The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В результате атаки Windigo вредоносным ПО поражены более 25 тысяч Linux и UNIX серверов

19.03.2014 12:47

Компания ESET подготовила 69-страничный отчёт (PDF, 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.

После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых извне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра или модифицировались исполняемые файлы http-серверов Apache, lighttpd или nginx для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. На DNS-серверах зафиксировано использование модуля для подмены результатов резолвинга для определённых доменов без изменения конфигурации сервера.

Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, компоненты атаки на http серверы использовались для Linux, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.

Сообщается, что нашумевшие взломы cPanel, kernel.org и серверов Linux Foundation были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G", если будет выведено сообщение о недоступности или некорректности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.



  1. Главная ссылка к новости (http://blog.eset.ie/2014/03/18...)
  2. OpenNews: Выявлен троян, нацеленный на кражу параметров банковских аккаунтов у пользователей Linux
  3. OpenNews: На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd
  4. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
  5. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
  6. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/39350-linux
Ключевые слова: linux, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (105) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 13:01, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    ССЗБ
    неудивительно, что работает и на других платформах, где есть перл.
     
     
  • 2.117, Уважаемый (?), 23:43, 27/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделаны?
     

  • 1.3, JL2001 (ok), 13:06, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    ...продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки ... за три года был получен контроль над более чем 25 тысячами серверов...

    <После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей...>

    ох шит...

     
     
  • 2.28, NikolayV81 (ok), 14:17, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да дело в том что это серьёзная спланированная акция, в которой продуманы шаги вперёд ( как получить доступ, как спрятать инфу об этом, как использовать для извлечения прибыли/дальнейшего распространения ). Тут же ещё не известно, возможно использовались на начальном этапе (получение паролей), в том числе, дыры роутерах.
     
     
  • 3.87, ананим (?), 20:40, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в том числе, дыры роутерах.

    Дары в роутерах (админ:админ) не дают рута на сам сервант.
    Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.

     
     
  • 4.88, Аноним (-), 21:10, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> в том числе, дыры роутерах.
    > Дары в роутерах (админ:админ) не дают рута на сам сервант.
    > Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.

    Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети ), потом компы на работах, корп. сети, и т.д. Тут как раз дело возможно в хорошо продуманной стратегии роста ботнета.

     
     
  • 5.92, ананим (?), 21:26, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети )

    Рута? У вас все в конторе им владеют что ли? А то вон ssh по-умоланию рута вообще не принимает.
    Вы уж давайте точный и технически-грамотный (или хотя бы технически-правдоподобный) ответ, понятный инженеру или не давайте вообще.
    А то... беременность, она того, заразна.

    зыж
    Ещё раз, вантуз с кейлогером и путти самый простой вариант.

     

  • 1.4, Андрей (??), 13:15, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На счёт x64 ничего не написано? Или я не увидел?
     
     
  • 2.7, AlexYeCu_not_logged (?), 13:18, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да там нечего видеть. Главным моментом всех подобных сообщений всегда является способ распространения. Он здесь такой же, как обычно: брутфорс паролей да подобранные ключи. Имея ключ или пароль с соответствующими правами от системы можно творить с ней что хочешь -- вот новость-то!
     
     
  • 3.9, AlexYeCu_not_logged (?), 13:20, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    *пролюбленные ключи
     
  • 2.32, Andrey Mitrofanov (?), 14:30, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > На счёт x64 ничего не написано? Или я не увидел?

    ESET .pdf:

    """The traffic of the hosts infected by Perl/Calfbot yields other interesting data.[...] Analysing the User-Agent information we found out that the most prevalent strings are, without surprises, from [B]x86[/B] and [B]x64[/B] Linux systems. We also observed User-Agent strings from OpenBSD, perl/calfbot FreeBSD, OS X and Cygwin.

    >>всех подобных сообщений всегда является способ распространения.

    Не этого. Тут акцент на макс.использование _всего, что уже есть. Скрытно и портируемо.

    Но да, поминается не-использование уязвимостей и _использование проснифанных паролей ssh при логине через форвард через заражённую машину [и, видимо, использование их для "подбора"].

     
     
  • 3.57, Адекват (ok), 17:05, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Но да, поминается не-использование уязвимостей и _использование проснифанных паролей
    > ssh при логине через форвард через заражённую машину

    А разве пароли можно вообще проснифать ? вся ssh-сессия будет зашифрована.

     
     
  • 4.72, Andrey Mitrofanov (?), 18:07, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хотя возможны другие варианты форварда, нежели запуск ssh на средней машине ф... большой текст свёрнут, показать
     
  • 2.90, pansa (ok), 21:22, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не путайте архитектуру х86 и разрядность.
    x86_86 и x86_64 это все x86 - речь была об этом.
     
     
  • 3.93, Мегазаычы (?), 00:05, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    x86_86 - это очень ооок.
    самая крутая система.
     

  • 1.10, knike (?), 13:22, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >достаточно запустить "ssh -G"

    Не обнаружил данный ключ в мане http://www.opennet.ru/man.shtml?topic=ssh&category=1&russian=2

     
     
  • 2.13, Аноним (-), 13:27, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Поражённый ман!
     
  • 2.15, анонимус (??), 13:28, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Если будет выведено сообщение о недоступности опции, то система не поражена.
     
  • 2.16, knike (?), 13:29, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сори. Подумал, что наоборот, если ключ не доступен, то система поражена.
     
     
  • 3.96, Led (ok), 03:36, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Подумал, что наоборот, если ключ не доступен, то система поражена.

    Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"

     
     
  • 4.105, vi (?), 10:49, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Подумал, что наоборот, если ключ не доступен, то система поражена.
    > Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"

    "недоступен" != "не, доступен"

     
  • 2.17, zeroname (?), 13:31, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как я понял, речь о том, что в отличие от нормального ssh, в подмененном этот ключ есть.
     
  • 2.18, axe (??), 13:31, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +16 +/
    это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)
     
     
  • 3.40, Xasd (ok), 15:02, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)

    ...и при этом программа завершает свою работу с магическим значением 255

     
  • 2.19, Censored (?), 13:35, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В том-то и фишка! :)
     
  • 2.55, Аноним (-), 16:46, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто после выпуска сабжевой новости хакеры уже поменяли ключ на существующий редко используемый.
     
  • 2.81, Аноним (-), 18:59, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не там "G" искал
     

  • 1.11, Фыр (?), 13:23, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    >Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы

    Ну хоть в чём-то пользователям iOS повезло...

     
     
  • 2.42, Аноним (-), 15:28, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ну так какая аудитория - такие и предпочтения. Наверняка отправляют на ресурсы с накачанными симпатичными мальчиками.
     
  • 2.107, cat666 (ok), 12:47, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "А пользователи iOS перенаправлялись на порноресурсы." я таки подозревал что они все дрочеры.
     
  • 2.114, Anonym2 (?), 09:12, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы
    > Ну хоть в чём-то пользователям iOS повезло...

    Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрессивным и плохо сочетающимся с устаревшими направлениям в данной области >:-)

     

  • 1.12, Аноним (-), 13:27, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если уж списывать, то списывать полностью из статьи
    > ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
     
     
  • 2.20, Аноним (-), 13:39, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > если уж списывать, то списывать полностью из статьи
    >> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

    Это не во всех shell сработает, не нужно думать, что у всех bash.

     
     
  • 3.36, Andrey Mitrofanov (?), 14:47, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не во всех shell сработает, не нужно думать, что у всех
    > bash.

    Я, конечно, не активист посикса и не знаток оного, но под busybox-sh и dash, вполне сработало. Как и под bash, само.

    Подучи POSIX, болезный?

     
     
  • 4.54, kazh (?), 16:46, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    "2>&1" - под csh/tcsh не сработает, болезный.
     
     
  • 5.59, Crazy Alex (ok), 17:09, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ещё не работает в CP/M и прочих древностях. И что?
     
     
  • 6.68, kazh (?), 17:55, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В вашем детсаде все что старее недели древность?
     
     
  • 7.103, arisu (ok), 08:47, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В вашем детсаде все что старее недели древность?

    в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.

     
     
  • 8.110, Аноним (-), 00:57, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах ... текст свёрнут, показать
     
     
  • 9.111, arisu (ok), 00:59, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    вот я и говорю на лечение, потом на пенсию галлюцинации от большого здоровья н... текст свёрнут, показать
     
  • 3.71, volax (?), 18:05, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    csh variant:

    ssh -G | & grep -e illegal -e unknown > /dev/null ; if ( $? == 255 ) echo "System clean"

     

  • 1.21, backbone (ok), 13:43, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > for(i = 0; i < strlen(encrypted_string) / 2; i++) {

    Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на серверах в XXI-ом веке. К тому же, про то, что кто-то с сервера по паролю ходит на другие сервера.

     
     
  • 2.24, Грустный Нуб (?), 14:04, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > кто-то с сервера по паролю ходит на другие сервера

    Я один такой? Ищу друзей по нещастью. :(

     
     
  • 3.25, backbone (ok), 14:07, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> кто-то с сервера по паролю ходит на другие сервера
    > Я один такой? Ищу друзей по нещастью. :(

    Ну, разве что вы ходите на сервера потенциального противника. :)

     
     
  • 4.46, Аноним (-), 15:52, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, разве что вы ходите на сервера потенциального противника. :)

    Я на свои сервера по паролю хожу во многих случаях. Правда, пароли длинные и я разборчив на предмет того что, как и откуда я делаю. Пока никто за 7 лет не поломал. Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.

     
     
  • 5.49, backbone (ok), 15:59, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну, разве что вы ходите на сервера потенциального противника. :)
    > Я на свои сервера по паролю хожу во многих случаях. Правда, пароли
    > длинные и я разборчив на предмет того что, как и откуда
    > я делаю. Пока никто за 7 лет не поломал. Но у
    > вас еще все впереди, 160Мб логов с попытками брута ssh за
    > неделю - еще не предел.

    Ну брутят то как-раз пароли, это могут делать боты, так как другой информации, кроме ip:port им не нужно. В данном случае можно посоветовать fail2ban, sshguard...

     
  • 5.60, Адекват (ok), 17:27, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > вас еще все впереди, 160Мб логов с попытками брута ssh за
    > неделю - еще не предел.

    Кстати, а можно как-то пароли увидеть подбираемые ?

     
     
  • 6.75, Неадекват (?), 18:38, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, а можно как-то пароли увидеть подбираемые ?

    Да, например с помощью смоляной ямы

     
  • 6.112, Аноним (-), 00:59, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, а можно как-то пароли увидеть подбираемые ?

    Гуглите по слову honeypot. Еще когда-то был левый патч для sshd, обеспечивающий логгирование неправильных паролей, но вряд ли он покатит на современных версиях sshd.

     
     
  • 7.113, Аноним (-), 01:00, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Еще когда-то был левый патч для sshd, обеспечивающий
    > логгирование неправильных паролей, но вряд ли он покатит на современных версиях
    > sshd.

    Впрочем, при минимальных познаниях Си поправить можно и самому.

     
  • 5.78, SubGun (ok), 18:50, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.

    Зачем вы вообще наружу SSH выставляете?

     
     
  • 6.82, Anonymous528 (?), 19:03, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А что есть более безопасные способы попадания на сервер с наружи?
     
     
  • 7.89, Анононо (?), 21:21, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    portknock например
     
  • 6.91, pansa (ok), 21:26, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
    > Зачем вы вообще наружу SSH выставляете?

    Хотя бы стандартный порт сменить - это отсеит 99% bf

     
     
  • 7.95, Аноним (-), 00:41, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
    >> Зачем вы вообще наружу SSH выставляете?
    > Хотя бы стандартный порт сменить - это отсеит 99% bf

    да не отсеивает оно его... А так ну пусть 5 паролей из словоря попробует, через неделю ещё 5...

     
  • 3.51, freehck (ok), 16:03, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже имею доступ к своим серверам по паролю. Пользуюсь этой возможностью в крайнем случае: если нет возможности зайти по ключу, а зайти надо.
     
  • 2.27, XoRe (ok), 14:17, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> for(i = 0; i < strlen(encrypted_string) / 2; i++) {
    > Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
    > серверах в XXI-ом веке. К тому же, про то, что кто-то
    > с сервера по паролю ходит на другие сервера.

    I have a bad news for you...
    Вы даже не представляете, сколько админов ни разу в жизни не настраивали доступ по ключу...

     
     
  • 3.31, backbone (ok), 14:24, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > I have a bad news for you...
    > Вы даже не представляете, сколько админов ни разу в жизни не настраивали
    > доступ по ключу...

    А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.

     
     
  • 4.69, XoRe (ok), 17:57, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> I have a bad news for you...
    >> Вы даже не представляете, сколько админов ни разу в жизни не настраивали
    >> доступ по ключу...
    > А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.

    Это если знать, что делать.
    Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь.
    Кучу людей делали по статье из инета, не понимая, что они делают.

     
     
  • 5.70, backbone (ok), 18:03, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это если знать, что делать.
    > Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь.
    > Кучу людей делали по статье из инета, не понимая, что они делают.

    Ну, если взломают их сервер, то будет уроком - наймут специалиста для решения данной задачи. Либо, ещё лучше, начнут вникать в проблему.

     
  • 2.43, Аноним (-), 15:30, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
    > серверах в XXI-ом веке.

    Правильно, используйте ключи - их на автомате пи...ть проще :).

     
     
  • 3.44, backbone (ok), 15:36, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
    >> серверах в XXI-ом веке.
    > Правильно, используйте ключи - их на автомате пи...ть проще :).

    И храните их закрытую часть на сервере, да.

     
     
  • 4.45, Аноним (-), 15:48, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И храните их закрытую часть на сервере, да.

    Ну рулить то вы откуда-то будете, правда? А что помешает оттуда ключ свистнуть? На ключ конечно тоже пароль можно поставить, но если утверждается что пароль можно спереть - пароль на ключ тоже спереть можно. А вот гемора добавляется.

     
     
  • 5.47, backbone (ok), 15:56, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Преимуществ больше Во-первых, отсеиваются боты, перебирающие пароли, которым не... большой текст свёрнут, показать
     
     
  • 6.62, Адекват (ok), 17:31, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан

    Ничего мы не узнаем - почистят нам логи и поставят бекдор за полсекунды, так все сделают что мы подумать не сможем что кто-то заходил :)

     
     
  • 7.64, backbone (ok), 17:33, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан
    > Ничего мы не узнаем - почистят нам логи и поставят бекдор за
    > полсекунды, так все сделают что мы подумать не сможем что кто-то
    > заходил :)

    Чтобы логи почистить, нужны локальные привилегии.

    Если это взлом не для организации ботнета, а целенаправленный, то на таких серверах неплохо бы удалённый лог писать.

     
  • 7.104, arisu (ok), 08:49, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ничего мы не узнаем - почистят нам логи и поставят бекдор за
    > полсекунды, так все сделают что мы подумать не сможем что кто-то
    > заходил :)

    а что, отправлять логи на другой сервер уже немодно?

     
  • 6.77, Аноним (-), 18:45, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Преимуществ больше.

    ORLY? :)
    > Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации.

    Логин нэйм нужен по любому. И это два.
    (Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :)
    Если у вас до сих пор против этого нет защиты sshguard, fail2ban - да мильЁн их! - вы тоже буратина.

    Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа, с ремарками пр идиотов выше.

     
     
  • 7.79, backbone (ok), 18:51, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ORLY? :)

    Ну да, и я написал только то, что сразу в голову пришло.

    >> Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации.
    > Логин нэйм нужен по любому. И это два.

    Бот его подбирает. Посмотрите /var/log/messages.

    > (Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :)

    Не всегда это так. Если настроить PAM и вход с определённого IP, то это может быть полезно для бэкапов.

    > Если у вас до сих пор против этого нет защиты sshguard, fail2ban
    > - да мильЁн их! - вы тоже буратина.

    Вы тоже, если полагаетесь исключительно на временные блокировщики.

    > Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа,
    > с ремарками пр идиотов выше.

    ну-ну

     
  • 6.115, Anonym2 (?), 09:40, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно
    > никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее
    > данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что
    > он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие
    > порты и вообще за NAT.
    > Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан
    > (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с
    > паролем так не получится. Если злоумышленник получил доступ к вашему ПК,
    > то для него нет особой разницы - ставить кейлоггер или воровать
    > ключ.

    Секретней ключа ещё только лицензионная электронная цифросепулька. (юмор, сарказм и так далее).

     
  • 5.53, freehck (ok), 16:07, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> И храните их закрытую часть на сервере, да.
    > Ну рулить то вы откуда-то будете, правда?

    Есть такая штука, называется пробросом ssh. Она как раз позволяет ходить туда-сюда по серверам, не держа на них отдельной копии закрытого ключа.

     
     
  • 6.76, Аноним (-), 18:39, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Че?
     
     
  • 7.108, oraerkx (?), 14:26, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ssh-agent forwarding
     
  • 3.52, freehck (ok), 16:05, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
    >> серверах в XXI-ом веке.
    > Правильно, используйте ключи - их на автомате пи...ть проще :).

    Да. Вот зайду я на вражеский сервер, сворую оттуда открытый ключ, и положу его на своём, чтобы вражина мог на мой сервер зайти и попасть в мои хитроумные ловушки. :)

     

  • 1.29, XoRe (ok), 14:19, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дополнительный пинок к переходу на запароленные ssh ключи.
    Вместе с ssh agent это даже удобнее, чем пароли.
    Не говоря о безопасности.
    Хотя... скорее это пинок к изучению документации по ключам.
    А то бездумное использование тоже чревато.

    P.S.
    Что-то мельчают тролли на опеннете.
    Ни одного возгласа "linux - решето!!!111".

     
     
  • 2.38, Andrey Mitrofanov (?), 14:58, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Дополнительный пинок к переходу на запароленные ssh ключи.
    > Вместе с ssh agent это даже удобнее, чем пароли.
    > Не говоря о безопасности.
    >Хотя... скорее это пинок к изучению документации по ключам.
    > А то бездумное использование тоже чревато.

    соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована форвард-машина -> скажи ключу до свидания (безо всякого пароля)

    бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connections.html
    скрипты с соединениями по ssh с ключами вызывают трепет.
    а ещё мастер-сокеты...

     
     
  • 3.67, XoRe (ok), 17:54, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована
    > форвард-машина -> скажи ключу до свидания (безо всякого пароля)

    Не совсем понял, как можно увести ключ при форвардинге.
    А вот выполнить команды - да, дыра.
    Как вариант - зловред может сгенерить свой ключ и разложить его везде, пользуясь форвардингом.

    > бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connections.html
    > скрипты с соединениями по ssh с ключами вызывают трепет.
    > а ещё мастер-сокеты...

    Спасибо, буду знать.

     
     
  • 4.80, Andrey Mitrofanov (?), 18:57, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не совсем понял, как можно увести ключ при форвардинге.

    Имел в виду, если включён форвард ssh-agent-а -- как по ссылке ниже.
    Впрочем, эти зловреды ключами не заморачиваются. Пока, видимо.

    >> бди! ssh-agent -c, blog.endpoint.com/2014/03/scripting-ssh-master-connections.html
    > Спасибо, буду знать.

    Не-не, я нагнетаю и труню. Я не источник знаний! Я настаиваю. :>

     
  • 2.63, SergMarkov (ok), 17:32, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ни одного возгласа "linux - решето!!!111".

    А зачем ? :-) решета не нада, достататочна одын дырка, чтоб оказаться в г.. :-)

     

  • 1.30, vi (?), 14:23, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов

    За что им только деньги плотятЪ?
    Даже мои тапочки чуть не лопнули от смеха ;)
    Это же надо за три года 25 т. серверов, с оффтопиком за 15 минут можно миллионы накрутить ;)

     
  • 1.33, Аноним (-), 14:31, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2 вопроса:
    1) как можно перхватить пароль пароль? Я думал, что для ssh его не перехватить даже если сеть доступна и всякие "злые люди между тобой и сервером".
    Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги. Тогда как они заменяют на них модули и апач если у юзера нет прав?
    2) Чего eset 2 года молчал? Безуспешно пытался наваять защиту замалчивая проблему, но т к не потятнул, то решил просто попиариться?
     
     
  • 2.34, тоже Аноним (ok), 14:44, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус на Линукс-серверах по-прежнему нахрен не нужен.
     
     
  • 3.66, Адекват (ok), 17:37, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус
    > на Линукс-серверах по-прежнему нахрен не нужен.

    Нет, ну почему же ? ClamAv для проверки ворд-эксель-поверпоинт и прочее для виндовс-машинв корпоративной сети же.

     
  • 2.39, Аноним (-), 14:58, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На винде перехватывают ввод пароля при помощи кейлоггера, а на сервере перехваты... большой текст свёрнут, показать
     
     
  • 3.48, vi (?), 15:58, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> 1) как можно перхватить пароль пароль? Я думал, что для ssh его
    >> не перехватить даже если сеть доступна и всякие "злые люди между
    >> тобой и сервером".
    > На винде перехватывают ввод пароля при помощи кейлоггера,

    Тут все понятно.
    > а на сервере перехватывают
    > пароль входа на другой сервер через подмену утилиты ssh.

    Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир? :(
    Может загружать в свой хомяк статически слинкованный клиент ssh?

    >> Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги.
    > Если пользователь зашёл на внешнюю систему по ключу, но с использованием троянской
    > утилиты ssh, то злодей получит и ключи удалённой строны.

    Немного слаб в этой теме. Попроще, каким образом?

    >> Тогда как они заменяют на них модули и апач если у
    >> юзера нет прав?
    > Видимо модуль внедряют на системах с root/root, входомами под root через ssh
    > или с открытым доступом через sudo. На остальных просто спамерский бот
    > ставят.

    Все может быть. Но как лучше мониторить? Простые методы вперед.

     
     
  • 4.50, vi (?), 16:01, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/

    >> а на сервере перехватывают
    >> пароль входа на другой сервер через подмену утилиты ssh.
    > Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир?
    > :(
    > Может загружать в свой хомяк статически слинкованный клиент ssh?

    Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или я не прав).

     
     
  • 5.74, Andrey Mitrofanov (?), 18:32, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> а на сервере перехватывают
    >>> пароль входа на другой сервер через подмену утилиты ssh.
    >> Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир?
    >> :(
    >> Может загружать в свой хомяк статически слинкованный клиент ssh?

    Не пускай там ssh (ssh.conf+ProxyCommand+netcat и второй ssh - тоже твой локальный). Не форварди агента. Не... ходи в интернеты. Не смотри прон. Не возжелай.... ЭЭЭэ, о чём это мы??

    > Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или
    > я не прав).

    Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли, вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh от локального агента.

     
     
  • 6.94, freehck (ok), 00:25, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для
    > соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли,
    > вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh
    > от локального агента.

    Андрей, если бы оно ТАК работало, это было бы по меньшей мере глупо.
    Вот хорошая статья на этот счёт: http://www.clockwork.net/blog/2012/09/28/602/ssh_agent_hijacking

     
     
  • 7.116, Andrey Mitrofanov (?), 19:16, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для
    > Андрей, если бы оно ТАК работало,
    > Вот хорошая статья на этот счёт:

    Спасибо. Я нёс полную чушь, признаю.

    Private ключ не унесут. Могут рас- или зашифровать с его использованием любое сообщение или залогиниться по нему на любой сервер, где это прокатит. //Правильно эти ботнетчики не заморачиваются. Пока root пароли снифятся, чего в эту криптографию лезть.

     

  • 1.37, skb7 (ok), 14:52, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей

    Это единственное, о чем было бы интересно почитать. Когда есть пароль -- можно делать что хочешь.

     
  • 1.41, Аноним (-), 15:06, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Замечена еще какая-то хрень. Чаще всего на бсдшных машинах из exUSSR прется (RU, UA). На зараженных хостах ставится 3proxy, слушающий на 1080 и 8080, требует авторизацию. Достаточно глупые дроны ботнета ломятся в несколько IRC сетей, в виде которых ботнет неплохо демаскируется благодаря крайне глупой логике, вызывающей анноянс у посетителей каналов :). Используют слова русского происхождения для ников. Это что за выводок? Явно exUSSRовское творчество.
     
  • 1.56, dimasp (?), 16:56, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично
    вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме.  
    с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено.
    и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M.
    и пока живу так, отслеживая изменение файлов в tripwire.
     
  • 1.58, Адекват (ok), 17:09, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К слову о скриптах - скрипты они такие, что каждый админ пишет под себя, и велика доля вероятности что другой админ их  сделает, а другой не разберет, тем более что кто-то предпочитает bash, кто-то perl, а кто-то питон.
    А вот "специально придуманные для этого инструменты, не велосипеды", типа веб-морд-управлялок на php+*sql - тут да, один админ настроит и все остальные админы разберутся.
    Это было мое большое ИМХО, спасибо за внимание :)
     
  • 1.61, SergMarkov (ok), 17:30, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "против лома нет приема" © - можно иметь теоретически безупречную ось и кривую систему идентификации и q-q
     
     
  • 2.86, Сергей (??), 20:26, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > можно иметь теоретически безупречную ось

    и кривой маздай у админа

     

  • 1.73, Аноним (-), 18:09, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор при компиляции бинарника и выложить этот бинарник в репозиторий. через пару дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте найти иголку в стоге сена ^^
     
     
  • 2.85, Аноним (-), 20:01, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор
    > при компиляции бинарника и выложить этот бинарник в репозиторий. через пару
    > дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте
    > найти иголку в стоге сена ^^

    самая подстава в том что хозяин репа может и не знать что в его датацентр приходили компетентные люди.

     

  • 1.83, anonymous (??), 19:35, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >модуль рассылки спама был написан на Perl

    На самом деле это обычный почтовый клиент - там просто в 14 строчке один символ похерился.

     
  • 1.84, EuPhobos (ok), 19:53, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде ненадёжных паролей и проё**ных ключей!

    Когда же хомячки вирус-ОС ..эмм виндус-ОС наконец перестанут клепать жёлтые новости про Unixоподобные)

     
     
  • 2.100, Чепукот (?), 07:37, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде

    пользователей...

     
  • 2.109, клоун Стаканчик (?), 17:49, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Падение меньше, чем на 50% считаем ростом. 25 тысяч заражённых серверов считаем незаражёнными, т.к. метод заражения не утверждён синодом как каноничный. Что дальше?
     

  • 1.98, Пушистик (ok), 06:45, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и параноики же работают в этой компании ESET.
    Надо же слепить в кучу тысячи несвязанных между собой атак и взломов. Да ещё и кернел.орг и линукс фоундейшен сюда же прилепили.
     
  • 1.101, arisu (ok), 08:37, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    учишь эникейщиков не вводить никакие пароли в винду, учишь — а толку…
     
  • 1.102, lucentcode (ok), 08:45, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то та часть, что касается подмены одной из либ SSH очень мне напоминает Linux/Ebury, с которым у всех сейчас головняка хватает. Хорошо хоть, что факт заражения несложно обнаружить.
     
  • 1.106, Аноним (-), 11:41, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    25000 серверов. А сколько это от общего количества? Капля в море или ощутимое количество?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру