The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Выявлен новый rootkit для Linux, подменяющий функции libc"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от opennews (??) on 07-Сен-16, 10:32 
Компания Trend Micro выявила (http://blog.trendmicro.com/trendlabs-security-intelligence/p.../) новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона (https://en.wikipedia.org/wiki/List_of_Pok%C3%A9mon...), который прячется в темноте. Единичные следы внедрения Umbreon прослеживаются с начала 2015 года, но сейчас руткит появился в свободной продаже на черном рынке. Umbreon поражает Linux-системы на базе архитектур x86, x86_64 и ARM, и относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc.


Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.


Umbreon предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д., всего перехватывается более 100 функций.


Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения.

В комплект также входит бэкдор Espereon, названный в честь другого покемона, который обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap.


Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.


URL: http://blog.trendmicro.com/trendlabs-security-intelligence/p.../

Новость: https://www.opennet.ru/opennews/art.shtml?num=45095

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –8 +/
Сообщение от Аноним (??) on 07-Сен-16, 10:32 
Ну всё, теперь недостаточно иметь энтерпрайс линукс со свежими обновлениями. Доверия нет ни к чему: скачаешь вот так прекомпилированный Transmission и заразился. придётся отказаться от Closed Source совсем, и всё компилять!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +27 +/
Сообщение от Омоним on 07-Сен-16, 11:00 
Даешь Gentoo в энтерпрайз!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Michael Shigorin email(ok) on 07-Сен-16, 12:57 
> и всё компилять!

Главное -- не забывать откладывать в сторонку контрольные суммы.  Заранее.
А то может ещё смешней получиться...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

46. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от ПавелС email(ok) on 07-Сен-16, 14:03 
Допустим в Debian я воспользуюсь debsums. Но как узнать, что установлено левого?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

78. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Аноним (??) on 07-Сен-16, 15:46 
https://packages.debian.org/stable/cruft
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

100. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Vombat on 08-Сен-16, 06:08 
CRUX в помощь
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +7 +/
Сообщение от KOT040188 (ok) on 07-Сен-16, 13:06 
Только исходники надо перечитывать, мало ли…
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

67. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +23 +/
Сообщение от Andrey Mitrofanov on 07-Сен-16, 14:58 
> Только исходники надо перечитывать, мало ли…

Как _пере_читывать??! Я ещё до половины не дочитал, уже который год пошёл!?  >-P

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

95. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от бедный буратино (ok) on 07-Сен-16, 23:23 
тоже мне, проблема

я вот перечитал ПСС. как теперь скомпилировать программу партии?

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

117. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Andrey Mitrofanov on 09-Сен-16, 13:42 
> Только исходники надо перечитывать, мало ли…

Никому верить нельзя, Debian-у https://www.trueelena.org/computers/articles/candy_from_stra... -- *можно*.

---И пр. "контразветчик должен..." https://otvet.mail.ru/answer/179135965

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

118. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Andrey Mitrofanov on 09-Сен-16, 13:45 
>контразвеТчик

ах, я негодяй

Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

119. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от тоже Аноним email(ok) on 09-Сен-16, 14:23 
Тогда уж "контРазвеТчик" - ошибки-то две...
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

36. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +12 +/
Сообщение от IZh. on 07-Сен-16, 13:06 
А доверенный компилятор у вас есть? ;-) А то у компилятора такой простор для встраивания руткитов в компилируемые проекты. ;-)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

38. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +9 +/
Сообщение от Mihail Zenkov (ok) on 07-Сен-16, 13:19 
И процессор к нему, а то нынче модно всякое непотребство прямо в процессор встраивать. А потом поди угадай, что он вместо твоего доверенного компилятор запустил/выполнил ;)

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +4 +/
Сообщение от IZh. on 07-Сен-16, 13:32 
Именно. Доверенный процессор (без бэкдоров в виде недокументированных команд) и доверенный BIOS, который не станет загружать операционку под гипервизором, эмулируя полный доступ к железу. ;-) И доверенные девайсы (не от NSA), которые внезапно не попытаются через доступ к контроллеру памяти считать то, что им не полагается знать. :-)

Trust no one. (C) Fox Mulder. ;-)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +16 +/
Сообщение от Mihail Zenkov (ok) on 07-Сен-16, 13:44 
Господа!
Фирма "IZh & Zenkoff" готова предположить вам радикальное решение! Не доверяйте свои расчеты западным процессором и уж тем более китайским калькуляторам. Только отечественные счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность и стабильность всех ваших расчетов! Также наша фирма поддерживает идею Open-source hardwar и к каждому экземпляру прилагается полный чертеж изделия со всей необходимой пояснительной документацией.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

49. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от тоже Аноним email(ok) on 07-Сен-16, 14:06 
Так перестарались с секьюрностью, что получили никакую интеграцию.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

74. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +6 +/
Сообщение от Аноним (??) on 07-Сен-16, 15:17 
>  Только отечественные
> счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность

А можно костяшки и все остальное тоже прозрачным, для дополнительной прозрачности (а то мало ли какие там жучки с сибирского кедра останутся!)?


Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

87. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от тоже Аноним (ok) on 07-Сен-16, 18:39 
Недостаточно импортозаместительно.
Нужно костяшки заменить на "Эльбрусы" - поддержать отечественные IT!
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

85. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Аноним (??) on 07-Сен-16, 18:13 
Счёты - это как айфон: гламурно и бестолково. Лучше Электронику МК-85 клонируйте!
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

50. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Анонимко on 07-Сен-16, 14:06 
Радио-86КР к Вашим услугам! Собственная сборка и прошивка обеспечит гарантированное отсутствие бэкдоров! Софт тоже сами напишите. Зато надежно!
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

51. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Michael Shigorin email(ok) on 07-Сен-16, 14:12 
> 86КР
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

108. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от JL on 08-Сен-16, 18:34 
86РК
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

98. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Аноним (??) on 08-Сен-16, 02:57 
Спектрумы лучше.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

106. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Ordu email(ok) on 08-Сен-16, 14:50 
https://www.youtube.com/watch?v=z71h9XZbAWY
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

2. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним (??) on 07-Сен-16, 10:36 
Существует программа patchelf, позволяющая запускать программы от новых систем в старых. Просто скачать glibc от EL7 и сделать LD_LIBRARY_PATH (и даже LD_PRELOAD) недостаточно - надо в самом бинарнике поменять путь к ld-linux.so.2. Что и делает эта программа.

Похоже, руткит работает по тому же принципу

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Кирилл (??) on 07-Сен-16, 12:07 
Скорее всего так, но возникает вопрос с его корректной установкой)))
При установке обновлений и пакетов штатным apt, например, его подцепить невозможно, а в корпоративной среде на линуксах у пользователей нет прав выполнения от рута.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от Mihail Zenkov (ok) on 07-Сен-16, 12:59 
> При установке обновлений и пакетов штатным apt, например, его подцепить невозможно

"невозможно" - слишком смелое утверждение. Точнее будет сказать: мало вероятно.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

3. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +13 +/
Сообщение от Аноним (??) on 07-Сен-16, 10:38 
Вот что значит тащить всякую дрянь в систему, вместо установки пакетов из доверенных источников.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от lucentcode (ok) on 07-Сен-16, 11:55 
Огласите список, please?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

27. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Crazy Alex (ok) on 07-Сен-16, 12:47 
Debian main
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

54. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним (??) on 07-Сен-16, 14:18 
Список дряни? Ну сам найдешь, не маленький.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

64. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +6 +/
Сообщение от Аноним (??) on 07-Сен-16, 14:44 
1. Skype
2. Flash player
3. Google Chrome
4. Oracle JVM
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

70. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +5 +/
Сообщение от Аноним (??) on 07-Сен-16, 15:09 
5. Steam (и игори)
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

5. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним (??) on 07-Сен-16, 10:46 
>инструменты анализа содержимого ФС

Огласите список плз?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от SysA on 07-Сен-16, 10:58 
>>инструменты анализа содержимого ФС
> Огласите список плз?

Прочитай оригинал статьи - там и примеры есть! :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Аноним (??) on 07-Сен-16, 11:44 
> Прочитай оригинал статьи - там и примеры есть! :)

Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то утилита для чтения файлов с ФС с разбором на уровне inode, которая обходила большинство ядерных руткитов.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

66. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от SysA on 07-Сен-16, 14:56 
>> Прочитай оригинал статьи - там и примеры есть! :)
> Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то
> утилита для чтения файлов с ФС с разбором на уровне inode,
> которая обходила большинство ядерных руткитов.

Я не имел ввиду путь скрипт-кидди (кстати, а почему ты собираешься верить сторонней "чистилке"?! :) - может она сама переносчик заразы??), а я намекал на это:

"Removal Instructions
Umbreon is a ring 3 (user level) rootkit, so it is possible to remove it... the easiest way is to boot the affected machine with Linux LiveCD and follow the steps:
..."

И где тут "проприетарщина"?!..

А если не доверяешь LiveCD - сделай свой! Какие проблемы?..

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

76. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +5 +/
Сообщение от Аноним (??) on 07-Сен-16, 15:24 
> Я не имел ввиду путь скрипт-кидди

А попытска чистки скомпрометированной системы значит не путь скрипт-кидди?


Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

47. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от Аноним (??) on 07-Сен-16, 14:05 
>>инструменты анализа содержимого ФС
> Огласите список плз?

Вы всерьез надеетесь на нормальный ответ?
Тут не так давно один опеннетный специалист рассказывал про поиск руткитов пакетным менеджером, так что готовтье ведра для снятой с ушей лапшы )


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –4 +/
Сообщение от Аноним (??) on 07-Сен-16, 11:20 
Пользователи NixOS смотрят с недоумением.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от ТТТ on 07-Сен-16, 13:03 
2,5 человека?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

53. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от nop on 07-Сен-16, 14:13 
Все население Лихтенштейна!
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

55. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним (??) on 07-Сен-16, 14:20 
NixOS - это где пакеты можно устанавливать в домашнюю директорию пользователя? ;)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

56. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним (??) on 07-Сен-16, 14:22 
А что там у них? libc.dll?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

59. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от rshadow (ok) on 07-Сен-16, 14:26 
Пользователи BolgenOS тоже.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

71. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от Аноним (??) on 07-Сен-16, 15:10 
> Пользователи BolgenOS тоже.

Антивирус Попова защитит от любого руткита! Я гарантирую это!

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

12. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Kroz email(ok) on 07-Сен-16, 11:20 
А как он размножается?
Что должно случиться, чтобы он появился у меня на компьютере?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +3 +/
Сообщение от Andrey Mitrofanov on 07-Сен-16, 11:39 
> А как он размножается?
> Что должно случиться, чтобы он появился у меня на компьютере?

Поняшка развеет Ваши сомнения: "--вирус это далеко не любая малварь. --Nobody cares :P" --https://www.opennet.ru/openforum/vsluhforumID3/109009.html#96

---""Борман повторил свой жест. - Понятно, - кивнул Штирлиц, - вы тоже не знаете. А как вы думаете, где ежики размножаются быстрее, в России или в Германии?""

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +9 +/
Сообщение от Аноним (??) on 07-Сен-16, 11:45 
> А как он размножается?
> Что должно случиться, чтобы он появился у меня на компьютере?

Это руткит, он не размножается, а устанавливается после взлома.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

52. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Нанобот (ok) on 07-Сен-16, 14:13 
>А как он размножается?

вообще-то руткиты - не вирусы, они не размножаются. их устанавливают хакеры, получившие несанкционированый доступ

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –2 +/
Сообщение от iZEN email(ok) on 07-Сен-16, 11:25 
Этот руткит может быть переписан для FreeBSD?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +10 +/
Сообщение от Andrey Mitrofanov on 07-Сен-16, 12:16 
> Этот руткит может быть переписан для FreeBSD?

Думаешь, он под GPL и прямо-таки надо именно переписывать?! Кругом враги!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от Mihail Zenkov (ok) on 07-Сен-16, 12:50 
Смешно.

Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD libc отдельно, ибо IIRC там какие-то особенности работы со строками.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

69. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Andrey Mitrofanov on 07-Сен-16, 15:07 
> Смешно.

Пасиб.

> Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD
> libc отдельно, ибо IIRC там какие-то особенности работы со строками.

1/ ещё момент: оно может быть "закрытое" =и б3дешники снова будут "переписывать"
2/ и ещё: ещё "переписывать" != "портировать"
3/ а, да! на джавву тож придётся переписывать :+D

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

86. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Аноним (??) on 07-Сен-16, 18:18 
Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно был троллем. Не надо так.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

101. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Andrey Mitrofanov on 08-Сен-16, 09:56 
> Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно

Следи за тредом, д-6-л. После слов "Но если серьезно" я уже разговаривал с человеком (он меня похвалил лучше всех |-P), а не глумился над твоим единокровным язеном. Но для него и тебя добавлю:

0/ Зачем? Оно тебе надо?? Будешь искать рынка малвари для своего фетиша?!

> был троллем. Не надо так.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

58. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Аноним (??) on 07-Сен-16, 14:25 
Этот руткит может быть переписан для FreeBSD на Java.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +5 +/
Сообщение от Mihail Zenkov (ok) on 07-Сен-16, 11:26 
> Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.

Или держать в системе статически линкованый busybox.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –2 +/
Сообщение от Michael Shigorin email(ok) on 07-Сен-16, 13:00 
>> Для обнаружения и удаления руткита можно использовать инструменты анализа
>> содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.
> Или держать в системе статически линкованый busybox.

Кстати, да.

Как вариант, http://altlinux.org/rescue -- заодно там одна из наиболе ровных реализаций forensics mode среди аналогичных штуковин, ср. http://forensicswiki.org/wiki/Forensic_Live_CD_issues

PS 2 asavah: понятия не имею, кто трёт Вашу чушь, но я бы тоже стёр (пп. 4, 6 правил).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

120. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 19:05 
> Или держать в системе статически линкованый busybox.

Из него средство forensic хилое, да и пропатчить его можно.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +4 +/
Сообщение от Аноним (??) on 07-Сен-16, 11:45 
Ну наконец хоть что-то интересное! А то достали уже пугать примитивнейшими троянами.
Кстати, напомните, сколько лет назад предыдущий руткит появился?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +3 +/
Сообщение от for mother russia on 07-Сен-16, 13:09 
Скука :( Троян, перехвативший сотню функций в kernel32.dll, вызвал бы лишь жалость, а здесь приходится радоваться и таким вот "приветам" от любителей.
И где пропадает Столлман, почему до сих пор нет движухи за Open Spyware?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

73. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Andrey Mitrofanov on 07-Сен-16, 15:17 
> И где пропадает Столлман, почему до сих пор нет движухи за Open Spyware?

Делом занят, ему не до Вашего вранья. Он переписывает unix-совместимую ОС, а не Windows-/MacOS-совместимую. https://www.quora.com/Richard-Stallman-says-Microsofts-Windo...

//Это не вы дедушку с племяшом рядом https://www.opennet.ru/openforum/vsluhforumID3/108941.html#219 путали?  Племяш, да, от АНБ патчи берёт.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от sage (??) on 07-Сен-16, 13:43 
Jynxkit с подобной функциональностью появился в 2011, потом был Jynx2, Azazel.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +12 +/
Сообщение от iPony on 07-Сен-16, 12:07 
Теперь, оставив открытый shh наружу, можно будет ловить покемонов
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от freehck email(ok) on 07-Сен-16, 13:03 
Хм. Автор руткита сидит на опеннете? "А я на чёрном рынке хорошенький руткит продаю, приходите посмотреть", - это, конечно, интересная новость. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +6 +/
Сообщение от тоже Аноним email(ok) on 07-Сен-16, 13:27 
Сидит на ОпенНете, а работает на ТрендМикро. Вот вы его и вычислили!
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

41. "для эксплойта нужен рут, расходимся"  –3 +/
Сообщение от нет (??) on 07-Сен-16, 13:42 
То, что поколение покемонов прочитало про LD_PRELOAD, это радует но то, что результат часа работы любого linux программиста продаётся на чёрном рынке, дискредитирует сами эти рынки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "для эксплойта нужен рут, расходимся"  +10 +/
Сообщение от angra (ok) on 07-Сен-16, 17:12 
За час "любой linux программист" даже грамотное техническое задание не составит под эту задачу. Ты похоже не представляешь сколько надо времени, чтобы вдумчиво прочитать доку по всем функциям libc, проанализировать параметры и возращаемые значения, после чего составить список что, где и как надо заменить.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

97. "для эксплойта нужен рут, расходимся"  –5 +/
Сообщение от любой линукс программист on 07-Сен-16, 23:45 
лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

102. "для эксплойта нужен рут, расходимся"  +2 +/
Сообщение от Очередной аноним on 08-Сен-16, 11:24 
> лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.

ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100 функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые тобой пять), сначала надо перешерстить все остальные и понять что они делают. Ну тебе же эти пять функций не бог внушил, как моисею заповеди.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

103. "для эксплойта нужен рут, расходимся"  –4 +/
Сообщение от нет (??) on 08-Сен-16, 11:34 
>> лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
> ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100
> функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые
> тобой пять), сначала надо перешерстить все остальные и понять что они
> делают. Ну тебе же эти пять функций не бог внушил, как
> моисею заповеди.

не нужно 100 функций. Это для веса.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

104. "для эксплойта нужен рут, расходимся"  +2 +/
Сообщение от arisu (ok) on 08-Сен-16, 12:02 
вау, вау, Иксперд, нидови нас своим МегаЗнанием!
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

105. "для эксплойта нужен рут, расходимся"  +/
Сообщение от Mihail Zenkov (ok) on 08-Сен-16, 12:40 
> не нужно 100 функций. Это для веса.

Так напиши мене такой rootkit (прячущий процесс, файлы, файловые операции, сетевые операции и сетевую активность, корректно подменяющая вывод strace, работающий через ssh) за час. Час твоего времени я готов оплатить (по расценкам среднего linux программиста).

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

107. "для эксплойта нужен рут, расходимся"  +5 +/
Сообщение от angra (ok) on 08-Сен-16, 15:57 
У меня стойкое впечатление, что "нет" и "любой линукс программист" просто не поняли значение большей части этих страшных слов. Зато увидели знакомое слово LD_PRELOAD и решили, что вся работа руткита сводится к этому. Потому и считают, что за час можно справиться.
Напоминает дикарей, сооружающих макет самолета из бамбука и уверенных, что этого достаточно.  
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

122. "для эксплойта нужен рут, расходимся"  +/
Сообщение от Аноним (??) on 12-Сен-16, 19:12 
Это реально либа которая работает через LD_PRELOAD. По уровню технологий - бамбуковый самолет и есть. Правда покрашенный и обтянутый парусиной, поэтому даже немного летает.
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

125. "для эксплойта нужен рут, расходимся"  +/
Сообщение от нет (??) on 13-Сен-16, 15:48 
да кто читать-то будет, про эту новость уже забыли. Молодёжь, обиделись, заминусовали.
Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

121. "для эксплойта нужен рут, расходимся"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 19:10 
> За час "любой linux программист" даже грамотное техническое задание не составит под
> эту задачу.

Не позорь собой линукс-программистов. Я библу под LD_PRELOAD перехватывающую open() и еще несколько интересных вещей написал за 2 часа.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

123. "для эксплойта нужен рут, расходимся"  +/
Сообщение от Mihail Zenkov (ok) on 12-Сен-16, 21:01 
Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально. А потом понадобилось еще свой slave дописать, да с нормальной обработкой ошибок и повторной передачей, дабы в условии сильных помех работало. И все это для жесткого realtime. В итоге неделю уже сижу. А в начале тоже казалось - на день работы.

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

124. "для эксплойта нужен рут, расходимся"  +/
Сообщение от arisu (ok) on 13-Сен-16, 12:08 
а теперь ядро давай. за день справишься — с твоими‐то умениями!
Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

44. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –3 +/
Сообщение от Анончег on 07-Сен-16, 13:47 
Я правильно понимаю, что для внедрения данного руткита необходимо иметь права на запись в системные директории, такие как /etc, /lib и т.д.? Опять двадцать пять... Вы мне покажите лучше руткит, который сможет внедриться в систему от меня — простого пользователя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +3 +/
Сообщение от Michael Shigorin email(ok) on 07-Сен-16, 13:50 
> Вы мне покажите лучше руткит, который сможет внедриться в систему от меня
> — простого пользователя.

Это другая часть задачи -- эксплойт уязвимости класса хотя бы local root.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

77. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Andrey Mitrofanov on 07-Сен-16, 15:25 
> двадцать пять... Вы мне покажите лучше руткит, который сможет внедриться в
> систему от меня — простого пользователя.

Ни читать-то они не https://www.opennet.ru/openforum/vsluhforumID3/109035.html#11 , ни фантазии у, ни инжеренного подхода... Пошукайте у ниХ в репах, поспрашиайте. Надо ж системно подходить: установка от пользователя уже есть -- дальше решайте свою "задачу"! >?<

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

48. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –4 +/
Сообщение от Нанобот (ok) on 07-Сен-16, 14:05 
>Linux-системы на базе архитектур x86, x86_64 и ARM
>Umbreon относится к руткитам третьего кольца защиты

вопрос к знатокам: а на ARM вообще есть ring3?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от eganru on 07-Сен-16, 14:30 
в arm есть уровни привилегий: user, kernel, hypervisor.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

62. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним (??) on 07-Сен-16, 14:31 
Ну это, скорее всего, образно сказано. Имеется ввиду ring с наименьшими привилегиями.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

63. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от eganru on 07-Сен-16, 14:42 
скорее не следовало вообще упоминать кольцо защиты. достаточно было упомянуть то, что подменяется glibc.
кольца-то пресловутые это крайне завязанная на определенные реализации систем сущность.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

60. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от yaa on 07-Сен-16, 14:26 
Я такую хрень видал на SS (SPARCstation), Solaris, где-то в 00-02...
Ставилась по сетке через дыру в lp daemon (уже не помню, как он там звался).

Ничего нового в подлунном мире...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Mirraz (ok) on 07-Сен-16, 15:03 
Нужен рут, а его ещё получить надо. Беспокоиться не о чем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним (??) on 07-Сен-16, 15:19 
> Нужен рут, а его ещё получить надо. Беспокоиться не о чем.

Следующая новость будет: "Обнаружена уязвимость в bash позволяющая поднять привилегии до root".

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

79. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от arisu (ok) on 07-Сен-16, 16:18 
опять новости про какую‐то проприетарщину! где ссылка на репозиторий? как собрать? куда патчи слать? тьфу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +2 +/
Сообщение от Случайный_гость email on 07-Сен-16, 16:35 
"Umbreon может быть установлен..." - опять собирать вручную и устанавливать))), какая, опасная, малварь!!! )))))))))).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

111. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Аноним (??) on 09-Сен-16, 01:57 
Если информация в Вашей системе будет представлять существенную ценность, то обязательно найдутся желающие взять труд по установке руткита в Вашу систему на себя ;-)
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

88. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от XoRe (ok) on 07-Сен-16, 18:55 
> относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
> Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"

Как он в /etc от юзера что-то запишет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от Аноним84701 on 07-Сен-16, 19:18 
>> относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
>> Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"
> Как он в /etc от юзера что-то запишет?

http://www.catb.org/jargon/html/U/userland.html
> userland: n.
> Anywhere outside the kernel. “That code belongs in userland.”
> This term has been in common use among Unix kernel hackers since at least 1985, and may have have
> originated in that community. The earliest sighting was reported from the usenet group net.unix-wizards

Ваш Кэп

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

90. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Анонимум on 07-Сен-16, 19:29 
Не путайте пространство пользователя с привелегиями пользователя.
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

94. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Аноним (??) on 07-Сен-16, 22:47 
Мда... помнится, когда-то я слепил флэшку с BartPE и развлекался прибиванием скринлокеров без использования антивируса. Почти всегда это был файл с именем из случайной строки, прописанный в appinitdll.
Забавно теперь читать почти то же самое про линух.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

99. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Аноним email(??) on 08-Сен-16, 03:29 
"Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*. "

Поменяйте пожалуйста звездочки на что-то другое, можно как в оригинале, <random>, а то я уже обрадовался :)

# ls -l /etc/ | grep so
-rw-r--r-- 1 root root   252552 Sep  7 19:52 ld.so.cache
-rw-r--r-- 1 root root       71 Sep 30  2015 ld.so.conf
drwxr-xr-x 2 root root     4096 Aug  9 12:52 ld.so.conf.d

# ls -l /usr/lib/ | grep libc.so*
-rw-r--r--   1 root root      255 Aug  6 14:16 libc.so
lrwxrwxrwx   1 root root       12 Aug  6 14:17 libc.so.6 -> libc-2.24.so

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

109. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Аноним (??) on 08-Сен-16, 23:54 
Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет руткитов? Ведь нету же? Как туда поставить руткит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

112. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от anonymous (??) on 09-Сен-16, 10:38 
> Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет
> руткитов? Ведь нету же? Как туда поставить руткит?
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

113. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +/
Сообщение от anonymous (??) on 09-Сен-16, 10:40 
DIR *dp;
struct dirent *ep;

  dp = opendir ("/etc");
  if (dp != NULL)
    {
      while (ep = readdir (dp))
      {
    fputs_unlocked (ep->d_name, stdout);
    fputc('\n', stdout);
      }
        
      (void) closedir (dp);
    }
  else
    perror ("Couldn't open the directory");

    return 0;


Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

114. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Andrey Mitrofanov on 09-Сен-16, 10:43 
>> Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет

Ходи с венды -- там и root-а нету!!

>> руткитов? Ведь нету же? Как туда поставить руткит?

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

115. "Выявлен новый rootkit для Linux, подменяющий функции libc"  –1 +/
Сообщение от Аноним (??) on 09-Сен-16, 11:03 
"Никому нельзя верить, врут все" - Хаус.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

116. "Выявлен новый rootkit для Linux, подменяющий функции libc"  +1 +/
Сообщение от Andrey Mitrofanov on 09-Сен-16, 11:51 
>врут все" - Хаус.

Фу-фу. https://otvet.mail.ru/answer/179135965

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру