https://www.opennet.me/openforum/vsluhforumID3/92667.html Компания Symantec в результате разбора атаки на одного из крупных хостинг-провайдеров выявила (http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol) новый вид бэкдора для Linux. Бэкдор выполнен в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов, таких как read, EVP_CipherInit, fork и ioctl. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений. <br><br><br>При работе бэкдор не сохраняет файлов, не создаёт сокетов и не инициирует сетевые соединения, прикрываясь в своей активности поражённым серверным процессом, что затрудняет его обнаружение. Управляющие команды передаются в составе штатного сетевого трафика, через интеграцию подставных блоков. Бэкдор отслеживает появление в нормальном, не вызывающем подозрение, трафике маску ":!;.", при обнаружении которой декодирует следующий за ней блок данных. Данные закодированы с ис https://www.opennet.me/openforum/vsluhforumID3/92667.html#114 Wed, 20 Nov 2013 17:18:13 GMT &gt; для особо тупых повторяю ещё раз: &#171;не надо запускать всякое непонятное говно, <br>&gt; найденое на помойке&#187;.<br><br>Легко называть всех тупыми, когда админишь только localhost :)<br>Когда начнете админить что-то публичное, поймете, о чем я.<br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#113 Mon, 18 Nov 2013 07:13:15 GMT &gt; вопрос был "как распространяется", а не "как может распространяться" <br><br>Как может так и будет, при необходимости.<br>Бэкдор найден в дикой природе, а не сделан в лаборатории. Пострадал лион клиентов и крупный хостинг. Щас вам все напишут после расследования.<br><br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#112 Mon, 18 Nov 2013 07:11:18 GMT Используется одна из туч уязвимостей, за тебя все успешно устанавливает злоумышленник, а потом ты ничего никогда не заметишь, т к уверен в собственной безопасности.<br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#111 Sun, 17 Nov 2013 19:31:58 GMT &gt; чукча не читатель..<br><br>Чукча, это вы с таким дурацким ником сидите? :)<br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#110 Sun, 17 Nov 2013 19:28:03 GMT &gt; что хочешь, а вот когда дело дойдет до хотера - они <br>&gt; гады предоставляют шеловый доступ.. и далеко не каждый запускает юзера в <br>&gt; отдельном контейнере.<br><br>Отлично, накоенец то поголовье извращенцев-пи...сов поубавится. Хотя-бы и при помощи невкусных пинков.<br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#109 Sun, 17 Nov 2013 19:26:53 GMT &gt; больше их ничего не интересует...<br><br>А уж сколько людей купилось на увещевания наперсточников на улице...<br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#108 Sun, 17 Nov 2013 17:31:14 GMT ну туда им и дорога. Когда уже эти тупые шареды передохнут...<br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#107 Sun, 17 Nov 2013 14:10:37 GMT Вот именно.<br>Вначале нужно как минимум стать рутом.<br><br>Так что сабж &#8212; это не бэкдор в линухе, а шибко умный (возможно бывший), но не чистый на руку админ из одной (только лишь) конторы.<br><br>В общем и не выиграл, и не в шахматы,... желтизна.<br> https://www.opennet.me/openforum/vsluhforumID3/92667.html#106 Sun, 17 Nov 2013 14:04:09 GMT Елки-палки, оно модифицирует запущенный процесс sshd, а бинарник системный ему не интересен. анализ дампа памяти процесса нужен для отслеживания этих изменений, а поймать модификацию бинарника можно штатными командами практически любого пакетного менеджера.<br>