The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от opennews (ok) on 13-Май-13, 14:02 
Специалисты антивирусной компании ESET выявили (http://www.welivesecurity.com/2013/05/07/linuxcdorked-malwar.../) около 400 серверов, поражённых бэкдором Cdorked, из которых 50 серверов обслуживают сайты, входящие в список 100 тыс. наиболее популярных ресурсов по рейтингу Alexa (http://www.alexa.com/). Примечательно, что кроме ранее встречавшихся случаев внедрения (https://www.opennet.ru/opennews/art.shtml?num=36810) данного бэкдора в исполняемый файл http-сервера Apache, новая информация свидетельствует об использовании варианта Cdorked, поражающего серверы на базе lighttpd и nginx. В качестве способа проверки внедрения бэкдора, рекомендуется оценить целостность исполняемых файлов httpd, nginx и lighttpd по контрольной сумме.


Методы работы вредоносного ПО Cdorked схожи с методами ранее выявленных атак, манипулирующих руткитом (https://www.opennet.ru/opennews/art.shtml?num=35392) для ядра Linux или поражающих (https://www.opennet.ru/opennews/art.shtml?num=35669) установки Apache, с целью (https://www.opennet.ru/opennews/art.shtml?num=36810) незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. В всех случаях в отдаваемый клиентам трафик выполняется подстановка эксплуатирующих браузеры iframe- или JavaScript-блоков, предназначенных для массового поражения клиентских систем и их подключение к работе ботнетов. Для скрытия своего присутствия в бэкдоре используется несколько методов, от хранения своих компонентов в разделяемой памяти, до выборочной отдачи вредоносных вставок (вредоносный iframe показывается клиенту только один раз, игнорируются подсети с которых были зафиксированы входы по SSH на сервер и запросы от поисковых систем.

Неясным пока остаётся метод внедрения бэкдора на Linux-системы. Ранее в качестве наиболее вероятного варианта рассматривалось эксплуатация уязвимости в панели управления хостингом Cpanel или утечка параметров входа пользователей данной системы. Но среди поражённых серверов выявлены и системы без Cpanel, разительно отличающиеся по программное начинке, поэтому как актуальная гипотеза рассмаривается проникновение на основе индивидуальных атак на серверы, используя различные незакрытые уязвимости или получая доступ через перехват паролей путём сниффинга в локальных сетях.


URL: http://www.welivesecurity.com/2013/05/07/linuxcdorked-malwar.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=36917

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  –2 +/
Сообщение от pavlinux (ok) on 13-Май-13, 14:02 
Мдя...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Ананай on 13-Май-13, 14:08 
Ради интереса пропатчил себе SSH теперь вижу в отдельном логе с какими паролями ко мне ломятся. Надо сказать что попадаются весьма замысловатые пароли.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 14:09 
А чо, tcp wrappers еще не изобрели?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

58. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 22:36 
> А чо, tcp wrappers еще не изобрели?

Не еще, а уже.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  –2 +/
Сообщение от pavlinux (ok) on 13-Май-13, 14:16 
> Ради интереса пропатчил себе SSH теперь вижу в отдельном логе с какими
> паролями ко мне ломятся. Надо сказать что попадаются весьма замысловатые пароли.

Pa$$w0rd, r00t, g0d12345678, superadmin rootadmin, superR00t!...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +34 +/
Сообщение от Sylvia (ok) on 13-Май-13, 14:29 
чёрт.. он знает мои пароли

(:

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

54. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от анон on 13-Май-13, 21:27 
Сильви, привет :)
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

50. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Anonim (??) on 13-Май-13, 20:30 
Вот поэтому и надо юхать эти пароли только для шифрования ключей.
ЗЫ: пароли к ssh разве перехватываются "в локалке"?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Выявлена атака по внедрению бэкдора на web-серверы с..."  –2 +/
Сообщение от arisu (ok) on 13-Май-13, 14:18 
а я просто перевесил его на нестандартный порт — и почему-то никто не ломится. ума не приложу, как починить.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +4 +/
Сообщение от pavlinux (ok) on 13-Май-13, 14:20 
> и почему-то никто не ломится...

Значить ты никому не нужен.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Выявлена атака по внедрению бэкдора на web-серверы с..."  –3 +/
Сообщение от arisu (ok) on 13-Май-13, 14:24 
>> и почему-то никто не ломится...
> Значить ты никому не нужен.

мне приятней считать, что боятся.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +15 +/
Сообщение от pavlinux (ok) on 13-Май-13, 14:27 
>>> и почему-то никто не ломится...
>> Значить ты никому не нужен.
> мне приятней считать, что боятся.

Самоуверенность одна из главных дыр в безопасности!
Враг везде! Враг каждый! Ты - враг! Не верь никому, даже самому себе!  

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +1 +/
Сообщение от arisu (ok) on 13-Май-13, 14:53 
> Самоуверенность одна из главных дыр в безопасности!
> Враг везде! Враг каждый! Ты — враг! Не верь никому, даже самому
> себе!

и немедленно выпил.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +6 +/
Сообщение от pavlinux (ok) on 13-Май-13, 15:19 
> и немедленно выпил.

... цианида. Тоже вариант, бывает One-Time-Password, а тут One-Time-Admin. :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Выявлена атака по внедрению бэкдора на web-серверы с..."  –1 +/
Сообщение от arisu (ok) on 13-Май-13, 15:25 
>> и немедленно выпил.
> … цианида. Тоже вариант, бывает One-Time-Password, а тут One-Time-Admin. :)

ну где я тебе цианида возьму сейчас?

и вообще, не обзывайся! сам ты админ!

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору
Часть нити удалена модератором

37. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +1 +/
Сообщение от arisu (ok) on 13-Май-13, 16:56 
вообще-то он себя админом, вроде, и не заявлял.
Ответить | Правка | Наверх | Cообщить модератору

53. "Выявлена атака по внедрению бэкдора на web-серверы с..."  –1 +/
Сообщение от Аноним (??) on 13-Май-13, 21:21 
>Не верь никому, даже самому себе!  

Что, уже пробовали газифицировать лужу, прям как в анекдоте? ;)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

76. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +1 +/
Сообщение от Anonymous from da LOR on 14-Май-13, 09:47 
Мне можно.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

72. "не обольщайся,"  +/
Сообщение от scorry (ok) on 14-Май-13, 03:03 
ты просто не попал в диапазон сканирования. рано или поздно это произойдёт.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

75. "не обольщайся,"  +1 +/
Сообщение от Andrey Mitrofanov on 14-Май-13, 09:36 
> ты просто не попал в диапазон сканирования. рано или поздно это произойдёт.

Не-не! С дайалапщиков никакого навару же.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

22. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Аноним (??) on 13-Май-13, 15:27 
> а я просто перевесил его на нестандартный порт — и почему-то никто не ломится. ума не приложу, как починить.

Засвети свой айпишник хотя бы где-нибудь.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от arisu (ok) on 13-Май-13, 15:38 
> Засвети свой айпишник хотя бы где-нибудь.

тора-гой. мой айпишник вполне светится, потому что это сервер с почтой, жабиром, ввв, хранилищем проектов и ещё много чем. у него даже доменное имя есть (потому что почта, жабир и ты пы). и ssh упорно брутфорсили — ровно до того момента, когда я его перевесил на другой порт. ftp брутфорсят. почту брутфорсят. впрочем, после того, как я обрезал китай и тайвань — намного меньше.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +4 +/
Сообщение от Аноним (??) on 13-Май-13, 15:39 
> тора-гой. мой айпишник вполне светится, потому что это сервер с почтой, жабиром, ввв, хранилищем проектов и ещё много чем.

А этим всем пользуется хоть кто-то, кроме вас лично?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +9 +/
Сообщение от arisu (ok) on 13-Май-13, 15:44 
> А этим всем пользуется хоть кто-то, кроме вас лично?

конечно, нет. я сам себе e-mail'ы пишу, и в жабире сам с собой общаюсь. а когда мне совсем грустно, я клонирую свои же проекты и сам себе пишу патчи с багрепортами. все остальные Недостойны.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

56. "Выявлена атака по внедрению бэкдора на web-серверы с..."  –2 +/
Сообщение от Аноним (??) on 13-Май-13, 22:30 
> конечно, нет. я сам себе e-mail'ы пишу, и в жабире сам с собой общаюсь. а когда мне совсем грустно, я клонирую свои же проекты и сам себе пишу патчи с багрепортами.

"И жизнь его похожа на фруктовый кефир...
Видал я и такое не раз."

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

78. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +1 +/
Сообщение от Аноним (??) on 14-Май-13, 11:29 
Всех убью, один останусь. Бота кикну и забанюсь.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +1 +/
Сообщение от milkman on 13-Май-13, 17:38 
>> после того, как я обрезал китай и тайвань — намного меньше.

Катай с Тайванем были в прошлом году, примерно осенью

Теперь бразильцы зажигают :) (Судя по моим логам)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

59. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от arisu (ok) on 13-Май-13, 22:40 
ну, я не проверял с тех пор. надо посмотреть, да. tnx.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

73. "1"  +2 +/
Сообщение от scorry (ok) on 14-Май-13, 03:05 
> Катай с Тайванем были в прошлом году, примерно осенью
> Теперь бразильцы зажигают :) (Судя по моим логам)

скорее, зажигают зомби-сети. из Египта, Италии, даже из ОАЭ.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

51. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Anonim (??) on 13-Май-13, 20:37 
Как обрезали? Можно только Рашку открыть?


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

60. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от arisu (ok) on 13-Май-13, 22:40 
> Как обрезали?

иптаблом же, как ещё…

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

74. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от ryzhov_al (ok) on 14-Май-13, 08:54 
Не чистый iptables, ipset, видимо.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

28. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от blablabla (ok) on 13-Май-13, 15:44 
> Засвети свой айпишник хотя бы где-нибудь.

109.202.16.7


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

45. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +1 +/
Сообщение от Адекват on 13-Май-13, 18:50 
>> Засвети свой айпишник хотя бы где-нибудь.
> 109.202.16.7

А че так закрылся то ? испугался что-ли ?
твой ip возвращает mail.sgke.ru., но sgke.ru не имеет mx записей
короче лажа.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

47. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Аноним (??) on 13-Май-13, 19:20 
>>> Засвети свой айпишник хотя бы где-нибудь.
>> 109.202.16.7
> А че так закрылся то ? испугался что-ли ?
> твой ip возвращает mail.sgke.ru., но sgke.ru не имеет mx записей
> короче лажа.

А чё у мене высветился какой-то mx-ll-49.48.57-46.dynamic.3bb.co.th

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Адекват on 13-Май-13, 19:29 
>>>> Засвети свой айпишник хотя бы где-нибудь.
>>> 109.202.16.7
>> А че так закрылся то ? испугался что-ли ?
>> твой ip возвращает mail.sgke.ru., но sgke.ru не имеет mx записей
>> короче лажа.
> А чё у мене высветился какой-то mx-ll-49.48.57-46.dynamic.3bb.co.th

[user0@homelinux ~]$ nslookup -q=mx sgke.ru
Server:        78.29.2.21
Address:    78.29.2.21#53

Non-authoritative answer:
*** Can't find sgke.ru: No answer

Authoritative answers can be found from:
sgke.ru
    origin = ns3-l2.nic.ru
    mail addr = sgke.mail.ru
    serial = 65012713
    refresh = 14400
    retry = 3600
    expire = 2592000
    minimum = 600

[user0@homelinux ~]$ nslookup -q=mx mail.ru
Server:        78.29.2.21
Address:    78.29.2.21#53

Non-authoritative answer:
mail.ru    mail exchanger = 10 mxs.mail.ru.

Authoritative answers can be found from:
mxs.mail.ru    internet address = 94.100.176.20

[user0@homelinux ~]$

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

32. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Аноним (??) on 13-Май-13, 16:20 
>> а я просто перевесил его на нестандартный порт — и почему-то никто не ломится. ума не приложу, как починить.
> Засвети свой айпишник хотя бы где-нибудь.

На 22 порт долбятся боты. Вывешиваешь SSH на 2222 - и привет, ребяты, пишите письма. Еще собираешь SSH с каким-нибудь хедером "F@ck you!" - и кроме версии там хрен что увидят. Тишина, спокой, ляпота. У меня так уже 4 года один сервер наружу торчит. Ни одна собака не долбанулась.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

46. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Graynder (ok) on 13-Май-13, 19:06 
Лучше не менять порт, а нарисовать access list, который будет пропускать ssh трафик только от разрешенных ip адресов, а остальные попытки с подключениями - блокировать.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

61. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +2 +/
Сообщение от arisu (ok) on 13-Май-13, 22:42 
очень прикольно будет при попытке срочно подключиться из кафешки на отдыхе.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

66. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +3 +/
Сообщение от Аноним (??) on 13-Май-13, 23:32 
> очень прикольно будет при попытке срочно подключиться из кафешки на отдыхе.

Очень дисциплинирует от стремления логиниться с чужих компов, на которых может стоять любая кейлоггерная дрянь. А на своем можно и шифрованный VPN держать.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

77. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от acmnu (ok) on 14-Май-13, 10:41 
А таки что, vpn стал принципиально надежнее ssh?
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

82. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Michael Shigorin email(ok) on 14-Май-13, 13:38 
> А таки что, vpn стал принципиально надежнее ssh?

А таки что, бывает vpn просто по паролю?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

83. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +1 +/
Сообщение от acmnu (ok) on 14-Май-13, 14:29 
Вы таки ещё не используете сертификаты для ssh аутентификации?
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

84. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +2 +/
Сообщение от Graynder (ok) on 14-Май-13, 14:34 
В данном случае vpn не противопоставляется ssh.
Вероятно имеется ввиду что ssh доступ будет возможен только после подключения по vpn.
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

86. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от acmnu (ok) on 14-Май-13, 15:23 
И таки кто вам мешает давать ssh не сразу в dmz зону а в предбанник?
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

87. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от arisu (ok) on 14-Май-13, 17:02 
и от логина со смарта через публичный wi-fi, ага.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

81. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Michael Shigorin email(ok) on 14-Май-13, 13:37 
> очень прикольно будет при попытке срочно подключиться из кафешки на отдыхе.

port knocking не отменяли, хотя это дополнительный код, конечно...

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

80. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от XoRe (ok) on 14-Май-13, 12:13 
> а я просто перевесил его на нестандартный порт — и почему-то никто
> не ломится. ума не приложу, как починить.

От ботнетов неплохо спасает, да.
От индивидуального подхода - нет.
Кстати, если у вас ssh юзеры = ftp юзеры, у меня для вас плохие новости...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

88. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от arisu (ok) on 14-Май-13, 17:02 
> Кстати, если у вас ssh юзеры = ftp юзеры

зачем? O_O

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

90. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от XoRe (ok) on 15-Май-13, 20:47 
>> Кстати, если у вас ssh юзеры = ftp юзеры
> зачем? O_O

За тем, что многие ленятся заводить виртуальных юзеров для ftp и юзают системных.
А пароль один.
И получается, как рыцарь с броней сверху, но без штанов снизу.
SSH защищена донельзя, даже на другой порт перевесили.
А FTP все так же висит на 21 порту, передает пароли plain text'ом и потихоньку брутфортится.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

91. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от arisu (ok) on 15-Май-13, 20:51 
> За тем, что многие ленятся заводить виртуальных юзеров для ftp и юзают
> системных.

ССЗБ значит.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

93. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от Аноним (??) on 18-Май-13, 07:24 
pure-pw adduser
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

12. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +1 +/
Сообщение от pavlinux (ok) on 13-Май-13, 14:25 
> Ради интереса пропатчил себе SSH теперь вижу в отдельном логе с какими паролями ко мне ломятся.

А ты подумал, что к файлам /var/log/* легче добраться, чем до рута?!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 15:29 
А ты подумал то он авторизуется по ключу?!
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

42. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от pavlinux (ok) on 13-Май-13, 18:12 
Вверху новость, как раз про тех, кто тоже авторизуется по ключам :)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  –1 +/
Сообщение от kay (ok) on 13-Май-13, 15:33 
патч в студию.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

41. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 18:01 
> патч в студию.

Самому написать слабо?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

92. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от william harvey email on 18-Май-13, 02:57 
поделитесь ссьілкой )
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +3 +/
Сообщение от piteri (ok) on 13-Май-13, 14:08 
А я всегда говорил, что putty зло.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от анон on 13-Май-13, 14:11 
обоснуйте?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +2 +/
Сообщение от pavlinux (ok) on 13-Май-13, 14:19 
> обоснуйте?

Видозная софтино! Софтино хранит пароли локально.
Видоз - запускалка троянов! Трояны тырят пассворды и ключи.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  –1 +/
Сообщение от Аноним (??) on 13-Май-13, 14:51 
PuTTY под Linux.

Мне пару раз админ заражал сайт. Работал с домашнего компьютера под Windows.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +1 +/
Сообщение от pavlinux (ok) on 13-Май-13, 15:09 
> PuTTY под Linux.

Ага, и в Париж-Дакар на Ладе Калине.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Адекват on 13-Май-13, 18:47 
> Видозная софтино! Софтино хранит пароли локально.

putty не хранит пароли

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

62. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Anonymous1 on 13-Май-13, 22:52 
>> Видозная софтино! Софтино хранит пароли локально.
> putty не хранит пароли

Продвинутые Одмины запоминают пароли прямо в PuTTY, а то долго набирать... А ведь жизнь так коротка... Кстати, о Поттеринге...


Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

65. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 23:30 
> Кстати, о Поттеринге...

Он опять вас чем-то обидел?

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

69. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  –1 +/
Сообщение от Аноним (??) on 14-Май-13, 00:59 
Не дает писать всякую фигню в лог от чужого имени.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

79. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 14-Май-13, 11:34 
Продвинутые Одмины пишут пароли на листочках и клеют их на монитор. Так ни один хакер не стырит.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

89. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Вася (??) on 14-Май-13, 23:22 
Вы забыли про web-камеры и полированные шкафы за спиной
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

85. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  –1 +/
Сообщение от Адекват on 14-Май-13, 15:22 
Блин, я уже лет 5 с этим putty работаю и все еще не знаю как там пароли сохранять.
Может у меня не правильный putty ?
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

94. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 18-Май-13, 07:30 
> Блин, я уже лет 5 с этим putty работаю и все еще
> не знаю как там пароли сохранять.
> Может у меня не правильный putty ?

putty ssh keygen

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

95. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 18-Май-13, 07:32 
> Блин, я уже лет 5 с этим putty работаю и все еще
> не знаю как там пароли сохранять.
> Может у меня не правильный putty ?

https://www.webenabled.com/creating-and-uploading-your-ssh-p...

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

10. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  –2 +/
Сообщение от UraniumSun on 13-Май-13, 14:21 
> Неясным пока остаётся метод внедрения бэкдора на Linux-системы ... проникновение на основе индивидуальных атак на серверы, используя различные незакрытые уязвимости или получая доступ через перехват паролей путём сниффинга в локальных сетях

Вполне возможно, хотя мне видится ещё то, что админы, вероятно, ставят на сервера различные проприетарные продукты.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 20:51 
Сервера, на которых это происходит это веб сервера, а значит надо не исключать ПО связанное с вебом. Есть множество ошибок в веб сайтах позволяющих выполнить произвольный код на сервере. Если тут упоминают слово индивидуально, то каков критерий этого понятия, взлом то неединичный какая же тут индивидуальность. Linux дистрибутивы по своей природе идентичны, разнятся только версии ПО, и некоторые небольшие отличия от сюда и надо начинать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 22:34 
> Сервера, на которых это происходит это веб сервера, а значит надо не исключать ПО связанное с вебом.

Надо не исключать любое ПО, которое есть на этих серваках.
А именно веб-серверам эта малварь присуща по одной простой причине - ее основная функция состоит в том, чтобы инжектить вредоносный код в веб-контент. Конечно, на промежуточных роутерах теортетически тоже можно такое сделать, но гораздо сложнее. А киберпреступники нынче уже не энтузиасты, а эффективные бизнесмены, и поэтому предпочитают простые пути.

Если говорить о методе проникновения, то наиболее вероятный вариант - троян на компах тех, кто имеет легальный доступ (по паролям или ключам).

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

63. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 23:18 
используйте freebsd или grsecurity = http://grsecurity.net/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +1 +/
Сообщение от Аноним (??) on 13-Май-13, 23:29 
> используйте freebsd

Один уже попользовался: http://www.linux.org.ru/forum/admin/9033358#comment-9033560

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

67. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 23:36 
ну все возвращаюсь на ms-dos =(
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

68. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 13-Май-13, 23:44 
Зачем? Есть же OpenVMS, официально признанная невзламываемой.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

70. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +1 +/
Сообщение от Аноним (??) on 14-Май-13, 01:30 
> Зачем? Есть же OpenVMS, официально признанная невзламываемой.

Она не есть, она была, официально признанная.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

71. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +1 +/
Сообщение от pavlinux (ok) on 14-Май-13, 02:55 
> Есть же OpenVMS, официально признанная невзламываемой.

В феврале-марте пролетали два CVE по VMS (не вникал).

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

96. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 18-Май-13, 10:35 
вот собственно работа этого руткита, тыкаем первую ссылку и уходим на другой сайт) http://www.google.com/search?q=%D1%86%D0%...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. "Выявлена атака по внедрению бэкдора на web-серверы с..."  +/
Сообщение от arisu (ok) on 18-Май-13, 18:15 
давать ссылки с «client» и «rls» как минимум некультурно.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

98. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 18-Май-13, 18:39 
о чем это вы?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

99. "Выявлена атака по внедрению бэкдора на web-серверы с lighttp..."  +/
Сообщение от Аноним (??) on 18-Май-13, 18:42 
Чукча не понимать!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру