The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от opennews (??) on 11-Авг-16, 12:23 
Компания DrWeb сообщила (http://news.drweb.ru/show/?i=10140&c=5&lng=ru&p=0) о выявлении нового вредоносного ПО Linux.Lady.1 (http://vms.drweb.ru/virus/?_is=1&i=8400823), поражающего серверы на базе Linux с установленными незащищёнными конфигурациями СУБД Redis.  Linux.Lady.1 написан на языке программирования Go. После получения контроля (https://www.opennet.ru/opennews/art.shtml?num=44766) над уязвимым сервером Redis программа устанавливается в систему и используется злоумышленниками как звено в кластере майнинга биткоинов.

Вредоносное ПО также может заниматься сбором и отправкой информации со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему Linux.Lady.1 устанавливает себя под видом исполняемого файла /usr/sbin/ntp,  создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска, добавляет в ~/.ssh/authorized_keys* свой SSH-ключ и устанавливает в /etc/ssh/sshd_config возможность входа по SSH с правами root.

URL: http://news.drweb.ru/show/?i=10140&c=5&lng=ru&p=0
Новость: https://www.opennet.ru/opennews/art.shtml?num=44948

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +13 +/
Сообщение от Аноним (??) on 11-Авг-16, 12:23 
> создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска

Хорошо что у меня не systemd.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +3 +/
Сообщение от Аноним (??) on 11-Авг-16, 12:33 
Ну ничего, скоро вебовцы специально для тебя напишут Linux.Man.1 с установкой прямиком в /proc/Documents and Settings/
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +6 +/
Сообщение от Аноним (??) on 11-Авг-16, 14:52 
> Ну ничего, скоро вебовцы специально для тебя напишут Linux.Man.1 с установкой прямиком
> в /proc/Documents and Settings/

Фанаты Учения Рыжего Пророка такие фанаты. У них и юмор свой, лишь только таким же, на всю го^W инициализацию системдэшнутым, понятный.

Хотя вот как раз их любимое детище пилится в лучших традициях виндуза — один большой, везде проталкиваемый комбайн, "быстрые бинарные протоколы". И может этот комбайн все-все-все!
Правда, шаг влево или вправо и у нестандартного хотетеля начинается «веселье».
Тут вон, недавно, один любитель демонстрировал "замену" крону с систем-комбайн^W системд-таймерами – подумаешь простыня копипасты из бложика^W Скрижалей Пророка в нескольких файлах, вместо одной строчки в crontab. Зато "встроенно и из коробки!".

Разве что код (пока) открыт.
Но вот качество этого кода …
https://github.com/systemd/systemd/blob/master/src/basic/uni...

        s = new(char, a + 1 + b + strlen(e) + 1);
        if (!s)
                return -ENOMEM;

        strcpy(mempcpy(mempcpy(s, f, a + 1), i, b), e);


https://github.com/systemd/systemd/blob/master/src/basic/uni...

        t = newa(char, strlen(p) + 2 + 4 + 1);
        stpcpy(stpcpy(stpcpy(mempcpy(t, p, fn - p), ".#"), fn), ".lck");


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

29. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –2 +/
Сообщение от Аноним (??) on 11-Авг-16, 17:34 
> Но вот качество этого кода …

а что не так с качеством? покажи-ка свой код для начала

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от Аноним (??) on 11-Авг-16, 17:57 
>> Но вот качество этого кода …
> а что не так с качеством?

А, понятно. Очередной питонист.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору
Часть нити удалена модератором

36. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от Аноним (??) on 11-Авг-16, 18:37 
> А, понятно, очередное трепло

Что же вы так самокритично-то?
А так да, вы еще очень похожи на очередного питонисто-жабиста, который восторгается тем, что код написан на Волшебном СИ и не замечает всей глубины пятой точки, на которую обречен тот, кто захочет ЭТО поправить или тем более переписать.
Я намекну:
> t = newa(char, strlen(p) + 2 + 4 + 1);
> strcpy(mempcpy(mempcpy(s, f, a + 1), i, b), e);

но если вы слепы, то это бесполезно.
Декларируйте и далее с пеной у рта "Это яйцо не тухлое! Сначала сам стань курицей и снеси лушее!", тактично забывая, что тогда во-первых, теряется весь смысл анонимного постинга, во вторых, указанны два конкретных примера и в третих, что как раз Анонимный Защитник пока что только языком и трепался.

Ответить | Правка | Наверх | Cообщить модератору

57. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от Аноним (??) on 12-Авг-16, 18:17 
Кривизна кода системд - это мелочь по сравнению с твоим жёлчным самопиаром. Пены, дыма и гари слишком много.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

58. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +1 +/
Сообщение от Аноним (??) on 12-Авг-16, 20:34 
> Кривизна кода системд - это мелочь

Вполне допускаю, что для того, кто ничего не смыслит в написании кода, кривизна самой пропиаренной и проталкиваемой системы инициализации и управления демонами, сравнимой по количеству кода с ядром версий 1.3+ -- это мелочь мелкая. Вот только те, кто умеет не только потреблять готовенькое, но и отсылает патчи с багфиксами с вами не согласны. Но вы вполне можете и далее продолжать считать их глупцами, ведь главное -- чтоб были жёлуди!
Пишите ещё, ведь ваше ценное мнение потреблятеля очень важно для вас!

> по сравнению с твоим жёлчным самопиаром.
> Пены, дыма и гари слишком много.

Отличный спрыг с темы.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

60. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от Аноним (??) on 12-Авг-16, 22:19 
отвечаешь невпопад, но ничего. Поржать можно. И даже не с Поцтеринга.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

66. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 04:56 
> Вполне допускаю, что для того, кто ничего не смыслит в написании кода,
> кривизна самой пропиаренной и проталкиваемой системы инициализации и управления демонами,

Ты и такой не напишешь. И даже Led и его дружки делом доказали что на шелле можно и похуже. Они там до сих пор таскают баш 3.х параллельно с 4.х, потому что кучу окаменелых скриптов всем лень переписывать. Т.е. по факту у них куча легаси кода на шелле который кто-то когда-то наворотил и который никто майнтайнить не хочет. Вот так баш превращается в какой-то питон.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

39. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +3 +/
Сообщение от Crazy Alex (ok) on 11-Авг-16, 18:46 
Да с ним абсолютно всё не так. Вообще рекордный какой-то пример.

1) на фиг такие цепочки - их крайне неудобно отлаживать, и при чтении запутаться легко.
2) именовать переменные не учили?
3) макрос, написанный маленькими буквами (new)
4) литералы в коде - ".#", ".lck"
5) размер буфера неявно прибит к длине этих литералов - а надо sizeof использовать.

Я это паре коллег показал - охренели.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

42. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +4 +/
Сообщение от Аноним (??) on 11-Авг-16, 19:10 
> Да с ним абсолютно всё не так. Вообще рекордный какой-то пример.

Да нет, просто показательный, а так там много чего. Меня когда-то заинтересовало, что там используется в качестве парсера конфигов, ну я и полез …

Кстати, ссылочкой ошибся, запостив два раза одну и ту же:
https://github.com/systemd/systemd/blob/09541e49ebd17b41482e...

Еще из "классики":
https://github.com/systemd/systemd/blob/09541e49ebd17b41482e...


strcpy(mempcpy(mempcpy(r, f, a + 1), i, b), e);

https://github.com/systemd/systemd/blob/3bb81a80bd18c15a1bef...

strcpy(stpcpy(stpcpy(stpcpy(mempcpy(t, p, fn - p), ".#"), extra), fn), "XXXXXX");

https://github.com/systemd/systemd/blob/a0bfc9c26a2cc44b95b1...

if (path_is_absolute(option+15)) {
                            if (strv_extend(&arg_tcrypt_keyfiles, option + 15) < 0)

https://github.com/systemd/systemd/blob/a0bfc9c26a2cc44b95b1...
 if (!path_is_absolute(option+7)) {

Там все прибито намертво к такому "ручному" парсингу в его "худшей ипостаси".

> Я это паре коллег показал - охренели.

Вы подождите, в прошлый или позапрошлый раз заявился аноним и пытался с умным, уверенным и серьезным видом убедить всех в том, что код на самом деле очень хорош и вообще, типичен для Си, а сомневающиеся на самом деле "жабисты", которые не смыслят в этом  по определению )

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 12-Авг-16, 14:27 
а что не нравится? на любимом линуксе Лени работает - а остальной шлак не нужен.
Вам что сказали ? правильно переносимый код не нужен. Ничего жрите что дают и не вякайте.
RedHat за вас уже решил :-)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

51. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Crazy Alex (ok) on 12-Авг-16, 15:21 
вообще-то "переносимый" и "поддерживаемый" - это совсем-совсем разные вещи. Если "переносимость" означает ограничивать себя ради аболютной экзотики или устаревших систем, которыми вообще никто не пользуется (вроде помянутого недавно unsigned time_t) - на фиг её. А вот вбивать в код длины строк цифирками - это тоскливый быдлокод, который рванёт не на экзотической системе (потому что его там никто не станет запускать), а при попытке что-то подправить.

Вот насчёт редхата - я всерьёз не пойму. Как на ЭТОМ можно основывать свою систему, на которой держится весь бизнес? Не, я в курсе, что внутри "больших и дорогих" часто куча мусора, подпёртая костылями, но как-то не в самых базовых компонентах обычно. Когда оно всерьёз рванёт - это ж только вопрос времени.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

68. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 16:04 
> Вам что сказали ? правильно переносимый код не нужен.

Где и когда системы инициализации были портабельными? Бзды дро...и как хотели и совместимостью ни с кем не парились. У большинства дистров линукса инит-скрипты никогда и не были совместимыми, как минимум без большого напильника. Проприетарные юниксы вообще городили кто во что горазд. Как там насчет переносимости SMF? Кто и куда его перенес?

> Ничего жрите что дают и не вякайте.

Да вот что-то мы тут с парнями повякали насчет эмбедовки и ее проблем. Поттеринг более-менее услышал. В отличие от тугих на ухо хейтеров, с которыми конструктивный диалог невозможен в принципе а все ответы сводятся к "это ваши проблемы, пишите весь код сами".

> RedHat за вас уже решил :-)

Редхат за меня может решить только в одном случае: когда им окажется нужно то же самое что и мне. В этом случае очень хорошо если проблемы замахают они а не я. У них ресурсов вона сколько.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

67. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 15:50 
> Да нет, просто показательный, а так там много чего. Меня когда-то заинтересовало,
> что там используется в качестве парсера конфигов, ну я и полез

Ты забыл выдержки перлов из инит-скриптов. Их там есть. Буквально каждый первый скрипт плюет на логгинг и коды возврата. Если сервис повис на старте, это навсегда и обнаружено не будет. В случае любых ошибок упирается сам админ. Пути прописанные на примерно третьей странице - норма жизни. И при переносе между системами эти пути надо править. Что делает процесс не слишком пресным.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

69. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 17:57 
> Ты забыл выдержки перлов из инит-скриптов. Их там есть.

Угу. Принцип "Протухшая говядина все же лучше свинины с диоксином!"?

Во-первых, системд уже давно не только/просто система инициализации. Во-вторых, менять шило на мыло все равно очень сомнительный профит. Особенно учитывая количество кода (где-то 350 тыщ строк) и старательное завязывание на системд всего и вся.

Еще раз: никто не спорит, что сами по себе некоторые задумки в системд очень даже ничего.
Но с такой реализацией как то это уж очень смахивает на хорошую такую мину замедленного действия. Причем, очень даже покруче инит-скриптов.

А ведь я еще даже не вспоминаю про некоторые личностные качества  и "забытые" обещания. Вон, когда мержили тот же udev, обещали что "After udev is merged into the systemd tree you can still build it for usage *outside of systemd systems*, and we will support these builds officially."
Но года через два оказалось что это было "давно и неправда".


Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

23. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от Аноним (??) on 11-Авг-16, 16:55 
зловред из новости работает со всеми системами инициализации, создание юнита systemd в описании новости приведено в качестве примера (провокативного, надо сказать, раз тут же появились дегенераты вроде тебя)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –5 +/
Сообщение от _ (??) on 11-Авг-16, 17:05 
Брешешь! Нету в новости ничего про другие системы инициализации! Да и как ты себе это представляешь? :-)
Радуюсь за поняшек топивших за системДы :) Запах винды уже с нами ....
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 11-Авг-16, 17:33 
В оригинальной новости на сайте Dr.Web - вообще ни слова о systemd, так что провокативность подачи новости автором на opennet очевидна. А то, что тут же дегенераты-хейтеры уцепились именно за systemd - тому (провокативности) дополнительное подтверждение
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

41. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от Аноним (??) on 11-Авг-16, 19:07 
> В оригинальной новости на сайте Dr.Web - вообще ни слова о systemd,

Плохо читали оригинал от Dr.Web - "создает файл /etc/systemd/system/ntp.service". См http://vms.drweb.ru/virus/?_is=1&i=8400823

> провокативность подачи новости автором на opennet очевидна.

В новости на opennet тоже лишь косвенно, а не на прямую упомянут systemd, сказано только "создаёт сервис /etc/systemd/system/ntp.service".

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

61. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 04:38 
Да ну ничего ты не понимаешь в колбасных обрезках. Вирмэйкер тоже человек и людские слабости вирмэйкерам на чужды. Например желание инсталлировать вирь без геморроя с майнтенансом кривых глючных скриптов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +7 +/
Сообщение от Barafu on 11-Авг-16, 12:37 
На языке GO с его тягой к статической сборке бинарников.
Шутка про троянского слона.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от vitalif (ok) on 11-Авг-16, 22:05 
Как еще линукс вирус распространятт если не статической сборкой! А ну версия libc не совпадет!
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от Аноним (??) on 11-Авг-16, 13:13 
>с установленными незащищёнными конфигурациями

Сначала они ставят незащищенные конфигурации, а потом удивляются, что их взломали

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +1 +/
Сообщение от Аноним (??) on 12-Авг-16, 14:29 
> >с установленными незащищёнными конфигурациями
> Сначала они ставят незащищенные конфигурации, а потом удивляются, что их взломали

то есть домашние воры это хорошо ?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

62. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 04:42 
> то есть домашние воры это хорошо ?

Домашние воры не есть хорошо, но если ты бросаешь кошелек с сотнями денег на улице, у всех на виду, без присмотра, не стоит удивляться что у кошелька выросли ноги. Особенно если по улицам будут шнырять тысячи неизвестно чьих роботов, как в интернете.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

8. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от АнонимХ (ok) on 11-Авг-16, 13:31 
> исполняемого файла /usr/sbin/ntp

Т.е. зловред вместо того, что бы действительно проявить свои вирусные качества - встроиться в бинарник и данные redis-а каким-нибудь хитрым способом, тупо устанавливается, слегка маскируясь. А редис использует только из-за уязвимости.

Никакой красоты, одни биткоины.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от dkg on 11-Авг-16, 13:39 
Да, Go! это круто
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +4 +/
Сообщение от Аноним (??) on 11-Авг-16, 13:57 
Гошные бинарники деплоить удобно, в том числе и зловредные.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +12 +/
Сообщение от анрн on 11-Авг-16, 14:10 
Выявлены вирусы поражающие серверы на базе любой операционной системы с установленными незащищёнными конфигурациями любого программного обеспечения, вирус написан на любом языке программирования. После получения контроля над уязвимым сервером программа устанавливается в систему и используется злоумышленниками как угодно.
Вредоносное ПО также может заниматься чем угодно со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему вирусы делают что хотят.

fixed

drweb не благодари

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от Дегенератор on 11-Авг-16, 19:46 
Так архитектура линуха же не позволяет запускаться вирусам, это ж не масдай! Не переживайте, держитесь там и хорошего настроения!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

44. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от анрн on 11-Авг-16, 19:56 
Архитектура твоего мозга не позволяет тебе осознать, что в твоем теле вирусы, которые негативно влияют на твою адекватность.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

65. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 04:49 
> Так архитектура линуха же не позволяет запускаться вирусам, это ж не масдай!
> Не переживайте, держитесь там и хорошего настроения!

Чтобы redis смог записать что-то в /etc ... нннннуууу, на тестовой машине докторвеба так наверное бывает, да.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

70. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от анрн on 13-Авг-16, 18:27 
Я думаю именно так и взломали сервера drweb-a
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

12. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от Аноним (??) on 11-Авг-16, 14:19 
А что значит незащищенная конфигурация?
Если я просто поставил редис в качестве session storage для чата и ничего не настраивал моя конфигурация считается незащищенной?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от angra (ok) on 11-Авг-16, 14:34 
Для работы этого "вируса" нужно чтобы redis биндился на все интерфейсы, а не только локалхост, но самое главное работал из под рута, а не отдельного пользователя. И если как у многих получается первое я еще могу понять, то зачем кто-то делает второе для меня загадка.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от azure (ok) on 11-Авг-16, 15:00 
Это стандартная фича редиса - записывать файлы в ФС, ставить им права на выполнение и запускать со своими привелегиями? Или оно просто решето?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от angra (ok) on 11-Авг-16, 15:35 
Нет. Просто ты не способен придумать как использовать абсолютно нормальную для DBM-на-стероидах возможность указать файл БД. "Вирус" там конечно примитивный, но все-таки не настолько, как ты думаешь.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от vitvegl on 11-Авг-16, 17:21 
Где ты такое видел? Профиль в помощь https://github.com/vitvegl/AppArmor-profiles/blob/master/ubu...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

13. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от manster (ok) on 11-Авг-16, 14:32 
так можно к любой системе с незащищенной конфигурацией или ослабленной (по дефолту) - а вот откуда берутся такие дефолты это вопрос интересный ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Ergil on 11-Авг-16, 14:36 
В данном случае «незащищенный» это Redis слушающий внешний интерфейс и не имеющий авторайза. При этом во всех дистрибутивах по дефолту Redis слушает только lo, то есть по умолчанию Redis «защищен».
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +1 +/
Сообщение от Аноним email(??) on 11-Авг-16, 14:39 
Один я заметил ? чтобы майнить на серверах биткоины как они написали, нужно минимум тысяч 10-30 серверов чтобы более менее что-то заработать.
Калькулятор майнинга в помощь )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 11-Авг-16, 21:03 
Возможно, майнили другие криптовалюты.

Либо у них большой пул, и серверы с уязвимым Redis – лишь небольшая его часть.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +4 +/
Сообщение от pkdr (ok) on 11-Авг-16, 14:42 
Итак, надо поставить ничем не защищённый редис, обязательно запустить его от рута (взломанный редис, запущенный от юзера в /etc и /usr/sbin ничего не запишет), выпустить этот редис в интернет.
Потом надо, чтобы у админа не было selinux и прочего, ему было плевать на появившиеся сервисы, на новые ключи в конфиге ssh, на изменённый конфиг ssh.

Молдавский вирус, по мне, даже поэффективнее будет, задо ДрВеб может радостно вопить "Смотрите же! Смотрите! Ну ведь есть вирусы для линукса, есть! Купите у нас антивирус!"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  –1 +/
Сообщение от Аноним (??) on 11-Авг-16, 15:18 
>Linux.Lady.1 устанавливает себя
> под видом исполняемого файла /usr/sbin/ntp,  создаёт сервис /etc/systemd/system/ntp.service
> для автоматического запуска, добавляет в ~/.ssh/authorized_keys* свой SSH-ключ и устанавливает
> в /etc/ssh/sshd_config возможность входа по SSH с правами root.

И придет мне часов через пяток письмецо:


Warning: The file properties have changed:
         File: /usr/sbin/ntp
         Current hash: f1da229780e39ff6511c0fc227744b2817d122f4
         Stored hash : 9abab0d7e41ae6c88fb4c54f1623087d00a0b4e0
         Current inode: 13370    Stored inode: 13380
         Current file modification time: 1469445909 (25-июля-2016 13:25:09)
         Stored file modification time : 1468099630 (9-июля-2016 23:27:10)

и буду я чесать репу, как зловред смог записаться на RO /
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от Andrey Mitrofanov on 11-Авг-16, 15:32 
>[оверквотинг удален]
>> для автоматического запуска, добавляет в ~/.ssh/authorized_keys* свой SSH-ключ и устанавливает
>> в /etc/ssh/sshd_config возможность входа по SSH с правами root.
> И придет мне часов через пяток письмецо:
> Warning: The file properties have changed:
>          File: /usr/sbin/ntp
>          Current hash: f1da229780e39ff6511c0fc227744b2817d122f4
>          Stored hash :
> 9abab0d7e41ae6c88fb4c54f1623087d00a0b4e0
>          Current inode: 13370
>    Stored inode: 13380

Вот ты ж фантазёр, фантазируешь, как зловред уже обновляться будет?

Настоящий файл называется sbin/ntpd. Камуфляж же.

$ zgrep usr/sbin/ntp <main+Contents-i386.gz |less
usr/sbin/ntp-keygen                                     net/ntp
usr/sbin/ntp-wait                                       net/ntp
usr/sbin/ntpd                                           net/ntp,net/openntpd
usr/sbin/ntpdate                                        net/ntpdate
usr/sbin/ntpdate-debian                                 net/ntpdate
usr/sbin/ntptime                                        net/ntp
(END)

> и буду я чесать репу, как зловред смог записаться на RO /

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +2 +/
Сообщение от Аноним (??) on 11-Авг-16, 17:49 
> Вот ты ж фантазёр, фантазируешь, как зловред уже обновляться будет?
> Настоящий файл называется sbin/ntpd. Камуфляж же.

Посыпаю от стыда голову пепом!
Да, будет тогда все по другому: будет мне письмецо про "unknown file".


Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от vitvegl on 11-Авг-16, 17:30 
>[оверквотинг удален]
>          Stored hash :
> 9abab0d7e41ae6c88fb4c54f1623087d00a0b4e0
>          Current inode: 13370
>    Stored inode: 13380
>          Current file modification
> time: 1469445909 (25-июля-2016 13:25:09)
>          Stored file modification
> time : 1468099630 (9-июля-2016 23:27:10)
>
> и буду я чесать репу, как зловред смог записаться на RO /

кстати, Поттеринг поломал ro / в systemd > 222 где-то =). В связи с systemd-tmpfiles-*


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

32. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +1 +/
Сообщение от Аноним (??) on 11-Авг-16, 18:03 
> кстати, Поттеринг поломал ro / в systemd > 222 где-то =). В
> связи с systemd-tmpfiles-*

Рассказывая в очередной раз о том, что системдводы ССЗБ, а сам системд больше похож на хорошо спланированную диверсию со стороны окошек и прочих проприетарщиков, вы не сообщаете мне ничего нового.
Сейчас набегут "новые клоуны", которые точно знают, что "юниксвей давно устарел и ни на что не годен" и вообще, пережитки старых юниксоидов мешают делать новую, бесплатную винду ...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

52. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 12-Авг-16, 15:24 
А убирание кнопки пуск и плиточки в windows 8 диверсия со стороны опенсорсников?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

56. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 12-Авг-16, 18:04 
> А убирание кнопки пуск и плиточки в windows 8 диверсия со стороны
> опенсорсников?

Нет, диверсия со стороны тех же прорпиетарных окошек, типа "код закрыт, править нельзя, так что жрите что дают!". А так как в неокошках такой подход не катит, нужен более комплексный "оно конечно открыто и вроде даже модулярно, но без пол-литры …"

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

64. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 04:46 
> А убирание кнопки пуск и плиточки в windows 8 диверсия со стороны опенсорсников?

Скорее, случайно самоэлопотомировались. Смотри, Элоп вернулся в MS. Продажи упали в 3 раза. Увлекся мужик работой :)

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

63. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 13-Авг-16, 04:45 
> кстати, Поттеринг поломал ro / в systemd > 222 где-то =). В
> связи с systemd-tmpfiles-*

Вот те раз, а как же у меня debian с systemd 229 загружается с RO rootfs-ом то?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

53. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Subcreator email(??) on 12-Авг-16, 16:18 
Для майнинга на чем, на проце?? Уже даже на видюхах умер...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от ANONYM on 12-Авг-16, 16:31 
Ты сейчас про какую крипту? X11, X13 вполне, менее популярные алгоритмы тем более.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

55. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Subcreator email(??) on 12-Авг-16, 17:31 
А кроме Dash что-то имеет смысл майнить? Оборот и цена - мизер, да и где их потом менять?

Даже на видюхе ниочем
$ ./ccminer -a X11 --benchmark
[2016-08-12 17:29:47] GPU #0: GeForce GTX 660, 1925.65 kH/s
[2016-08-12 17:29:47] Total: 1910.37 kH/s

Не говоря уж о проце
$ ./cpuminer -a x11 --benchmark
[2016-08-12 17:08:40] Total: 64.87 kH/s

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

59. "Выявлено вредоносное ПО, использующее уязвимые СУБД Redis дл..."  +/
Сообщение от Аноним (??) on 12-Авг-16, 20:46 
блокчейн - уже давно не только криптовалюты.
уже и мессенджеры и почта и голосовые сервисы(гуглим меш потато).
недавно до уровня альфы и IPFS доросла. в общем помаленьку растет.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor