The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.12.2012 21:36  Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache

Антивирусная компания ESET сообщила об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- или JavaScript-блоков в трафик обслуживаемых сервером сайтов.

Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. В частности, модуль использует cookie и лог IP-адресов посетителей для организации внедрения клиенту вредоносного iframe только один раз (при повторных открытиях страницы, на ней не будет вредоносного кода), кроме того модуль не осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH на сервер, что мешает выяснить администраторам каким образом была заражена машина и с какого именно сайта был получен вредоносный код. Модуль также содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе поисковых систем.

Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с машины администратора (для некоторых из взломанных серверов одновременно были выявлены факты взлома машин их администраторов).

  1. Главная ссылка к новости (https://threatpost.com/en_us/b...)
  2. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: linux, apache, malware, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Омский линуксоид (?), 21:52, 21/12/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +24 +/
    Где можно скачать? И как его ставить? И почему оно само не размножается, я не доволен.
     
     
  • 2.2, res2500 (ok), 22:11, 21/12/2012 [^] [ответить]     [к модератору]
  • –4 +/
    Омский линуксоид он и в Африке Омский линуксоид это вредоносное ПО тольок длят о... весь текст скрыт [показать]
     
  • 2.3, GentooBoy (ok), 22:13, 21/12/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    Это же проприетарщина, разве омские линуксоиды такое одобряют?
     
     
  • 3.8, res2500 (ok), 22:24, 21/12/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    пофиг что проприетарщина, "зато бесплатно"
     
  • 2.34, Аноним (-), 11:16, 22/12/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > Где можно скачать? И как его ставить? И почему оно само не
    > размножается, я не доволен.

    Поставь Windows (лучше XP) и без антивируса выйди в инет - будешь доволен максимум минут через 5.

     
     
  • 3.47, Епифанцев (?), 14:39, 22/12/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    Так и было последние 3 года. Есть только, поставлен firefox с noscript. Автозапуск на флэшках отключил и всё. О вредоносном ПО читаю только в статьях на википедии
     
     
  • 4.66, arisu (ok), 05:55, 23/12/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > О вредоносном ПО читаю только в статьях на википедии

    ну да: чего не вижу, того и нет.

     
  • 3.74, Серж (??), 20:25, 24/12/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    Знаком с виндой только по анекдотам с линуксовых форумов?
     
  • 2.39, Anonim (??), 11:56, 22/12/2012 [^] [ответить]     [к модератору]  
  • –5 +/
    Со всех репозиториев страны apt-get Зачем ему размножаться если ты сам его пос... весь текст скрыт [показать]
     
     
  • 3.56, Crazy Alex (ok), 17:52, 22/12/2012 [^] [ответить]     [к модератору]  
  • +5 +/
    Что за бред, простите При чем здесь apt-get и репозитории,когда речь в новости ... весь текст скрыт [показать]
     
     
  • 4.67, arisu (ok), 05:56, 23/12/2012 [^] [ответить]    [к модератору]  
  • +/
    > Что за бред, простите.

    суббота, отходняк. delirium tremens.

     
  • 2.62, Легион (?), 04:56, 23/12/2012 [^] [ответить]    [к модератору]  
  • +/
    > Где можно скачать? И как его ставить? И почему оно само не размножается

    Это скромный албанский вирус, его нужно ставить самостоятельно согласно инструкции от автора :)))

     
  • 1.4, A.Stahl (?), 22:14, 21/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +22 +/
    >нацелен на поражение пользователей Windows

    Жесть. Для линукса существуют вирусы. И что же они делают? Заражают виндовс...
    Вы уж меня простите, но я ещё минут 20 буду хихикать.

     
     
  • 2.9, Аноним (-), 22:28, 21/12/2012 [^] [ответить]     [к модератору]  
  • –8 +/
    А что в этом необычного Выгоднее пытаться заражать ту ОС, доля которой существе... весь текст скрыт [показать]
     
     
  • 3.11, A.Stahl (?), 22:38, 21/12/2012 [^] [ответить]    [к модератору]  
  • +6 +/
    Да не в нелогичности или необычности дело.
    Просто феерический пример стереотипа о куче вирусов до винду и отсутствии вирусов под линь.
    Мол, даже линуксовые вирусы и те под винду:)
     
  • 3.31, Аноним (-), 10:13, 22/12/2012 [^] [ответить]     [к модератору]  
  • +5 +/
    Даже если б они целиком поменялись долями, не думаю, что на лине прям разразился... весь текст скрыт [показать]
     
     
  • 4.35, Аноним (-), 11:18, 22/12/2012 [^] [ответить]     [к модератору]  
  • –9 +/
    В подобных случаях лучше все-таки не оперировать вопросами поверь Я предпочит... весь текст скрыт [показать]
     
     
  • 5.43, AlexYeCu (ok), 12:31, 22/12/2012 [^] [ответить]    [к модератору]  
  • +9 +/
    >Беда в том, что в СПО никто не ОБЯЗАН что-либо находить или исправлять.

    У меня есть для вас печальные новости…

     
  • 5.46, Аноним (-), 14:22, 22/12/2012 [^] [ответить]     [к модератору]  
  • +5 +/
    В подобном наверное действительно лучше апеллировать к фактическому состоянию де... весь текст скрыт [показать]
     
     
  • 6.53, linux must _RIP_ (?), 17:22, 22/12/2012 [^] [ответить]    [к модератору]  
  • –5 +/
    если мы посмотрим - то некоторые баги ядра - исправляются только через 2-3 года...
    А кто-то все это время дыры использует..
     
     
  • 7.57, Аноним (-), 18:23, 22/12/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    >если мы посмотрим

    Да, давайте посмотрим.Самое время запостить парочку примеров из вайлда, иллюстрирующих все эти вопиющие ужасы.

     
     
  • 8.72, Аноним (-), 20:41, 23/12/2012 [^] [ответить]    [к модератору]  
  • +/
    А как раздолбайство разработчиков Windows оправдывает разработчиков Linux?
     
     
  • 9.76, Аноним (-), 09:42, 30/12/2012 [^] [ответить]     [к модератору]  
  • +/
    Им как бы не за что оправдываться Еще было бы неплохо, если б ты читал текст но... весь текст скрыт [показать]
     
  • 4.38, Alatar (??), 11:49, 22/12/2012 [^] [ответить]     [к модератору]  
  • +/
    Для большинства задач выходить из юхерленда и не надо - например, какая разница ... весь текст скрыт [показать]
     
     
  • 5.40, Anonim (??), 12:01, 22/12/2012 [^] [ответить]     [к модератору]  
  • +/
    Ты так говоришь как будто пробовал что-то такое написать Ну кладем скрипт в ba... весь текст скрыт [показать]
     
     
  • 6.54, Alatar (ok), 17:35, 22/12/2012 [^] [ответить]     [к модератору]  
  • +/
    К счастью, нет, мы подумали и решили своё дистрибутивное ПО формировать под Free... весь текст скрыт [показать]
     
     
  • 7.63, Легион (?), 05:02, 23/12/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Скорее не говорить, но рекомендовать либо требовать Ну так и потребовали бы кон... весь текст скрыт [показать]
     
  • 7.68, mavriq_ (?), 17:46, 23/12/2012 [^] [ответить]     [к модератору]  
  • +/
    ln -sf bin sh ваш любимый шелл или, для initramfs не осилил cd baselayout- ... весь текст скрыт [показать]
     
  • 5.48, Аноним (-), 14:44, 22/12/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Каких задач Что будете делать дальше, когда завтра во все дистрибутивы прилетит... весь текст скрыт [показать]
     
     
  • 6.55, Alatar (ok), 17:44, 22/12/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Честно сказать, давно уже не слежу за вирусной активностью не актуально стало ,... весь текст скрыт [показать]
     
     
  • 7.58, Аноним (-), 18:33, 22/12/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Вы о каком большинстве, позвольте спросить Большинство из пары-другой десятков ... весь текст скрыт [показать]
     
     
  • 8.60, Alatar (ok), 19:57, 22/12/2012 [^] [ответить]     [к модератору]  
  • –2 +/
    Я говорю, конечно же, о виндах Средняя грамотность никсовых пользователей и сей... весь текст скрыт [показать]
     
  • 6.69, XoRe (ok), 18:58, 23/12/2012 [^] [ответить]    [к модератору]  
  • +/
    > кстати, собираетесь закрепляться в системе, не получив рута?

    В хомяке

     
  • 2.15, Rodegast (ok), 23:23, 21/12/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > Жесть. Для линукса существуют вирусы.

    Разве где то написано про вирусы? Тут речь идёт о вредоносном ПО, а это не только вирусы.

     
  • 2.25, Аноним (-), 06:39, 22/12/2012 [^] [ответить]     [к модератору]  
  • +4 +/
    Читайте новость внимательнее Не вирус, а модуль, легально с точки зрения серве... весь текст скрыт [показать]
     
     
  • 3.49, Потомок изобретателя колеса (?), 15:09, 22/12/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    Увы. Более 80% банковских клиентов работают под Windows.
     
     
  • 4.52, Аноним (-), 15:56, 22/12/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    С разморозкой вас, 2013 год скоро, IE6 уже не умер.
     
  • 1.5, Аноним (-), 22:16, 21/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Парни, сделайте такую же хрень но с винлокером в качестве payload. В тексте укажите что систему надо апдейтить иногда. А для разблокировки пусть сертификат MCSP указывают.
     
     
  • 2.7, GentooBoy (ok), 22:19, 21/12/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    ты сайтиком ошибся.
     
     
  • 3.20, Аноним (-), 01:19, 22/12/2012 [^] [ответить]    [к модератору]  
  • +/
    > ты сайтиком ошибся.

    Не, меня просто спам от вирусни задолбал.

     
     
  • 4.26, Аноним (-), 06:42, 22/12/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Тебе же сказали, не на тот форум попал Советую или смени WINDOWS на нормальную... весь текст скрыт [показать]
     
     
  • 5.36, Аноним (-), 11:19, 22/12/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Не бывает нормальных или ненормальных систем Бывает нормальная или ненормальная... весь текст скрыт [показать]
     
     
  • 6.64, Номальный такой (?), 05:27, 23/12/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    Не бывает нормальных или ненормальных прокладок между креслом и консолью. Бывают нормальные и ненормальные системы. Как-то так...
     
  • 1.10, linux must _RIP_ (?), 22:37, 21/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –8 +/
    > Антивирусная компания ESET сообщила об обнаружении нового вредоносного ПО Linux/Chapro.

    А говорят троянов под Linux не бывает...

     
     
  • 2.16, Сергей (??), 23:49, 21/12/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    А кто сказал, что на взломанных машинах "администраторов" был Linux?
     
     
  • 3.27, Аноним (-), 06:43, 22/12/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > А кто сказал, что на взломанных машинах "администраторов" был Linux?

    Точно, Сергей. Плюсую. Одного админа гоняю - любит с сайтом из дома работать, козел.

     
     
  • 4.37, Аноним (-), 11:20, 22/12/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    >> А кто сказал, что на взломанных машинах "администраторов" был Linux?
    > Точно, Сергей. Плюсую. Одного админа гоняю - любит с сайтом из дома
    > работать, козел.

    Ачо, SSH/SFTP еще не изобрели?

     
     
  • 5.41, Anonim (??), 12:05, 22/12/2012 [^] [ответить]     [к модератору]  
  • +/
    Дык и ключ и парольную фразу могут увести В ссш можно разрешить доступ под опр... весь текст скрыт [показать]
     
     
  • 6.44, AlexYeCu (ok), 12:33, 22/12/2012 [^] [ответить]    [к модератору]  
  • +/
    > В ссш можно разрешить доступ под определенным пользователем с определенных айпи?

    Да.

     
  • 4.45, GentooBoy (ok), 14:18, 22/12/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    В чем трабл, вход по ключу на vasja, пользователь wheel для доступа к sudo.
     
  • 1.12, tonys (ok), 22:52, 21/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Странно. Заражаются компы с Windows, но виноват почему-то Linux.
     
     
  • 2.13, Int (?), 23:08, 21/12/2012 [^] [ответить]    [к модератору]  
  • +/
    Странно. Траванулись посетители, а виноват почему-то шеф-повар.
     
     
  • 3.17, Сергей (??), 23:51, 21/12/2012 [^] [ответить]    [к модератору]  
  • +/
    Ну да. Траванулись посетители, а виноват админ с виндой.
     
     
  • 4.30, Аноним (-), 07:06, 22/12/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Уважаемый виндоадмин Если вы виндоадмин вменяемый, то вы должны понимать, что е... весь текст скрыт [показать]
     
     
  • 5.65, Номальный такой (?), 05:32, 23/12/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Плюсанул за анекдот ... весь текст скрыт [показать]
     
  • 4.32, Int (?), 10:18, 22/12/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    К сожалению в тексте новости на опеннете, НИГДЕ, не говориться что админ был именно с ВИНДОЙ. А в исходной новости, про заражение админов так и вообще ни слова.
     
     
  • 5.33, Аноним (-), 11:10, 22/12/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Так и про вирусы и трояны для linux нигде в новости не говорится Так виндузятни... весь текст скрыт [показать]
     
     
  • 6.51, Аноним (-), 15:40, 22/12/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    >Можно тут словесно гадить об Апаче. Но уберите его - на чем работать-то будут?

    Nginx. Только не рассказывай никому - пока это военная тайна.

     
     
  • 7.59, Аноним (-), 19:57, 22/12/2012 [^] [ответить]    [к модератору]  
  • +/
    Как фронт-энд для Апача да.
     
     
  • 8.61, Аноним (-), 21:54, 22/12/2012 [^] [ответить]    [к модератору]  
  • +/
    Даладно
     
  • 8.70, XoRe (ok), 19:02, 23/12/2012 [^] [ответить]    [к модератору]  
  • +/
    > Как фронт-энд для Апача да.

    У меня для вас печальные новости...

     
  • 7.73, YetAnotherOnanym (ok), 14:59, 24/12/2012 [^] [ответить]    [к модератору]  
  • +/
    Ну да ну да. Типа тот, кто зашёл в правами рута не сможет подпилить nginx  в нужную ему сторону.
     
  • 5.42, Anonim (??), 12:06, 22/12/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > К сожалению в тексте новости на опеннете, НИГДЕ, не говориться что админ
    > был именно с ВИНДОЙ. А в исходной новости, про заражение админов
    > так и вообще ни слова.

    Так желаемое за действительное же

     
     
  • 6.50, Аноним (-), 15:21, 22/12/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Потому и не написали Само собой разумеется Под чем же он мог быть еще случаи,... весь текст скрыт [показать]
     
  • 1.19, baz (??), 01:03, 22/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а не сами админы ли впихнули туда этот шальной модуль и сфэйчили атаку? :peka:
     
     
  • 2.21, Аноним (-), 01:43, 22/12/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > сфэйчили

    КЛБ

     
  • 1.22, Суровый Анонимус (?), 03:25, 22/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Помнится, года 4 или 5 назад попадалась на глаза статейка, называлась "Глубокий секс с Apache", где как-раз описывалось создание подобного модуля, видимо кто-то ее не просто осилил, но и допилил вычисление уников по логам и прятанье от админов и поисковиков. В общем, в скором времени ждем то же самое под nginx.
     
     
  • 2.71, XoRe (ok), 19:05, 23/12/2012 [^] [ответить]    [к модератору]  
  • +/
    > В общем, в скором времени ждем то же самое под nginx.

    Если учесть, что там динамических модулей нет, ждать можем долго)
    Хотя можно написать модуль для ядра, фигли.

     
  • 1.23, bas_kam (ok), 03:45, 22/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ммм... В конфигах подгруженный модуль что-ли не прописывается?
     
     
  • 2.29, Аноним (-), 06:48, 22/12/2012 [^] [ответить]     [к модератору]  
  • +/
    Да конечно, прописывается, куда же он девается-то Но в качестве админа, скорее ... весь текст скрыт [показать]
     
  • 1.24, Аноним (-), 06:28, 22/12/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Подобное просто не удивляет И подобные подходы вставки своего кода уже давно пр... весь текст скрыт [показать]
     
  • 1.75, AZ_from_Belarus (ok), 13:54, 26/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Занятно было прочесть комменты.

    Суть новости сводится к тому что выявлено существование модуля, который из под линуксового сервера очень успешно (непринужденно и незаметно - фиг следы разберешь) гнобит виндовых клиентов осеменяя их троянами. При этом о способности самостоятельно заражать линуксовые сервера этим модулем, ничего не говорится, а упоминается лишь о том, что сервер как-то ещё требуется "сломать".

    Но в комментах обнаружились поклонники винды ненавидящие линукс, у которых сообразиловка сработала на штамп "линукс-вирусы", и они громко закричали "ага, линукс тоже уязвим". Налицо неспособность адекватного восприятия текстов. Понятна их ненависть к линуксу - он предполагает способность понимать тексты мануалов.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor