The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.03.2014 12:47  В результате атаки Windigo вредоносным ПО поражены более 25 тысяч Linux и UNIX серверов

Компания ESET подготовила 69-страничный отчёт (PDF, 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.

После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых извне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра или модифицировались исполняемые файлы http-серверов Apache, lighttpd или nginx для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. На DNS-серверах зафиксировано использование модуля для подмены результатов резолвинга для определённых доменов без изменения конфигурации сервера.

Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, компоненты атаки на http серверы использовались для Linux, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.

Сообщается, что нашумевшие взломы cPanel, kernel.org и серверов Linux Foundation были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G", если будет выведено сообщение о недоступности или некорректности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.



  1. Главная ссылка к новости (http://blog.eset.ie/2014/03/18...)
  2. OpenNews: Выявлен троян, нацеленный на кражу параметров банковских аккаунтов у пользователей Linux
  3. OpenNews: На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd
  4. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
  5. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
  6. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: linux, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 13:01, 19/03/2014 [ответить] [смотреть все]
  • –5 +/
    ССЗБ
    неудивительно, что работает и на других платформах, где есть перл.
     
     
  • 2.117, Уважаемый, 23:43, 27/03/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделан... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, JL2001, 13:06, 19/03/2014 [ответить] [смотреть все]  
  • +9 +/
    ...продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки ... за три года был получен контроль над более чем 25 тысячами серверов...

    <После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей...>

    ох шит...

     
     
  • 2.28, NikolayV81, 14:17, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Да дело в том что это серьёзная спланированная акция, в которой продуманы шаги в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.87, ананим, 20:40, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Дары в роутерах админ админ не дают рута на сам сервант Проще с вантуза на ко... весь текст скрыт [показать]
     
     
  • 4.88, Аноним, 21:10, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Да оно может постепенно происходить, сначала роутеры, потом случайно переданные ... весь текст скрыт [показать]
     
     
  • 5.92, ананим, 21:26, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Рута У вас все в конторе им владеют что ли А то вон ssh по-умоланию рута вообщ... весь текст скрыт [показать]
     
  • 1.4, Андрей, 13:15, 19/03/2014 [ответить] [смотреть все]  
  • +/
    На счёт x64 ничего не написано? Или я не увидел?
     
     
  • 2.7, AlexYeCu_not_logged, 13:18, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да там нечего видеть Главным моментом всех подобных сообщений всегда является с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, AlexYeCu_not_logged, 13:20, 19/03/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    *пролюбленные ключи
     
  • 2.32, Andrey Mitrofanov, 14:30, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ESET pdf The traffic of the hosts infected by Perl Calfbot yields other int... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Адекват, 17:05, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    А разве пароли можно вообще проснифать вся ssh-сессия будет зашифрована ... весь текст скрыт [показать]
     
     
  • 4.72, Andrey Mitrofanov, 18:07, 19/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Хотя возможны другие варианты форварда, нежели запуск ssh на средней машине ф... весь текст скрыт [показать]
     
  • 2.90, pansa, 21:22, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не путайте архитектуру х86 и разрядность x86_86 и x86_64 это все x86 - речь бы... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.93, Мегазаычы, 00:05, 20/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    x86_86 - это очень ооок.
    самая крутая система.
     
  • 1.10, knike, 13:22, 19/03/2014 [ответить] [смотреть все]  
  • +/
    >достаточно запустить "ssh -G"

    Не обнаружил данный ключ в мане http://www.opennet.ru/man.shtml?topic=ssh&category=1&russian=2

     
     
  • 2.13, Аноним, 13:27, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +15 +/
    Поражённый ман!
     
  • 2.15, анонимус, 13:28, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Если будет выведено сообщение о недоступности опции, то система не поражена.
     
  • 2.16, knike, 13:29, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сори. Подумал, что наоборот, если ключ не доступен, то система поражена.
     
     
  • 3.96, Led, 03:36, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Поражён мозг у того, кто пишет слово недоступен как не доступен ... весь текст скрыт [показать]
     
     
  • 4.105, vi, 10:49, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    недоступен не, доступен ... весь текст скрыт [показать]
     
  • 2.17, zeroname, 13:31, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Как я понял, речь о том, что в отличие от нормального ssh, в подмененном этот кл... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, axe, 13:31, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +16 +/
    это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)
     
     
  • 3.40, Xasd, 15:02, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    и при этом программа завершает свою работу с магическим значением 255... весь текст скрыт [показать]
     
  • 2.19, Censored, 13:35, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В том-то и фишка! :)
     
  • 2.55, Аноним, 16:46, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Просто после выпуска сабжевой новости хакеры уже поменяли ключ на существующий р... весь текст скрыт [показать] [показать ветку]
     
  • 2.81, Аноним, 18:59, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Не там "G" искал
     
  • 1.11, Фыр, 13:23, 19/03/2014 [ответить] [смотреть все]  
  • +21 +/
    >Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы

    Ну хоть в чём-то пользователям iOS повезло...

     
     
  • 2.42, Аноним, 15:28, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Ну так какая аудитория - такие и предпочтения. Наверняка отправляют на ресурсы с накачанными симпатичными мальчиками.
     
  • 2.107, cat666, 12:47, 20/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А пользователи iOS перенаправлялись на порноресурсы я таки подозревал что они... весь текст скрыт [показать] [показать ветку]
     
  • 2.114, Anonym2, 09:12, 21/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрес... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Аноним, 13:27, 19/03/2014 [ответить] [смотреть все]  
  • +/
    если уж списывать, то списывать полностью из статьи ... весь текст скрыт [показать]
     
     
  • 2.20, Аноним, 13:39, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Это не во всех shell сработает, не нужно думать, что у всех bash ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Andrey Mitrofanov, 14:47, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Я, конечно, не активист посикса и не знаток оного, но под busybox-sh и dash, впо... весь текст скрыт [показать]
     
     
  • 4.54, kazh, 16:46, 19/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    "2>&1" - под csh/tcsh не сработает, болезный.
     
     
  • 5.59, Crazy Alex, 17:09, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    А ещё не работает в CP/M и прочих древностях. И что?
     
     
  • 6.68, kazh, 17:55, 19/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    В вашем детсаде все что старее недели древность?
     
     
  • 7.103, arisu, 08:47, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом н... весь текст скрыт [показать]
     
     
  • 8.110, Аноним, 00:57, 21/03/2014 [^] [ответить] [смотреть все]  
  • +/
    У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах ... весь текст скрыт [показать]
     
     
  • 9.111, arisu, 00:59, 21/03/2014 [^] [ответить] [смотреть все]  
  • +/
    вот я и говорю на лечение, потом на пенсию галлюцинации от большого здоровья н... весь текст скрыт [показать]
     
  • 3.71, volax, 18:05, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    csh variant ssh -G 124 grep -e illegal -e unknown dev null if ... весь текст скрыт [показать]
     
  • 1.21, backbone, 13:43, 19/03/2014 [ответить] [смотреть все]  
  • +/
    > for(i = 0; i < strlen(encrypted_string) / 2; i++) {

    Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на серверах в XXI-ом веке. К тому же, про то, что кто-то с сервера по паролю ходит на другие сервера.

     
     
  • 2.24, Грустный Нуб, 14:04, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Я один такой Ищу друзей по нещастью ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, backbone, 14:07, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну, разве что вы ходите на сервера потенциального противника ... весь текст скрыт [показать]
     
     
  • 4.46, Аноним, 15:52, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Я на свои сервера по паролю хожу во многих случаях Правда, пароли длинные и я р... весь текст скрыт [показать]
     
     
  • 5.49, backbone, 15:59, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну брутят то как-раз пароли, это могут делать боты, так как другой информации, к... весь текст скрыт [показать]
     
  • 5.60, Адекват, 17:27, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Кстати, а можно как-то пароли увидеть подбираемые ... весь текст скрыт [показать]
     
     
  • 6.75, Неадекват, 18:38, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Да, например с помощью смоляной ямы... весь текст скрыт [показать]
     
  • 6.112, Аноним, 00:59, 21/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Гуглите по слову honeypot Еще когда-то был левый патч для sshd, обеспечивающий ... весь текст скрыт [показать]
     
     
  • 7.113, Аноним, 01:00, 21/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Впрочем, при минимальных познаниях Си поправить можно и самому ... весь текст скрыт [показать]
     
  • 5.78, SubGun, 18:50, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Зачем вы вообще наружу SSH выставляете ... весь текст скрыт [показать]
     
     
  • 6.82, Anonymous528, 19:03, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    А что есть более безопасные способы попадания на сервер с наружи?
     
     
  • 7.89, Анононо, 21:21, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    portknock например
     
  • 6.91, pansa, 21:26, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Хотя бы стандартный порт сменить - это отсеит 99 bf... весь текст скрыт [показать]
     
     
  • 7.95, Аноним, 00:41, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    да не отсеивает оно его А так ну пусть 5 паролей из словоря попробует, через ... весь текст скрыт [показать]
     
  • 3.51, freehck, 16:03, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Я тоже имею доступ к своим серверам по паролю Пользуюсь этой возможностью в кра... весь текст скрыт [показать]
     
  • 2.27, XoRe, 14:17, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    I have a bad news for you Вы даже не представляете, сколько админов ни разу в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, backbone, 14:24, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    А ведь это не сложнее, чем сделать chmod x kaspersky exe sh ... весь текст скрыт [показать]
     
     
  • 4.69, XoRe, 17:57, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Это если знать, что делать Это как когда в первый раз самоподписанный ssl серти... весь текст скрыт [показать]
     
     
  • 5.70, backbone, 18:03, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну, если взломают их сервер, то будет уроком - наймут специалиста для решения да... весь текст скрыт [показать]
     
  • 2.43, Аноним, 15:30, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Правильно, используйте ключи - их на автомате пи ть проще ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, backbone, 15:36, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    И храните их закрытую часть на сервере, да ... весь текст скрыт [показать]
     
     
  • 4.45, Аноним, 15:48, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну рулить то вы откуда-то будете, правда А что помешает оттуда ключ свистнуть ... весь текст скрыт [показать]
     
     
  • 5.47, backbone, 15:56, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Преимуществ больше Во-первых, отсеиваются боты, перебирающие пароли, которым не... весь текст скрыт [показать]
     
     
  • 6.62, Адекват, 17:31, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ничего мы не узнаем - почистят нам логи и поставят бекдор за полсекунды, так все... весь текст скрыт [показать]
     
     
  • 7.64, backbone, 17:33, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Чтобы логи почистить, нужны локальные привилегии Если это взлом не для организа... весь текст скрыт [показать]
     
  • 7.104, arisu, 08:49, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    а что, отправлять логи на другой сервер уже немодно ... весь текст скрыт [показать]
     
  • 6.77, Аноним, 18:45, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    ORLY Логин нэйм нужен по любому И это два Кто разрешает заходить рутом 9... весь текст скрыт [показать]
     
     
  • 7.79, backbone, 18:51, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну да, и я написал только то, что сразу в голову пришло Бот его подбирает Посм... весь текст скрыт [показать]
     
  • 6.115, Anonym2, 09:40, 21/03/2014 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Секретней ключа ещё только лицензионная электронная цифр... весь текст скрыт [показать]
     
  • 5.53, freehck, 16:07, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Есть такая штука, называется пробросом ssh Она как раз позволяет ходить туда-сю... весь текст скрыт [показать]
     
     
  • 6.76, Аноним, 18:39, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Че?
     
     
  • 7.108, oraerkx, 14:26, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    ssh-agent forwarding
     
  • 3.52, freehck, 16:05, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Да Вот зайду я на вражеский сервер, сворую оттуда открытый ключ, и положу его н... весь текст скрыт [показать]
     
  • 1.29, XoRe, 14:19, 19/03/2014 [ответить] [смотреть все]  
  • +/
    Дополнительный пинок к переходу на запароленные ssh ключи.
    Вместе с ssh agent это даже удобнее, чем пароли.
    Не говоря о безопасности.
    Хотя... скорее это пинок к изучению документации по ключам.
    А то бездумное использование тоже чревато.

    P.S.
    Что-то мельчают тролли на опеннете.
    Ни одного возгласа "linux - решето!!!111".

     
     
  • 2.38, Andrey Mitrofanov, 14:58, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    соединение с одним ключём через форвард - форвард агента если скомпрометиро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.67, XoRe, 17:54, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Не совсем понял, как можно увести ключ при форвардинге А вот выполнить команды ... весь текст скрыт [показать]
     
     
  • 4.80, Andrey Mitrofanov, 18:57, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Имел в виду, если включён форвард ssh-agent-а -- как по ссылке ниже Впрочем, эт... весь текст скрыт [показать]
     
  • 2.63, SergMarkov, 17:32, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А зачем - решета не нада, достататочна одын дырка, чтоб оказаться в г - ... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, vi, 14:23, 19/03/2014 [ответить] [смотреть все]  
  • –4 +/
    За что им только деньги плотятЪ Даже мои тапочки чуть не лопнули от смеха Э... весь текст скрыт [показать]
     
  • 1.33, Аноним, 14:31, 19/03/2014 [ответить] [смотреть все]  
  • +/
    2 вопроса 1 как можно перхватить пароль пароль Я думал, что для ssh его не пе... весь текст скрыт [показать]
     
     
  • 2.34, тоже Аноним, 14:44, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус на Линукс-серверах по-прежнему нахрен не нужен.
     
     
  • 3.66, Адекват, 17:37, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Нет, ну почему же ClamAv для проверки ворд-эксель-поверпоинт и прочее для винд... весь текст скрыт [показать]
     
  • 2.39, Аноним, 14:58, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На винде перехватывают ввод пароля при помощи кейлоггера, а на сервере перехваты... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, vi, 15:58, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Тут все понятно Это как То есть хостерам уже нельзя доверять Куда катится это... весь текст скрыт [показать]
     
     
  • 4.50, vi, 16:01, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать или я не... весь текст скрыт [показать]
     
     
  • 5.74, Andrey Mitrofanov, 18:32, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Не пускай там ssh ssh conf ProxyCommand netcat и второй ssh - тоже твой локальн... весь текст скрыт [показать]
     
     
  • 6.94, freehck, 00:25, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Андрей, если бы оно ТАК работало, это было бы по меньшей мере глупо Вот хорошая... весь текст скрыт [показать]
     
     
  • 7.116, Andrey Mitrofanov, 19:16, 21/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Спасибо Я нёс полную чушь, признаю Private ключ не унесут Могут рас- или заши... весь текст скрыт [показать]
     
  • 1.37, skb7, 14:52, 19/03/2014 [ответить] [смотреть все]  
  • +2 +/
    > После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей

    Это единственное, о чем было бы интересно почитать. Когда есть пароль -- можно делать что хочешь.

     
  • 1.41, Аноним, 15:06, 19/03/2014 [ответить] [смотреть все]  
  • +/
    Замечена еще какая-то хрень Чаще всего на бсдшных машинах из exUSSR прется RU,... весь текст скрыт [показать]
     
  • 1.56, dimasp, 16:56, 19/03/2014 [ответить] [смотреть все]  
  • +/
    у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично
    вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме.  
    с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено.
    и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M.
    и пока живу так, отслеживая изменение файлов в tripwire.
     
  • 1.58, Адекват, 17:09, 19/03/2014 [ответить] [смотреть все]  
  • +/
    К слову о скриптах - скрипты они такие, что каждый админ пишет под себя, и велика доля вероятности что другой админ их  сделает, а другой не разберет, тем более что кто-то предпочитает bash, кто-то perl, а кто-то питон.
    А вот "специально придуманные для этого инструменты, не велосипеды", типа веб-морд-управлялок на php+*sql - тут да, один админ настроит и все остальные админы разберутся.
    Это было мое большое ИМХО, спасибо за внимание :)
     
  • 1.61, SergMarkov, 17:30, 19/03/2014 [ответить] [смотреть все]  
  • +/
    "против лома нет приема" © - можно иметь теоретически безупречную ось и кривую систему идентификации и q-q
     
     
  • 2.86, Сергей, 20:26, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > можно иметь теоретически безупречную ось

    и кривой маздай у админа

     
  • 1.73, Аноним, 18:09, 19/03/2014 [ответить] [смотреть все]  
  • –1 +/
    достаточно написать востребованное приложение, через некоторое время всунуть туд... весь текст скрыт [показать]
     
     
  • 2.85, Аноним, 20:01, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    самая подстава в том что хозяин репа может и не знать что в его датацентр приход... весь текст скрыт [показать] [показать ветку]
     
  • 1.83, anonymous, 19:35, 19/03/2014 [ответить] [смотреть все]  
  • +/
    >модуль рассылки спама был написан на Perl

    На самом деле это обычный почтовый клиент - там просто в 14 строчке один символ похерился.

     
  • 1.84, EuPhobos, 19:53, 19/03/2014 [ответить] [смотреть все]  
  • +/
    Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде ненадёжных паролей и проё**ных ключей!

    Когда же хомячки вирус-ОС ..эмм виндус-ОС наконец перестанут клепать жёлтые новости про Unixоподобные)

     
     
  • 2.100, Чепукот, 07:37, 20/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    пользователей ... весь текст скрыт [показать] [показать ветку]
     
  • 2.109, клоун Стаканчик, 17:49, 20/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Падение меньше, чем на 50 считаем ростом 25 тысяч заражённых серверов считаем ... весь текст скрыт [показать] [показать ветку]
     
  • 1.98, Пушистик, 06:45, 20/03/2014 [ответить] [смотреть все]  
  • +/
    Ну и параноики же работают в этой компании ESET.
    Надо же слепить в кучу тысячи несвязанных между собой атак и взломов. Да ещё и кернел.орг и линукс фоундейшен сюда же прилепили.
     
  • 1.101, arisu, 08:37, 20/03/2014 [ответить] [смотреть все]  
  • +/
    учишь эникейщиков не вводить никакие пароли в винду, учишь — а толку…
     
  • 1.102, lucentcode, 08:45, 20/03/2014 [ответить] [смотреть все]  
  • +/
    Что-то та часть, что касается подмены одной из либ SSH очень мне напоминает Linux/Ebury, с которым у всех сейчас головняка хватает. Хорошо хоть, что факт заражения несложно обнаружить.
     
  • 1.106, Аноним, 11:41, 20/03/2014 [ответить] [смотреть все]  
  • +/
    25000 серверов А сколько это от общего количества Капля в море или ощутимое ко... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList