The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.12.2012 21:36  Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache

Антивирусная компания ESET сообщила об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- или JavaScript-блоков в трафик обслуживаемых сервером сайтов.

Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. В частности, модуль использует cookie и лог IP-адресов посетителей для организации внедрения клиенту вредоносного iframe только один раз (при повторных открытиях страницы, на ней не будет вредоносного кода), кроме того модуль не осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH на сервер, что мешает выяснить администраторам каким образом была заражена машина и с какого именно сайта был получен вредоносный код. Модуль также содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе поисковых систем.

Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с машины администратора (для некоторых из взломанных серверов одновременно были выявлены факты взлома машин их администраторов).

  1. Главная ссылка к новости (https://threatpost.com/en_us/b...)
  2. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: linux, apache, malware, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Омский линуксоид, 21:52, 21/12/2012 [ответить] [смотреть все]
  • +24 +/
    Где можно скачать? И как его ставить? И почему оно само не размножается, я не доволен.
     
     
  • 2.2, res2500, 22:11, 21/12/2012 [^] [ответить] [смотреть все] [показать ветку]
  • –4 +/
    Омский линуксоид он и в Африке Омский линуксоид это вредоносное ПО тольок длят о... весь текст скрыт [показать] [показать ветку]
     
  • 2.3, GentooBoy, 22:13, 21/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Это же проприетарщина, разве омские линуксоиды такое одобряют?
     
     
  • 3.8, res2500, 22:24, 21/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    пофиг что проприетарщина, "зато бесплатно"
     
  • 2.34, Аноним, 11:16, 22/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Поставь Windows лучше XP и без антивируса выйди в инет - будешь доволен максим... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Епифанцев, 14:39, 22/12/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Так и было последние 3 года Есть только, поставлен firefox с noscript Автозапу... весь текст скрыт [показать]
     
     
  • 4.66, arisu, 05:55, 23/12/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    ну да чего не вижу, того и нет ... весь текст скрыт [показать]
     
  • 3.74, Серж, 20:25, 24/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Знаком с виндой только по анекдотам с линуксовых форумов?
     
  • 2.39, Anonim, 11:56, 22/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Со всех репозиториев страны apt-get Зачем ему размножаться если ты сам его пос... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, Crazy Alex, 17:52, 22/12/2012 [^] [ответить] [смотреть все]  
  • +5 +/
    Что за бред, простите При чем здесь apt-get и репозитории,когда речь в новости ... весь текст скрыт [показать]
     
     
  • 4.67, arisu, 05:56, 23/12/2012 [^] [ответить] [смотреть все]  
  • +/
    > Что за бред, простите.

    суббота, отходняк. delirium tremens.

     
  • 2.62, Легион, 04:56, 23/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это скромный албанский вирус, его нужно ставить самостоятельно согласно инструкц... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, A.Stahl, 22:14, 21/12/2012 [ответить] [смотреть все]  
  • +22 +/
    >нацелен на поражение пользователей Windows

    Жесть. Для линукса существуют вирусы. И что же они делают? Заражают виндовс...
    Вы уж меня простите, но я ещё минут 20 буду хихикать.

     
     
  • 2.9, Аноним, 22:28, 21/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –8 +/
    А что в этом необычного Выгоднее пытаться заражать ту ОС, доля которой существе... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, A.Stahl, 22:38, 21/12/2012 [^] [ответить] [смотреть все]  
  • +6 +/
    Да не в нелогичности или необычности дело.
    Просто феерический пример стереотипа о куче вирусов до винду и отсутствии вирусов под линь.
    Мол, даже линуксовые вирусы и те под винду:)
     
  • 3.31, Аноним, 10:13, 22/12/2012 [^] [ответить] [смотреть все]  
  • +5 +/
    Даже если б они целиком поменялись долями, не думаю, что на лине прям разразился... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 11:18, 22/12/2012 [^] [ответить] [смотреть все]  
  • –9 +/
    В подобных случаях лучше все-таки не оперировать вопросами поверь Я предпочит... весь текст скрыт [показать]
     
     
  • 5.43, AlexYeCu, 12:31, 22/12/2012 [^] [ответить] [смотреть все]  
  • +9 +/
    >Беда в том, что в СПО никто не ОБЯЗАН что-либо находить или исправлять.

    У меня есть для вас печальные новости…

     
  • 5.46, Аноним, 14:22, 22/12/2012 [^] [ответить] [смотреть все]  
  • +5 +/
    В подобном наверное действительно лучше апеллировать к фактическому состоянию де... весь текст скрыт [показать]
     
     
  • 6.53, linux must _RIP_, 17:22, 22/12/2012 [^] [ответить] [смотреть все]  
  • –5 +/
    если мы посмотрим - то некоторые баги ядра - исправляются только через 2-3 года ... весь текст скрыт [показать]
     
     
  • 7.57, Аноним, 18:23, 22/12/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Да, давайте посмотрим Самое время запостить парочку примеров из вайлда, иллюстри... весь текст скрыт [показать]
     
     
  • 8.72, Аноним, 20:41, 23/12/2012 [^] [ответить] [смотреть все]  
  • +/
    А как раздолбайство разработчиков Windows оправдывает разработчиков Linux?
     
     
  • 9.76, Аноним, 09:42, 30/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Им как бы не за что оправдываться Еще было бы неплохо, если б ты читал текст но... весь текст скрыт [показать]
     
  • 4.38, Alatar, 11:49, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Для большинства задач выходить из юхерленда и не надо - например, какая разница ... весь текст скрыт [показать]
     
     
  • 5.40, Anonim, 12:01, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Ты так говоришь как будто пробовал что-то такое написать Ну кладем скрипт в ba... весь текст скрыт [показать]
     
     
  • 6.54, Alatar, 17:35, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    К счастью, нет, мы подумали и решили своё дистрибутивное ПО формировать под Free... весь текст скрыт [показать]
     
     
  • 7.63, Легион, 05:02, 23/12/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Скорее не говорить, но рекомендовать либо требовать Ну так и потребовали бы кон... весь текст скрыт [показать]
     
  • 7.68, mavriq_, 17:46, 23/12/2012 [^] [ответить] [смотреть все]  
  • +/
    ln -sf bin sh ваш любимый шелл или, для initramfs не осилил cd baselayout- ... весь текст скрыт [показать]
     
  • 5.48, Аноним, 14:44, 22/12/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Каких задач Что будете делать дальше, когда завтра во все дистрибутивы прилетит... весь текст скрыт [показать]
     
     
  • 6.55, Alatar, 17:44, 22/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Честно сказать, давно уже не слежу за вирусной активностью не актуально стало ,... весь текст скрыт [показать]
     
     
  • 7.58, Аноним, 18:33, 22/12/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Вы о каком большинстве, позвольте спросить Большинство из пары-другой десятков ... весь текст скрыт [показать]
     
     
  • 8.60, Alatar, 19:57, 22/12/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Я говорю, конечно же, о виндах Средняя грамотность никсовых пользователей и сей... весь текст скрыт [показать]
     
  • 6.69, XoRe, 18:58, 23/12/2012 [^] [ответить] [смотреть все]  
  • +/
    > кстати, собираетесь закрепляться в системе, не получив рута?

    В хомяке

     
  • 2.15, Rodegast, 23:23, 21/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Разве где то написано про вирусы Тут речь идёт о вредоносном ПО, а это не тольк... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, Аноним, 06:39, 22/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Читайте новость внимательнее Не вирус, а модуль, легально с точки зрения серве... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Потомок изобретателя колеса, 15:09, 22/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Увы. Более 80% банковских клиентов работают под Windows.
     
     
  • 4.52, Аноним, 15:56, 22/12/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    С разморозкой вас, 2013 год скоро, IE6 уже не умер.
     
  • 1.5, Аноним, 22:16, 21/12/2012 [ответить] [смотреть все]  
  • +6 +/
    Парни, сделайте такую же хрень но с винлокером в качестве payload. В тексте укажите что систему надо апдейтить иногда. А для разблокировки пусть сертификат MCSP указывают.
     
     
  • 2.7, GentooBoy, 22:19, 21/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    ты сайтиком ошибся.
     
     
  • 3.20, Аноним, 01:19, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    > ты сайтиком ошибся.

    Не, меня просто спам от вирусни задолбал.

     
     
  • 4.26, Аноним, 06:42, 22/12/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Тебе же сказали, не на тот форум попал Советую или смени WINDOWS на нормальную... весь текст скрыт [показать]
     
     
  • 5.36, Аноним, 11:19, 22/12/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Не бывает нормальных или ненормальных систем Бывает нормальная или ненормальная... весь текст скрыт [показать]
     
     
  • 6.64, Номальный такой, 05:27, 23/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Не бывает нормальных или ненормальных прокладок между креслом и консолью Бывают... весь текст скрыт [показать]
     
  • 1.10, linux must _RIP_, 22:37, 21/12/2012 [ответить] [смотреть все]  
  • –8 +/
    А говорят троянов под Linux не бывает ... весь текст скрыт [показать]
     
     
  • 2.16, Сергей, 23:49, 21/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    А кто сказал, что на взломанных машинах "администраторов" был Linux?
     
     
  • 3.27, Аноним, 06:43, 22/12/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Точно, Сергей Плюсую Одного админа гоняю - любит с сайтом из дома работать, ко... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 11:20, 22/12/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Ачо, SSH SFTP еще не изобрели ... весь текст скрыт [показать]
     
     
  • 5.41, Anonim, 12:05, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Дык и ключ и парольную фразу могут увести В ссш можно разрешить доступ под опр... весь текст скрыт [показать]
     
     
  • 6.44, AlexYeCu, 12:33, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Да ... весь текст скрыт [показать]
     
  • 4.45, GentooBoy, 14:18, 22/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    В чем трабл, вход по ключу на vasja, пользователь wheel для доступа к sudo.
     
  • 1.12, tonys, 22:52, 21/12/2012 [ответить] [смотреть все]  
  • +5 +/
    Странно. Заражаются компы с Windows, но виноват почему-то Linux.
     
     
  • 2.13, Int, 23:08, 21/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Странно. Траванулись посетители, а виноват почему-то шеф-повар.
     
     
  • 3.17, Сергей, 23:51, 21/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну да. Траванулись посетители, а виноват админ с виндой.
     
     
  • 4.30, Аноним, 07:06, 22/12/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Уважаемый виндоадмин Если вы виндоадмин вменяемый, то вы должны понимать, что е... весь текст скрыт [показать]
     
     
  • 5.65, Номальный такой, 05:32, 23/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Плюсанул за анекдот ... весь текст скрыт [показать]
     
  • 4.32, Int, 10:18, 22/12/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    К сожалению в тексте новости на опеннете, НИГДЕ, не говориться что админ был име... весь текст скрыт [показать]
     
     
  • 5.33, Аноним, 11:10, 22/12/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Так и про вирусы и трояны для linux нигде в новости не говорится Так виндузятни... весь текст скрыт [показать]
     
     
  • 6.51, Аноним, 15:40, 22/12/2012 [^] [ответить] [смотреть все]  
  • +4 +/
    Nginx Только не рассказывай никому - пока это военная тайна ... весь текст скрыт [показать]
     
     
  • 7.59, Аноним, 19:57, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Как фронт-энд для Апача да.
     
     
  • 8.61, Аноним, 21:54, 22/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Даладно
     
  • 8.70, XoRe, 19:02, 23/12/2012 [^] [ответить] [смотреть все]  
  • +/
    > Как фронт-энд для Апача да.

    У меня для вас печальные новости...

     
  • 7.73, YetAnotherOnanym, 14:59, 24/12/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну да ну да Типа тот, кто зашёл в правами рута не сможет подпилить nginx в нуж... весь текст скрыт [показать]
     
  • 5.42, Anonim, 12:06, 22/12/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Так желаемое за действительное же ... весь текст скрыт [показать]
     
     
  • 6.50, Аноним, 15:21, 22/12/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Потому и не написали Само собой разумеется Под чем же он мог быть еще случаи,... весь текст скрыт [показать]
     
  • 1.19, baz, 01:03, 22/12/2012 [ответить] [смотреть все]  
  • +/
    а не сами админы ли впихнули туда этот шальной модуль и сфэйчили атаку? :peka:
     
     
  • 2.21, Аноним, 01:43, 22/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > сфэйчили

    КЛБ

     
  • 1.22, Суровый Анонимус, 03:25, 22/12/2012 [ответить] [смотреть все]  
  • +/
    Помнится, года 4 или 5 назад попадалась на глаза статейка, называлась "Глубокий секс с Apache", где как-раз описывалось создание подобного модуля, видимо кто-то ее не просто осилил, но и допилил вычисление уников по логам и прятанье от админов и поисковиков. В общем, в скором времени ждем то же самое под nginx.
     
     
  • 2.71, XoRe, 19:05, 23/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > В общем, в скором времени ждем то же самое под nginx.

    Если учесть, что там динамических модулей нет, ждать можем долго)
    Хотя можно написать модуль для ядра, фигли.

     
  • 1.23, bas_kam, 03:45, 22/12/2012 [ответить] [смотреть все]  
  • +/
    Ммм... В конфигах подгруженный модуль что-ли не прописывается?
     
     
  • 2.29, Аноним, 06:48, 22/12/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да конечно, прописывается, куда же он девается-то Но в качестве админа, скорее ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Аноним, 06:28, 22/12/2012 [ответить] [смотреть все]  
  • +1 +/
    Подобное просто не удивляет И подобные подходы вставки своего кода уже давно пр... весь текст скрыт [показать]
     
  • 1.75, AZ_from_Belarus, 13:54, 26/12/2012 [ответить] [смотреть все]  
  • +/
    Занятно было прочесть комменты.

    Суть новости сводится к тому что выявлено существование модуля, который из под линуксового сервера очень успешно (непринужденно и незаметно - фиг следы разберешь) гнобит виндовых клиентов осеменяя их троянами. При этом о способности самостоятельно заражать линуксовые сервера этим модулем, ничего не говорится, а упоминается лишь о том, что сервер как-то ещё требуется "сломать".

    Но в комментах обнаружились поклонники винды ненавидящие линукс, у которых сообразиловка сработала на штамп "линукс-вирусы", и они громко закричали "ага, линукс тоже уязвим". Налицо неспособность адекватного восприятия текстов. Понятна их ненависть к линуксу - он предполагает способность понимать тексты мануалов.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList