The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.03.2014 23:11  Червь Darlloz поразил около 32 тысяч систем на базе Linux

Компания Symantec провела анализ степени поражения систем червём Linux.Darlloz. Червь был выявлен в ноябре прошлого года и воспринимался как малоопасный прототип, так как для его распространения использовалась база из около десятка типовых паролей и эксплоит для уязвимости в CGI-режиме PHP, исправленной два года назад. Тем не менее, сканирование всего диапазона IP-адресов, показало, что червём Linux.Darlloz уже поражено почти 32 тысяч систем.

Присутствие червя удалось идентифицировать благодаря тому, что после проникновения в систему червь запускает http-сервер на порту 58455 и отдаёт исполняемый файл со своей копией по фиксированному пути. Червь изначально рассчитан на поражение устройств, постоянно подключенных к сети и остающихся без внимания пользователей, которые часто оставляют неизменными заводские параметры входа. В частности, червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC. Тем не менее, 43% поражённых систем составили работающие под управлением Linux компьютеры и серверы на базе архитектуры x86, и только 38% - специализированные устройства.

Интересно, что в качестве одной из функций червя является майнинг криптовалюты Mincoins и Dogecoins, который выполняется только на Linux-системах с архитектурой x86 и не затрагивает специализированные устройства. При этом злоумышленникам удалось заработать на майнинге всего около 200 долларов.

Дополнительно, можно отметить сообщение в блоге компании Cisco об увеличении интенсивности атак, направленных на поражение давно не обновляемых web-серверов на базе Linux, использующих устаревшие версии ПО. За последние дни выявлено 2700 поражённых систем, при этом 17 и 18 марта фиксировалось поражение около 400 новых хостов в день. После получения контроля над системой, вредоносное ПО осуществляет подстановку платной рекламы и кода для поражения клиентских систем на страницы сайтов, размещённые на поражённой системе. Предполагается для для распространения вредоносного ПО используется какая-то удалённая уязвимость, исправленная в свежих версиях серверного ПО, но проявляющаяся на устаревших системах.

Также выявлены новые варианты вредоносного ПО, поражающего устаревшие системы, подверженные уязвимости в CGI-режиме PHP. Анализ показал, что около 16% всех сайтов используют устаревшие версии PHP (5.3.12- и 5.4.2-), в которых не исправлена уязвимость (не сообщается сколько из этих сайтов использует PHP в режиме CGI и подвержены применению эксплоита).

  1. Главная ссылка к новости (http://www.symantec.com/connec...)
  2. OpenNews: Выявлен червь, поражающий сетевые устройства на базе Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: worm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 23:21, 21/03/2014 [ответить] [смотреть все]
  • +15 +/
    > эксплоит для уязвимости с CGI-режиме PHP, исправленной два года назад.

    Прекрасная иллюстрация последствий применения концепции "поставил и забыл".
    А также - неплохая оценка распространенности этой концепции в современном мире.

     
     
  • 2.3, Анони, 23:40, 21/03/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    > концепции "поставил и забыл".

    "осилил и отметил"

     
  • 2.73, Tav, 04:35, 24/03/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Поставил и забыл 8212 в идеале так и должно быть, но для этого нужно качест... весь текст скрыт [показать] [показать ветку]
     
  • 2.82, Buy, 18:13, 25/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Поставил и забыл - это всего лиш афоризм А не практическое правило Любой нор... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Darlloz, 23:34, 21/03/2014 [ответить] [смотреть все]  
  • +11 +/
    Я хотел миллионы срубить, а срубил токо 200 баксов:(
     
     
  • 2.4, Наивный чукотский юноша, 00:10, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +12 +/
    Поражён твоей неудачей
     
     
  • 3.22, Аноним, 04:40, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Да там вон тоже какие-то ботоводы пускали ботов Они в freenode лезли Ну а наро... весь текст скрыт [показать]
     
  • 2.14, Карбофос, 01:26, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    точно также думают начинающие айти воротилы , поступающие на факультеты информа... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, 3591358536343619, 02:58, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ты представитель компании Symantec, автор Linux Darlloz ... весь текст скрыт [показать] [показать ветку]
     
  • 2.21, Рыбак_из_Припяти, 03:02, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Купи на эти деньги пиццу.
     
  • 2.26, Аноним, 04:52, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > а срубил токо 200 баксов:(

    FAIL, чо!

     
  • 2.77, XoRe, 21:07, 24/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Переезжай в страны африки азии, там это получше, чем токо Ещё вариант - напи... весь текст скрыт [показать] [показать ветку]
     
  • 2.81, vanoc, 10:18, 25/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мне интересно, как они определили сумму?
     
  • 1.5, AlexYeCu, 00:15, 22/03/2014 [ответить] [смотреть все]  
  • +/
    >червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтеры

    Проще говоря все те устройства, в которые криворукие разрабы вместо нормального линукса засунули какую-нибудь увечную хренотень с бэкдорами и несменяемыми заводскими паролями.

     
     
  • 2.6, Аноним, 00:18, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Да-да, во всем виноваты разработчики устройств Особенно в бэкдоре PHP И несмен... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, ананим, 01:10, 22/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    фифти-фифти Но около десятка типовых паролей 8212 феерично ... весь текст скрыт [показать]
     
  • 2.51, linux must _RIP__, 22:01, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    а как же хваленая защита Linux? ну там selinux и все такое..
     
     
  • 3.57, Аноним, 00:01, 23/03/2014 [^] [ответить] [смотреть все]  
  • +/
    selinux могли и отрубить. умников, которые это делают - полно.
     
  • 1.7, EuPhobos, 00:25, 22/03/2014 [ответить] [смотреть все]  
  • +12 +/
    Почему все такие жёлтые новости в плане "Поражение линукс систем путём подбора паролей" или "незакрытых двугодичных уязвимостей", на опеннете попадают в ветку Главные новости ?
     
     
  • 2.8, Аноним, 00:35, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Потому, что червь заразил 32000 устройств на линуксе Не юзер же виноват, что на... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, ананим, 01:07, 22/03/2014 [^] [ответить] [смотреть все]  
  • +4 +/
    Ты новость то читал Или для тебя что php, что ssh это одно и тоже Пых между пр... весь текст скрыт [показать]
     
  • 3.11, Michael Shigorin, 01:12, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    > винды поражаются по схожим причинам

    Отнюдь.

     
  • 3.12, EuPhobos, 01:14, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Опустим всё остальное, и разберём данное предложение А кто виноват Кто з... весь текст скрыт [показать]
     
     
  • 4.13, Michael Shigorin, 01:23, 22/03/2014 [^] [ответить] [смотреть все]  
  • +7 +/
    > cat /etc/ssh/sshd_config | sed 's/Port 22/Port 777/g' > /etc/ssh/sshd_config

    Во-первых, это приведёт к пустому /etc/ssh/sshd_config;
    во-вторых, useless use of cat(1);
    в-третьих, sed -i уже давно есть.

     
     
  • 5.16, EuPhobos, 01:51, 22/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну хорошо, можно сделать и так cat etc ssh sshd_config 124 sed s Port 22 P... весь текст скрыт [показать]
     
     
  • 6.29, andy, 08:40, 22/03/2014 [^] [ответить] [смотреть все]  
  • +10 +/
    Все рано через жопу.
    sed -in 's/Port 22/Port 777/g' /etc/ssh/sshd_config,
    вот и все.
     
  • 4.15, asavah, 01:35, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Я этот метод использую, как защита от дурака W сканов известных портов работае... весь текст скрыт [показать]
     
     
  • 5.17, EuPhobos, 01:53, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Самое позитивное открыть порт только на IPv6, за месяцы работы сервака, даже не ... весь текст скрыт [показать]
     
     
  • 6.25, Аноним, 04:49, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    а потом, когда основной пров упадет, обломаться что у бэкапного ipv6 нет Во ... весь текст скрыт [показать]
     
     
  • 7.27, Андрей, 07:44, 22/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Хм... А почему у прова вообще IPv6 должен быть? o_O
     
     
  • 8.46, Золотой Молох, 18:13, 22/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Больше интересен вопрос, на кой хрен нужен провайдер без IPv6?
     
     
  • 9.63, Michael Shigorin, 15:55, 23/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Байтики гонять, мсье Даже если циске впился v6, это ещё не значит, что всем пр... весь текст скрыт [показать]
     
     
  • 10.65, Золотой Молох, 18:19, 23/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Я понимаю, что у вас там в AfriNIC адресов навалом, но нас тут в цивилизации от ... весь текст скрыт [показать]
     
     
  • 11.67, Michael Shigorin, 21:22, 23/03/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Как Вы полагаете, не наплевать ли мне на эту вашу сифилизацию Помирайте хоть п... весь текст скрыт [показать]
     
     
  • 12.68, Золотой Молох, 03:28, 24/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Хорошо, что от тебя не зависит принятие никаких решений А то дай волю таким вот... весь текст скрыт [показать]
     
     
  • 13.75, Michael Shigorin, 12:09, 24/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    У нынешних майдановцев другой аналогичный мем -- ты раб Впрочем, предлагаю ка... весь текст скрыт [показать]
     
     
  • 14.79, Золотой Молох, 01:59, 25/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Да уже рассудила по сути Tier 1 потихонечку внедряет Французы деплоят, румыны ... весь текст скрыт [показать]
     
  • 12.69, Network Protocols Nzi, 03:54, 24/03/2014 [^] [ответить] [смотреть все]  
  • +/
    За ломание протокольной логики надо расстреливать с особой жестокостью ... весь текст скрыт [показать]
     
  • 10.70, Аноним, 04:01, 24/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Учитывая что у V4 наступает душняк в плане адресов - вот извините По изначально... весь текст скрыт [показать]
     
  • 8.49, Аноним, 21:15, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Наверное, чтобы им пользоваться А то V4 адресов на всех не хватает, а сидеть в ... весь текст скрыт [показать]
     
     
  • 9.78, axe, 22:14, 24/03/2014 [^] [ответить] [смотреть все]  
  • +/
    из 1000 абонентов только один пользуется почтой не через веб И вообще можно гон... весь текст скрыт [показать]
     
     
  • 10.80, Золотой Молох, 02:01, 25/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Если провайдер не пользуется исключительно старым оборудованием, то IPv6 с больш... весь текст скрыт [показать]
     
  • 3.23, Аноним, 04:42, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну если ты поставишь rdesktop голым задом в интернет и пароль админа 123456 - гр... весь текст скрыт [показать]
     
  • 3.41, Аноним, 13:48, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    И юзер тоже виноват Хотя это и не снимает вины с производителя железки Не имее... весь текст скрыт [показать]
     
  • 2.19, Аноним, 02:49, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Потому что Dr Web, NOD32 и прочие производители антивирусов уже начинают серьёзн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, maximnik0, 23:10, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Как равны нулю Что есть статистика в открытом виде А если серьезно то откаты... весь текст скрыт [показать]
     
     
  • 4.55, umbr, 23:27, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Очень интересно А если антивирус стоит - то кто отвечает за такие косяки Каспе... весь текст скрыт [показать]
     
     
  • 5.56, maximnik0, 23:37, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Не знаю ,но доказать прокуратуре что предприняты меры по защите от вирусов легче... весь текст скрыт [показать]
     
     
  • 6.60, Аноним, 02:42, 23/03/2014 [^] [ответить] [смотреть все]  
  • +/
    А что мешает проверять почту clamav-ом на входе и выходе И накукуй для этого си... весь текст скрыт [показать]
     
  • 6.62, umbr, 13:50, 23/03/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    При этом что-то устанавливать вовсе не обязательно, достаточно показать документ... весь текст скрыт [показать]
     
     
  • 7.83, NikolayV81, 18:57, 26/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Это старая печалька, как монитор стоимостью 200 баксов за 2000-чи только потому ... весь текст скрыт [показать]
     
  • 3.64, Michael Shigorin, 15:57, 23/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Не порите чушь На опеннете такие новости полезны в качестве напоминалки прот... весь текст скрыт [показать]
     
  • 1.18, CssfPZS, 02:43, 22/03/2014 [ответить] [смотреть все]  
  • +6 +/
    Для ленивых краткое содержание новости:
    Symantec Хочет кушать,
    Symantec не смог ломануть Linux,
    Symantec занялся брутфорсом паролей и дырками в былосайтах,
    Symantec в угасающей надежде попытался запилить вирус попова,
    Symantec готов что угодно выдать за взлом именно Linux,
    Symantec просит наконец купить у них их блобозонд.

    P.S. Дураки должны страдать, для умных же есть SELinux/OSSEC/Snort и прочие
    инструменты для противодействия и обнаружения такого рода проблем.

     
     
  • 2.24, Аноним, 04:43, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    От глупых паролей не спасет ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Аноним, 08:30, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    fail2ban?
     
     
  • 4.71, Аноним, 04:03, 24/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Обычно ботнетики сканят с кучи разных айпи В пересчете на 1 IP активность низка... весь текст скрыт [показать]
     
  • 2.33, mihalych, 10:03, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не иначе как в Symantec барабанит, для статистики, очевидно же ... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, Sluggard, 09:07, 22/03/2014 [ответить] [смотреть все]  
  • +1 +/
    > В частности, червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC.

    Там что, есть PHP? О_о

     
     
  • 2.32, Аноним, 09:58, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    там есть admin/admin, admin/1234
     
     
  • 3.34, Sluggard, 10:10, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Это везде есть. И не лечится, видимо.
     
  • 1.35, Аноним, 10:17, 22/03/2014 [ответить] [смотреть все]  
  • +/
    Задолбали новости про Linux черви и вирусы Это не вирусы и червяки, а раздолбай... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 10:52, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Новости пишут такие же раздолбаи, которые нихрена не понимают в предмете В этом... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, тоже Аноним, 11:15, 22/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Те, кто приходят на нашу помойку все такие в белых перчатках - уходят все таки... весь текст скрыт [показать]
     
     
  • 4.38, Аноним, 11:31, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Червь вообще не имеет никакого отношения к поражению мозга тех ламеров, девайсы ... весь текст скрыт [показать]
     
  • 3.45, Адекват, 17:37, 22/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    И читают исключительно раздолбаи, вернее читают и верят тому что написано ... весь текст скрыт [показать]
     
  • 2.59, Аноним, 02:41, 23/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да ладно, бакланам все системы покорны Вон тут какая-то пачка ботов с бсдшных м... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, бедный буратино, 11:51, 22/03/2014 [ответить] [смотреть все]  
  • –1 +/
    урраа! признааание!
     
     
  • 2.42, Аноним, 14:29, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Признание убогости мышления 32000 человек, если предположить одно устройство на ... весь текст скрыт [показать] [показать ветку]
     
  • 1.44, ZloySergant, 16:33, 22/03/2014 [ответить] [смотреть все]  
  • +1 +/
    200 баксов? Куда задонатить, чтоб авторам не так стыдно было?
     
     
  • 2.48, Аноним, 20:36, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    wget http://114.33.85.166:58455/x86 && strings x86 | grep minerd
     
  • 1.47, Аноним, 19:40, 22/03/2014 [ответить] [смотреть все]  
  • +1 +/
    Ферма для mining на веб-камерах.
    :-)
     
     
  • 2.50, Аноним, 21:18, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А что, 200 баксов то не лишниее Пять старушек W W миллион вебкамов - уже рупь W... весь текст скрыт [показать] [показать ветку]
     
  • 1.52, Тот_Самый_Анонимус, 22:30, 22/03/2014 [ответить] [смотреть все]  
  • –3 +/
    Но и после этой новости будут чудики, утверждающие что вирусов под линь нету.
     
     
  • 2.54, mihalych, 23:17, 22/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Причём здесь линь? Вирус использует уязвимость в PHP, а он и под ваше вынь есть. К тому же её уже два года как закрыли, а кто забил на обновления, тот должен страдать. Так что вирусов под линь таки нет.
     
  • 2.76, tonys, 18:33, 24/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вирус под Линукс должен обладать как минимум следующими характеристиками:
    1. Уметь работать под системой любой битности и на любом типе процессора.
    2. Не требовать рутовских(админских) прав.
    3. Работать на системе из коробки, а не на той на которой уже установлен прикладной софт.
    4. Уметь работать на системе с установленными актуальными обновлениями безопасности.
    5. Обходить механизм sudo(uac).

    Пока такие вирусы есть только под Винду.

     
  • 1.58, pavlinux, 02:27, 23/03/2014 [ответить] [смотреть все]  
  • +/
    Ой, у Семантека опять чтоль продажи падают?
     
     
  • 2.61, Аноним, 12:49, 23/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Что-что Если продажи антивируса для Linux до этого были равны нулю то как тогод... весь текст скрыт [показать] [показать ветку]
     
  • 1.66, Аноним, 20:59, 23/03/2014 [ответить] [смотреть все]  
  • –1 +/
    Есть какой-нибудь онлайн-сервис для сканирования всего интернета?
     
     
  • 2.72, Аноним, 04:05, 24/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да Покупаешь сервак с гигабитным каналом это у нас будет онлайн сервис и запу... весь текст скрыт [показать] [показать ветку]
     
  • 1.74, Потерпевший, 10:02, 24/03/2014 [ответить] [смотреть все]  
  • +/
    И это свидетельствует о серьезном росте популярности linux, я считаю.

    P.S Меняйте пароли хотя бы раз в месяц и ставьте исправления безопасности. Слово "linux" не защищает от глупостей типа "admin admin", троянов и древних дырок.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor