OpenForum RSS: В Сети зафиксирован массовый взлом серверов на базе Linux https://opennet.ru/openforum/vsluhforumID3/88727.html Третий день в Сети наблюдается (http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9/) массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов. Среди взломанных систем отмечаются серверы на базе CentOS и других дистрибутивов на основе пакетной базы RHEL, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin и Plesk, пока не ясно могут ли они быть источником проникновения.<br><br><br>В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используем И как нельзя КСТАТИ (AlexAT) https://opennet.ru/openforum/vsluhforumID3/88727.html#740 Tue, 26 Mar 2013 03:16:33 GMT &gt;&gt; А буратино-то был ближе к истине, чем втикетызрящий: <br>&gt; и я :) http://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?quote=not_empty&az=post&forum=vsluhforumID3&om=88727&omm=670 <br><br>Да, мне кажется, все более-менее вменяемые сразу показали пальцем на быдлопанели и Windows...<br> И как нельзя КСТАТИ (Dvorkin) https://opennet.ru/openforum/vsluhforumID3/88727.html#739 Mon, 25 Mar 2013 04:02:57 GMT &gt; А буратино-то был ближе к истине, чем втикетызрящий: <br><br>и я :) http://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?quote=not_empty&az=post&forum=vsluhforumID3&om=88727&omm=670<br> В Сети зафиксирован массовый взлом серверов на базе Linux (PereresusNeVlezaetBuggy) https://opennet.ru/openforum/vsluhforumID3/88727.html#738 Sat, 23 Mar 2013 12:00:56 GMT &gt;&gt; Пардоньте - все что закрыто за последнее время - это тесты к <br>&gt;&gt; MySQL. по вполне себе адекватным причинам.<br>&gt; Спасибо, теперь я как майнтейнер MySQL в альте всерьёз раздумываю оставить его <br>&gt; "про запас" и передать приоритет MariaDB (сборка уже давно есть).<br><br>В опёнке уже полным ходом тестируется переезд на MariaDB. :) В 5.4 MySQL, скорее всего, просто выпилят, оставив путь для миграции. Ибо в Oracle слишком долго и мутно чинят баги, в том числе секурные.<br> И как нельзя КСТАТИ (Michael Shigorin) https://opennet.ru/openforum/vsluhforumID3/88727.html#737 Fri, 22 Mar 2013 16:49:30 GMT &gt; святое - это стопка тикетов в службе поддержки.<br><br>А буратино-то был ближе к истине, чем втикетызрящий:<br><br>---<br>Вот ветка форума, где обсуждался этот руткит:<br><br> http://www.webhostingtalk.com/showthread.php?t=1235797&page=84<br><br>Как раз на этой странице появились сообщения, что компания cPanel<br>признала факт взлома их серверов, использовавшихся отделом техподдержки,<br>а в базах там лежало множество паролей, предоставленных клиентами cPanel<br>для доступа техподдержки к их серверам; так что для последующего<br>внедрения руткитов на эти сервера не потребовалось искать там<br>уязвимости. Кроме того, в некоторых случаях обнаруживали вредоносное<br>ПО, похищающее пароли, на компьютерах с Windows, использовавшихся для<br>администрирования серверов, где впоследствии был обнаружен руткит.<br>--- http://lists.altlinux.org/pipermail/smoke-room/2013-March/062019.html<br> В Сети зафиксирован массовый взлом серверов на базе Linux (Michael Shigorin) https://opennet.ru/openforum/vsluhforumID3/88727.html#736 Thu, 14 Mar 2013 14:25:06 GMT &gt; +1 у меня сломали сервак =( <br><br>А у меня -- нет...<br> В Сети зафиксирован массовый взлом серверов на базе Linux (AlexAT) https://opennet.ru/openforum/vsluhforumID3/88727.html#735 Thu, 14 Mar 2013 14:04:37 GMT &gt; +1 у меня сломали сервак =( <br><br>-1<br> В Сети зафиксирован массовый взлом серверов на базе Linux (arisu) https://opennet.ru/openforum/vsluhforumID3/88727.html#734 Thu, 14 Mar 2013 14:00:35 GMT &gt; +1 у меня сломали сервак =( <br><br>что, вынули из стойки и уронили? бывает.<br> В Сети зафиксирован массовый взлом серверов на базе Linux (manefesto) https://opennet.ru/openforum/vsluhforumID3/88727.html#733 Thu, 14 Mar 2013 13:56:02 GMT +1 у меня сломали сервак =(<br> В Сети зафиксирован массовый взлом серверов на базе Linux (playnet) https://opennet.ru/openforum/vsluhforumID3/88727.html#732 Mon, 04 Mar 2013 20:40:33 GMT &gt; так елки-палки. все же просто.<br>&gt; svnadmin create /tmp/c00lrepo <br>&gt; в репо пихаешь файликов несколькими коммитами, пытаешься заменить файл. этого я от <br>&gt; тебя жду;-) без "я вижу" и "я не вижу". нужны факты. <br>&gt; команда1...командаN. рез-т = левый файл в репо, так чтобы это стало <br>&gt; незаметно для меня, делающего update оттуда.<br><br>Я такое штатно делал, когда добавлял в 1 ревизию (их уже 3000 было) каталог транк и перетягивал туда всё. Дамп, vi, замена регэкспом, сохранить, влить. Правда в 1.6, а в 1.7 появились md5, и их было влом пересчитывать для всех файлов. Но за пару дней я мог бы написать скрипт, который вносит правки, пересчитывает длины строк итд.<br>