The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.07.2014 23:53  Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD

Группа исследователей из компании Яндекс опубликовала результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновения через эксплуатацию уязвимостей в web-приложениях. Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицированных вредоносным ПО узлов ботнета.

Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в web-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме разделяемой библиотеки libworker.so, обладающей достаточно богатой функциональностью. Интерес представляет метод запуска вредоносного ПО: выполняется штатная системная утилита /usr/bin/host с выставленным флагом LD_PRELOAD=libworker.so, при этом в библиотеке libworker.so переопределяется функция exit(). Используемые в процессе работы Mayhem файлы и плагины сохраняются в файле ".sd0", внутри которого создаётся образ ФС в формате FAT (применяется открытая библиотека fat_filelib).

Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форме разделяемых библиотек. Например, доступны плагины для выполнения таких действий, как сканирование сайтов на наличие уязвимостей, которые могут привести к выполнению стороннего PHP-кода, сбор данных о сайтах под управлением WordPress, подбор паролей методом перебора для сайтов под управлением популярных систем управления контентом и панелей управления, подбор параметров FTP-аккаунтов, извлечение различной информации со страниц сайтов.

В статье также приводятся некоторые выводы, обобщающие текущие тенденции:

  • Ботнеты, создаваемые на основе web-серверов, нашли собственную нишу монетизации, связанную с перебросом трафика, применением грязных методов поисковой оптимизации и использованием загрузок для организации атак.
  • Web-серверы более интересны для атаки, чем обычные пользовательские ПК, так как они очень редко перезагружаются, имеют более качественное сетевое соединение и обладают более высокой вычислительной мощностью.
  • На серверах хостинга часто не используются средства автоматической установки обновлений, многие web-мастеры и системные администраторы устанавливают обновления вручную с последующей проверкой корректности работы инфраструктуры.
  • Для типового сайта качественное сопровождение является дорогим удовольствием и web-мастеры не всегда уделяют внимание отслеживанию появления новых выпусков с устранением уязвимостей. Подобная практика приводит к существованию в Сети большого числа уязвимых web-серверов, которые легко атаковать и использовать в ботнете.
  • В *nix-системах не распространено использование антивирусов. Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.


  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
  2. OpenNews: Зафиксирован самораспространяющийся червь, поражающий серверы Apache Tomcat
  3. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
  4. OpenNews: На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd
  5. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
  6. OpenNews: Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:27, 20/07/2014 [ответить] [смотреть все]
  • +2 +/
    Endgame Singularity is a simulation of a true AI Go from computer to computer,... весь текст скрыт [показать]
     
     
  • 2.49, Аноним, 21:20, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    О да :)
    Ждём apotheosis? ;)
     
  • 1.2, metallica, 00:38, 20/07/2014 [ответить] [смотреть все]  
  • +4 +/
    Молодцы яндексоиды. Ждём инфу о хотя бы одной молвари, реализованной
    как kernel thread. (в наличии таковых не сомневаемся)
     
     
  • 2.55, pavlinux, 23:47, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Бабушка, бабушка А ну нас в детском садике одмины - дябилы, они разрешают юзе... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, Andrey Mitrofanov, 09:32, 21/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    --Да, внучёк, таких только могила исправит Ишь ты, declare -r Они b man-bas... весь текст скрыт [показать]
     
     
  • 4.78, pavlinux, 20:21, 21/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    bash --noprofile unset LD_PRELOAD bash unset LD_PRELOAD не могу сбросить ... весь текст скрыт [показать]
     
     
  • 5.83, Andrey Mitrofanov, 20:55, 21/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Тогда забыл ещё bashrc прогрепить, ага bash --login --noprofile_ Начинай баши... весь текст скрыт [показать]
     
     
  • 6.86, pavlinux, 23:16, 21/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Хрен вам alias bash _bash bash -- _bash куда всунуть глобальный ... весь текст скрыт [показать]
     
     
  • 7.89, Andrey Mitrofanov, 09:54, 22/07/2014 [^] [ответить] [смотреть все]  
  • +/
    bash --version exit bin bash --version GNU bash, version 4 2 37 1 -releas... весь текст скрыт [показать]
     
     
  • 8.90, pavlinux, 22:44, 23/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Это что было После exit у тя logout должен случиться ... весь текст скрыт [показать]
     
  • 3.65, Аноним, 10:53, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Я не понял, а как ты это запретить можешь Технически, переменные окружения - не... весь текст скрыт [показать]
     
     
  • 4.79, pavlinux, 20:29, 21/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    > Мне интересно, право :)

    Да, ты прав, ты смешно - man mprotect

     
     
  • 5.93, Аноним, 00:33, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Не поможет parent процесс полностью формирует child-у окружение, в том числе пе... весь текст скрыт [показать]
     
  • 3.71, Аноним, 11:05, 21/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Если это дефолтное поведение, то называл дiбилами создаталей всех дистрибутивов ... весь текст скрыт [показать]
     
     
  • 4.80, pavlinux, 20:37, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    > Если это дефолтное поведение,

    Нет. Дефолтный Linux - дырявее венды

     
     
  • 5.94, Аноним, 00:34, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Да не звизди, в винде тоже прелоад есть, при том 99 админов даже не знает где ... весь текст скрыт [показать]
     
  • 4.92, bOOster, 08:45, 26/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    А че Линус дистрибутив собирает???
     
  • 3.91, XoRe, 11:42, 25/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Уважаемый, вы сами придумали, что зловред запускает bash, а потом набросились на... весь текст скрыт [показать]
     
  • 1.3, lucentcode, 01:07, 20/07/2014 [ответить] [смотреть все]  
  • –4 +/
    Встречал файлы sd0, и подозрительные процессы host, запущенные от имени пользов... весь текст скрыт [показать]
     
     
     
     
     
    Часть нити удалена модератором

  • 5.36, Адекват, 14:59, 20/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну почему же дурь, если его архитектура изначально предполагает защиту в виде ра... весь текст скрыт [показать]
     
     
  • 6.50, Аноним, 22:18, 20/07/2014 [^] [ответить] [смотреть все]  
  • –3 +/
    gt оверквотинг удален Sudo это окаменевшее гогно мамонта Мсье слыхал о RBAC ... весь текст скрыт [показать]
     
     
  • 7.61, Аноним, 10:31, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Слыхали, как же Много кластерфака на ровном месте Энтерпрайзно и все такое И ... весь текст скрыт [показать]
     
  • 7.64, arisu, 10:52, 21/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    а мсье в курсе, что чем сложнее системы защиты, тем больше потенциальная площадь... весь текст скрыт [показать]
     
     
  • 8.66, Аноним, 10:55, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    В системе ugo по крайней мере можно без поллитры понять кому и что можно.
     
  • 6.85, Аноним, 22:52, 21/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Был ли за всю историю линуксов эксплоит дающи ремоте рут, ну или хотя бы ремоте ... весь текст скрыт [показать]
     
  • 1.4, lucentcode, 01:10, 20/07/2014 [ответить] [смотреть все]  
  • –6 +/
    Не правда, в nix-системах народ использует свободное антивирусное ПО для поиска... весь текст скрыт [показать]
     
     
  • 2.11, maestromony, 03:17, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Имхо антивирь в линуксе нужен только на серверах с файлопомойкой. Да и то, чтобы не распространять заразу, загруженную туда другими пользователями, а не для самозащиты...
     
  • 2.15, YetAnotherOnanym, 09:14, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Свободное антивирусное ПО - это Clam Увы, там тоже не всё радужно Несколько ра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, 123, 17:20, 20/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Да уж, Clam почти на все exe-шники ругается При том, что остальные антивири нич... весь текст скрыт [показать]
     
     
  • 4.44, arisu, 17:38, 20/07/2014 [^] [ответить] [смотреть все]  
  • +4 +/
    правильно делает всё равно софт под винду 8212 это или троян, или такой быдл... весь текст скрыт [показать]
     
  • 4.51, Аноним, 22:18, 20/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Как настроишь ... весь текст скрыт [показать]
     
  • 4.95, Аноним, 00:35, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    > Любой запаковщик - это уже "подозрение".

    ЧСХ, не так уж и необоснованно...

     
  • 1.5, arisu, 01:56, 20/07/2014 [ответить] [смотреть все]  
  • +/
    LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера. те, у кого это работает, должны пойти на удобрения.

    p.s. «на софтину, принадлежащую руту», само собой, а не на suid.

     
     
  • 2.9, Аноним, 02:55, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да вы батенька наркоман. Еще suid-бит с passwd снимите, дабы безопасней было.
     
     
  • 3.16, arisu, 10:48, 20/07/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    а, ну да те, у кого эксплойт не работает 8212 те наркоманы и вообще 8212 ... весь текст скрыт [показать]
     
  • 3.18, arisu, 10:53, 20/07/2014 [^] [ответить] [смотреть все]  
  • +5 +/
    а теперь, если тебе не сложно, будь любезен, поясни зачем пользователю www прав... весь текст скрыт [показать]
     
     
  • 4.27, Нанобот, 13:07, 20/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    btw а разве есть способ отключить LD_PRELOAD а то гугл что-то мне ничего толк... весь текст скрыт [показать]
     
     
  • 5.28, arisu, 13:16, 20/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    для setcap нутых бинарей отключается при помощи патча к ld so ограничивается з... весь текст скрыт [показать]
     
  • 5.37, Адекват, 15:07, 20/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    если я не ошибасюь, то LD_PRELOAD это пререгатива чиста шеллов, типа bash, sh, в... весь текст скрыт [показать]
     
     
  • 6.45, Нанобот, 18:33, 20/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Да нет, LD_PRELOAD - фича откуда-то из недр libc
     
     
  • 7.46, arisu, 18:36, 20/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    а если конкретно 8212 из ld so, он же 171 dynamic linker 187 , он же 171... весь текст скрыт [показать]
     
  • 6.62, Аноним, 10:39, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Щаззззз Это фича загрузчика shared libs и переменные ВНЕЗАПНО можно выставлять ... весь текст скрыт [показать]
     
  • 2.67, Аноним, 11:00, 21/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А какая разница какая софтина и каталог Переменные - блок памяти с всяким гэ, о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.70, arisu, 11:05, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    как видишь по сплоету 8212 большая прикинь, а процесс таки проходит стадию д... весь текст скрыт [показать]
     
     
  • 4.96, Аноним, 00:40, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Да хрен там Спроси у гугли про azazel например Милая такая вещичка, на гитхабе... весь текст скрыт [показать]
     
     
  • 5.99, arisu, 12:36, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    я ни секунды не сомневался, что хабра 8212 сборище дегенератов ... весь текст скрыт [показать]
     
  • 1.10, ano, 03:11, 20/07/2014 [ответить] [смотреть все]  
  • –3 +/
    Я такое года 3-4 назад разбирал. У них руки только сейчас дошли что ли?
     
     
  • 2.52, Аноним, 22:19, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Пингвин - крупная нелетающая птица-тормозок ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 10:40, 21/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    А мальчику Билли форточку разбили ... весь текст скрыт [показать]
     
  • 1.12, cmp, 05:34, 20/07/2014 [ответить] [смотреть все]  
  • +1 +/
    если Web-мастеры админы сервера , то это логично, иначе если использовани... весь текст скрыт [показать]
     
  • 1.13, Аноним, 05:58, 20/07/2014 [ответить] [смотреть все]  
  • –2 +/
    Где можно скачать? Или опять на*издеть нап*здели, а попользоваться не дадут?!
     
     
  • 2.14, гость, 07:31, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Выставь в интернет уязвимую систему - само закачаться должно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 15:44, 20/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ок, а есть туториал как сделать уязвимую систему И через сколько времени она за... весь текст скрыт [показать]
     
     
  • 4.47, freehck, 18:38, 20/07/2014 [^] [ответить] [смотреть все]  
  • +/
    О, к сожалению, этого-то у нас лопатой грузить можно ... весь текст скрыт [показать]
     
  • 4.59, Аноним, 09:20, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    пароль для root/admin из словаря распространённых слов длиной до 4-6 букв
     
     
  • 5.72, тазовод, 11:17, 21/07/2014 [^] [ответить] [смотреть все]  
  • +/
    эээ это и есть используемый этим софтом способ поражения вредоносным ПО серверо... весь текст скрыт [показать]
     
  • 1.20, trdm, 11:47, 20/07/2014 [ответить] [смотреть все]  
  • –1 +/
    > Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.

    Можно парочку руководств на русском?

     
     
  • 2.53, Аноним, 22:19, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Учи английский Пригодится ... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, bOOster, 11:55, 20/07/2014 [ответить] [смотреть все]  
  • –1 +/
    securelevel+JAIL и Linux остается со зловредом один на один.
     
  • 1.34, Адекват, 14:50, 20/07/2014 [ответить] [смотреть все]  
  • –3 +/
    Ну и причем тут линукс тут при чем PHP и идиоты админы Эта зараза еще более... весь текст скрыт [показать]
     
     
  • 2.43, anonymous, 17:32, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А что, на винде можно сделать LD_PRELOAD libworker so usr bin host Это пускае... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, pavlinux, 23:54, 20/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Как два байта об асфальт http en wikipedia org wiki DLL_Injection http supp... весь текст скрыт [показать]
     
  • 3.69, Аноним, 11:05, 21/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    На винде техника подгрузки либ используется уже наверное лет 15 ... весь текст скрыт [показать]
     
     
  • 4.74, arisu, 11:29, 21/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    а работает до сих пор как говно и только с мегакостылями потому что аналога dls... весь текст скрыт [показать]
     
     
  • 5.97, Аноним, 00:42, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну ты же понимаешь, что хакеры не гордые - и так схавают Это разработчики там в... весь текст скрыт [показать]
     
  • 3.73, Аноним, 11:28, 21/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    На винде другие методы У меня штатно программа пишет и в системную папку любой ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.54, Аноним, 22:59, 20/07/2014 [ответить] [смотреть все]  
  • +/
    SELinux помогает против него?
     
     
  • 2.58, anonymous, 08:13, 21/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да.
     
  • 1.57, Какаянахренразница, 07:27, 21/07/2014 [ответить] [смотреть все]  
  • +3 +/
    Дайте скачать! А то один трёп во всех новостях...
     
     
  • 2.76, Аноним, 11:32, 21/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Потому что треп и есть типа секретных патентов Микрософта И профинансирован... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, arisu, 11:38, 21/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    нет, просто говноэникейщики ломанутся 171 антивирусы под линукс 187 покупать... весь текст скрыт [показать]
     
  • 1.81, Аноним, 20:48, 21/07/2014 [ответить] [смотреть все]  
  • +/
    > а сервер загружается PHP-скрипт

    Ну вы понели.

     
     
  • 2.87, Аноним, 07:17, 22/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У Web 2.0 две беды - PHP и JavaScript.
     
     
  • 3.88, arisu, 09:50, 22/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    у веб-два-ноль нет никаких бед, потому что никакого веб-два-ноль тоже нет.
     
     
  • 4.98, Аноним, 00:43, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    И промышленная революция - миф Слава робо W ишакам ... весь текст скрыт [показать]
     
     
  • 5.100, arisu, 12:39, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    ок. показывай этот самый 2.0. с интересом посмотрю.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList