vfs_read, filldir64 и filldir), скрывая необходимые для работы руткита файлы на диске. Для скрытия загрузки модуля ядра осуществляется модификация списка активных модулей в соответствующей структуре данных ядра Linux. Перехват управления производится путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функции (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск руткита производится через загрузку модуля ядра Linux. Но так как команда "insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko" добавляется в конец файла /etc/rc.local, а в Debian файл /etc/rc.local завершается вызовом exit 0, команда загрузки модуля размещается после вызова exit, т.е. после перезагрузки руткит не активируется.

Подстановка вредоносного кода в трафик осуществляется путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий команды от удалённого управляющего сервера. В частности, после обращения руткита к управляющему серверу, тот возвращает блок данных, который следует внедрить в трафик, а также параметры подстановки. Например, поддерживается установка правил для какого именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe).

  1. Главная ссылка к новости (https://threatpost.com/en_us/b...)
  2. OpenNews: Для платформы Android продемонстрирован прототип руткита
  3. OpenNews: HookSafe - гипервизор для защиты от руткитов
  4. OpenNews: Модуль ядра Linux для распознавания rootkit'ов
  5. OpenNews: Новый способ внедрения rootkit в Linux ядро
  6. OpenNews: Для Linux выпущен руткит принципиально нового типа
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rootkit, linux, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (170) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Darth Revan (ok), 12:12, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Опять руткит, который сначала ещё поставить нужно.
    > Squeezy

    Хм...

     
     
  • 2.12, Andrey Mitrofanov (?), 12:27, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >> Squeezy
    > Хм...

    У RHEL _фрагментация_ [версий/таргетов] сильно выше. %))) Киддизы одобряе стабильность Debian-а.

     
     
  • 3.57, pavlinux (ok), 14:51, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > После активации в ядро системы загружается специальный модуль

    СМС надо отправлять?

     
     
  • 4.68, Аноним (-), 15:16, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> После активации в ядро системы загружается специальный модуль
    > СМС надо отправлять?

    Он сам отправит, если оставишь телефон подключенным к компу :)

     
  • 2.87, AlexYeCu (ok), 16:12, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Я невнимательно читал, или в статье нет подробностей «заражения»?
     
  • 2.150, Fyjybv (?), 07:41, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.

    Кстати, в наше-то время кто-то ещё без NoScript в Сеть ходит? Мдааа...

     

  • 1.4, DannyBoy (ok), 12:17, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >а для как начальная попытка создания ещё одного средства для распространения вредоносного ПО.

    Поправьте, пожалуйста.

    Было бы интересно узнать, подвержены ли более новые ядра и что можно сделать для противодействия?

     
     
  • 2.9, Аноним (-), 12:25, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают на уже взломанную систему.
     
     
  • 3.24, Аноним (-), 13:08, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –8 +/
    да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))
     
     
  • 4.101, Аноним (-), 16:57, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))

    Червяки например - самораспостраняются. На то и червяки.

     
     
  • 5.122, res2500 (ok), 20:54, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    прочитайте пост с чего началась эта нить подчеркиваю его устанавливают на уж... большой текст свёрнут, показать
     
     
  • 6.126, Аноним (-), 22:27, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я ответил на конкретный тезис А что там было 100500 сообщений назад - не мои пр... большой текст свёрнут, показать
     
     
  • 7.142, res2500 (ok), 23:49, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    травой не увлекаюсь, зашел новость почитаь и упал от смеха с написанных слов

    > его устанавливают на уже взломанную систему.

    )))))))))))))

    > Ах да, судя по упоротости и странным претензиям, res2500 наверное BSDшник.

    и не только, использую что мне нравитс, еше в 2009 году, на одном из сайтов ру нета был участником холивара, где писали что под линукс вирусов и вредоносов нету и это супер защищенная система ))))

     
     
  • 8.149, 1 (??), 05:37, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Руткитов и червей полно, а вирусов нет Проблема в том, что если Вы скомпилирует... текст свёрнут, показать
     
     
  • 9.151, коксюзер (?), 09:23, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть http ru wikipedia org wiki Вредоносные_программы_для_Unix-подобных_систе... большой текст свёрнут, показать
     
     
  • 10.169, Аноним (-), 15:35, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да все там есть Только найти крайне сложно В принципе да, однако проблема в т... большой текст свёрнут, показать
     
     
  • 11.172, коксюзер (?), 16:24, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    На сложность написания вирусов это не влияет Для вируса, который распространяет... большой текст свёрнут, показать
     
  • 8.168, Аноним (-), 15:25, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Судя по вашим постингам - у меня большие сомнения насчет вашей честности в этом ... текст свёрнут, показать
     
  • 3.53, Аноним (-), 14:44, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают
    > на уже взломанную систему.

    Вопрос в том, кто взламывает и устанавливает. Похоже на червие.

     
  • 2.35, Сергей (??), 13:56, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.
     
     
  • 3.37, Аноним (-), 14:05, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.

    И после этого, никогда не обновляться.

     
     
  • 4.62, ZloySergant (ok), 15:04, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >И после этого, никогда не обновляться.

    Наркоман? man 8 mount на предмет remount'а.

     
     
  • 5.64, Аноним (-), 15:08, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Наркоман? man 8 mount на предмет remount'а.

    То есть даже без аппаратной защиты от записи? LOL.
    Что мешает сделать remount самому руткиту, если он уже работает на уровне ядра (т.е. с максимальными полномочиями)?

     
     
  • 6.102, Аноним (-), 16:59, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ядра (т.е. с максимальными полномочиями)?

    Геморность реализации парирования всех заскоков админов :). Ушибленных админов много а автор руткита - один. Он задолбается AI разгребающий все подляны всех админов выписывать. Поэтому чем нестандартнее настройки - тем вероятнее что автоматизированная хренота словит былинный отказ и отползет сломав зубы.

     
     
  • 7.108, BratSinot (?), 17:48, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А кто вам сказал что автор руткита один?
     
  • 7.115, Xasd (ok), 18:46, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Геморность реализации парирования всех заскоков админов :).

    админы, у вас Чуство Собвственной Важности похоже что запредельно...

    ..вы хоть представляете себе какое огромное количество гемороя пришлось УЖЕ решить разработчиком этого руткита, для того чтобы руткит просто начал работать? решить ещё и чуть-чуть гемороя с тем чтобы просмотреть /etc/fstab и на основании него сделать remount -- это практически нет-ничего.

     
     
  • 8.127, Аноним (-), 22:39, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да никакого там особого геморроя Гражданин исследующий этот экспонат пришел к в... большой текст свёрнут, показать
     
     
  • 9.144, Xasd (ok), 00:48, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ладно тогда предлагаю другой алгоритм если вы так сопративляетесь -- если о... большой текст свёрнут, показать
     
     
  • 10.171, Аноним (-), 15:42, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И немедленно палим свою активность и обращаем внимание на проблемы А зачем Рут... большой текст свёрнут, показать
     
  • 9.152, коксюзер (?), 09:43, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Посмотреть в proc mounts или список разделов внутри ядра и перемонтировать дл... большой текст свёрнут, показать
     
     
  • 10.174, Аноним (-), 16:36, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, ибо вариантов как и что может быть смонтировано - туева хуча А если какой-т... большой текст свёрнут, показать
     
     
  • 11.184, коксюзер (?), 19:03, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Определить точку монтирования раздела, на котором лежит нужный файл, очень прост... большой текст свёрнут, показать
     
  • 11.188, away (?), 19:37, 25/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gt оверквотинг удален Не позорь имя онанима, теж сказали в ядре все пути есть ... большой текст свёрнут, показать
     
  • 7.186, Bvz (?), 09:39, 23/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    АГА! Вот так вот и будет изобретён ИИАА (искусственный интелект анти-админа) а там и до простого ИИ недалеко и здравствуй сингулярность
     

     ....большая нить свёрнута, показать (27)

  • 1.6, Аноним (-), 12:19, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    У меня даже на роутере ядро собранное без возможности загружать модули. Кто ставит серверы с модулями?
     
     
  • 2.7, DannyBoy (ok), 12:20, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    RHEL/CentOS/Ubuntu Server.
     
     
  • 3.11, Аноним (-), 12:26, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    :-D этопять!
     
  • 3.14, Аноним (-), 12:30, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > RHEL/CentOS/Ubuntu Server.

    Пффф, даже в этих дистрибутивах можно пересобрать ядро.

     
     
  • 4.16, Andrey Mitrofanov (?), 12:34, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >можно пересобрать ядро.

    Тогда ты неправильно задал первый вопрос."Кто-то ещё здесь _так пересобирает ядро?"И тему надо было сменить на "Перепись"

     
  • 2.44, Аноним (-), 14:23, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Разве на роутере есть смысл собирать ядро как-то по другому?
     
     
  • 3.47, Аноним (-), 14:38, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Разве на роутере есть смысл собирать ядро как-то по другому?

    Безмодульная сборка - дешевый выпендреж, не более. Ни на скорость, ни на потребление ресурсов это не влияет.

     
     
  • 4.56, Michael Shigorin (ok), 14:50, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Разве на роутере есть смысл собирать ядро как-то по другому?
    > Безмодульная сборка - дешевый выпендреж, не более. Ни на скорость, ни на
    > потребление ресурсов это не влияет.

    Да и /dev/kmem не отменяет, если уж начинать.

    Помнится, когда-то иные любители на роутерах патчили обработчик помирания pid 1 и делали kernel-only router, на котором юзерспейс отрабатывает, конфигурирует ядро и самоуничтожается в памяти.

     
     
  • 5.63, Аноним (-), 15:05, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Помнится, когда-то иные любители на роутерах патчили обработчик помирания pid 1 и
    > делали kernel-only router, на котором юзерспейс отрабатывает, конфигурирует ядро и самоуничтожается
    > в памяти.

    На самом деле, красивая идея, только рулить этим во время работы немножко неудобно.

     
  • 5.103, Аноним (-), 17:00, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > делали kernel-only router, на котором юзерспейс отрабатывает, конфигурирует ядро и самоуничтожается
    > в памяти.

    Можно пойти чуть дальше и законфигурить все через ядро :)

     
  • 4.88, Аноним (-), 16:16, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Безмодульная сборка - дешевый выпендреж, не более. Ни на скорость, ни на
    > потребление ресурсов это не влияет.

    Мы говорим о безопасности. Руткит грузится как модуль, а в безмодульной сборке никуда он не загрузится. /dev/kmem естесвенно отключен.

     
     
  • 5.95, Аноним (-), 16:44, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для решения этой задачи можно не выпендриваться с пересборкой http://www.opennet.ru/tips/2554_linux_kernel_module_limit_capability.shtml
     
     
  • 6.128, Аноним (-), 22:41, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну вот, пришел поручик Ржевский и все опошлил :). Теперь школьники научившиеся щелкать галочки в менюконфиге не смогут понтоваться скиллом. Ай-яй-яй :)
     

  • 1.8, Анонимный аноним (?), 12:23, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Какая интересная зверушка, работает хирО, это вам не винлоки. Конечно, самый интересный вопрос - распространение этой заразы. Слишком уж просто списать все на неграмотные действия админа.
     
     
  • 2.10, Аноним (-), 12:26, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая интересная зверушка, работает хирО, это вам не винлоки.

    Под DOS были и более хитрые штуки :)

     
  • 2.46, Аноним (-), 14:28, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    руткит сам себя никак не распространяет.

    советую почитать http://ru.wikipedia.org/wiki/Руткит

     
     
  • 3.51, Аноним (-), 14:42, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > руткит сам себя никак не распространяет.

    Но кто-то же должен его распространять. И это больше похоже не на ручную работу, а на червячка, использующего незакрытую дыру в дебиане.

     
     
  • 4.80, Аноним (-), 15:49, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как раз это похоже на ручную работу.
     
     
  • 5.83, Аноним (-), 15:57, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлением строчки в rc.local?

    Примерно такая же "ручная", как виндовые ботнеты из сотен тысяч компов, ага.

     
     
  • 6.160, CyberDaemon (?), 10:29, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлением строчки
    > в rc.local?
    > Примерно такая же "ручная", как виндовые ботнеты из сотен тысяч компов, ага.

    Думается что вместе с руткитом идет нагрузка в виде червяка. Иначе смысла просто нет.

     

  • 1.13, Alukardd (?), 12:28, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дык это же rootkit, а где sploit что его в систему внедрить?
     
     
  • 2.18, Andrey Mitrofanov (?), 12:36, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Дык это же rootkit, а где sploit что его в систему внедрить?

    Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.

     
     
  • 3.20, Alukardd (?), 12:39, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    DSA это хорошо, а готового sploit'а-то у меня нету :-(
     
     
  • 4.21, Andrey Mitrofanov (?), 12:51, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >а готового sploit'а-то у меня нету :-(

    Большая Земля сказала, не быть тебе киддизом.

    +++Преподаватель лопух. Ло-пух! Но аппаратура при ём. Повторяю, пр йём.

     
     
  • 5.113, Andrey Mitrofanov (?), 18:31, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > +++Преподаватель лопух. Ло-пух! Но аппаратура при ём. Повторяю, пр йём.

    Ч-т, "профессор" же:(

     
  • 5.143, ВовкаОсиист (ok), 00:23, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > при Нём

    ?...

     
  • 3.38, Аноним (-), 14:07, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.

    А кто сказал, что там оно есть? Дебиан - не RHEL, к безопасности досаточно пофигистичен.

     
     
  • 4.65, myhand (ok), 15:11, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А кто сказал, что там оно есть?

    А кто сказал, что нет?  До кучи - вот еще http://security-tracker.debian.org/tracker/

    > Дебиан - не RHEL, к безопасности досаточно пофигистичен.

    К счастью, в Debian прежде всего: пофигистичны к голословному "авторитетному" мнению разных анонимов...

     
     
  • 5.66, Аноним (-), 15:14, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А кто сказал, что нет?

    Факт наличия инфицированных серваков. Если бы апдейты вышли своевременно - их бы не было.

    > К счастью, в Debian прежде всего: пофигистичны к голословному "авторитетному" мнению разных анонимов...

    Да, только тупые анонимы могут голословно утверждать, что нужно заботиться о безопасности.
    Но настоящим разработчикам Debian пофиг на такие заявления - как не заботились, так и не будут.

     
     
  • 6.75, myhand (ok), 15:29, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> А кто сказал, что нет?
    > Факт наличия инфицированных серваков. Если бы апдейты вышли своевременно - их бы не было.

    Ну простите, что пока Debian не умеет заменять локального администратора.  Мы в процессе ;)

    Так что необходимость устанавливать обновления безопасности и тем более ошибок конфигурации ПО у конкретного администратора - никто не отменял.  Чем, прежде всего, и объясняется ваш "факт".

    >> К счастью, в Debian прежде всего: пофигистичны к голословному "авторитетному" мнению разных анонимов...
    > Да, только тупые анонимы могут голословно утверждать, что нужно заботиться о безопасности.

    "Тупые анонимы" (ваши слова) - утверждали, не утруждая себя доказательствами, нечто совсем иное.  Напомнить?

     
     
  • 7.84, Аноним (-), 15:59, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Так что необходимость устанавливать обновления безопасности и тем более ошибок конфигурации ПО у конкретного администратора - никто не отменял.  Чем, прежде всего, и объясняется ваш "факт".

    Прежде всего, он объясняется тем, что обновления безопасности надо _выпускать_.

    > "Тупые анонимы" (ваши слова) - утверждали, не утруждая себя доказательствами, нечто совсем иное.  Напомнить?

    Это вы про свой пост?

     
     
  • 8.85, myhand (ok), 16:08, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обновления выпускаются, http security debian org Ваш КО Про ваш Как буде... текст свёрнут, показать
     
     
  • 9.91, Аноним (-), 16:35, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Но не все и с большим опозданием Возьмем, например, ядро http security-tracke... текст свёрнут, показать
     
     
  • 10.107, myhand (ok), 17:27, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Слыхал звон А теперь тыкаем случайная выборка CVE-2012-3511 - статус NEW в ... текст свёрнут, показать
     
  • 6.187, arisu (ok), 01:03, 24/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > как не заботились, так и не будут.

    как это «не заботились»?! вон, даже openssl патчили, чтобы секурность повысить!

     
  • 4.114, Andrey Mitrofanov (?), 18:35, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.
    > А кто сказал, что там оно есть?

    Кто "оно"-то?? Ядро?
    Новость сказала мне - "под управлением Debian Squeezy с ядром 2.6.32-5-amd64".

    > Дебиан - не RHEL, к

    Новость не читай, сразу пиши.

     
  • 3.40, Аноним (-), 14:13, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А для убунты чтото подобное есть?
     
     
  • 4.121, Andrey Mitrofanov (?), 20:53, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А для убунты чтото подобное есть?

    В $поисковик ubuntu security совсем не вбивается? ubuntu.com/usn

     

  • 1.15, АнониМ (?), 12:33, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Прикольный зверёк. Проверили все /etc/rc.local нормальные.
     
     
  • 2.25, Hugo Reyes (ok), 13:23, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю, что после выкладки на секлисте, руткит уже пропатчился на предмет выдачи правильного /etc/rc.local, ну и корректного запуска после перезагрузки.
    Нужно с заведомо исправной системы загрузить сервер, что ли...
     
     
  • 3.28, Hugo Reyes (ok), 13:30, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, там уже "правильный" rc.local отдается
    http://4.bp.blogspot.com/-c6xVri0YRjo/UKaA7qP4O4I/AAAAAAAAADM/_vEd359neKQ/s16

    Осталось пофиксить оплошность с загрузкой модуля при старте системы.

     

  • 1.17, klalafuda (?), 12:34, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вы все ешё хостите сервисы на голом железе? Тогда мы идем к вам!
    PS: Вроде как сто лет в обед тем же контейнерам ан нет - находятся умельцы..
     
     
  • 2.22, mee too (?), 12:52, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вы все ешё хостите сервисы на голом железе? Тогда мы идем к
    > вам!
    > PS: Вроде как сто лет в обед тем же контейнерам ан нет
    > - находятся умельцы..

    Те же контейнеры вроде как работают с тем же ядром.

     
     
  • 3.23, klalafuda (?), 13:00, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Те же контейнеры вроде как работают с тем же ядром.

    Вот только они не позволяют грузить модули ядра изнутри контейнера, в котором оказывается атакующий после пробоя сервиса. Как следствие, по своей сути древние как кал мамонта руткиты уровня модулей ядра нервно курят в сторонке.

     
     
  • 4.27, Hugo Reyes (ok), 13:25, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера?
     
     
  • 5.30, klalafuda (?), 13:33, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера?

    Нарисовать указанный сплойт и его целевую нагрузку (перехватчик) тем более долгоиграющий куда сложнее, чем то, что описано в новости.

     
     
     
    Часть нити удалена модератором

  • 7.41, klalafuda (?), 14:14, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в случае OpenVZ контейнеров - достаточно выставить capability bit - который не доступен простым смертным. после этого загрузка модулей из контейнера будет такой же как из hw node.

    Отлично! Мы практически взломали Интернет. Дело за малым - как мы будем управлять capabilities контейнера находясь внутри контейнера? Было бы интересно услышать какие-то конкретные рекомендации и пути развития ситуации. Предположим, что рут в контейнере у нас уже есть.

     
     
  • 8.52, Аноним (-), 14:43, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пойти к админу и попросить рута на хосте, очевидно же ... текст свёрнут, показать
     
  • 8.73, Michael Shigorin (ok), 15:28, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Дело даже не в том -- пусть сначала продемонстрирует хоть в каком виде загрузку ... текст свёрнут, показать
     
     
  • 9.81, klalafuda (?), 15:52, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Товарищ видимо имел ввиду sys_module container capability bit Parallels Virtuoz... текст свёрнут, показать
     
     
  • 10.98, Аноним (-), 16:50, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и по дефолту в всех хостеров в здравом уме и всех остальных - никто не дает ... текст свёрнут, показать
     
     
  • 11.138, Аноним (-), 23:08, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В ядре бывают баги Но они бывают и много где еще Хотя тру параноик может распи... текст свёрнут, показать
     
     
  • 12.156, Andrey Mitrofanov (?), 10:14, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    , а его прикрыть SELinux-ом Рукописным ... текст свёрнут, показать
     
  • 10.137, Аноним (-), 23:02, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не, возможно конечно все, но чтобы конкретно взятый руткит прошибал вообще все и... текст свёрнут, показать
     
  • 10.141, Michael Shigorin (ok), 23:29, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ, видимо, безнадёжен Продемонстрируем это на практике при помощи ALT Li... большой текст свёрнут, показать
     
     
  • 11.153, коксюзер (?), 10:01, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всем и каждому известно, что в линуксе нет уязвимостей Security bugs are just ... текст свёрнут, показать
     
     
  • 12.175, Аноним (-), 16:41, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пардон, Берштейн тоже так считает Хоть и по иному поводу Троллинг нормальны... текст свёрнут, показать
     
  • 5.31, akamit (?), 13:34, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ставьте OpenBSD и спите спокойно.
     
     
  • 6.32, Анонище (?), 13:39, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Почему?
     
     
  • 7.39, Аноним (-), 14:09, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Почему?

    Потому что Неуловимый Джо.
    Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов, чтобы тру-хакеры начали с ней заморачиваться.

     
     
  • 8.43, Анонище (?), 14:23, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А что, linux уже mainstream ... текст свёрнут, показать
     
     
  • 9.49, Аноним (-), 14:39, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    На серверах - да ... текст свёрнут, показать
     
  • 9.54, akamit (ok), 14:45, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Есть корпорации, которые заинтересованы в том, чтоб оси на базе ядра Linux 8482... текст свёрнут, показать
     
     
  • 10.60, Аноним (-), 15:03, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У вас в голове каша Как связаны дырявость и цена на саппорт Дырявость - лишь п... текст свёрнут, показать
     
  • 10.136, Аноним (-), 22:58, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Хотите я вас расстрою С точки зрения простейшей логики несложно понять что чем ... текст свёрнут, показать
     
     
  • 11.154, коксюзер (?), 10:08, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот только количество этих багов и последствия их эксплуатации могут серьёзно ва... текст свёрнут, показать
     
  • 9.76, Michael Shigorin (ok), 15:30, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Давно ... текст свёрнут, показать
     
  • 9.129, Аноним (-), 22:44, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С разморозкой вас Хорошо видать криокамера морозила Да, в 2012 году - он уже в... текст свёрнут, показать
     
  • 8.69, Анонище (?), 15:22, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так почему openbsd, а не haiku, QNX, etc ... текст свёрнут, показать
     
     
  • 9.135, Аноним (-), 22:56, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше Minix Не знаю правда, умеет ли он TCP IP, но как минимум модули грузить о... текст свёрнут, показать
     
  • 8.74, Michael Shigorin (ok), 15:29, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А потом спрашивают, зачем пилить своё, когда есть дебиан ... текст свёрнут, показать
     
     
  • 9.117, Аноним (-), 19:46, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Фрагментация дистрибутивов линукса создает проблемы авторам любого софта и малв... текст свёрнут, показать
     
     
  • 10.130, Аноним (-), 22:45, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это были примеры малвари А то адоба вон рассылает уже спам с угрозами, например... текст свёрнут, показать
     
  • 8.89, ainanim (?), 16:29, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    лучше уж сразу полуось ecomstation ... текст свёрнут, показать
     
     
  • 9.104, Аноним (-), 17:14, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    DOS тогда уж сразу Если среди хакеров не попадется некрофила, вы в безопасности... текст свёрнут, показать
     
  • 7.45, akamit (?), 14:24, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Почему?

    там по дефолту в работающей системе нельзя засунуть посторонний код в ядро

     
     
  • 8.50, Аноним (-), 14:40, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На самом деле, можно ... текст свёрнут, показать
     
  • 8.97, Аноним (-), 16:48, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А в лине мало того что сто лет есть опция запрета вгрузки модулей, для тех кто м... текст свёрнут, показать
     
     
  • 9.155, коксюзер (?), 10:12, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В пику хакерам это поюзать не удастся, потому что инфраструктура модулей в ядре ... текст свёрнут, показать
     
     
  • 10.176, Аноним (-), 16:45, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты проэксплуатировал уязвимость в ядре и можешь переколбашивать режим ядра ... текст свёрнут, показать
     
     
  • 11.183, коксюзер (?), 18:48, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Для упрощения разработки и деплоя руткита ... текст свёрнут, показать
     
  • 6.93, Аноним (-), 16:38, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ставьте OpenBSD и спите спокойно.

    Угу. В мавзолее. Все-равно она железа с гулькин нос не поддерживает.

     
     
  • 7.157, коксюзер (?), 10:14, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Угу. В мавзолее. Все-равно она железа с гулькин нос не поддерживает.

    Это миф. Было даже время, когда OpenBSD поддерживала наибольшее количество WiFi-чипов среди всех свободных ОС - причём, в открытых драйверах, не проприетарных.

     
     
  • 8.177, Аноним (-), 16:51, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это время было Но давно прошло В пингвине нынче разработка беспроводных сетей ... текст свёрнут, показать
     
  • 3.58, Michael Shigorin (ok), 14:53, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Те же контейнеры вроде как работают с тем же ядром.

    Вот только модули из контейнеров в то ядро не грузятся.

     
     
  • 4.94, Аноним (-), 16:44, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот только модули из контейнеров в то ядро не грузятся.

    Да, обламается, проверено :). А в ядре 3.7 нынче стало можно еще и зафорсить цифровые подписи модулей ядра до кучи к тому же. Федористы это конечно по поводу секурбута пилили, но можно же вражескую технологию и на благо пустить. Если уж пушка есть - нехай палит по неприятелю!

     
  • 3.96, Аноним (-), 16:45, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Те же контейнеры вроде как работают с тем же ядром.

    Только через них не получается модули ядра грузить. Мелочи какие :)

     

     ....большая нить свёрнута, показать (45)

  • 1.29, Анонище (?), 13:32, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ничего страшного. Просто человеческий фактор.
     
  • 1.34, 1 (??), 13:50, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Классный курсовик.

    Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

    А то что ашипка вылезла - так это к релизу подправят.

    Я так думаю, что это в ожидании геймеров разработка.

     
     
  • 2.77, Michael Shigorin (ok), 15:30, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

    Предположительно российских.  Досадно то, что какой-никакой талант идёт на вредное.

     
     
  • 3.78, myhand (ok), 15:32, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.
    > Предположительно российских.  Досадно то, что какой-никакой талант идёт на вредное.

    Не ругайте кузнеца, чей топор Раскольников на старушке опробовал ;)

     
  • 3.119, Аноним (-), 19:51, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Видел этот ну или похожий по действию руткит в продаже около года назад Автор... большой текст свёрнут, показать
     
     
  • 4.124, Crazy Alex (ok), 21:21, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по тому, что эта игрушка делает - эти "неадекватные деньги" отобьются ифреймом за сутки-другие, если я правильно помню цены на сии "услуги". Достаточно одного хостера найти...
     

  • 1.36, Сергей (??), 13:59, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Где можно скачать и как устанавливать?
     
  • 1.42, 3cky (?), 14:22, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что характерно, автор, судя по содержимому модуля - наш соотечественник.
     
     
  • 2.55, pavlinux (ok), 14:46, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Что характерно, автор, судя по содержимому модуля - наш соотечественник.

    Касперский

     
     
  • 3.59, klalafuda (?), 14:55, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Касперский

    Может все-таки Касперски?
    PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

     
     
  • 4.70, Анонище (?), 15:25, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Касперский
    > Может все-таки Касперски?
    > PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

    +1

     
  • 4.72, pavlinux (ok), 15:28, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Касперский
    > Может все-таки Касперски?
    > PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

    Этот бобик дезертировал в пиндосию, пущай там и сдохнет.


    А у Касперского и Ко, уже  во всю идёт разбор полётов на ассмеблере.
    http://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iF

    Kaspersky Lab already detects this rootkit as: Rootkit.Linux.Snakso.a.

    Ключевое слово ALREADY :)

     
     
  • 5.86, klalafuda (?), 16:11, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так и не понял всей важности этого ALREADY и почему это столь ключевое слово в з... большой текст свёрнут, показать
     

  • 1.48, pavlinux (ok), 14:39, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Лекарство одно - не оставляйте сервак с дефолтными настройками.

    # chattr +i /etc/rc.local
    Пущай трахаеццо, главное самим не забыть :)  

     
     
  • 2.61, ololo (?), 15:04, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    он не сделает chattr -i по религиозным соображением?
     
     
  • 3.71, pavlinux (ok), 15:26, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно это делают роботы, которым естественно нужно это заложить в алгоритм.
     
     
  • 4.161, sdf (?), 10:31, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Обычно это делают роботы, которым естественно нужно это заложить в алгоритм.

    Ну так боты нам багрепорты на мыло шлют.
    Мы ценим пользователей наших продуктов  и  оперативно обновляем ошибки в коде.

     
  • 3.79, Anonim (??), 15:33, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Шанс этого раз в 100 ниже при автоматическом взломе, т е такую фигню юзают менее 1% админов. А если еще и монтировать с ro, то шанс еще возводим в квадрат.
    У самого просто ведро из бекпортов. Должно быть чуть более безопасно. Дебиан - известное реше то. Обновления приходят чуть ли не пару раз в год, хотя дыры латаются ежедневно.
     
  • 2.92, Аноним (-), 16:35, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше сделай rc.local директорией. Во руткит лулзов словит когда файл как бы есть, но ни разу не пишется, хоть там что. Ибо что есть "запись" в директорию? Олдскульно-классический метод создания лулзов всевозможному софту :)
     
     
  • 3.99, старыйвиндузятник (?), 16:56, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    каталог autorun.inf
    Вирусы в панике и часть антивирусов тоже :)
     
  • 3.100, klalafuda (?), 16:56, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/

    Директория autorun.inf на флеше в корне
     
     
  • 4.105, Аноним (-), 17:16, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Директория autorun.inf на флеше в корне

    Ну да, знатное западло самоходным экспонатам :)

     
     
  • 5.146, Xasd (ok), 00:54, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Директория autorun.inf на флеше в корне
    > Ну да, знатное западло самоходным экспонатам :)

    ничего подобного! последние flash-вирусы (которые были на заре заката WinXP) -- при заражении переименовывали autorun.inf в случайное имя!

    ...но это делали они не для того чтобы избавиться от директории, а для того чтобы убить другой флэш-вирус. а получилось как раз то что надо! :-)

     
     
  • 6.178, Аноним (-), 16:54, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > заражении переименовывали autorun.inf в случайное имя!

    Ну поставить ему readonly-hidden-system. Интересно, бывает ли зараза которая допирает и это разминировать?

     
  • 2.147, Xasd (ok), 01:03, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Лекарство одно - не оставляйте сервак с дефолтными настройками.
    > # chattr +i /etc/rc.local
    > Пущай трахаеццо, главное самим не забыть :)

    отлично! задавайте! следующая версия руткита будет использовать crontab@reboot , а на ваш файл /etc/rc.local будет просто плевать (слешиком гемороя много парсить его (rc.local) всевозможный синтаксис) :)

     

  • 1.90, Аноним (-), 16:33, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > завершается вызовом exit 0, команда загрузки модуля размещается после вызова
    > exit, т.е. после перезагрузки руткит не активируется.

    FAIL :)

     
  • 1.106, Аноним (-), 17:17, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    тем не менее фигня такая есть и кавота заразила )
    с этого момента можно считать, что как и венда, линух не обижен "вирусами"

    и кстате кроме /etc/rc.local никаких признаков отлова не описано

     
     
  • 2.133, Аноним (-), 22:51, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > кавота
    > линух
    > "вирусами"

    А вас походу неграмотость заразила :P.

     
  • 2.148, Xasd (ok), 01:05, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > и кстате кроме /etc/rc.local никаких признаков отлова не описано

    а какже -- открыть http://localhost ?

     

  • 1.116, modal (?), 19:04, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Весь трёп не читал, но стоит отметить факт работы web-сервера с UID 0 и GID 0.
    ТОВАРИЩИ,ГОСПОДА,ДАМЫ,ЛЮДИ, СЕРВЕР НЕ ДОЛЖЕН УСПЕШНО ЗАПУСТИТЬ INSMOD.
     
     
  • 2.118, Аноним (-), 19:48, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Весь трёп не читал, но стоит отметить факт работы web-сервера с UID
    > 0 и GID 0.
    > ТОВАРИЩИ,ГОСПОДА,ДАМЫ,ЛЮДИ, СЕРВЕР НЕ ДОЛЖЕН УСПЕШНО ЗАПУСТИТЬ INSMOD.

    Савсем глупый, да? Нигда там не написано про полномочия сервера. А insmod запускается sysvinitом, который естественно от рута.

     

  • 1.123, ram_scan (?), 20:56, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пионеры заново открывают для себя stealth технологии начала 90-х годов... Не вижу даже повода для новости. Ну сплайсингом перехват сделали, молодцы, похвально. Ну вставляют в traffic flow свое что-то, так це не отнюдь не ново, для TSR вирусов в свое время это было штатным механизмом внедрения, если приравнять хэндл файла к хэндлу сокета разницы принципиальной вообще никакой. Сигнатуру выловил, нужный код в нужное место вставил.

    Мода какая-то странная взялась, драйвер грузить. Буткит видать ниасилили или формат elf файлов. Хотя в свете наличия сорцов ядра и заточености под конкретное ядро и конкретную сборку буткит - как 2 пальца.

    Двоечники. Хоть бы историю вопроса учили. 20 лет ничего нового.

     
     
  • 2.125, Crazy Alex (ok), 21:25, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Всё по кругу идёт... Вот интересно, как с этим бороться (распознавать хотя бы) на живой системе. Сервер не писишка - не отправишь с вребут с ровного места. Действительно только виртуалки, получается. А если живешь на VDS что делать?
     
     
  • 3.131, Аноним (-), 22:48, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > на VDS что делать?

    Надеяться что хостер не полный дебил :). Хотя в ответственных случаях лучше быть сам себе хостером. Ну там например арендовать дедик и распилить самолично хотя-бы. Так ты по крайней мере будешь в случае чего шпынять сам себя. Целесообразность зависит от соотношения твоей квалификации с хостерскими админами.

     
  • 2.132, Аноним (-), 22:50, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вставляют в traffic flow свое что-то, так це не отнюдь не ново, для TSR вирусов в свое
    > время это было штатным механизмом внедрения,

    Справедливости ради, я не видел вирусов вклинивающихся в TCP/IP стек и дописывающих вредительство именно догрузкой пакетов к легитимным страницам :)

     
     
  • 3.162, ram_scan (?), 10:31, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему-то такие вещи как резалка баннеров на прозрачном прокси и наличие ip_conntrack_ftp на рутере никого не удивляют (хотя первый из траффик флу вычеррыживает контент а второй траффик флу модифицирует).

    А вставка данных в траффик флу - уже ппц достижение =)

     
     
  • 4.179, Аноним (-), 16:55, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А вставка данных в траффик флу - уже ппц достижение =)

    Ну не ппц достижение, но достаточно оригинально.

     

  • 1.134, Аноним (-), 22:55, 21/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Based on the Tools, Techniques, and Procedures employed and some background information we cannot publicly disclose, a Russia-based attacker is likely.

    Мдя... Интересно, какие такие Tools, Techniques, and Procedures выдали что он русский..? :)

     
     
  • 2.140, pavlinux (ok), 23:22, 21/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Интересно, какие такие Tools, Techniques, and Procedures выдали что он русский..?

    1. Наши комменты не пишут.
    2. Функции, переменные и константы вида: void set_jopa(int s, char *d), pox(), nax(), my_huina(), get_pizdec()
    int aa =1234, char *mysss = "ОПА",....  ну и классика - int my_buff[] :)

     

  • 1.163, EXTRAMISsionisT (?), 12:30, 22/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    За каждым таким вредоносом, особенно с такими далеко идущими целями, как в этом случае, виднеются уши Microsoft. А за Microsoft-ом торчат уши спецслужб, которые до скрежета в зубах думают только об одном: тотальном контроле за пользователями, но для этого нужно чтоб на веб-серверах "трудились" оси с закрытым исходным кодом (например, microsoft), чтоб даже админы не знали ответа на вопрос "а чем же на самом деле занимается операционная система и её веб-сервер?". Но свободное программное обеспечение - это главное препятствие к этому аду. Вот бесы и нанимают умных, но продажных спецов, которые придумывают спецсредства для компрометации свободного программного обеспечения. Не дай Бог покачнётся доверие к СПО, - и "1984" Джорджа Оруэла нам покажется раем.
     
     
  • 2.170, Reinar (ok), 15:41, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да ты поехавший
     

  • 1.164, A_n_D (ok), 13:10, 22/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Следующее поколение ядра Linux будет с изоляцией модулей?
     
  • 1.165, peering (ok), 14:17, 22/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А какая тогда ось считается безопасной  для web серверов, на текущее время ????
     
     
  • 2.166, Анонист (?), 14:24, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    IIS
     
     
  • 3.180, Аноним (-), 16:57, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > IIS

    Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающий до кернелмода через закрытые (!!!) udp-порты. Настолько масштабного абзаца в *никсообразных за последние годы просто не припоминается совсем.

     
     
  • 4.189, Анонист (?), 19:26, 01/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> IIS
    > Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающий до
    > кернелмода через закрытые (!!!) udp-порты. Настолько масштабного абзаца в *никсообразных
    > за последние годы просто не припоминается совсем.

    SCTP hack protocol ?

     
  • 2.167, myhand (ok), 14:56, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А какая тогда ось считается безопасной  для web серверов, на текущее
    > время ????

    Та, вместе с которой наняли администратора.  Как и было всегда.

     
     
  • 3.181, Аноним (-), 16:59, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Та, вместе с которой наняли администратора.  

    Администраторы разные бывают. Вон тут у нас несколько экспонатов по форуму ходит, которые сискол от компилера не отличат. Как вы думаете, насколько секурна система с таким админом?


     
     
  • 4.182, myhand (ok), 17:52, 22/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Та, вместе с которой наняли администратора.
    > Администраторы разные бывают.

    Здравствуй, Кэптен!  Каким еще откровением ты жаждешь поделиться?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру