The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.11.2012 11:13  Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик

На ряде web-серверов обнаружен новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением Debian Squeeze с ядром 2.6.32-5-amd64. После активации в ядро системы загружается специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.

В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются и скрываются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. Первая информация о новом рутките была опубликована несколько дней назад в списке рассылки Full Disclosure. Администратор одной из поражённых систем привёл первичный разбор странной активности на своём сервере, из-за которой с хоста данные уходили с подстановкой вредоносного iframe, но локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый для отдачи контента nginx при проверке через strace отдавал в сетевой сокет корректные данные.

В дальнейшем один из исследователей безопасности, получивший доступ к поражённой системе, проанализировал руткит и опубликовал подробный отчёт о методах его работы. Наиболее важным выводом является то, что выявленный руткит является новой разработкой, не основанной ни на одном из ранее доступных руткитов или инструментов для их создания. При этом реализация и качество исполнения руткита свидетельствует о том, что он создавался не для проведения целевых атак, а как начальная попытка создания ещё одного средства для распространения вредоносного ПО.

После загрузки руткит осуществляет перехват управления некоторых функций ядра Linux (vfs_readdir, vfs_read, filldir64 и filldir), скрывая необходимые для работы руткита файлы на диске. Для скрытия загрузки модуля ядра осуществляется модификация списка активных модулей в соответствующей структуре данных ядра Linux. Перехват управления производится путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функции (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск руткита производится через загрузку модуля ядра Linux. Но так как команда "insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko" добавляется в конец файла /etc/rc.local, а в Debian файл /etc/rc.local завершается вызовом exit 0, команда загрузки модуля размещается после вызова exit, т.е. после перезагрузки руткит не активируется.

Подстановка вредоносного кода в трафик осуществляется путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий команды от удалённого управляющего сервера. В частности, после обращения руткита к управляющему серверу, тот возвращает блок данных, который следует внедрить в трафик, а также параметры подстановки. Например, поддерживается установка правил для какого именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe).

  1. Главная ссылка к новости (https://threatpost.com/en_us/b...)
  2. OpenNews: Для платформы Android продемонстрирован прототип руткита
  3. OpenNews: HookSafe - гипервизор для защиты от руткитов
  4. OpenNews: Модуль ядра Linux для распознавания rootkit'ов
  5. OpenNews: Новый способ внедрения rootkit в Linux ядро
  6. OpenNews: Для Linux выпущен руткит принципиально нового типа
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rootkit, linux, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.2, Darth Revan, 12:12, 21/11/2012 [ответить] [смотреть все]    [к модератору]
  • +3 +/
    Опять руткит, который сначала ещё поставить нужно.
    > Squeezy

    Хм...

     
     
  • 2.12, Andrey Mitrofanov, 12:27, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +5 +/
    У RHEL _фрагментация_ версий таргетов сильно выше Киддизы одобряе стабил... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, pavlinux, 14:51, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    > После активации в ядро системы загружается специальный модуль

    СМС надо отправлять?

     
     
  • 4.68, Аноним, 15:16, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Он сам отправит, если оставишь телефон подключенным к компу ... весь текст скрыт [показать]
     
  • 2.87, AlexYeCu, 16:12, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +12 +/
    Я невнимательно читал, или в статье нет подробностей «заражения»?
     
  • 2.150, Fyjybv, 07:41, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Кстати, в наше-то время кто-то ещё без NoScript в Сеть ходит Мдааа ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, DannyBoy, 12:17, 21/11/2012 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Поправьте, пожалуйста Было бы интересно узнать, подвержены ли более новые ядра ... весь текст скрыт [показать]
     
     
  • 2.9, Аноним, 12:25, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +8 +/
    Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают на уже взломанную систему.
     
     
  • 3.24, Аноним, 13:08, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –8 +/
    да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))
     
     
  • 4.101, Аноним, 16:57, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Червяки например - самораспостраняются На то и червяки ... весь текст скрыт [показать]
     
     
  • 5.122, res2500, 20:54, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    прочитайте пост с чего началась эта нить подчеркиваю его устанавливают на уж... весь текст скрыт [показать]
     
     
  • 6.126, Аноним, 22:27, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Я ответил на конкретный тезис А что там было 100500 сообщений назад - не мои пр... весь текст скрыт [показать]
     
     
  • 7.142, res2500, 23:49, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    травой не увлекаюсь, зашел новость почитаь и упал от смеха с написанных слов ... весь текст скрыт [показать]
     
     
  • 8.149, 1, 05:37, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Руткитов и червей полно, а вирусов нет Проблема в том, что если Вы скомпилирует... весь текст скрыт [показать]
     
     
  • 9.151, коксюзер, 09:23, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Есть http ru wikipedia org wiki Вредоносные_программы_для_Unix-подобных_систе... весь текст скрыт [показать]
     
     
  • 10.169, Аноним, 15:35, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да все там есть Только найти крайне сложно В принципе да, однако проблема в т... весь текст скрыт [показать]
     
     
  • 11.172, коксюзер, 16:24, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На сложность написания вирусов это не влияет Для вируса, который распространяет... весь текст скрыт [показать]
     
  • 8.168, Аноним, 15:25, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Судя по вашим постингам - у меня большие сомнения насчет вашей честности в этом ... весь текст скрыт [показать]
     
  • 3.53, Аноним, 14:44, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вопрос в том, кто взламывает и устанавливает Похоже на червие ... весь текст скрыт [показать]
     
  • 2.35, Сергей, 13:56, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.
     
     
  • 3.37, Аноним, 14:05, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    И после этого, никогда не обновляться ... весь текст скрыт [показать]
     
     
  • 4.62, ZloySergant, 15:04, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Наркоман man 8 mount на предмет remount а ... весь текст скрыт [показать]
     
     
  • 5.64, Аноним, 15:08, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    То есть даже без аппаратной защиты от записи LOL Что мешает сделать remount са... весь текст скрыт [показать]
     
     
  • 6.102, Аноним, 16:59, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Геморность реализации парирования всех заскоков админов Ушибленных админов м... весь текст скрыт [показать]
     
     
  • 7.108, BratSinot, 17:48, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А кто вам сказал что автор руткита один?
     
  • 7.115, Xasd, 18:46, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    админы, у вас Чуство Собвственной Важности похоже что запредельно вы хоть п... весь текст скрыт [показать]
     
     
  • 8.127, Аноним, 22:39, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Да никакого там особого геморроя Гражданин исследующий этот экспонат пришел к в... весь текст скрыт [показать]
     
     
  • 9.144, Xasd, 00:48, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ладно тогда предлагаю другой алгоритм если вы так сопративляетесь -- если о... весь текст скрыт [показать]
     
     
  • 10.171, Аноним, 15:42, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    И немедленно палим свою активность и обращаем внимание на проблемы А зачем Рут... весь текст скрыт [показать]
     
  • 9.152, коксюзер, 09:43, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Посмотреть в proc mounts или список разделов внутри ядра и перемонтировать дл... весь текст скрыт [показать]
     
     
  • 10.174, Аноним, 16:36, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Да, ибо вариантов как и что может быть смонтировано - туева хуча А если какой-т... весь текст скрыт [показать]
     
     
  • 11.184, коксюзер, 19:03, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Определить точку монтирования раздела, на котором лежит нужный файл, очень прост... весь текст скрыт [показать]
     
  • 11.188, away, 19:37, 25/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    gt оверквотинг удален Не позорь имя онанима, теж сказали в ядре все пути есть ... весь текст скрыт [показать]
     
  • 7.186, Bvz, 09:39, 23/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    АГА Вот так вот и будет изобретён ИИАА искусственный интелект анти-админа а т... весь текст скрыт [показать]
     
  • 1.6, Аноним, 12:19, 21/11/2012 [ответить] [смотреть все]     [к модератору]  
  • –7 +/
    У меня даже на роутере ядро собранное без возможности загружать модули Кто став... весь текст скрыт [показать]
     
     
  • 2.7, DannyBoy, 12:20, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    RHEL/CentOS/Ubuntu Server.
     
     
  • 3.11, Аноним, 12:26, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    :-D этопять!
     
  • 3.14, Аноним, 12:30, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Пффф, даже в этих дистрибутивах можно пересобрать ядро ... весь текст скрыт [показать]
     
     
  • 4.16, Andrey Mitrofanov, 12:34, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Тогда ты неправильно задал первый вопрос Кто-то ещё здесь _так пересобирает ядр... весь текст скрыт [показать]
     
  • 2.44, Аноним, 14:23, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Разве на роутере есть смысл собирать ядро как-то по другому?
     
     
  • 3.47, Аноним, 14:38, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Безмодульная сборка - дешевый выпендреж, не более Ни на скорость, ни на потребл... весь текст скрыт [показать]
     
     
  • 4.56, Michael Shigorin, 14:50, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Да и dev kmem не отменяет, если уж начинать Помнится, когда-то иные любители н... весь текст скрыт [показать]
     
     
  • 5.63, Аноним, 15:05, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    На самом деле, красивая идея, только рулить этим во время работы немножко неудоб... весь текст скрыт [показать]
     
  • 5.103, Аноним, 17:00, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Можно пойти чуть дальше и законфигурить все через ядро ... весь текст скрыт [показать]
     
  • 4.88, Аноним, 16:16, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Мы говорим о безопасности Руткит грузится как модуль, а в безмодульной сборке н... весь текст скрыт [показать]
     
     
  • 5.95, Аноним, 16:44, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Для решения этой задачи можно не выпендриваться с пересборкой http www opennet... весь текст скрыт [показать]
     
     
  • 6.128, Аноним, 22:41, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ну вот, пришел поручик Ржевский и все опошлил Теперь школьники научившиеся щ... весь текст скрыт [показать]
     
  • 1.8, Анонимный аноним, 12:23, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Какая интересная зверушка, работает хирО, это вам не винлоки. Конечно, самый интересный вопрос - распространение этой заразы. Слишком уж просто списать все на неграмотные действия админа.
     
     
  • 2.10, Аноним, 12:26, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Под DOS были и более хитрые штуки ... весь текст скрыт [показать] [показать ветку]
     
  • 2.46, Аноним, 14:28, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    руткит сам себя никак не распространяет советую почитать http ru wikipedia or... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 14:42, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Но кто-то же должен его распространять И это больше похоже не на ручную работу,... весь текст скрыт [показать]
     
     
  • 4.80, Аноним, 15:49, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Как раз это похоже на ручную работу.
     
     
  • 5.83, Аноним, 15:57, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлен... весь текст скрыт [показать]
     
     
  • 6.160, CyberDaemon, 10:29, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Думается что вместе с руткитом идет нагрузка в виде червяка Иначе смысла просто... весь текст скрыт [показать]
     
  • 1.13, Alukardd, 12:28, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    Дык это же rootkit, а где sploit что его в систему внедрить?
     
     
  • 2.18, Andrey Mitrofanov, 12:36, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Начни с http www debian org security 2012 и продолжай движение в сторону гори... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Alukardd, 12:39, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    DSA это хорошо, а готового sploit'а-то у меня нету :-(
     
     
  • 4.21, Andrey Mitrofanov, 12:51, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Большая Земля сказала, не быть тебе киддизом Преподаватель лопух Ло-пух Но... весь текст скрыт [показать]
     
     
  • 5.113, Andrey Mitrofanov, 18:31, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ч-т, профессор же ... весь текст скрыт [показать]
     
  • 5.143, ВовкаОсиист, 00:23, 22/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    > при Нём

    ?...

     
  • 3.38, Аноним, 14:07, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А кто сказал, что там оно есть Дебиан - не RHEL, к безопасности досаточно пофиг... весь текст скрыт [показать]
     
     
  • 4.65, myhand, 15:11, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А кто сказал, что нет До кучи - вот еще http security-tracker debian org tra... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 15:14, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Факт наличия инфицированных серваков Если бы апдейты вышли своевременно - их бы... весь текст скрыт [показать]
     
     
  • 6.75, myhand, 15:29, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ну простите, что пока Debian не умеет заменять локального администратора Мы в ... весь текст скрыт [показать]
     
     
  • 7.84, Аноним, 15:59, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Прежде всего, он объясняется тем, что обновления безопасности надо _выпускать_ ... весь текст скрыт [показать]
     
     
  • 8.85, myhand, 16:08, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Обновления выпускаются, http security debian org Ваш КО Про ваш Как буде... весь текст скрыт [показать]
     
     
  • 9.91, Аноним, 16:35, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Но не все и с большим опозданием Возьмем, например, ядро http security-tracke... весь текст скрыт [показать]
     
     
  • 10.107, myhand, 17:27, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Слыхал звон А теперь тыкаем случайная выборка CVE-2012-3511 - статус NEW в ... весь текст скрыт [показать]
     
  • 6.187, arisu, 01:03, 24/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    как это 171 не заботились 187 вон, даже openssl патчили, чтобы секурность ... весь текст скрыт [показать]
     
  • 4.114, Andrey Mitrofanov, 18:35, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Кто оно -то Ядро Новость сказала мне - под управлением Debian Squeezy с ядр... весь текст скрыт [показать]
     
  • 3.40, Аноним, 14:13, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А для убунты чтото подобное есть?
     
     
  • 4.121, Andrey Mitrofanov, 20:53, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В поисковик ubuntu security совсем не вбивается ubuntu com usn ... весь текст скрыт [показать]
     
  • 1.15, АнониМ, 12:33, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Прикольный зверёк. Проверили все /etc/rc.local нормальные.
     
     
  • 2.25, Hugo Reyes, 13:23, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Думаю, что после выкладки на секлисте, руткит уже пропатчился на предмет выдачи ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Hugo Reyes, 13:30, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А, там уже правильный rc local отдается http 4 bp blogspot com -c6xVri0YRjo ... весь текст скрыт [показать]
     
  • 1.17, klalafuda, 12:34, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Вы все ешё хостите сервисы на голом железе? Тогда мы идем к вам!
    PS: Вроде как сто лет в обед тем же контейнерам ан нет - находятся умельцы..
     
     
  • 2.22, mee too, 12:52, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Те же контейнеры вроде как работают с тем же ядром ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, klalafuda, 13:00, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вот только они не позволяют грузить модули ядра изнутри контейнера, в котором ок... весь текст скрыт [показать]
     
     
  • 4.27, Hugo Reyes, 13:25, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера ... весь текст скрыт [показать]
     
     
  • 5.30, klalafuda, 13:33, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Нарисовать указанный сплойт и его целевую нагрузку перехватчик тем более долго... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 7.41, klalafuda, 14:14, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Отлично Мы практически взломали Интернет Дело за малым - как мы будем управлят... весь текст скрыт [показать]
     
     
  • 8.52, Аноним, 14:43, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Пойти к админу и попросить рута на хосте, очевидно же ... весь текст скрыт [показать]
     
  • 8.73, Michael Shigorin, 15:28, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Дело даже не в том -- пусть сначала продемонстрирует хоть в каком виде загрузку ... весь текст скрыт [показать]
     
     
  • 9.81, klalafuda, 15:52, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Товарищ видимо имел ввиду sys_module container capability bit Parallels Virtuoz... весь текст скрыт [показать]
     
     
  • 10.98, Аноним, 16:50, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, и по дефолту в всех хостеров в здравом уме и всех остальных - никто не дает ... весь текст скрыт [показать]
     
     
  • 11.138, Аноним, 23:08, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В ядре бывают баги Но они бывают и много где еще Хотя тру параноик может распи... весь текст скрыт [показать]
     
     
  • 12.156, Andrey Mitrofanov, 10:14, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    , а его прикрыть SELinux-ом Рукописным ... весь текст скрыт [показать]
     
  • 10.137, Аноним, 23:02, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не, возможно конечно все, но чтобы конкретно взятый руткит прошибал вообще все и... весь текст скрыт [показать]
     
  • 10.141, Michael Shigorin, 23:29, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Товарищ, видимо, безнадёжен Продемонстрируем это на практике при помощи ALT Li... весь текст скрыт [показать]
     
     
  • 11.153, коксюзер, 10:01, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Всем и каждому известно, что в линуксе нет уязвимостей Security bugs are just ... весь текст скрыт [показать]
     
     
  • 12.175, Аноним, 16:41, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Пардон, Берштейн тоже так считает Хоть и по иному поводу Троллинг нормальны... весь текст скрыт [показать]
     
  • 5.31, akamit, 13:34, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    Ставьте OpenBSD и спите спокойно.
     
     
  • 6.32, Анонище, 13:39, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Почему?
     
     
  • 7.39, Аноним, 14:09, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    > Почему?

    Потому что Неуловимый Джо.
    Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов, чтобы тру-хакеры начали с ней заморачиваться.

     
     
  • 8.43, Анонище, 14:23, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    А что, linux уже mainstream?
     
     
  • 9.49, Аноним, 14:39, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    > А что, linux уже mainstream?

    На серверах - да.

     
  • 9.54, akamit, 14:45, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Есть корпорации, которые заинтересованы в том, чтоб оси на базе ядра Linux 8482... весь текст скрыт [показать]
     
     
  • 10.60, Аноним, 15:03, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    У вас в голове каша Как связаны дырявость и цена на саппорт Дырявость - лишь п... весь текст скрыт [показать]
     
  • 10.136, Аноним, 22:58, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Хотите я вас расстрою С точки зрения простейшей логики несложно понять что чем ... весь текст скрыт [показать]
     
     
  • 11.154, коксюзер, 10:08, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вот только количество этих багов и последствия их эксплуатации могут серьёзно ва... весь текст скрыт [показать]
     
  • 9.76, Michael Shigorin, 15:30, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > А что, linux уже mainstream?

    Давно.

     
  • 9.129, Аноним, 22:44, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    С разморозкой вас Хорошо видать криокамера морозила Да, в 2012 году - он уже в... весь текст скрыт [показать]
     
  • 8.69, Анонище, 15:22, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Так почему openbsd, а не haiku, QNX, etc ... весь текст скрыт [показать]
     
     
  • 9.135, Аноним, 22:56, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Лучше Minix Не знаю правда, умеет ли он TCP IP, но как минимум модули грузить о... весь текст скрыт [показать]
     
  • 8.74, Michael Shigorin, 15:29, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А потом спрашивают, зачем пилить своё, когда есть дебиан ... весь текст скрыт [показать]
     
     
  • 9.117, Аноним, 19:46, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Фрагментация дистрибутивов линукса создает проблемы авторам любого софта и малв... весь текст скрыт [показать]
     
     
  • 10.130, Аноним, 22:45, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Это были примеры малвари А то адоба вон рассылает уже спам с угрозами, например... весь текст скрыт [показать]
     
  • 8.89, ainanim, 16:29, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    лучше уж сразу полуось (ecomstation) :)
     
     
  • 9.104, Аноним, 17:14, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    DOS тогда уж сразу Если среди хакеров не попадется некрофила, вы в безопасности... весь текст скрыт [показать]
     
  • 7.45, akamit, 14:24, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    там по дефолту в работающей системе нельзя засунуть посторонний код в ядро... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 14:40, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    На самом деле, можно ... весь текст скрыт [показать]
     
  • 8.97, Аноним, 16:48, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А в лине мало того что сто лет есть опция запрета вгрузки модулей, для тех кто м... весь текст скрыт [показать]
     
     
  • 9.155, коксюзер, 10:12, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    В пику хакерам это поюзать не удастся, потому что инфраструктура модулей в ядре ... весь текст скрыт [показать]
     
     
  • 10.176, Аноним, 16:45, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если ты проэксплуатировал уязвимость в ядре и можешь переколбашивать режим ядра ... весь текст скрыт [показать]
     
     
  • 11.183, коксюзер, 18:48, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для упрощения разработки и деплоя руткита ... весь текст скрыт [показать]
     
  • 6.93, Аноним, 16:38, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Угу В мавзолее Все-равно она железа с гулькин нос не поддерживает ... весь текст скрыт [показать]
     
     
  • 7.157, коксюзер, 10:14, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Это миф Было даже время, когда OpenBSD поддерживала наибольшее количество WiFi-... весь текст скрыт [показать]
     
     
  • 8.177, Аноним, 16:51, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Это время было Но давно прошло В пингвине нынче разработка беспроводных сетей ... весь текст скрыт [показать]
     
  • 3.58, Michael Shigorin, 14:53, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот только модули из контейнеров в то ядро не грузятся ... весь текст скрыт [показать]
     
     
  • 4.94, Аноним, 16:44, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, обламается, проверено А в ядре 3 7 нынче стало можно еще и зафорсить циф... весь текст скрыт [показать]
     
  • 3.96, Аноним, 16:45, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Только через них не получается модули ядра грузить Мелочи какие ... весь текст скрыт [показать]
     
  • 1.29, Анонище, 13:32, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ничего страшного. Просто человеческий фактор.
     
  • 1.34, 1, 13:50, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Классный курсовик.

    Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

    А то что ашипка вылезла - так это к релизу подправят.

    Я так думаю, что это в ожидании геймеров разработка.

     
     
  • 2.77, Michael Shigorin, 15:30, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Предположительно российских Досадно то, что какой-никакой талант идёт на вредн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.78, myhand, 15:32, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не ругайте кузнеца, чей топор Раскольников на старушке опробовал ... весь текст скрыт [показать]
     
  • 3.119, Аноним, 19:51, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Видел этот ну или похожий по действию руткит в продаже около года назад Автор... весь текст скрыт [показать]
     
     
  • 4.124, Crazy Alex, 21:21, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Судя по тому, что эта игрушка делает - эти неадекватные деньги отобьются ифрей... весь текст скрыт [показать]
     
  • 1.36, Сергей, 13:59, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Где можно скачать и как устанавливать?
     
  • 1.42, 3cky, 14:22, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Что характерно, автор, судя по содержимому модуля - наш соотечественник.
     
     
  • 2.55, pavlinux, 14:46, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Касперский ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, klalafuda, 14:55, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Может все-таки Касперски PS Мягко говоря сложно представить себе Каспера, зани... весь текст скрыт [показать]
     
     
  • 4.70, Анонище, 15:25, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    1... весь текст скрыт [показать]
     
  • 4.72, pavlinux, 15:28, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Этот бобик дезертировал в пиндосию, пущай там и сдохнет А у Касперского и Ко, у... весь текст скрыт [показать]
     
     
  • 5.86, klalafuda, 16:11, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Так и не понял всей важности этого ALREADY и почему это столь ключевое слово в з... весь текст скрыт [показать]
     
  • 1.48, pavlinux, 14:39, 21/11/2012 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Лекарство одно - не оставляйте сервак с дефолтными настройками chattr i etc... весь текст скрыт [показать]
     
     
  • 2.61, ololo, 15:04, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    он не сделает chattr -i по религиозным соображением?
     
     
  • 3.71, pavlinux, 15:26, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Обычно это делают роботы, которым естественно нужно это заложить в алгоритм.
     
     
  • 4.161, sdf, 10:31, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну так боты нам багрепорты на мыло шлют Мы ценим пользователей наших продуктов... весь текст скрыт [показать]
     
  • 3.79, Anonim, 15:33, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Шанс этого раз в 100 ниже при автоматическом взломе, т е такую фигню юзают менее... весь текст скрыт [показать]
     
  • 2.92, Аноним, 16:35, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Лучше сделай rc local директорией Во руткит лулзов словит когда файл как бы ест... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.99, старыйвиндузятник, 16:56, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    каталог autorun.inf
    Вирусы в панике и часть антивирусов тоже :)
     
  • 3.100, klalafuda, 16:56, 21/11/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/

    Директория autorun.inf на флеше в корне
     
     
  • 4.105, Аноним, 17:16, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну да, знатное западло самоходным экспонатам ... весь текст скрыт [показать]
     
     
  • 5.146, Xasd, 00:54, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ничего подобного последние flash-вирусы которые были на заре заката WinXP -- ... весь текст скрыт [показать]
     
     
  • 6.178, Аноним, 16:54, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну поставить ему readonly-hidden-system Интересно, бывает ли зараза которая доп... весь текст скрыт [показать]
     
  • 2.147, Xasd, 01:03, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    отлично задавайте следующая версия руткита будет использовать crontab reboot ,... весь текст скрыт [показать] [показать ветку]
     
  • 1.90, Аноним, 16:33, 21/11/2012 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    FAIL ... весь текст скрыт [показать]
     
  • 1.106, Аноним, 17:17, 21/11/2012 [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    тем не менее фигня такая есть и кавота заразила с этого момента можно считать,... весь текст скрыт [показать]
     
     
  • 2.133, Аноним, 22:51, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > кавота
    > линух
    > "вирусами"

    А вас походу неграмотость заразила :P.

     
  • 2.148, Xasd, 01:05, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    а какже -- открыть http localhost ... весь текст скрыт [показать] [показать ветку]
     
  • 1.116, modal, 19:04, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Весь трёп не читал, но стоит отметить факт работы web-сервера с UID 0 и GID 0.
    ТОВАРИЩИ,ГОСПОДА,ДАМЫ,ЛЮДИ, СЕРВЕР НЕ ДОЛЖЕН УСПЕШНО ЗАПУСТИТЬ INSMOD.
     
     
  • 2.118, Аноним, 19:48, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Савсем глупый, да Нигда там не написано про полномочия сервера А insmod запуск... весь текст скрыт [показать] [показать ветку]
     
  • 1.123, ram_scan, 20:56, 21/11/2012 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Пионеры заново открывают для себя stealth технологии начала 90-х годов... Не вижу даже повода для новости. Ну сплайсингом перехват сделали, молодцы, похвально. Ну вставляют в traffic flow свое что-то, так це не отнюдь не ново, для TSR вирусов в свое время это было штатным механизмом внедрения, если приравнять хэндл файла к хэндлу сокета разницы принципиальной вообще никакой. Сигнатуру выловил, нужный код в нужное место вставил.

    Мода какая-то странная взялась, драйвер грузить. Буткит видать ниасилили или формат elf файлов. Хотя в свете наличия сорцов ядра и заточености под конкретное ядро и конкретную сборку буткит - как 2 пальца.

    Двоечники. Хоть бы историю вопроса учили. 20 лет ничего нового.

     
     
  • 2.125, Crazy Alex, 21:25, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Всё по кругу идёт Вот интересно, как с этим бороться распознавать хотя бы н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.131, Аноним, 22:48, 21/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Надеяться что хостер не полный дебил Хотя в ответственных случаях лучше быть... весь текст скрыт [показать]
     
  • 2.132, Аноним, 22:50, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Справедливости ради, я не видел вирусов вклинивающихся в TCP IP стек и дописываю... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.162, ram_scan, 10:31, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Почему-то такие вещи как резалка баннеров на прозрачном прокси и наличие ip_conn... весь текст скрыт [показать]
     
     
  • 4.179, Аноним, 16:55, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну не ппц достижение, но достаточно оригинально ... весь текст скрыт [показать]
     
  • 1.134, Аноним, 22:55, 21/11/2012 [ответить] [смотреть все]     [к модератору]  
  • +/
    Мдя Интересно, какие такие Tools, Techniques, and Procedures выдали что он ру... весь текст скрыт [показать]
     
     
  • 2.140, pavlinux, 23:22, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    1 Наши комменты не пишут 2 Функции, переменные и константы вида void set_jo... весь текст скрыт [показать] [показать ветку]
     
  • 1.163, EXTRAMISsionisT, 12:30, 22/11/2012 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    За каждым таким вредоносом, особенно с такими далеко идущими целями, как в этом случае, виднеются уши Microsoft. А за Microsoft-ом торчат уши спецслужб, которые до скрежета в зубах думают только об одном: тотальном контроле за пользователями, но для этого нужно чтоб на веб-серверах "трудились" оси с закрытым исходным кодом (например, microsoft), чтоб даже админы не знали ответа на вопрос "а чем же на самом деле занимается операционная система и её веб-сервер?". Но свободное программное обеспечение - это главное препятствие к этому аду. Вот бесы и нанимают умных, но продажных спецов, которые придумывают спецсредства для компрометации свободного программного обеспечения. Не дай Бог покачнётся доверие к СПО, - и "1984" Джорджа Оруэла нам покажется раем.
     
     
  • 2.170, Reinar, 15:41, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    да ты поехавший
     
  • 1.164, A_n_D, 13:10, 22/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Следующее поколение ядра Linux будет с изоляцией модулей?
     
  • 1.165, peering, 14:17, 22/11/2012 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А какая тогда ось считается безопасной  для web серверов, на текущее время ????
     
     
  • 2.166, Анонист, 14:24, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    IIS
     
     
  • 3.180, Аноним, 16:57, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающ... весь текст скрыт [показать]
     
     
  • 4.189, Анонист, 19:26, 01/12/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    SCTP hack protocol ... весь текст скрыт [показать]
     
  • 2.167, myhand, 14:56, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Та, вместе с которой наняли администратора Как и было всегда ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.181, Аноним, 16:59, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Администраторы разные бывают Вон тут у нас несколько экспонатов по форуму ходит... весь текст скрыт [показать]
     
     
  • 4.182, myhand, 17:52, 22/11/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Здравствуй, Кэптен Каким еще откровением ты жаждешь поделиться ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor