OpenForum RSS: В результате атаки Windigo вредоносным ПО поражены более 25 ... https://m.opennet.dev/openforum/vsluhforumID3/94971.html Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-used-to-attack-over-500000-computers-daily-after-25000-unix-servers-hijacked-by-backdoor-trojan/) 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf), 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.<br><br><br>После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра (http://www.opennet.ru/opennews В результате атаки Windigo вредоносным ПО поражены более 25 ... (Уважаемый) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#117 Thu, 27 Mar 2014 19:43:21 GMT Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделаны?<br> В результате атаки Windigo вредоносным ПО поражены более 25 ... (Andrey Mitrofanov) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#116 Fri, 21 Mar 2014 15:16:25 GMT &gt;&gt; Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для <br>&gt; Андрей, если бы оно ТАК работало, <br>&gt; Вот хорошая статья на этот счёт: <br><br>Спасибо. Я нёс полную чушь, признаю.<br><br>Private ключ не унесут. Могут рас- или зашифровать с его использованием любое сообщение или залогиниться по нему на любой сервер, где это прокатит. //Правильно эти ботнетчики не заморачиваются. Пока root пароли снифятся, чего в эту криптографию лезть.<br> В результате атаки Windigo вредоносным ПО поражены более 25 ... (Anonym2) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#115 Fri, 21 Mar 2014 05:40:29 GMT &gt;[оверквотинг удален]<br>&gt; Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно <br>&gt; никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее <br>&gt; данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что <br>&gt; он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие <br>&gt; порты и вообще за NAT.<br>&gt; Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан <br>&gt; (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с <br>&gt; паролем так не получится. Если злоумышленник получил доступ к вашему ПК, <br>&gt; то для него нет особой разницы - ставить кейлоггер или воровать <br>&gt; ключ.<br><br>Секретней ключа ещё только лицензионная электронная цифросепулька. (юмор, сарказм и так далее).<br><br> В результате атаки Windigo вредоносным ПО поражены более 25 ... (Anonym2) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#114 Fri, 21 Mar 2014 05:12:26 GMT &gt;&gt;Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы <br>&gt; Ну хоть в чём-то пользователям iOS повезло...<br><br>Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрессивным и плохо сочетающимся с устаревшими направлениям в данной области &gt;:-)<br><br> В результате атаки Windigo вредоносным ПО поражены более 25 ... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#113 Thu, 20 Mar 2014 21:00:51 GMT &gt; Еще когда-то был левый патч для sshd, обеспечивающий <br>&gt; логгирование неправильных паролей, но вряд ли он покатит на современных версиях <br>&gt; sshd.<br><br>Впрочем, при минимальных познаниях Си поправить можно и самому.<br> В результате атаки Windigo вредоносным ПО поражены более 25 ... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#112 Thu, 20 Mar 2014 20:59:24 GMT &gt; Кстати, а можно как-то пароли увидеть подбираемые ?<br><br>Гуглите по слову honeypot. Еще когда-то был левый патч для sshd, обеспечивающий логгирование неправильных паролей, но вряд ли он покатит на современных версиях sshd.<br> В результате атаки Windigo вредоносным ПО поражены более... (arisu) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#111 Thu, 20 Mar 2014 20:59:17 GMT вот я и говорю: на лечение, потом на пенсию. галлюцинации от большого здоровья не возникают.<br> В результате атаки Windigo вредоносным ПО поражены более... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#110 Thu, 20 Mar 2014 20:57:48 GMT &gt; в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.<br><br>У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах.<br> В результате атаки Windigo вредоносным ПО поражены более 25 ... (клоун Стаканчик) https://m.opennet.dev/openforum/vsluhforumID3/94971.html#109 Thu, 20 Mar 2014 13:49:05 GMT Падение меньше, чем на 50% считаем ростом. 25 тысяч заражённых серверов считаем незаражёнными, т.к. метод заражения не утверждён синодом как каноничный. Что дальше?<br>