The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.03.2014 12:47  В результате атаки Windigo вредоносным ПО поражены более 25 тысяч Linux и UNIX серверов

Компания ESET подготовила 69-страничный отчёт (PDF, 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.

После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых извне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра или модифицировались исполняемые файлы http-серверов Apache, lighttpd или nginx для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. На DNS-серверах зафиксировано использование модуля для подмены результатов резолвинга для определённых доменов без изменения конфигурации сервера.

Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, компоненты атаки на http серверы использовались для Linux, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.

Сообщается, что нашумевшие взломы cPanel, kernel.org и серверов Linux Foundation были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G", если будет выведено сообщение о недоступности или некорректности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.



  1. Главная ссылка к новости (http://blog.eset.ie/2014/03/18...)
  2. OpenNews: Выявлен троян, нацеленный на кражу параметров банковских аккаунтов у пользователей Linux
  3. OpenNews: На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd
  4. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
  5. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
  6. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: linux, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (-), 13:01, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]
  • –5 +/
    ССЗБ
    неудивительно, что работает и на других платформах, где есть перл.
     
     
  • 2.117, Уважаемый (?), 23:43, 27/03/2014 [^] [ответить]    [к модератору]
  • +/
    Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделаны?
     
  • 1.3, JL2001 (ok), 13:06, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +9 +/
    ...продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки ... за три года был получен контроль над более чем 25 тысячами серверов...

    <После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей...>

    ох шит...

     
     
  • 2.28, NikolayV81 (ok), 14:17, 19/03/2014 [^] [ответить]     [к модератору]
  • –1 +/
    Да дело в том что это серьёзная спланированная акция, в которой продуманы шаги в... весь текст скрыт [показать]
     
     
  • 3.87, ананим (?), 20:40, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > в том числе, дыры роутерах.

    Дары в роутерах (админ:админ) не дают рута на сам сервант.
    Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.

     
     
  • 4.88, Аноним (-), 21:10, 19/03/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Да оно может постепенно происходить, сначала роутеры, потом случайно переданные ... весь текст скрыт [показать]
     
     
  • 5.92, ананим (?), 21:26, 19/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Рута У вас все в конторе им владеют что ли А то вон ssh по-умоланию рута вообщ... весь текст скрыт [показать]
     
  • 1.4, Андрей (??), 13:15, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    На счёт x64 ничего не написано? Или я не увидел?
     
     
  • 2.7, AlexYeCu_not_logged (?), 13:18, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Да там нечего видеть Главным моментом всех подобных сообщений всегда является с... весь текст скрыт [показать]
     
     
  • 3.9, AlexYeCu_not_logged (?), 13:20, 19/03/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    *пролюбленные ключи
     
  • 2.32, Andrey Mitrofanov (?), 14:30, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    ESET pdf The traffic of the hosts infected by Perl Calfbot yields other int... весь текст скрыт [показать]
     
     
  • 3.57, Адекват (ok), 17:05, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    А разве пароли можно вообще проснифать вся ssh-сессия будет зашифрована ... весь текст скрыт [показать]
     
     
  • 4.72, Andrey Mitrofanov (?), 18:07, 19/03/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Хотя возможны другие варианты форварда, нежели запуск ssh на средней машине ф... весь текст скрыт [показать]
     
  • 2.90, pansa (ok), 21:22, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Не путайте архитектуру х86 и разрядность.
    x86_86 и x86_64 это все x86 - речь была об этом.
     
     
  • 3.93, Мегазаычы (?), 00:05, 20/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    x86_86 - это очень ооок.
    самая крутая система.
     
  • 1.10, knike (?), 13:22, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >достаточно запустить "ssh -G"

    Не обнаружил данный ключ в мане http://www.opennet.ru/man.shtml?topic=ssh&category=1&russian=2

     
     
  • 2.13, Аноним (-), 13:27, 19/03/2014 [^] [ответить]    [к модератору]  
  • +15 +/
    Поражённый ман!
     
  • 2.15, анонимус (??), 13:28, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    >Если будет выведено сообщение о недоступности опции, то система не поражена.
     
  • 2.16, knike (?), 13:29, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Сори. Подумал, что наоборот, если ключ не доступен, то система поражена.
     
     
  • 3.96, Led (ok), 03:36, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Подумал, что наоборот, если ключ не доступен, то система поражена.

    Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"

     
     
  • 4.105, vi (?), 10:49, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Подумал, что наоборот, если ключ не доступен, то система поражена.
    > Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"

    "недоступен" != "не, доступен"

     
  • 2.17, zeroname (?), 13:31, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Как я понял, речь о том, что в отличие от нормального ssh, в подмененном этот ключ есть.
     
  • 2.18, axe (??), 13:31, 19/03/2014 [^] [ответить]    [к модератору]  
  • +16 +/
    это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)
     
     
  • 3.40, Xasd (ok), 15:02, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)

    ...и при этом программа завершает свою работу с магическим значением 255

     
  • 2.19, Censored (?), 13:35, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    В том-то и фишка! :)
     
  • 2.55, Аноним (-), 16:46, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Просто после выпуска сабжевой новости хакеры уже поменяли ключ на существующий редко используемый.
     
  • 2.81, Аноним (-), 18:59, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Не там "G" искал
     
  • 1.11, Фыр (?), 13:23, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +21 +/
    >Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы

    Ну хоть в чём-то пользователям iOS повезло...

     
     
  • 2.42, Аноним (-), 15:28, 19/03/2014 [^] [ответить]    [к модератору]  
  • +7 +/
    Ну так какая аудитория - такие и предпочтения. Наверняка отправляют на ресурсы с накачанными симпатичными мальчиками.
     
  • 2.107, cat666 (ok), 12:47, 20/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    "А пользователи iOS перенаправлялись на порноресурсы." я таки подозревал что они все дрочеры.
     
  • 2.114, Anonym2 (?), 09:12, 21/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрес... весь текст скрыт [показать]
     
  • 1.12, Аноним (-), 13:27, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    если уж списывать, то списывать полностью из статьи
    > ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
     
     
  • 2.20, Аноним (-), 13:39, 19/03/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Это не во всех shell сработает, не нужно думать, что у всех bash ... весь текст скрыт [показать]
     
     
  • 3.36, Andrey Mitrofanov (?), 14:47, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Я, конечно, не активист посикса и не знаток оного, но под busybox-sh и dash, впо... весь текст скрыт [показать]
     
     
  • 4.54, kazh (?), 16:46, 19/03/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    "2>&1" - под csh/tcsh не сработает, болезный.
     
     
  • 5.59, Crazy Alex (ok), 17:09, 19/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    А ещё не работает в CP/M и прочих древностях. И что?
     
     
  • 6.68, kazh (?), 17:55, 19/03/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    В вашем детсаде все что старее недели древность?
     
     
  • 7.103, arisu (ok), 08:47, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > В вашем детсаде все что старее недели древность?

    в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.

     
     
  • 8.110, Аноним (-), 00:57, 21/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.

    У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах.

     
     
  • 9.111, arisu (ok), 00:59, 21/03/2014 [^] [ответить]    [к модератору]  
  • +/
    вот я и говорю: на лечение, потом на пенсию. галлюцинации от большого здоровья не возникают.
     
  • 3.71, volax (?), 18:05, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    csh variant:

    ssh -G | & grep -e illegal -e unknown > /dev/null ; if ( $? == 255 ) echo "System clean"

     
  • 1.21, backbone (ok), 13:43, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > for(i = 0; i < strlen(encrypted_string) / 2; i++) {

    Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на серверах в XXI-ом веке. К тому же, про то, что кто-то с сервера по паролю ходит на другие сервера.

     
     
  • 2.24, Грустный Нуб (?), 14:04, 19/03/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    > кто-то с сервера по паролю ходит на другие сервера

    Я один такой? Ищу друзей по нещастью. :(

     
     
  • 3.25, backbone (ok), 14:07, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    >> кто-то с сервера по паролю ходит на другие сервера
    > Я один такой? Ищу друзей по нещастью. :(

    Ну, разве что вы ходите на сервера потенциального противника. :)

     
     
  • 4.46, Аноним (-), 15:52, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Я на свои сервера по паролю хожу во многих случаях Правда, пароли длинные и я р... весь текст скрыт [показать]
     
     
  • 5.49, backbone (ok), 15:59, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну брутят то как-раз пароли, это могут делать боты, так как другой информации, к... весь текст скрыт [показать]
     
  • 5.60, Адекват (ok), 17:27, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > вас еще все впереди, 160Мб логов с попытками брута ssh за
    > неделю - еще не предел.

    Кстати, а можно как-то пароли увидеть подбираемые ?

     
     
  • 6.75, Неадекват (?), 18:38, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Кстати, а можно как-то пароли увидеть подбираемые ?

    Да, например с помощью смоляной ямы

     
  • 6.112, Аноним (-), 00:59, 21/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Гуглите по слову honeypot Еще когда-то был левый патч для sshd, обеспечивающий ... весь текст скрыт [показать]
     
     
  • 7.113, Аноним (-), 01:00, 21/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Впрочем, при минимальных познаниях Си поправить можно и самому ... весь текст скрыт [показать]
     
  • 5.78, SubGun (ok), 18:50, 19/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.

    Зачем вы вообще наружу SSH выставляете?

     
     
  • 6.82, Anonymous528 (?), 19:03, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    А что есть более безопасные способы попадания на сервер с наружи?
     
     
  • 7.89, Анононо (?), 21:21, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    portknock например
     
  • 6.91, pansa (ok), 21:26, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
    > Зачем вы вообще наружу SSH выставляете?

    Хотя бы стандартный порт сменить - это отсеит 99% bf

     
     
  • 7.95, Аноним (-), 00:41, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    да не отсеивает оно его А так ну пусть 5 паролей из словоря попробует, через ... весь текст скрыт [показать]
     
  • 3.51, freehck (ok), 16:03, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Я тоже имею доступ к своим серверам по паролю. Пользуюсь этой возможностью в крайнем случае: если нет возможности зайти по ключу, а зайти надо.
     
  • 2.27, XoRe (ok), 14:17, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    I have a bad news for you Вы даже не представляете, сколько админов ни разу в... весь текст скрыт [показать]
     
     
  • 3.31, backbone (ok), 14:24, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > I have a bad news for you...
    > Вы даже не представляете, сколько админов ни разу в жизни не настраивали
    > доступ по ключу...

    А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.

     
     
  • 4.69, XoRe (ok), 17:57, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Это если знать, что делать Это как когда в первый раз самоподписанный ssl серти... весь текст скрыт [показать]
     
     
  • 5.70, backbone (ok), 18:03, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну, если взломают их сервер, то будет уроком - наймут специалиста для решения да... весь текст скрыт [показать]
     
  • 2.43, Аноним (-), 15:30, 19/03/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
    > серверах в XXI-ом веке.

    Правильно, используйте ключи - их на автомате пи...ть проще :).

     
     
  • 3.44, backbone (ok), 15:36, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    И храните их закрытую часть на сервере, да ... весь текст скрыт [показать]
     
     
  • 4.45, Аноним (-), 15:48, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну рулить то вы откуда-то будете, правда А что помешает оттуда ключ свистнуть ... весь текст скрыт [показать]
     
     
  • 5.47, backbone (ok), 15:56, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Преимуществ больше Во-первых, отсеиваются боты, перебирающие пароли, которым не... весь текст скрыт [показать]
     
     
  • 6.62, Адекват (ok), 17:31, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Ничего мы не узнаем - почистят нам логи и поставят бекдор за полсекунды, так все... весь текст скрыт [показать]
     
     
  • 7.64, backbone (ok), 17:33, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Чтобы логи почистить, нужны локальные привилегии Если это взлом не для организа... весь текст скрыт [показать]
     
  • 7.104, arisu (ok), 08:49, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    а что, отправлять логи на другой сервер уже немодно ... весь текст скрыт [показать]
     
  • 6.77, Аноним (-), 18:45, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    ORLY Логин нэйм нужен по любому И это два Кто разрешает заходить рутом 9... весь текст скрыт [показать]
     
     
  • 7.79, backbone (ok), 18:51, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну да, и я написал только то, что сразу в голову пришло Бот его подбирает Посм... весь текст скрыт [показать]
     
  • 6.115, Anonym2 (?), 09:40, 21/03/2014 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Секретней ключа ещё только лицензионная электронная цифр... весь текст скрыт [показать]
     
  • 5.53, freehck (ok), 16:07, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Есть такая штука, называется пробросом ssh Она как раз позволяет ходить туда-сю... весь текст скрыт [показать]
     
     
  • 6.76, Аноним (-), 18:39, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    Че?
     
     
  • 7.108, oraerkx (?), 14:26, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    ssh-agent forwarding
     
  • 3.52, freehck (ok), 16:05, 19/03/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Да Вот зайду я на вражеский сервер, сворую оттуда открытый ключ, и положу его н... весь текст скрыт [показать]
     
     ....нить скрыта, показать (32)

  • 1.29, XoRe (ok), 14:19, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Дополнительный пинок к переходу на запароленные ssh ключи.
    Вместе с ssh agent это даже удобнее, чем пароли.
    Не говоря о безопасности.
    Хотя... скорее это пинок к изучению документации по ключам.
    А то бездумное использование тоже чревато.

    P.S.
    Что-то мельчают тролли на опеннете.
    Ни одного возгласа "linux - решето!!!111".

     
     
  • 2.38, Andrey Mitrofanov (?), 14:58, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    соединение с одним ключём через форвард - форвард агента если скомпрометиро... весь текст скрыт [показать]
     
     
  • 3.67, XoRe (ok), 17:54, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Не совсем понял, как можно увести ключ при форвардинге А вот выполнить команды ... весь текст скрыт [показать]
     
     
  • 4.80, Andrey Mitrofanov (?), 18:57, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Имел в виду, если включён форвард ssh-agent-а -- как по ссылке ниже Впрочем, эт... весь текст скрыт [показать]
     
  • 2.63, SergMarkov (ok), 17:32, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > Ни одного возгласа "linux - решето!!!111".

    А зачем ? :-) решета не нада, достататочна одын дырка, чтоб оказаться в г.. :-)

     
  • 1.30, vi (?), 14:23, 19/03/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • –4 +/
    За что им только деньги плотятЪ Даже мои тапочки чуть не лопнули от смеха Э... весь текст скрыт [показать]
     
  • 1.33, Аноним (-), 14:31, 19/03/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    2 вопроса 1 как можно перхватить пароль пароль Я думал, что для ssh его не пе... весь текст скрыт [показать]
     
     
  • 2.34, тоже Аноним (ok), 14:44, 19/03/2014 [^] [ответить]    [к модератору]  
  • +6 +/
    ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус на Линукс-серверах по-прежнему нахрен не нужен.
     
     
  • 3.66, Адекват (ok), 17:37, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Нет, ну почему же ClamAv для проверки ворд-эксель-поверпоинт и прочее для винд... весь текст скрыт [показать]
     
  • 2.39, Аноним (-), 14:58, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    На винде перехватывают ввод пароля при помощи кейлоггера, а на сервере перехваты... весь текст скрыт [показать]
     
     
  • 3.48, vi (?), 15:58, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Тут все понятно Это как То есть хостерам уже нельзя доверять Куда катится это... весь текст скрыт [показать]
     
     
  • 4.50, vi (?), 16:01, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать или я не... весь текст скрыт [показать]
     
     
  • 5.74, Andrey Mitrofanov (?), 18:32, 19/03/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Не пускай там ssh ssh conf ProxyCommand netcat и второй ssh - тоже твой локальн... весь текст скрыт [показать]
     
     
  • 6.94, freehck (ok), 00:25, 20/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Андрей, если бы оно ТАК работало, это было бы по меньшей мере глупо Вот хорошая... весь текст скрыт [показать]
     
     
  • 7.116, Andrey Mitrofanov (?), 19:16, 21/03/2014 [^] [ответить]     [к модератору]  
  • +/
    Спасибо Я нёс полную чушь, признаю Private ключ не унесут Могут рас- или заши... весь текст скрыт [показать]
     
     ....нить скрыта, показать (8)

  • 1.37, skb7 (ok), 14:52, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей

    Это единственное, о чем было бы интересно почитать. Когда есть пароль -- можно делать что хочешь.

     
  • 1.41, Аноним (-), 15:06, 19/03/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Замечена еще какая-то хрень Чаще всего на бсдшных машинах из exUSSR прется RU,... весь текст скрыт [показать]
     
  • 1.56, dimasp (?), 16:56, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично
    вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме.  
    с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено.
    и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M.
    и пока живу так, отслеживая изменение файлов в tripwire.
     
  • 1.58, Адекват (ok), 17:09, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    К слову о скриптах - скрипты они такие, что каждый админ пишет под себя, и велика доля вероятности что другой админ их  сделает, а другой не разберет, тем более что кто-то предпочитает bash, кто-то perl, а кто-то питон.
    А вот "специально придуманные для этого инструменты, не велосипеды", типа веб-морд-управлялок на php+*sql - тут да, один админ настроит и все остальные админы разберутся.
    Это было мое большое ИМХО, спасибо за внимание :)
     
  • 1.61, SergMarkov (ok), 17:30, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    "против лома нет приема" © - можно иметь теоретически безупречную ось и кривую систему идентификации и q-q
     
     
  • 2.86, Сергей (??), 20:26, 19/03/2014 [^] [ответить]    [к модератору]  
  • +/
    > можно иметь теоретически безупречную ось

    и кривой маздай у админа

     
  • 1.73, Аноним (-), 18:09, 19/03/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    достаточно написать востребованное приложение, через некоторое время всунуть туд... весь текст скрыт [показать]
     
     
  • 2.85, Аноним (-), 20:01, 19/03/2014 [^] [ответить]     [к модератору]  
  • +/
    самая подстава в том что хозяин репа может и не знать что в его датацентр приход... весь текст скрыт [показать]
     
  • 1.83, anonymous (??), 19:35, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >модуль рассылки спама был написан на Perl

    На самом деле это обычный почтовый клиент - там просто в 14 строчке один символ похерился.

     
  • 1.84, EuPhobos (ok), 19:53, 19/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде ненадёжных паролей и проё**ных ключей!

    Когда же хомячки вирус-ОС ..эмм виндус-ОС наконец перестанут клепать жёлтые новости про Unixоподобные)

     
     
  • 2.100, Чепукот (?), 07:37, 20/03/2014 [^] [ответить]    [к модератору]  
  • +/
    >>Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде

    пользователей...

     
  • 2.109, клоун Стаканчик (?), 17:49, 20/03/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Падение меньше, чем на 50% считаем ростом. 25 тысяч заражённых серверов считаем незаражёнными, т.к. метод заражения не утверждён синодом как каноничный. Что дальше?
     
  • 1.98, Пушистик (ok), 06:45, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну и параноики же работают в этой компании ESET.
    Надо же слепить в кучу тысячи несвязанных между собой атак и взломов. Да ещё и кернел.орг и линукс фоундейшен сюда же прилепили.
     
  • 1.101, arisu (ok), 08:37, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    учишь эникейщиков не вводить никакие пароли в винду, учишь — а толку…
     
  • 1.102, lucentcode (ok), 08:45, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что-то та часть, что касается подмены одной из либ SSH очень мне напоминает Linux/Ebury, с которым у всех сейчас головняка хватает. Хорошо хоть, что факт заражения несложно обнаружить.
     
  • 1.106, Аноним (-), 11:41, 20/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    25000 серверов. А сколько это от общего количества? Капля в море или ощутимое количество?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor