The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.11.2012 11:13  Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик

На ряде web-серверов обнаружен новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением Debian Squeeze с ядром 2.6.32-5-amd64. После активации в ядро системы загружается специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.

В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются и скрываются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. Первая информация о новом рутките была опубликована несколько дней назад в списке рассылки Full Disclosure. Администратор одной из поражённых систем привёл первичный разбор странной активности на своём сервере, из-за которой с хоста данные уходили с подстановкой вредоносного iframe, но локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый для отдачи контента nginx при проверке через strace отдавал в сетевой сокет корректные данные.

В дальнейшем один из исследователей безопасности, получивший доступ к поражённой системе, проанализировал руткит и опубликовал подробный отчёт о методах его работы. Наиболее важным выводом является то, что выявленный руткит является новой разработкой, не основанной ни на одном из ранее доступных руткитов или инструментов для их создания. При этом реализация и качество исполнения руткита свидетельствует о том, что он создавался не для проведения целевых атак, а как начальная попытка создания ещё одного средства для распространения вредоносного ПО.

После загрузки руткит осуществляет перехват управления некоторых функций ядра Linux (vfs_readdir, vfs_read, filldir64 и filldir), скрывая необходимые для работы руткита файлы на диске. Для скрытия загрузки модуля ядра осуществляется модификация списка активных модулей в соответствующей структуре данных ядра Linux. Перехват управления производится путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функции (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск руткита производится через загрузку модуля ядра Linux. Но так как команда "insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko" добавляется в конец файла /etc/rc.local, а в Debian файл /etc/rc.local завершается вызовом exit 0, команда загрузки модуля размещается после вызова exit, т.е. после перезагрузки руткит не активируется.

Подстановка вредоносного кода в трафик осуществляется путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий команды от удалённого управляющего сервера. В частности, после обращения руткита к управляющему серверу, тот возвращает блок данных, который следует внедрить в трафик, а также параметры подстановки. Например, поддерживается установка правил для какого именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe).

  1. Главная ссылка к новости (https://threatpost.com/en_us/b...)
  2. OpenNews: Для платформы Android продемонстрирован прототип руткита
  3. OpenNews: HookSafe - гипервизор для защиты от руткитов
  4. OpenNews: Модуль ядра Linux для распознавания rootkit'ов
  5. OpenNews: Новый способ внедрения rootkit в Linux ядро
  6. OpenNews: Для Linux выпущен руткит принципиально нового типа
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rootkit, linux, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Darth Revan, 12:12, 21/11/2012 [ответить] [смотреть все]
  • +3 +/
    Опять руткит, который сначала ещё поставить нужно.
    > Squeezy

    Хм...

     
     
  • 2.12, Andrey Mitrofanov, 12:27, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +5 +/
    У RHEL _фрагментация_ версий таргетов сильно выше Киддизы одобряе стабил... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, pavlinux, 14:51, 21/11/2012 [^] [ответить] [смотреть все]  
  • +8 +/
    > После активации в ядро системы загружается специальный модуль

    СМС надо отправлять?

     
     
  • 4.68, Аноним, 15:16, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Он сам отправит, если оставишь телефон подключенным к компу ... весь текст скрыт [показать]
     
  • 2.87, AlexYeCu, 16:12, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +12 +/
    Я невнимательно читал, или в статье нет подробностей «заражения»?
     
  • 2.150, Fyjybv, 07:41, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Кстати, в наше-то время кто-то ещё без NoScript в Сеть ходит Мдааа ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, DannyBoy, 12:17, 21/11/2012 [ответить] [смотреть все]  
  • –4 +/
    Поправьте, пожалуйста Было бы интересно узнать, подвержены ли более новые ядра ... весь текст скрыт [показать]
     
     
  • 2.9, Аноним, 12:25, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают на уже взломанную систему.
     
     
  • 3.24, Аноним, 13:08, 21/11/2012 [^] [ответить] [смотреть все]  
  • –8 +/
    да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))
     
     
  • 4.101, Аноним, 16:57, 21/11/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Червяки например - самораспостраняются На то и червяки ... весь текст скрыт [показать]
     
     
  • 5.122, res2500, 20:54, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    прочитайте пост с чего началась эта нить подчеркиваю его устанавливают на уж... весь текст скрыт [показать]
     
     
  • 6.126, Аноним, 22:27, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Я ответил на конкретный тезис А что там было 100500 сообщений назад - не мои пр... весь текст скрыт [показать]
     
     
  • 7.142, res2500, 23:49, 21/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    травой не увлекаюсь, зашел новость почитаь и упал от смеха с написанных слов ... весь текст скрыт [показать]
     
     
  • 8.149, 1, 05:37, 22/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Руткитов и червей полно, а вирусов нет Проблема в том, что если Вы скомпилирует... весь текст скрыт [показать]
     
     
  • 9.151, коксюзер, 09:23, 22/11/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Есть http ru wikipedia org wiki Вредоносные_программы_для_Unix-подобных_систе... весь текст скрыт [показать]
     
     
  • 10.169, Аноним, 15:35, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Да все там есть Только найти крайне сложно В принципе да, однако проблема в т... весь текст скрыт [показать]
     
     
  • 11.172, коксюзер, 16:24, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    На сложность написания вирусов это не влияет Для вируса, который распространяет... весь текст скрыт [показать]
     
  • 8.168, Аноним, 15:25, 22/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Судя по вашим постингам - у меня большие сомнения насчет вашей честности в этом ... весь текст скрыт [показать]
     
  • 3.53, Аноним, 14:44, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Вопрос в том, кто взламывает и устанавливает Похоже на червие ... весь текст скрыт [показать]
     
  • 2.35, Сергей, 13:56, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.
     
     
  • 3.37, Аноним, 14:05, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    И после этого, никогда не обновляться ... весь текст скрыт [показать]
     
     
  • 4.62, ZloySergant, 15:04, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Наркоман man 8 mount на предмет remount а ... весь текст скрыт [показать]
     
     
  • 5.64, Аноним, 15:08, 21/11/2012 [^] [ответить] [смотреть все]  
  • +5 +/
    То есть даже без аппаратной защиты от записи LOL Что мешает сделать remount са... весь текст скрыт [показать]
     
     
  • 6.102, Аноним, 16:59, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Геморность реализации парирования всех заскоков админов Ушибленных админов м... весь текст скрыт [показать]
     
     
  • 7.108, BratSinot, 17:48, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    А кто вам сказал что автор руткита один?
     
  • 7.115, Xasd, 18:46, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    админы, у вас Чуство Собвственной Важности похоже что запредельно вы хоть п... весь текст скрыт [показать]
     
     
  • 8.127, Аноним, 22:39, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Да никакого там особого геморроя Гражданин исследующий этот экспонат пришел к в... весь текст скрыт [показать]
     
     
  • 9.144, Xasd, 00:48, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    ладно тогда предлагаю другой алгоритм если вы так сопративляетесь -- если о... весь текст скрыт [показать]
     
     
  • 10.171, Аноним, 15:42, 22/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    И немедленно палим свою активность и обращаем внимание на проблемы А зачем Рут... весь текст скрыт [показать]
     
  • 9.152, коксюзер, 09:43, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Посмотреть в proc mounts или список разделов внутри ядра и перемонтировать дл... весь текст скрыт [показать]
     
     
  • 10.174, Аноним, 16:36, 22/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Да, ибо вариантов как и что может быть смонтировано - туева хуча А если какой-т... весь текст скрыт [показать]
     
     
  • 11.184, коксюзер, 19:03, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Определить точку монтирования раздела, на котором лежит нужный файл, очень прост... весь текст скрыт [показать]
     
  • 11.188, away, 19:37, 25/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    gt оверквотинг удален Не позорь имя онанима, теж сказали в ядре все пути есть ... весь текст скрыт [показать]
     
  • 7.186, Bvz, 09:39, 23/11/2012 [^] [ответить] [смотреть все]  
  • +/
    АГА Вот так вот и будет изобретён ИИАА искусственный интелект анти-админа а т... весь текст скрыт [показать]
     
  • 1.6, Аноним, 12:19, 21/11/2012 [ответить] [смотреть все]  
  • –7 +/
    У меня даже на роутере ядро собранное без возможности загружать модули Кто став... весь текст скрыт [показать]
     
     
  • 2.7, DannyBoy, 12:20, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    RHEL/CentOS/Ubuntu Server.
     
     
  • 3.11, Аноним, 12:26, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    :-D этопять!
     
  • 3.14, Аноним, 12:30, 21/11/2012 [^] [ответить] [смотреть все]  
  • –6 +/
    Пффф, даже в этих дистрибутивах можно пересобрать ядро ... весь текст скрыт [показать]
     
     
  • 4.16, Andrey Mitrofanov, 12:34, 21/11/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Тогда ты неправильно задал первый вопрос Кто-то ещё здесь _так пересобирает ядр... весь текст скрыт [показать]
     
  • 2.44, Аноним, 14:23, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Разве на роутере есть смысл собирать ядро как-то по другому?
     
     
  • 3.47, Аноним, 14:38, 21/11/2012 [^] [ответить] [смотреть все]  
  • +4 +/
    Безмодульная сборка - дешевый выпендреж, не более Ни на скорость, ни на потребл... весь текст скрыт [показать]
     
     
  • 4.56, Michael Shigorin, 14:50, 21/11/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Да и dev kmem не отменяет, если уж начинать Помнится, когда-то иные любители н... весь текст скрыт [показать]
     
     
  • 5.63, Аноним, 15:05, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    На самом деле, красивая идея, только рулить этим во время работы немножко неудоб... весь текст скрыт [показать]
     
  • 5.103, Аноним, 17:00, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Можно пойти чуть дальше и законфигурить все через ядро ... весь текст скрыт [показать]
     
  • 4.88, Аноним, 16:16, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Мы говорим о безопасности Руткит грузится как модуль, а в безмодульной сборке н... весь текст скрыт [показать]
     
     
  • 5.95, Аноним, 16:44, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Для решения этой задачи можно не выпендриваться с пересборкой http www opennet... весь текст скрыт [показать]
     
     
  • 6.128, Аноним, 22:41, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну вот, пришел поручик Ржевский и все опошлил Теперь школьники научившиеся щ... весь текст скрыт [показать]
     
  • 1.8, Анонимный аноним, 12:23, 21/11/2012 [ответить] [смотреть все]  
  • –2 +/
    Какая интересная зверушка, работает хирО, это вам не винлоки. Конечно, самый интересный вопрос - распространение этой заразы. Слишком уж просто списать все на неграмотные действия админа.
     
     
  • 2.10, Аноним, 12:26, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Под DOS были и более хитрые штуки ... весь текст скрыт [показать] [показать ветку]
     
  • 2.46, Аноним, 14:28, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    руткит сам себя никак не распространяет советую почитать http ru wikipedia or... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 14:42, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Но кто-то же должен его распространять И это больше похоже не на ручную работу,... весь текст скрыт [показать]
     
     
  • 4.80, Аноним, 15:49, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Как раз это похоже на ручную работу.
     
     
  • 5.83, Аноним, 15:57, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлен... весь текст скрыт [показать]
     
     
  • 6.160, CyberDaemon, 10:29, 22/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Думается что вместе с руткитом идет нагрузка в виде червяка Иначе смысла просто... весь текст скрыт [показать]
     
  • 1.13, Alukardd, 12:28, 21/11/2012 [ответить] [смотреть все]  
  • +/
    Дык это же rootkit, а где sploit что его в систему внедрить?
     
     
  • 2.18, Andrey Mitrofanov, 12:36, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Начни с http www debian org security 2012 и продолжай движение в сторону гори... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Alukardd, 12:39, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    DSA это хорошо, а готового sploit'а-то у меня нету :-(
     
     
  • 4.21, Andrey Mitrofanov, 12:51, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Большая Земля сказала, не быть тебе киддизом Преподаватель лопух Ло-пух Но... весь текст скрыт [показать]
     
     
  • 5.113, Andrey Mitrofanov, 18:31, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Ч-т, профессор же ... весь текст скрыт [показать]
     
  • 5.143, ВовкаОсиист, 00:23, 22/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    > при Нём

    ?...

     
  • 3.38, Аноним, 14:07, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    А кто сказал, что там оно есть Дебиан - не RHEL, к безопасности досаточно пофиг... весь текст скрыт [показать]
     
     
  • 4.65, myhand, 15:11, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    А кто сказал, что нет До кучи - вот еще http security-tracker debian org tra... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 15:14, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Факт наличия инфицированных серваков Если бы апдейты вышли своевременно - их бы... весь текст скрыт [показать]
     
     
  • 6.75, myhand, 15:29, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну простите, что пока Debian не умеет заменять локального администратора Мы в ... весь текст скрыт [показать]
     
     
  • 7.84, Аноним, 15:59, 21/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Прежде всего, он объясняется тем, что обновления безопасности надо _выпускать_ ... весь текст скрыт [показать]
     
     
  • 8.85, myhand, 16:08, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Обновления выпускаются, http security debian org Ваш КО Про ваш Как буде... весь текст скрыт [показать]
     
     
  • 9.91, Аноним, 16:35, 21/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Но не все и с большим опозданием Возьмем, например, ядро http security-tracke... весь текст скрыт [показать]
     
     
  • 10.107, myhand, 17:27, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Слыхал звон А теперь тыкаем случайная выборка CVE-2012-3511 - статус NEW в ... весь текст скрыт [показать]
     
  • 6.187, arisu, 01:03, 24/11/2012 [^] [ответить] [смотреть все]  
  • +/
    как это 171 не заботились 187 вон, даже openssl патчили, чтобы секурность ... весь текст скрыт [показать]
     
  • 4.114, Andrey Mitrofanov, 18:35, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Кто оно -то Ядро Новость сказала мне - под управлением Debian Squeezy с ядр... весь текст скрыт [показать]
     
  • 3.40, Аноним, 14:13, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    А для убунты чтото подобное есть?
     
     
  • 4.121, Andrey Mitrofanov, 20:53, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    В поисковик ubuntu security совсем не вбивается ubuntu com usn ... весь текст скрыт [показать]
     
  • 1.15, АнониМ, 12:33, 21/11/2012 [ответить] [смотреть все]  
  • –1 +/
    Прикольный зверёк. Проверили все /etc/rc.local нормальные.
     
     
  • 2.25, Hugo Reyes, 13:23, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Думаю, что после выкладки на секлисте, руткит уже пропатчился на предмет выдачи ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Hugo Reyes, 13:30, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    А, там уже правильный rc local отдается http 4 bp blogspot com -c6xVri0YRjo ... весь текст скрыт [показать]
     
  • 1.17, klalafuda, 12:34, 21/11/2012 [ответить] [смотреть все]  
  • –1 +/
    Вы все ешё хостите сервисы на голом железе? Тогда мы идем к вам!
    PS: Вроде как сто лет в обед тем же контейнерам ан нет - находятся умельцы..
     
     
  • 2.22, mee too, 12:52, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Те же контейнеры вроде как работают с тем же ядром ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, klalafuda, 13:00, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот только они не позволяют грузить модули ядра изнутри контейнера, в котором ок... весь текст скрыт [показать]
     
     
  • 4.27, Hugo Reyes, 13:25, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера ... весь текст скрыт [показать]
     
     
  • 5.30, klalafuda, 13:33, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Нарисовать указанный сплойт и его целевую нагрузку перехватчик тем более долго... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 7.41, klalafuda, 14:14, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Отлично Мы практически взломали Интернет Дело за малым - как мы будем управлят... весь текст скрыт [показать]
     
     
  • 8.52, Аноним, 14:43, 21/11/2012 [^] [ответить] [смотреть все]  
  • +4 +/
    Пойти к админу и попросить рута на хосте, очевидно же ... весь текст скрыт [показать]
     
  • 8.73, Michael Shigorin, 15:28, 21/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Дело даже не в том -- пусть сначала продемонстрирует хоть в каком виде загрузку ... весь текст скрыт [показать]
     
     
  • 9.81, klalafuda, 15:52, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Товарищ видимо имел ввиду sys_module container capability bit Parallels Virtuoz... весь текст скрыт [показать]
     
     
  • 10.98, Аноним, 16:50, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Да, и по дефолту в всех хостеров в здравом уме и всех остальных - никто не дает ... весь текст скрыт [показать]
     
     
  • 11.138, Аноним, 23:08, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    В ядре бывают баги Но они бывают и много где еще Хотя тру параноик может распи... весь текст скрыт [показать]
     
     
  • 12.156, Andrey Mitrofanov, 10:14, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    , а его прикрыть SELinux-ом Рукописным ... весь текст скрыт [показать]
     
  • 10.137, Аноним, 23:02, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Не, возможно конечно все, но чтобы конкретно взятый руткит прошибал вообще все и... весь текст скрыт [показать]
     
  • 10.141, Michael Shigorin, 23:29, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Товарищ, видимо, безнадёжен Продемонстрируем это на практике при помощи ALT Li... весь текст скрыт [показать]
     
     
  • 11.153, коксюзер, 10:01, 22/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Всем и каждому известно, что в линуксе нет уязвимостей Security bugs are just ... весь текст скрыт [показать]
     
     
  • 12.175, Аноним, 16:41, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Пардон, Берштейн тоже так считает Хоть и по иному поводу Троллинг нормальны... весь текст скрыт [показать]
     
  • 5.31, akamit, 13:34, 21/11/2012 [^] [ответить] [смотреть все]  
  • –5 +/
    Ставьте OpenBSD и спите спокойно.
     
     
  • 6.32, Анонище, 13:39, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Почему?
     
     
  • 7.39, Аноним, 14:09, 21/11/2012 [^] [ответить] [смотреть все]  
  • +9 +/
    > Почему?

    Потому что Неуловимый Джо.
    Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов, чтобы тру-хакеры начали с ней заморачиваться.

     
     
  • 8.43, Анонище, 14:23, 21/11/2012 [^] [ответить] [смотреть все]  
  • –5 +/
    А что, linux уже mainstream?
     
     
  • 9.49, Аноним, 14:39, 21/11/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    > А что, linux уже mainstream?

    На серверах - да.

     
  • 9.54, akamit, 14:45, 21/11/2012 [^] [ответить] [смотреть все]  
  • –6 +/
    Есть корпорации, которые заинтересованы в том, чтоб оси на базе ядра Linux 8482... весь текст скрыт [показать]
     
     
  • 10.60, Аноним, 15:03, 21/11/2012 [^] [ответить] [смотреть все]  
  • +4 +/
    У вас в голове каша Как связаны дырявость и цена на саппорт Дырявость - лишь п... весь текст скрыт [показать]
     
  • 10.136, Аноним, 22:58, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Хотите я вас расстрою С точки зрения простейшей логики несложно понять что чем ... весь текст скрыт [показать]
     
     
  • 11.154, коксюзер, 10:08, 22/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот только количество этих багов и последствия их эксплуатации могут серьёзно ва... весь текст скрыт [показать]
     
  • 9.76, Michael Shigorin, 15:30, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    > А что, linux уже mainstream?

    Давно.

     
  • 9.129, Аноним, 22:44, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    С разморозкой вас Хорошо видать криокамера морозила Да, в 2012 году - он уже в... весь текст скрыт [показать]
     
  • 8.69, Анонище, 15:22, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Так почему openbsd, а не haiku, QNX, etc ... весь текст скрыт [показать]
     
     
  • 9.135, Аноним, 22:56, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Лучше Minix Не знаю правда, умеет ли он TCP IP, но как минимум модули грузить о... весь текст скрыт [показать]
     
  • 8.74, Michael Shigorin, 15:29, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    А потом спрашивают, зачем пилить своё, когда есть дебиан ... весь текст скрыт [показать]
     
     
  • 9.117, Аноним, 19:46, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Фрагментация дистрибутивов линукса создает проблемы авторам любого софта и малв... весь текст скрыт [показать]
     
     
  • 10.130, Аноним, 22:45, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Это были примеры малвари А то адоба вон рассылает уже спам с угрозами, например... весь текст скрыт [показать]
     
  • 8.89, ainanim, 16:29, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    лучше уж сразу полуось (ecomstation) :)
     
     
  • 9.104, Аноним, 17:14, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    DOS тогда уж сразу Если среди хакеров не попадется некрофила, вы в безопасности... весь текст скрыт [показать]
     
  • 7.45, akamit, 14:24, 21/11/2012 [^] [ответить] [смотреть все]  
  • –4 +/
    там по дефолту в работающей системе нельзя засунуть посторонний код в ядро... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 14:40, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    На самом деле, можно ... весь текст скрыт [показать]
     
  • 8.97, Аноним, 16:48, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    А в лине мало того что сто лет есть опция запрета вгрузки модулей, для тех кто м... весь текст скрыт [показать]
     
     
  • 9.155, коксюзер, 10:12, 22/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    В пику хакерам это поюзать не удастся, потому что инфраструктура модулей в ядре ... весь текст скрыт [показать]
     
     
  • 10.176, Аноним, 16:45, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Если ты проэксплуатировал уязвимость в ядре и можешь переколбашивать режим ядра ... весь текст скрыт [показать]
     
     
  • 11.183, коксюзер, 18:48, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Для упрощения разработки и деплоя руткита ... весь текст скрыт [показать]
     
  • 6.93, Аноним, 16:38, 21/11/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Угу В мавзолее Все-равно она железа с гулькин нос не поддерживает ... весь текст скрыт [показать]
     
     
  • 7.157, коксюзер, 10:14, 22/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Это миф Было даже время, когда OpenBSD поддерживала наибольшее количество WiFi-... весь текст скрыт [показать]
     
     
  • 8.177, Аноним, 16:51, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Это время было Но давно прошло В пингвине нынче разработка беспроводных сетей ... весь текст скрыт [показать]
     
  • 3.58, Michael Shigorin, 14:53, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Вот только модули из контейнеров в то ядро не грузятся ... весь текст скрыт [показать]
     
     
  • 4.94, Аноним, 16:44, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Да, обламается, проверено А в ядре 3 7 нынче стало можно еще и зафорсить циф... весь текст скрыт [показать]
     
  • 3.96, Аноним, 16:45, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Только через них не получается модули ядра грузить Мелочи какие ... весь текст скрыт [показать]
     
  • 1.29, Анонище, 13:32, 21/11/2012 [ответить] [смотреть все]  
  • –1 +/
    Ничего страшного. Просто человеческий фактор.
     
  • 1.34, 1, 13:50, 21/11/2012 [ответить] [смотреть все]  
  • +1 +/
    Классный курсовик.

    Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

    А то что ашипка вылезла - так это к релизу подправят.

    Я так думаю, что это в ожидании геймеров разработка.

     
     
  • 2.77, Michael Shigorin, 15:30, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Предположительно российских Досадно то, что какой-никакой талант идёт на вредн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.78, myhand, 15:32, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Не ругайте кузнеца, чей топор Раскольников на старушке опробовал ... весь текст скрыт [показать]
     
  • 3.119, Аноним, 19:51, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Видел этот ну или похожий по действию руткит в продаже около года назад Автор... весь текст скрыт [показать]
     
     
  • 4.124, Crazy Alex, 21:21, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Судя по тому, что эта игрушка делает - эти неадекватные деньги отобьются ифрей... весь текст скрыт [показать]
     
  • 1.36, Сергей, 13:59, 21/11/2012 [ответить] [смотреть все]  
  • –1 +/
    Где можно скачать и как устанавливать?
     
  • 1.42, 3cky, 14:22, 21/11/2012 [ответить] [смотреть все]  
  • +1 +/
    Что характерно, автор, судя по содержимому модуля - наш соотечественник.
     
     
  • 2.55, pavlinux, 14:46, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Касперский ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, klalafuda, 14:55, 21/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Может все-таки Касперски PS Мягко говоря сложно представить себе Каспера, зани... весь текст скрыт [показать]
     
     
  • 4.70, Анонище, 15:25, 21/11/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    1... весь текст скрыт [показать]
     
  • 4.72, pavlinux, 15:28, 21/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Этот бобик дезертировал в пиндосию, пущай там и сдохнет А у Касперского и Ко, у... весь текст скрыт [показать]
     
     
  • 5.86, klalafuda, 16:11, 21/11/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Так и не понял всей важности этого ALREADY и почему это столь ключевое слово в з... весь текст скрыт [показать]
     
  • 1.48, pavlinux, 14:39, 21/11/2012 [ответить] [смотреть все]  
  • –3 +/
    Лекарство одно - не оставляйте сервак с дефолтными настройками chattr i etc... весь текст скрыт [показать]
     
     
  • 2.61, ololo, 15:04, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    он не сделает chattr -i по религиозным соображением?
     
     
  • 3.71, pavlinux, 15:26, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Обычно это делают роботы, которым естественно нужно это заложить в алгоритм.
     
     
  • 4.161, sdf, 10:31, 22/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну так боты нам багрепорты на мыло шлют Мы ценим пользователей наших продуктов... весь текст скрыт [показать]
     
  • 3.79, Anonim, 15:33, 21/11/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Шанс этого раз в 100 ниже при автоматическом взломе, т е такую фигню юзают менее... весь текст скрыт [показать]
     
  • 2.92, Аноним, 16:35, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Лучше сделай rc local директорией Во руткит лулзов словит когда файл как бы ест... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.99, старыйвиндузятник, 16:56, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    каталог autorun.inf
    Вирусы в панике и часть антивирусов тоже :)
     
  • 3.100, klalafuda, 16:56, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/

    Директория autorun.inf на флеше в корне
     
     
  • 4.105, Аноним, 17:16, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну да, знатное западло самоходным экспонатам ... весь текст скрыт [показать]
     
     
  • 5.146, Xasd, 00:54, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    ничего подобного последние flash-вирусы которые были на заре заката WinXP -- ... весь текст скрыт [показать]
     
     
  • 6.178, Аноним, 16:54, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну поставить ему readonly-hidden-system Интересно, бывает ли зараза которая доп... весь текст скрыт [показать]
     
  • 2.147, Xasd, 01:03, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    отлично задавайте следующая версия руткита будет использовать crontab reboot ,... весь текст скрыт [показать] [показать ветку]
     
  • 1.90, Аноним, 16:33, 21/11/2012 [ответить] [смотреть все]  
  • +1 +/
    FAIL ... весь текст скрыт [показать]
     
  • 1.106, Аноним, 17:17, 21/11/2012 [ответить] [смотреть все]  
  • –5 +/
    тем не менее фигня такая есть и кавота заразила с этого момента можно считать,... весь текст скрыт [показать]
     
     
  • 2.133, Аноним, 22:51, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > кавота
    > линух
    > "вирусами"

    А вас походу неграмотость заразила :P.

     
  • 2.148, Xasd, 01:05, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а какже -- открыть http localhost ... весь текст скрыт [показать] [показать ветку]
     
  • 1.116, modal, 19:04, 21/11/2012 [ответить] [смотреть все]  
  • –2 +/
    Весь трёп не читал, но стоит отметить факт работы web-сервера с UID 0 и GID 0.
    ТОВАРИЩИ,ГОСПОДА,ДАМЫ,ЛЮДИ, СЕРВЕР НЕ ДОЛЖЕН УСПЕШНО ЗАПУСТИТЬ INSMOD.
     
     
  • 2.118, Аноним, 19:48, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Савсем глупый, да Нигда там не написано про полномочия сервера А insmod запуск... весь текст скрыт [показать] [показать ветку]
     
  • 1.123, ram_scan, 20:56, 21/11/2012 [ответить] [смотреть все]  
  • +1 +/
    Пионеры заново открывают для себя stealth технологии начала 90-х годов... Не вижу даже повода для новости. Ну сплайсингом перехват сделали, молодцы, похвально. Ну вставляют в traffic flow свое что-то, так це не отнюдь не ново, для TSR вирусов в свое время это было штатным механизмом внедрения, если приравнять хэндл файла к хэндлу сокета разницы принципиальной вообще никакой. Сигнатуру выловил, нужный код в нужное место вставил.

    Мода какая-то странная взялась, драйвер грузить. Буткит видать ниасилили или формат elf файлов. Хотя в свете наличия сорцов ядра и заточености под конкретное ядро и конкретную сборку буткит - как 2 пальца.

    Двоечники. Хоть бы историю вопроса учили. 20 лет ничего нового.

     
     
  • 2.125, Crazy Alex, 21:25, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Всё по кругу идёт Вот интересно, как с этим бороться распознавать хотя бы н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.131, Аноним, 22:48, 21/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Надеяться что хостер не полный дебил Хотя в ответственных случаях лучше быть... весь текст скрыт [показать]
     
  • 2.132, Аноним, 22:50, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Справедливости ради, я не видел вирусов вклинивающихся в TCP IP стек и дописываю... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.162, ram_scan, 10:31, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Почему-то такие вещи как резалка баннеров на прозрачном прокси и наличие ip_conn... весь текст скрыт [показать]
     
     
  • 4.179, Аноним, 16:55, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну не ппц достижение, но достаточно оригинально ... весь текст скрыт [показать]
     
  • 1.134, Аноним, 22:55, 21/11/2012 [ответить] [смотреть все]  
  • +/
    Мдя Интересно, какие такие Tools, Techniques, and Procedures выдали что он ру... весь текст скрыт [показать]
     
     
  • 2.140, pavlinux, 23:22, 21/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    1 Наши комменты не пишут 2 Функции, переменные и константы вида void set_jo... весь текст скрыт [показать] [показать ветку]
     
  • 1.163, EXTRAMISsionisT, 12:30, 22/11/2012 [ответить] [смотреть все]  
  • +1 +/
    За каждым таким вредоносом, особенно с такими далеко идущими целями, как в этом случае, виднеются уши Microsoft. А за Microsoft-ом торчат уши спецслужб, которые до скрежета в зубах думают только об одном: тотальном контроле за пользователями, но для этого нужно чтоб на веб-серверах "трудились" оси с закрытым исходным кодом (например, microsoft), чтоб даже админы не знали ответа на вопрос "а чем же на самом деле занимается операционная система и её веб-сервер?". Но свободное программное обеспечение - это главное препятствие к этому аду. Вот бесы и нанимают умных, но продажных спецов, которые придумывают спецсредства для компрометации свободного программного обеспечения. Не дай Бог покачнётся доверие к СПО, - и "1984" Джорджа Оруэла нам покажется раем.
     
     
  • 2.170, Reinar, 15:41, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    да ты поехавший
     
  • 1.164, A_n_D, 13:10, 22/11/2012 [ответить] [смотреть все]  
  • –2 +/
    Следующее поколение ядра Linux будет с изоляцией модулей?
     
  • 1.165, peering, 14:17, 22/11/2012 [ответить] [смотреть все]  
  • –1 +/
    А какая тогда ось считается безопасной  для web серверов, на текущее время ????
     
     
  • 2.166, Анонист, 14:24, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    IIS
     
     
  • 3.180, Аноним, 16:57, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающ... весь текст скрыт [показать]
     
     
  • 4.189, Анонист, 19:26, 01/12/2012 [^] [ответить] [смотреть все]  
  • +/
    SCTP hack protocol ... весь текст скрыт [показать]
     
  • 2.167, myhand, 14:56, 22/11/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Та, вместе с которой наняли администратора Как и было всегда ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.181, Аноним, 16:59, 22/11/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Администраторы разные бывают Вон тут у нас несколько экспонатов по форуму ходит... весь текст скрыт [показать]
     
     
  • 4.182, myhand, 17:52, 22/11/2012 [^] [ответить] [смотреть все]  
  • +/
    Здравствуй, Кэптен Каким еще откровением ты жаждешь поделиться ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList