forum.opennet.ru

"Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для контроля за появлением новых сообщений - перед выходом жмите "Пометить прочитанным".

. "Выявлен червь FritzFrog, поражающий серверы по SSH и строящи..."	+/–
Сообщение от пох. (?), 20-Авг-20, 18:42
> иными словами, приватный ключ есть где-то в бинарнике червя...так вот...достать его оттуда, дык, давай! Только ботнет не поломай. (от него есть небольшая польза - неудавшиеся авторизации по ключам не так явно палятся в логах, поэтому шухера будет меньше чем от попыток самому начать с нуля) Но, кстати, если все правильно сделать - его не будет в бинарнике. Он в памяти будет. Передаваясь только уже запущенному инстансу, причем - шифрованным. И без механики для извлечения.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет, opennews, 20-Авг-20, 12:06 [смотреть все]

задайте пароль с конской энтропией или юзайте ключи меньше спама в логах , admgoat, 20-Авг-20, 12:06 (1) //
- Юзайте ключи TOTP, 79, 20-Авг-20, 12:18 (4) //
  - А толку от настройки авторизационного фактора владения два раза Уж лучше тогда , Аноним, 21-Авг-20, 05:51 (103)
  - fail2ban решает массу проблем, Z, 21-Авг-20, 13:01 (121) //
    - и добавляет пачку новых например начинаются тормоза, admgoat, 21-Авг-20, 22:32 (142)
      - Эм, какие это он тормоза добавляет , n80, 22-Авг-20, 15:08 (149)
        
        огромная, как только разрастается таблица блокировок, admgoat, 23-Авг-20, 06:34 (154)
        
        Имей совесть, пожалуйста, открой для себя ipset Впрочем, даже с обычным iptables, n80, 23-Авг-20, 11:51 (155)
        
        причем тут ipset, если fail2ban сам контролирует правила я всего лишь указал б, admgoat, 23-Авг-20, 13:22 (157)
        
        Какие правила action rules настроишь, так и будет контролировать, так что не т, n80, 23-Авг-20, 14:06 (158)
        
        gt оверквотинг удален в данном случае отключение логина по паролю как раз и яв, admgoat, 23-Авг-20, 22:55 (170)
    - факт, TheFotoMag, 22-Авг-20, 14:20 (148)
    - Похоже сабж или кого я уже несколько дней в логах попыток подключений по SSH ви, n80, 22-Авг-20, 15:17 (150)
- Никуда спам в логах не денется Попытки входа по паролю будут в логе , Аноним, 20-Авг-20, 13:04 (19) //
  - он имеет в виду, что когда ключ защищенный суперпаролем 213 утекет - в логах воо, пох., 20-Авг-20, 13:46 (38)
  - если вход по паролю запрещен - не будет, Аноним, 20-Авг-20, 15:04 (45)
  - если отключена аутенфикация по паролю разве они пишет попытку соеденения чёт не , admgoat, 21-Авг-20, 02:09 (100) //
    - Пишут , Аноним, 21-Авг-20, 12:18 (119)
      - но даже если это так, то хотя бы не пишется число неудачных соединений во время , admgoat, 21-Авг-20, 22:34 (143)
- одним ботнетом больше, одним меньше, как разница у меня на всех мощности хватит, Аноним, 20-Авг-20, 21:38 (93)
- fail2ban после его установки сразу решает массу проблем, Z, 21-Авг-20, 13:00 (120) //
  - Кроме отсутствия мозга , Аноним, 21-Авг-20, 23:20 (144)
Ну, кто там утверждал, что на go ничего не написано , Аноним, 20-Авг-20, 12:12 (2) //
- Попутал Это на Расте ничего не написано Но го полно годноты написано , Аноним, 20-Авг-20, 12:34 (9) //
  - О какой годноте речь, если сам Google отказался от Go в своей ОС https fuchsi, Аноним, 20-Авг-20, 16:26 (59) //
    - Не бредь, пожалуйста , Аноним, 20-Авг-20, 17:06 (66)
      - Это не я, это Google The Fuchsia Platform Source Tree has had negative implement, Аноним, 20-Авг-20, 18:22 (75)
        
        Да, Go не для resourse constrained приложений, это факт Go - это компромис межд, funny.falcon, 20-Авг-20, 19:32 (89)
        
        Не понимаю логики Почему вместо Rust , если Rust как раз подходит для resource, Аноним, 20-Авг-20, 21:30 (92)
        
        Я имел в виду, что Go не может конкурировать с C, C и Rust на поле максимально, funny.falcon, 21-Авг-20, 01:42 (99)
    - О куче годноты, которая не является операционной системой , anonymous, 21-Авг-20, 11:34 (115)
- Ну, кто там утверждал, что на go ничего не написано , Аноним, 20-Авг-20, 12:34 (10) //
  - Естественно Как можно найти вирус на rust, если на нём никто не пишет Мозилла , Аноним, 20-Авг-20, 12:44 (13) //
    - На Haskell, может быть, кто-то бы и написал что-то, но всем лень, даже языку , Рева RarogCmex Денис, 20-Авг-20, 13:08 (25)
    - А Amazon, Facebook, Microsoft в счёт , Аноним, 20-Авг-20, 16:38 (63)
    - Конечно надо, разработчикам KAV и Я Бар, Аноним, 21-Авг-20, 13:49 (123)
      - Если это ирония, то какая-то тонкая, раскрой чтоли Если не ирония, то поделись , Аноним, 23-Авг-20, 16:24 (160)
- ничего хорошего не написано второй раз желания писать не возникает, корявый язы, Андрей, 20-Авг-20, 13:20 (29) //
  - Ты прав Раст еще та раскоряка Один раз попробовав второй раз писать на Расте не, Аноним, 20-Авг-20, 13:48 (39) //
    - Ну почему, если выбирать между ним и крестами 8230 Крестовикам захочется, веро, Аноним, 20-Авг-20, 14:12 (41)
      - Удавиться, что бы не писать на ржавом, Аноним, 20-Авг-20, 14:49 (43)
- Пасибо, порадовал , user90, 20-Авг-20, 15:41 (51)
что эта новость делает на опеннете Где исходники ну или хотя бы где собран, пох., 20-Авг-20, 12:14 (3) //
- Это такой троллинг поверивших в руткит Дроволом https www opennet ru openforum, n00by, 20-Авг-20, 12:56 (14) //
  - Ну я поверил, чо - как обычно, русские делали - нахер ненужно, никому не видно, , пох., 20-Авг-20, 13:05 (21)
- https github com guardicore labs_campaigns tree master FritzFrog, Атон, 20-Авг-20, 13:23 (31) //
  - ну что за г-но ты нашел This repository contains a list of IoCs and a detection, пох., 20-Авг-20, 13:34 (34) //
    - говна дай, ложку дай ты совсем обленился , Атон, 20-Авг-20, 17:53 (74)
Ну норм Получили доступ к одной машине 8212 можно одновременно ребутнуть все, Аноним, 20-Авг-20, 12:18 (5) //
- с чего ты взял Судя по тому как аккуратненько, в лучших традициях курсовиков сд, пох., 20-Авг-20, 12:58 (15) //
  - Если это классический червь, который распространяется сам, без взаимодействия с , Аноним, 20-Авг-20, 17:35 (73) //
    - У вас не хватает воображения предположить наличие фиксированного набора непривил, Аноним, 24-Авг-20, 23:24 (174)
- Автор, похоже, не дурак, и вполне мог предусмотреть подписывание команд , Аноним, 20-Авг-20, 14:25 (42)
подключение тупо по паролю - зло, m.makhno, 20-Авг-20, 12:21 (6) //
- Подключайся штекером , TormoZilla, 20-Авг-20, 12:29 (7) //
  - о, я бы с радостью, чувак, m.makhno, 20-Авг-20, 12:38 (12)
Брут идёт адский на сегменте IPv4, даже если сменить порт 22 на другой - боты вс, EuPhobos, 20-Авг-20, 12:29 (8) //
- Ну все пора отменять IPv4, Аноним, 20-Авг-20, 12:35 (11) //
  - Пиши в личку Недорого продам 127 73 84 0 24 быстрый пинг доступ в любой точке , Атон, 20-Авг-20, 13:26 (33)
- У меня порт на ssh четырёх значный, вообще никто не лезет, уже 3 года , anonimous, 20-Авг-20, 13:11 (26) //
  - 192 168 0 1 2222, Аноним, 20-Авг-20, 18:51 (85) //
    - Почти, 5522, и не в локалке, как в твоих маняфантазиях, а на ovh-ном дедике Впр, Аноним, 21-Авг-20, 16:07 (127)
      - Ты как тот Анон, который удалил антивирус и говорит что у него нет вирусов , Аноним, 21-Авг-20, 16:40 (128)
        
        а может и правда нет, кому он нахрен нужен Там в новости внятно описано что в к, пох., 21-Авг-20, 22:19 (136)
        
        Лорчую этого адеквата В нынешнее время крипту майнят только на взломанных супер, Аноним, 21-Авг-20, 22:26 (139)
        
        Каким местом я на того анона похож Смотрю логи sshd - только мои авторизации Т, Аноним, 21-Авг-20, 22:22 (137)
    - Кали хакер в треде Все гасите свои вайфаи, Аноним, 21-Авг-20, 22:28 (141)
- Неправда, на всех серверах ssh на порту 65533 и НИКОГДА нет брутов , лютый жабби__, 20-Авг-20, 15:48 (53) //
  - Теперь будет , Аноним, 20-Авг-20, 16:31 (60)
Я так понял если юзать fail2ban и подобное то все ок , microsoft, 20-Авг-20, 12:59 (16) //
- Лучше отключить парольную авторизацию в конфиге и пользоваться ключами Тогда пе, Аноним, 20-Авг-20, 13:02 (17)
- если не юзать linux то все ок, Аноним, 20-Авг-20, 13:05 (20) //
  - Нет , Аноним, 20-Авг-20, 13:06 (22)
  - чего это только линукс Игогошечные программы прекрасно и под виндой запускаются, пох., 20-Авг-20, 13:07 (23)
  - Скорее x86 , Michael Shigorin, 20-Авг-20, 13:24 (32) //
    - неуловимый джо нахер никому не нужен, да И, кстати, сколько там у тебя xmrig пок, пох., 20-Авг-20, 13:44 (37)
      - А я и не пробовал хлам собирать, даром что в репозиторий кто-то засунул , Michael Shigorin, 20-Авг-20, 15:11 (46)
        
        Чому сразу хлам-то Может, и не очень хороший, но и всё-таки не самый плохой бен, n80, 20-Авг-20, 17:08 (67)
        
        Есть и более полезные - , Michael Shigorin, 20-Авг-20, 17:24 (70)
    - Брутфорс работает не только на x86, но также на arm, mips, riscv, avr, power, am, Ordu, 20-Авг-20, 15:33 (49)
      - да нахер он нужен, неуловимый джо-то, если на нем ДАЖЕ майнить нельзя Хакнут миш, пох., 20-Авг-20, 16:32 (61)
        
        Вот научится Го под Эльбрус компилировать и безопасности конец , Аноним, 20-Авг-20, 17:13 (68)
        
        не неуловимый джо по прежнему будет нахрен никому не нужон Там в том xmrig е аж, пох., 20-Авг-20, 18:25 (76)
        
        терпеливо Написал же -- я ЭТО даже на сборку не стал отправлять Это когда трёх, Michael Shigorin, 20-Авг-20, 18:28 (80)
      - А код под эльбрус скомпилирован , Аноним, 20-Авг-20, 16:35 (62)
        
        Во-от Собственно, потому и упомянул x86, а не именно e2k И да, с неуловимость, Michael Shigorin, 20-Авг-20, 17:26 (71)
        
        да, но речь не шла о врагах в виде ЦРУ, NSA, и друзьях из КПК, а об обычных до, пох., 20-Авг-20, 18:33 (81)
        
        Припоминая КОКОМ -- вполне вероятно А вот здесь -- максимум Бабаяна с Пентковски, Michael Shigorin, 20-Авг-20, 18:48 (84)
        
        Ну а че б и не Бабаяна Я, ещё будучи студентом МФТИ в самом начале нулевых, слу, Аноним, 23-Авг-20, 02:34 (152)
        
        неисключено что потому, что и не очень получится Как оно там Расчёты-то от про, пох., 23-Авг-20, 18:40 (161)
        
        Профессор-то другой был, что характерно , Michael Shigorin, 23-Авг-20, 20:06 (165)
        
        А для них отлично работает метод неуловимого Джо , Vkni, 21-Авг-20, 06:43 (104)
        
        к сожалению, даже мне в свое время немного удалось вляпаться в сферы, где этот м, пох., 21-Авг-20, 13:19 (122)
        
        Ну есть же административный метод, применяемый как родным, так и неродным правит, Vkni, 23-Авг-20, 06:23 (153)
        
        в моем случае вот вполне сработало, хотя там поинтереснее можно было сыграть чем, пох., 23-Авг-20, 21:24 (168)
        
        Каждый раз при таких сравнениях интересно и чё же Вы лично не в Испании Или т, Michael Shigorin, 23-Авг-20, 20:07 (166)
        
        Я надеялся что мне дадут дожрать мою долю нефтяной ренты, и подохнуть спокойно , пох., 23-Авг-20, 21:21 (167)
        
        Вы бы там раскопали старые марксистские учебники - в них вообще-то рассказываетс, Vkni, 25-Авг-20, 20:32 (177)
        спасибо, но я помню этот бред и так Нет в современной экономике никаких кризис, пох., 25-Авг-20, 22:36 (178)
        Ничо-ничо, то-то вот сейчас затяжной кризис на несколько лет начнется, превосход, nuclight, 23-Ноя-20, 01:12 (180)
- У меня просто вход по ключу и ssh включается по крону на два часа в день, Аноним, 20-Авг-20, 13:14 (27) //
  - Очень удобно, а дальновидно-то как Лол , Аноним, 20-Авг-20, 14:49 (44) //
    - Ну если сутки простоя не страшны, то почему нет , Аноним, 20-Авг-20, 18:28 (79)
  - Работаете с ним по графику , Карабьян, 20-Авг-20, 19:03 (87)
- Если пароль не 123qwerty то и fail2ban не нужен fail2ban ненужность, т к перебо, лютый жабби__, 20-Авг-20, 15:50 (54) //
  - У меня пароль тёща собака жизни точка нет Ещё никто не взломал , Анонимикофф, 21-Авг-20, 07:39 (105) //
    - А на Wi-Fi сосед с перфоратором собака дома жизни точка нет , Анонимикофф, 21-Авг-20, 07:41 (106)
Fail2ban у меня за последний месяц за брутфорс забанил 1,8 тысячи ip , Аноним, 20-Авг-20, 13:03 (18) //
- иппать ты лох Вон, учись у чуваков, ЧТО надо делать с теми ip а, ну да, ты ж не, пох., 20-Авг-20, 13:08 (24) //
  - Ну не у каждого же цель существования -- нацарюваты сто рублыкив , Michael Shigorin, 20-Авг-20, 13:22 (30) //
    - конечно нет Я полагаю, там чуваки уже пару десятков тыщ намайнили в свою пол, пох., 20-Авг-20, 13:39 (36)
      - Уже лучше, но и Вы, надеюсь, не менее толстый намёк поняли , Michael Shigorin, 20-Авг-20, 15:12 (47)
- У меня на нестандартный порт вообще никто не лазит, Аноним, 20-Авг-20, 16:15 (56) //
  - А у меня на нетрадиционный , Аноним, 21-Авг-20, 11:14 (113)
Вот и пожалуйста - начали писать вирусы на гоА вы говорили - недоязык, аноним12345, 20-Авг-20, 13:17 (28) //
- Вирус на Расте в процессе разработки Пока из фич только выдает Хеллоу ворлд в к, Аноним, 20-Авг-20, 13:54 (40) //
  - Что угодно на расте - в процессе разработки С Навечно, без шансов к завершен, _, 20-Авг-20, 23:13 (96)
А можно приватный ключик от того, что кладётся в authorized_keys Лень мне самом, 1, 20-Авг-20, 13:37 (35) //
- http youtube com watch v vIZVWVJ4_9M t 1m30s, Michael Shigorin, 20-Авг-20, 15:20 (48)
У меня готов антивирус chattr i ssh authorized_keys, tolstushka.ru, 20-Авг-20, 15:36 (50) //
- Можно и проще PasswordAuthentication no, swine, 20-Авг-20, 16:24 (58)
Ух ты , Аноним, 20-Авг-20, 15:45 (52)
SkyNet, зародыш, Аноним, 20-Авг-20, 16:06 (55) //
- сколько уже таких было начиная с червя Морриса, ss, 20-Авг-20, 16:18 (57) //
  - Нет этот особый Это зародыш SkyNet-а из фильма Терминатор , Аноним, 20-Авг-20, 16:39 (64) //
    - Терминатор-сколькотам-9 Из будущего пачками прибывают терминаторы, которым нах, пох., 21-Авг-20, 09:45 (111)
      - Барыга пох кривит и ёрничает Скатился он до плинтуса Дурачёк пох ты прекрас, Аноним, 21-Авг-20, 17:27 (132)
Достаточно не иметь на сервере nginx и php-fpm - и зловред как на ладони , YetAnotherOnanym, 20-Авг-20, 16:54 (65) //
- Да и ifconfigd порадовал , Michael Shigorin, 20-Авг-20, 17:27 (72) //
  - опять этот поцтеринг какую-то новую хрень запилил, видать после последних автоо, пох., 20-Авг-20, 18:45 (83)
У аффтара новости AES стал АСсимметричным шифром Браво , Аноним, 20-Авг-20, 17:19 (69) //
- в оригинале AES for symmetric encryption просто переводчик лох, Нанобот, 20-Авг-20, 18:27 (78)
иными словами, приватный ключ есть где-то в бинарнике червя так вот достать , Нанобот, 20-Авг-20, 18:25 (77) //
- дык, давай Только ботнет не поломай от него есть небольшая польза - неудавшиес , пох., 20-Авг-20, 18:42 (82) //
  - Для коммуникации используется штатный SSH , n00by, 20-Авг-20, 19:07 (88) //
    - для начала надо как-то попасть на твою машинку - и он это делает не ключом, а пр, пох., 20-Авг-20, 23:31 (97)
      - Это т н white-box cryptography Грубо говоря, алгоритм ключ трансформируютс, n00by, 21-Авг-20, 07:48 (107)
        
        думаешь, оно _клиента_ использует из usr bin, а не встроенного встроенный там, пох., 21-Авг-20, 09:36 (110)
        
        Написано же штатный , значит который в системе имеется Брут и коммуникацию осущ, n00by, 22-Авг-20, 09:18 (146)
        
        ну ищи, чо - благо, публичный ключ у тебя есть, так что не придется терять время, пох., 23-Авг-20, 18:48 (162)
500 узлов, которые админят идиоты Может теперь они наконец узнают, что подключа, Анонннннннннн, 20-Авг-20, 20:34 (90) //
- а что ждать от тех, кто пьёт смузи и пишет на расте , Аноним, 21-Авг-20, 02:09 (101)
- Пофиксил, не благодори, pofigist, 21-Авг-20, 11:55 (116) //
  - Так не зря же гузпром вложился в квантовые сети и уже вроде как лет пять их на, InuYasha, 21-Авг-20, 11:59 (118) //
    - Да ладно - это не панацея Когда-то и замена telnet на ssh казалась панауей - вс, pofigist, 21-Авг-20, 17:01 (130)
Да, в стоплист все IPv4 6 пытающиеся 22 и 1234 Ещё и Related connection заблочи, AntonAlekseevich, 20-Авг-20, 21:26 (91) //
- 1234 - он на локалхосте открывает , 1, 21-Авг-20, 09:07 (109) //
  - Превентивно все входящие, кроме действительно нужных, заблочить нетфильтром Аво, Аноним, 21-Авг-20, 11:18 (114)
- ахаха, стоплист Ржу не могу Заморозьте меня обратно, пожалуйста , Anonimous, 22-Авг-20, 00:10 (145)
Это Drovorub на Go, расходимся, Аноним, 21-Авг-20, 01:07 (98)
sshd_config PasswordAuthentication noAuthorizedKeysFile etc ssh keys uKexAlgor, kmeaw, 21-Авг-20, 03:22 (102)
А закрыть доступ к порту с SSH из сетей хостеров и облаков Девопсам видать не су, Аноним, 21-Авг-20, 09:58 (112)
Вот этот рапорт уже похож на настоящий, в отличие от Дровогрепа , InuYasha, 21-Авг-20, 11:58 (117)
Настроил себе SSH на 48 порт с логином по паролю, даже китайские боты переста, Аноним, 21-Авг-20, 14:25 (124) //
- Тьфу ты, очипятка С логином по ключам, по паролю выключил , Аноним, 21-Авг-20, 14:26 (125)
- Еще правило nftables, если кому нужно tcp dport порт ct state new meter ssh-me, Аноним, 21-Авг-20, 15:48 (126) //
  - Логи выключи, вообще ничего больше не надо будет настривать , Аноним, 21-Авг-20, 16:44 (129) //
    - ssh пусть выключит, так быстрее и проще все равно после третьего захода сам себ, пох., 21-Авг-20, 22:27 (140)
      - Если тебе нужно коннектится по ssh к VPS ке каждую минуту - мне тебя жаль , Аноним, 23-Авг-20, 14:29 (159)
ооо последние коментарии от бывалых одминов, все как одно агрессивно умничающим , Аноним, 21-Авг-20, 17:24 (131) //
- локалхостов Ну в принципе все примерно так и есть, неуловимые джо нахрен не сдал, пох., 21-Авг-20, 17:30 (133)
- а мне смешно, onanim, 21-Авг-20, 21:46 (135) //
  - вот, смотри - пальчик Смейся новость - о довольно занятном ботнете, но ты дальш, пох., 21-Авг-20, 22:24 (138) //
    - а ты сам-то новость осилил ничего не смущает , onanim, 22-Авг-20, 09:49 (147)
      - Он о технологии, а Вы и впрямь вообще ничего не поняли , Michael Shigorin, 23-Авг-20, 13:07 (156)
        
        Да просто, похоже, товарищ искренне верует, что в перечисленных местах нет nginx, пох., 23-Авг-20, 18:50 (163)
        какой технологии P2P ботнетам уже много лет, включая ботнеты под линукс, брутфо, onanim, 24-Авг-20, 07:51 (171)
        
        нет, это вообще совершенно неинтересно и вряд ли ново , хоть на gwbasic, ново в, пох., 24-Авг-20, 09:20 (172)
        
        вот именно, что если ты не встречал таких ботов, это не значит, что их нет фишин, onanim, 24-Авг-20, 22:13 (173)
        
        конкретно этого - нет, не приносит, тем и прекрасен Тут нет никаких вообще концо, пох., 24-Авг-20, 23:35 (175)
Выявлен червь FritzFrog, поражающий серверы по SSH и строящи..., Анонимчик, 21-Авг-20, 20:38 (134) //
- обожаю погромистов, которые не проверяют коды возврата и вообще доступность ф, InuYasha, 22-Авг-20, 15:19 (151)
Ну хоть какая-то польза от вируса , Аноним, 25-Авг-20, 13:14 (176)
Дайте сорсы, на работе заинтересовались , robot228, 28-Авг-20, 07:28 (179)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру