The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.11.2012 11:13  Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик

На ряде web-серверов обнаружен новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением Debian Squeeze с ядром 2.6.32-5-amd64. После активации в ядро системы загружается специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.

В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются и скрываются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. Первая информация о новом рутките была опубликована несколько дней назад в списке рассылки Full Disclosure. Администратор одной из поражённых систем привёл первичный разбор странной активности на своём сервере, из-за которой с хоста данные уходили с подстановкой вредоносного iframe, но локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый для отдачи контента nginx при проверке через strace отдавал в сетевой сокет корректные данные.

В дальнейшем один из исследователей безопасности, получивший доступ к поражённой системе, проанализировал руткит и опубликовал подробный отчёт о методах его работы. Наиболее важным выводом является то, что выявленный руткит является новой разработкой, не основанной ни на одном из ранее доступных руткитов или инструментов для их создания. При этом реализация и качество исполнения руткита свидетельствует о том, что он создавался не для проведения целевых атак, а как начальная попытка создания ещё одного средства для распространения вредоносного ПО.

После загрузки руткит осуществляет перехват управления некоторых функций ядра Linux (vfs_readdir, vfs_read, filldir64 и filldir), скрывая необходимые для работы руткита файлы на диске. Для скрытия загрузки модуля ядра осуществляется модификация списка активных модулей в соответствующей структуре данных ядра Linux. Перехват управления производится путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функции (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск руткита производится через загрузку модуля ядра Linux. Но так как команда "insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko" добавляется в конец файла /etc/rc.local, а в Debian файл /etc/rc.local завершается вызовом exit 0, команда загрузки модуля размещается после вызова exit, т.е. после перезагрузки руткит не активируется.

Подстановка вредоносного кода в трафик осуществляется путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий команды от удалённого управляющего сервера. В частности, после обращения руткита к управляющему серверу, тот возвращает блок данных, который следует внедрить в трафик, а также параметры подстановки. Например, поддерживается установка правил для какого именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe).

  1. Главная ссылка к новости (https://threatpost.com/en_us/b...)
  2. OpenNews: Для платформы Android продемонстрирован прототип руткита
  3. OpenNews: HookSafe - гипервизор для защиты от руткитов
  4. OpenNews: Модуль ядра Linux для распознавания rootkit'ов
  5. OpenNews: Новый способ внедрения rootkit в Linux ядро
  6. OpenNews: Для Linux выпущен руткит принципиально нового типа
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rootkit, linux, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Darth Revan (ok), 12:12, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    Опять руткит, который сначала ещё поставить нужно.
    > Squeezy

    Хм...

     
     
  • 2.12, Andrey Mitrofanov (?), 12:27, 21/11/2012 [^] [ответить]    [к модератору]
  • +5 +/
    >> Squeezy
    > Хм...

    У RHEL _фрагментация_ [версий/таргетов] сильно выше. %))) Киддизы одобряе стабильность Debian-а.

     
     
  • 3.57, pavlinux (ok), 14:51, 21/11/2012 [^] [ответить]    [к модератору]
  • +8 +/
    > После активации в ядро системы загружается специальный модуль

    СМС надо отправлять?

     
     
  • 4.68, Аноним (-), 15:16, 21/11/2012 [^] [ответить]    [к модератору]
  • +2 +/
    >> После активации в ядро системы загружается специальный модуль
    > СМС надо отправлять?

    Он сам отправит, если оставишь телефон подключенным к компу :)

     
  • 2.87, AlexYeCu (ok), 16:12, 21/11/2012 [^] [ответить]    [к модератору]
  • +12 +/
    Я невнимательно читал, или в статье нет подробностей «заражения»?
     
  • 2.150, Fyjybv (?), 07:41, 22/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Кстати, в наше-то время кто-то ещё без NoScript в Сеть ходит Мдааа ... весь текст скрыт [показать]
     
  • 1.4, DannyBoy (ok), 12:17, 21/11/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • –4 +/
    Поправьте, пожалуйста Было бы интересно узнать, подвержены ли более новые ядра ... весь текст скрыт [показать]
     
     
  • 2.9, Аноним (-), 12:25, 21/11/2012 [^] [ответить]    [к модератору]  
  • +8 +/
    Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают на уже взломанную систему.
     
     
  • 3.24, Аноним (-), 13:08, 21/11/2012 [^] [ответить]    [к модератору]  
  • –8 +/
    да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))
     
     
  • 4.101, Аноним (-), 16:57, 21/11/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    > да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))

    Червяки например - самораспостраняются. На то и червяки.

     
     
  • 5.122, res2500 (ok), 20:54, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    прочитайте пост с чего началась эта нить подчеркиваю его устанавливают на уж... весь текст скрыт [показать]
     
     
  • 6.126, Аноним (-), 22:27, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Я ответил на конкретный тезис А что там было 100500 сообщений назад - не мои пр... весь текст скрыт [показать]
     
     
  • 7.142, res2500 (ok), 23:49, 21/11/2012 [^] [ответить]     [к модератору]  
  • –2 +/
    травой не увлекаюсь, зашел новость почитаь и упал от смеха с написанных слов ... весь текст скрыт [показать]
     
     
  • 8.149, 1 (??), 05:37, 22/11/2012 [^] [ответить]     [к модератору]  
  • –2 +/
    Руткитов и червей полно, а вирусов нет Проблема в том, что если Вы скомпилирует... весь текст скрыт [показать]
     
     
  • 9.151, коксюзер (?), 09:23, 22/11/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Есть http ru wikipedia org wiki Вредоносные_программы_для_Unix-подобных_систе... весь текст скрыт [показать]
     
     
  • 10.169, Аноним (-), 15:35, 22/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Да все там есть Только найти крайне сложно В принципе да, однако проблема в т... весь текст скрыт [показать]
     
     
  • 11.172, коксюзер (?), 16:24, 22/11/2012 [^] [ответить]     [к модератору]  
  • +/
    На сложность написания вирусов это не влияет Для вируса, который распространяет... весь текст скрыт [показать]
     
  • 8.168, Аноним (-), 15:25, 22/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Судя по вашим постингам - у меня большие сомнения насчет вашей честности в этом ... весь текст скрыт [показать]
     
  • 3.53, Аноним (-), 14:44, 21/11/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают
    > на уже взломанную систему.

    Вопрос в том, кто взламывает и устанавливает. Похоже на червие.

     
  • 2.35, Сергей (??), 13:56, 21/11/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.
     
     
  • 3.37, Аноним (-), 14:05, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.

    И после этого, никогда не обновляться.

     
     
  • 4.62, ZloySergant (ok), 15:04, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    >И после этого, никогда не обновляться.

    Наркоман? man 8 mount на предмет remount'а.

     
     
  • 5.64, Аноним (-), 15:08, 21/11/2012 [^] [ответить]     [к модератору]  
  • +5 +/
    То есть даже без аппаратной защиты от записи LOL Что мешает сделать remount са... весь текст скрыт [показать]
     
     
  • 6.102, Аноним (-), 16:59, 21/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Геморность реализации парирования всех заскоков админов Ушибленных админов м... весь текст скрыт [показать]
     
     
  • 7.108, BratSinot (?), 17:48, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    А кто вам сказал что автор руткита один?
     
  • 7.115, Xasd (ok), 18:46, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    админы, у вас Чуство Собвственной Важности похоже что запредельно вы хоть п... весь текст скрыт [показать]
     
     
  • 8.127, Аноним (-), 22:39, 21/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Да никакого там особого геморроя Гражданин исследующий этот экспонат пришел к в... весь текст скрыт [показать]
     
     
  • 9.144, Xasd (ok), 00:48, 22/11/2012 [^] [ответить]     [к модератору]  
  • +/
    ладно тогда предлагаю другой алгоритм если вы так сопративляетесь -- если о... весь текст скрыт [показать]
     
     
  • 10.171, Аноним (-), 15:42, 22/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    И немедленно палим свою активность и обращаем внимание на проблемы А зачем Рут... весь текст скрыт [показать]
     
  • 9.152, коксюзер (?), 09:43, 22/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Посмотреть в proc mounts или список разделов внутри ядра и перемонтировать дл... весь текст скрыт [показать]
     
     
  • 10.174, Аноним (-), 16:36, 22/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Да, ибо вариантов как и что может быть смонтировано - туева хуча А если какой-т... весь текст скрыт [показать]
     
     
  • 11.184, коксюзер (?), 19:03, 22/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Определить точку монтирования раздела, на котором лежит нужный файл, очень прост... весь текст скрыт [показать]
     
  • 11.188, away (?), 19:37, 25/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    gt оверквотинг удален Не позорь имя онанима, теж сказали в ядре все пути есть ... весь текст скрыт [показать]
     
  • 7.186, Bvz (?), 09:39, 23/11/2012 [^] [ответить]    [к модератору]  
  • +/
    АГА! Вот так вот и будет изобретён ИИАА (искусственный интелект анти-админа) а там и до простого ИИ недалеко и здравствуй сингулярность
     
     ....нить скрыта, показать (27)

  • 1.6, Аноним (-), 12:19, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    У меня даже на роутере ядро собранное без возможности загружать модули. Кто ставит серверы с модулями?
     
     
  • 2.7, DannyBoy (ok), 12:20, 21/11/2012 [^] [ответить]    [к модератору]  
  • +7 +/
    RHEL/CentOS/Ubuntu Server.
     
     
  • 3.11, Аноним (-), 12:26, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    :-D этопять!
     
  • 3.14, Аноним (-), 12:30, 21/11/2012 [^] [ответить]    [к модератору]  
  • –6 +/
    > RHEL/CentOS/Ubuntu Server.

    Пффф, даже в этих дистрибутивах можно пересобрать ядро.

     
     
  • 4.16, Andrey Mitrofanov (?), 12:34, 21/11/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    >можно пересобрать ядро.

    Тогда ты неправильно задал первый вопрос."Кто-то ещё здесь _так пересобирает ядро?"И тему надо было сменить на "Перепись"

     
  • 2.44, Аноним (-), 14:23, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    Разве на роутере есть смысл собирать ядро как-то по другому?
     
     
  • 3.47, Аноним (-), 14:38, 21/11/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    > Разве на роутере есть смысл собирать ядро как-то по другому?

    Безмодульная сборка - дешевый выпендреж, не более. Ни на скорость, ни на потребление ресурсов это не влияет.

     
     
  • 4.56, Michael Shigorin (ok), 14:50, 21/11/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Да и dev kmem не отменяет, если уж начинать Помнится, когда-то иные любители н... весь текст скрыт [показать]
     
     
  • 5.63, Аноним (-), 15:05, 21/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    На самом деле, красивая идея, только рулить этим во время работы немножко неудоб... весь текст скрыт [показать]
     
  • 5.103, Аноним (-), 17:00, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > делали kernel-only router, на котором юзерспейс отрабатывает, конфигурирует ядро и самоуничтожается
    > в памяти.

    Можно пойти чуть дальше и законфигурить все через ядро :)

     
  • 4.88, Аноним (-), 16:16, 21/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Мы говорим о безопасности Руткит грузится как модуль, а в безмодульной сборке н... весь текст скрыт [показать]
     
     
  • 5.95, Аноним (-), 16:44, 21/11/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Для решения этой задачи можно не выпендриваться с пересборкой https://www.opennet.ru/tips/2554_linux_kernel_module_limit_capability.shtml
     
     
  • 6.128, Аноним (-), 22:41, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    Ну вот, пришел поручик Ржевский и все опошлил :). Теперь школьники научившиеся щелкать галочки в менюконфиге не смогут понтоваться скиллом. Ай-яй-яй :)
     
  • 1.8, Анонимный аноним (?), 12:23, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Какая интересная зверушка, работает хирО, это вам не винлоки. Конечно, самый интересный вопрос - распространение этой заразы. Слишком уж просто списать все на неграмотные действия админа.
     
     
  • 2.10, Аноним (-), 12:26, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > Какая интересная зверушка, работает хирО, это вам не винлоки.

    Под DOS были и более хитрые штуки :)

     
  • 2.46, Аноним (-), 14:28, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    руткит сам себя никак не распространяет.

    советую почитать http://ru.wikipedia.org/wiki/Руткит

     
     
  • 3.51, Аноним (-), 14:42, 21/11/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > руткит сам себя никак не распространяет.

    Но кто-то же должен его распространять. И это больше похоже не на ручную работу, а на червячка, использующего незакрытую дыру в дебиане.

     
     
  • 4.80, Аноним (-), 15:49, 21/11/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    Как раз это похоже на ручную работу.
     
     
  • 5.83, Аноним (-), 15:57, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлением строчки в rc.local?

    Примерно такая же "ручная", как виндовые ботнеты из сотен тысяч компов, ага.

     
     
  • 6.160, CyberDaemon (?), 10:29, 22/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Думается что вместе с руткитом идет нагрузка в виде червяка Иначе смысла просто... весь текст скрыт [показать]
     
  • 1.13, Alukardd (?), 12:28, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Дык это же rootkit, а где sploit что его в систему внедрить?
     
     
  • 2.18, Andrey Mitrofanov (?), 12:36, 21/11/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    > Дык это же rootkit, а где sploit что его в систему внедрить?

    Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.

     
     
  • 3.20, Alukardd (?), 12:39, 21/11/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    DSA это хорошо, а готового sploit'а-то у меня нету :-(
     
     
  • 4.21, Andrey Mitrofanov (?), 12:51, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    >а готового sploit'а-то у меня нету :-(

    Большая Земля сказала, не быть тебе киддизом.

    +++Преподаватель лопух. Ло-пух! Но аппаратура при ём. Повторяю, пр йём.

     
     
  • 5.113, Andrey Mitrofanov (?), 18:31, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > +++Преподаватель лопух. Ло-пух! Но аппаратура при ём. Повторяю, пр йём.

    Ч-т, "профессор" же:(

     
  • 5.143, ВовкаОсиист (ok), 00:23, 22/11/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    > при Нём

    ?...

     
  • 3.38, Аноним (-), 14:07, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.

    А кто сказал, что там оно есть? Дебиан - не RHEL, к безопасности досаточно пофигистичен.

     
     
  • 4.65, myhand (ok), 15:11, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    А кто сказал, что нет До кучи - вот еще http security-tracker debian org tra... весь текст скрыт [показать]
     
     
  • 5.66, Аноним (-), 15:14, 21/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Факт наличия инфицированных серваков Если бы апдейты вышли своевременно - их бы... весь текст скрыт [показать]
     
     
  • 6.75, myhand (ok), 15:29, 21/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну простите, что пока Debian не умеет заменять локального администратора Мы в ... весь текст скрыт [показать]
     
     
  • 7.84, Аноним (-), 15:59, 21/11/2012 [^] [ответить]     [к модератору]  
  • –2 +/
    Прежде всего, он объясняется тем, что обновления безопасности надо _выпускать_ ... весь текст скрыт [показать]
     
     
  • 8.85, myhand (ok), 16:08, 21/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Обновления выпускаются, http security debian org Ваш КО Про ваш Как буде... весь текст скрыт [показать]
     
     
  • 9.91, Аноним (-), 16:35, 21/11/2012 [^] [ответить]     [к модератору]  
  • –2 +/
    Но не все и с большим опозданием Возьмем, например, ядро http security-tracke... весь текст скрыт [показать]
     
     
  • 10.107, myhand (ok), 17:27, 21/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Слыхал звон А теперь тыкаем случайная выборка CVE-2012-3511 - статус NEW в ... весь текст скрыт [показать]
     
  • 6.187, arisu (ok), 01:03, 24/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > как не заботились, так и не будут.

    как это «не заботились»?! вон, даже openssl патчили, чтобы секурность повысить!

     
  • 4.114, Andrey Mitrofanov (?), 18:35, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Кто оно -то Ядро Новость сказала мне - под управлением Debian Squeezy с ядр... весь текст скрыт [показать]
     
  • 3.40, Аноним (-), 14:13, 21/11/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    А для убунты чтото подобное есть?
     
     
  • 4.121, Andrey Mitrofanov (?), 20:53, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > А для убунты чтото подобное есть?

    В $поисковик ubuntu security совсем не вбивается? ubuntu.com/usn

     
     ....нить скрыта, показать (17)

  • 1.15, АнониМ (?), 12:33, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Прикольный зверёк. Проверили все /etc/rc.local нормальные.
     
     
  • 2.25, Hugo Reyes (ok), 13:23, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Думаю, что после выкладки на секлисте, руткит уже пропатчился на предмет выдачи ... весь текст скрыт [показать]
     
     
  • 3.28, Hugo Reyes (ok), 13:30, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    А, там уже правильный rc local отдается http 4 bp blogspot com -c6xVri0YRjo ... весь текст скрыт [показать]
     
  • 1.17, klalafuda (?), 12:34, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Вы все ешё хостите сервисы на голом железе? Тогда мы идем к вам!
    PS: Вроде как сто лет в обед тем же контейнерам ан нет - находятся умельцы..
     
     
  • 2.22, mee too (?), 12:52, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Те же контейнеры вроде как работают с тем же ядром ... весь текст скрыт [показать]
     
     
  • 3.23, klalafuda (?), 13:00, 21/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Вот только они не позволяют грузить модули ядра изнутри контейнера, в котором ок... весь текст скрыт [показать]
     
     
  • 4.27, Hugo Reyes (ok), 13:25, 21/11/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера?
     
     
  • 5.30, klalafuda (?), 13:33, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Нарисовать указанный сплойт и его целевую нагрузку перехватчик тем более долго... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 7.41, klalafuda (?), 14:14, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Отлично Мы практически взломали Интернет Дело за малым - как мы будем управлят... весь текст скрыт [показать]
     
     
  • 8.52, Аноним (-), 14:43, 21/11/2012 [^] [ответить]     [к модератору]  
  • +4 +/
    Пойти к админу и попросить рута на хосте, очевидно же ... весь текст скрыт [показать]
     
  • 8.73, Michael Shigorin (ok), 15:28, 21/11/2012 [^] [ответить]     [к модератору]  
  • –2 +/
    Дело даже не в том -- пусть сначала продемонстрирует хоть в каком виде загрузку ... весь текст скрыт [показать]
     
     
  • 9.81, klalafuda (?), 15:52, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Товарищ видимо имел ввиду sys_module container capability bit Parallels Virtuoz... весь текст скрыт [показать]
     
     
  • 10.98, Аноним (-), 16:50, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Да, и по дефолту в всех хостеров в здравом уме и всех остальных - никто не дает ... весь текст скрыт [показать]
     
     
  • 11.138, Аноним (-), 23:08, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    В ядре бывают баги Но они бывают и много где еще Хотя тру параноик может распи... весь текст скрыт [показать]
     
     
  • 12.156, Andrey Mitrofanov (?), 10:14, 22/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > тру параноик может
    > KVM виртуалки, оную на LXC/OVZ контейнеры, а в них еще чрут сделать

    , а его прикрыть SELinux-ом. Рукописным!

    >. Во хакерье будет радо :)

     
  • 10.137, Аноним (-), 23:02, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Не, возможно конечно все, но чтобы конкретно взятый руткит прошибал вообще все и... весь текст скрыт [показать]
     
  • 10.141, Michael Shigorin (ok), 23:29, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Товарищ, видимо, безнадёжен Продемонстрируем это на практике при помощи ALT Li... весь текст скрыт [показать]
     
     
  • 11.153, коксюзер (?), 10:01, 22/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Всем и каждому известно, что в линуксе нет уязвимостей Security bugs are just ... весь текст скрыт [показать]
     
     
  • 12.175, Аноним (-), 16:41, 22/11/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > "Security bugs are just bugs."

    Пардон, Берштейн тоже так считает :). Хоть и по иному поводу.

    > совершенно точно, достоверно не более, чем DoS-уязвимости.

    Троллинг нормальный, засчитан :)

     
  • 5.31, akamit (?), 13:34, 21/11/2012 [^] [ответить]    [к модератору]  
  • –5 +/
    Ставьте OpenBSD и спите спокойно.
     
     
  • 6.32, Анонище (?), 13:39, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    Почему?
     
     
  • 7.39, Аноним (-), 14:09, 21/11/2012 [^] [ответить]    [к модератору]  
  • +9 +/
    > Почему?

    Потому что Неуловимый Джо.
    Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов, чтобы тру-хакеры начали с ней заморачиваться.

     
     
  • 8.43, Анонище (?), 14:23, 21/11/2012 [^] [ответить]    [к модератору]  
  • –5 +/
    А что, linux уже mainstream?
     
     
  • 9.49, Аноним (-), 14:39, 21/11/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    > А что, linux уже mainstream?

    На серверах - да.

     
  • 9.54, akamit (ok), 14:45, 21/11/2012 [^] [ответить]     [к модератору]  
  • –6 +/
    Есть корпорации, которые заинтересованы в том, чтоб оси на базе ядра Linux 8482... весь текст скрыт [показать]
     
     
  • 10.60, Аноним (-), 15:03, 21/11/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    У вас в голове каша. Как связаны дырявость и цена на саппорт? Дырявость - лишь повод к оттоку клиентов на конкурирующие продукты.
     
  • 10.136, Аноним (-), 22:58, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Хотите я вас расстрою С точки зрения простейшей логики несложно понять что чем ... весь текст скрыт [показать]
     
     
  • 11.154, коксюзер (?), 10:08, 22/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Вот только количество этих багов и последствия их эксплуатации могут серьёзно ва... весь текст скрыт [показать]
     
  • 9.76, Michael Shigorin (ok), 15:30, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > А что, linux уже mainstream?

    Давно.

     
  • 9.129, Аноним (-), 22:44, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > А что, linux уже mainstream?

    С разморозкой вас. Хорошо видать криокамера морозила. Да, в 2012 году - он уже вполне себе майнстрим, особенно на серверах.

     
  • 8.69, Анонище (?), 15:22, 21/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Так почему openbsd, а не haiku, QNX, etc ... весь текст скрыт [показать]
     
     
  • 9.135, Аноним (-), 22:56, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Лучше Minix Не знаю правда, умеет ли он TCP IP, но как минимум модули грузить о... весь текст скрыт [показать]
     
  • 8.74, Michael Shigorin (ok), 15:29, 21/11/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов,
    > чтобы тру-хакеры начали с ней заморачиваться.

    А потом спрашивают, зачем пилить своё, когда есть дебиан...

     
     
  • 9.117, Аноним (-), 19:46, 21/11/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Фрагментация дистрибутивов линукса создает проблемы авторам любого софта и малв... весь текст скрыт [показать]
     
     
  • 10.130, Аноним (-), 22:45, 21/11/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > почему автокада, крайзиса и фотошопа под линукс нет...

    Это были примеры малвари? А то адоба вон рассылает уже спам с угрозами, например :)

     
  • 8.89, ainanim (?), 16:29, 21/11/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    лучше уж сразу полуось (ecomstation) :)
     
     
  • 9.104, Аноним (-), 17:14, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > лучше уж сразу полуось (ecomstation) :)

    DOS тогда уж сразу. Если среди хакеров не попадется некрофила, вы в безопасности.

     
  • 7.45, akamit (?), 14:24, 21/11/2012 [^] [ответить]    [к модератору]  
  • –4 +/
    > Почему?

    там по дефолту в работающей системе нельзя засунуть посторонний код в ядро

     
     
  • 8.50, Аноним (-), 14:40, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > там по дефолту в работающей системе нельзя засунуть посторонний код в ядро

    На самом деле, можно.

     
  • 8.97, Аноним (-), 16:48, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    А в лине мало того что сто лет есть опция запрета вгрузки модулей, для тех кто м... весь текст скрыт [показать]
     
     
  • 9.155, коксюзер (?), 10:12, 22/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    В пику хакерам это поюзать не удастся, потому что инфраструктура модулей в ядре ... весь текст скрыт [показать]
     
     
  • 10.176, Аноним (-), 16:45, 22/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Если ты проэксплуатировал уязвимость в ядре и можешь переколбашивать режим ядра ... весь текст скрыт [показать]
     
     
  • 11.183, коксюзер (?), 18:48, 22/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Для упрощения разработки и деплоя руткита ... весь текст скрыт [показать]
     
  • 6.93, Аноним (-), 16:38, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > Ставьте OpenBSD и спите спокойно.

    Угу. В мавзолее. Все-равно она железа с гулькин нос не поддерживает.

     
     
  • 7.157, коксюзер (?), 10:14, 22/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Это миф Было даже время, когда OpenBSD поддерживала наибольшее количество WiFi-... весь текст скрыт [показать]
     
     
  • 8.177, Аноним (-), 16:51, 22/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Это время было Но давно прошло В пингвине нынче разработка беспроводных сетей ... весь текст скрыт [показать]
     
  • 3.58, Michael Shigorin (ok), 14:53, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > Те же контейнеры вроде как работают с тем же ядром.

    Вот только модули из контейнеров в то ядро не грузятся.

     
     
  • 4.94, Аноним (-), 16:44, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Да, обламается, проверено А в ядре 3 7 нынче стало можно еще и зафорсить циф... весь текст скрыт [показать]
     
  • 3.96, Аноним (-), 16:45, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > Те же контейнеры вроде как работают с тем же ядром.

    Только через них не получается модули ядра грузить. Мелочи какие :)

     
     ....нить скрыта, показать (45)

  • 1.29, Анонище (?), 13:32, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ничего страшного. Просто человеческий фактор.
     
  • 1.34, 1 (??), 13:50, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Классный курсовик.

    Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

    А то что ашипка вылезла - так это к релизу подправят.

    Я так думаю, что это в ожидании геймеров разработка.

     
     
  • 2.77, Michael Shigorin (ok), 15:30, 21/11/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

    Предположительно российских.  Досадно то, что какой-никакой талант идёт на вредное.

     
     
  • 3.78, myhand (ok), 15:32, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Не ругайте кузнеца, чей топор Раскольников на старушке опробовал ... весь текст скрыт [показать]
     
  • 3.119, Аноним (-), 19:51, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Видел этот ну или похожий по действию руткит в продаже около года назад Автор... весь текст скрыт [показать]
     
     
  • 4.124, Crazy Alex (ok), 21:21, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    Судя по тому, что эта игрушка делает - эти "неадекватные деньги" отобьются ифреймом за сутки-другие, если я правильно помню цены на сии "услуги". Достаточно одного хостера найти...
     
  • 1.36, Сергей (??), 13:59, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Где можно скачать и как устанавливать?
     
  • 1.42, 3cky (?), 14:22, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Что характерно, автор, судя по содержимому модуля - наш соотечественник.
     
     
  • 2.55, pavlinux (ok), 14:46, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > Что характерно, автор, судя по содержимому модуля - наш соотечественник.

    Касперский

     
     
  • 3.59, klalafuda (?), 14:55, 21/11/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    > Касперский

    Может все-таки Касперски?
    PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

     
     
  • 4.70, Анонище (?), 15:25, 21/11/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    >> Касперский
    > Может все-таки Касперски?
    > PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

    +1

     
  • 4.72, pavlinux (ok), 15:28, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Этот бобик дезертировал в пиндосию, пущай там и сдохнет А у Касперского и Ко, у... весь текст скрыт [показать]
     
     
  • 5.86, klalafuda (?), 16:11, 21/11/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Так и не понял всей важности этого ALREADY и почему это столь ключевое слово в з... весь текст скрыт [показать]
     
  • 1.48, pavlinux (ok), 14:39, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Лекарство одно - не оставляйте сервак с дефолтными настройками.

    # chattr +i /etc/rc.local
    Пущай трахаеццо, главное самим не забыть :)  

     
     
  • 2.61, ololo (?), 15:04, 21/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    он не сделает chattr -i по религиозным соображением?
     
     
  • 3.71, pavlinux (ok), 15:26, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    Обычно это делают роботы, которым естественно нужно это заложить в алгоритм.
     
     
  • 4.161, sdf (?), 10:31, 22/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну так боты нам багрепорты на мыло шлют Мы ценим пользователей наших продуктов... весь текст скрыт [показать]
     
  • 3.79, Anonim (??), 15:33, 21/11/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Шанс этого раз в 100 ниже при автоматическом взломе, т е такую фигню юзают менее... весь текст скрыт [показать]
     
  • 2.92, Аноним (-), 16:35, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Лучше сделай rc local директорией Во руткит лулзов словит когда файл как бы ест... весь текст скрыт [показать]
     
     
  • 3.99, старыйвиндузятник (?), 16:56, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    каталог autorun.inf
    Вирусы в панике и часть антивирусов тоже :)
     
  • 3.100, klalafuda (?), 16:56, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/

    Директория autorun.inf на флеше в корне
     
     
  • 4.105, Аноним (-), 17:16, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > Директория autorun.inf на флеше в корне

    Ну да, знатное западло самоходным экспонатам :)

     
     
  • 5.146, Xasd (ok), 00:54, 22/11/2012 [^] [ответить]     [к модератору]  
  • +/
    ничего подобного последние flash-вирусы которые были на заре заката WinXP -- ... весь текст скрыт [показать]
     
     
  • 6.178, Аноним (-), 16:54, 22/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > заражении переименовывали autorun.inf в случайное имя!

    Ну поставить ему readonly-hidden-system. Интересно, бывает ли зараза которая допирает и это разминировать?

     
  • 2.147, Xasd (ok), 01:03, 22/11/2012 [^] [ответить]     [к модератору]  
  • +/
    отлично задавайте следующая версия руткита будет использовать crontab reboot ,... весь текст скрыт [показать]
     
  • 1.90, Аноним (-), 16:33, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > завершается вызовом exit 0, команда загрузки модуля размещается после вызова
    > exit, т.е. после перезагрузки руткит не активируется.

    FAIL :)

     
  • 1.106, Аноним (-), 17:17, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    тем не менее фигня такая есть и кавота заразила )
    с этого момента можно считать, что как и венда, линух не обижен "вирусами"

    и кстате кроме /etc/rc.local никаких признаков отлова не описано

     
     
  • 2.133, Аноним (-), 22:51, 21/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > кавота
    > линух
    > "вирусами"

    А вас походу неграмотость заразила :P.

     
  • 2.148, Xasd (ok), 01:05, 22/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > и кстате кроме /etc/rc.local никаких признаков отлова не описано

    а какже -- открыть http://localhost ?

     
  • 1.116, modal (?), 19:04, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Весь трёп не читал, но стоит отметить факт работы web-сервера с UID 0 и GID 0.
    ТОВАРИЩИ,ГОСПОДА,ДАМЫ,ЛЮДИ, СЕРВЕР НЕ ДОЛЖЕН УСПЕШНО ЗАПУСТИТЬ INSMOD.
     
     
  • 2.118, Аноним (-), 19:48, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Савсем глупый, да Нигда там не написано про полномочия сервера А insmod запуск... весь текст скрыт [показать]
     
  • 1.123, ram_scan (?), 20:56, 21/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Пионеры заново открывают для себя stealth технологии начала 90-х годов... Не вижу даже повода для новости. Ну сплайсингом перехват сделали, молодцы, похвально. Ну вставляют в traffic flow свое что-то, так це не отнюдь не ново, для TSR вирусов в свое время это было штатным механизмом внедрения, если приравнять хэндл файла к хэндлу сокета разницы принципиальной вообще никакой. Сигнатуру выловил, нужный код в нужное место вставил.

    Мода какая-то странная взялась, драйвер грузить. Буткит видать ниасилили или формат elf файлов. Хотя в свете наличия сорцов ядра и заточености под конкретное ядро и конкретную сборку буткит - как 2 пальца.

    Двоечники. Хоть бы историю вопроса учили. 20 лет ничего нового.

     
     
  • 2.125, Crazy Alex (ok), 21:25, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Всё по кругу идёт Вот интересно, как с этим бороться распознавать хотя бы н... весь текст скрыт [показать]
     
     
  • 3.131, Аноним (-), 22:48, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Надеяться что хостер не полный дебил Хотя в ответственных случаях лучше быть... весь текст скрыт [показать]
     
  • 2.132, Аноним (-), 22:50, 21/11/2012 [^] [ответить]     [к модератору]  
  • +/
    Справедливости ради, я не видел вирусов вклинивающихся в TCP IP стек и дописываю... весь текст скрыт [показать]
     
     
  • 3.162, ram_scan (?), 10:31, 22/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Почему-то такие вещи как резалка баннеров на прозрачном прокси и наличие ip_conn... весь текст скрыт [показать]
     
     
  • 4.179, Аноним (-), 16:55, 22/11/2012 [^] [ответить]    [к модератору]  
  • +/
    > А вставка данных в траффик флу - уже ппц достижение =)

    Ну не ппц достижение, но достаточно оригинально.

     
  • 1.134, Аноним (-), 22:55, 21/11/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Мдя Интересно, какие такие Tools, Techniques, and Procedures выдали что он ру... весь текст скрыт [показать]
     
     
  • 2.140, pavlinux (ok), 23:22, 21/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    1 Наши комменты не пишут 2 Функции, переменные и константы вида void set_jo... весь текст скрыт [показать]
     
  • 1.163, EXTRAMISsionisT (?), 12:30, 22/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    За каждым таким вредоносом, особенно с такими далеко идущими целями, как в этом случае, виднеются уши Microsoft. А за Microsoft-ом торчат уши спецслужб, которые до скрежета в зубах думают только об одном: тотальном контроле за пользователями, но для этого нужно чтоб на веб-серверах "трудились" оси с закрытым исходным кодом (например, microsoft), чтоб даже админы не знали ответа на вопрос "а чем же на самом деле занимается операционная система и её веб-сервер?". Но свободное программное обеспечение - это главное препятствие к этому аду. Вот бесы и нанимают умных, но продажных спецов, которые придумывают спецсредства для компрометации свободного программного обеспечения. Не дай Бог покачнётся доверие к СПО, - и "1984" Джорджа Оруэла нам покажется раем.
     
     
  • 2.170, Reinar (ok), 15:41, 22/11/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    да ты поехавший
     
  • 1.164, A_n_D (ok), 13:10, 22/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Следующее поколение ядра Linux будет с изоляцией модулей?
     
  • 1.165, peering (ok), 14:17, 22/11/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А какая тогда ось считается безопасной  для web серверов, на текущее время ????
     
     
  • 2.166, Анонист (?), 14:24, 22/11/2012 [^] [ответить]    [к модератору]  
  • +/
    IIS
     
     
  • 3.180, Аноним (-), 16:57, 22/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающ... весь текст скрыт [показать]
     
     
  • 4.189, Анонист (?), 19:26, 01/12/2012 [^] [ответить]     [к модератору]  
  • +/
    SCTP hack protocol ... весь текст скрыт [показать]
     
  • 2.167, myhand (ok), 14:56, 22/11/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    > А какая тогда ось считается безопасной  для web серверов, на текущее
    > время ????

    Та, вместе с которой наняли администратора.  Как и было всегда.

     
     
  • 3.181, Аноним (-), 16:59, 22/11/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Администраторы разные бывают Вон тут у нас несколько экспонатов по форуму ходит... весь текст скрыт [показать]
     
     
  • 4.182, myhand (ok), 17:52, 22/11/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Та, вместе с которой наняли администратора.
    > Администраторы разные бывают.

    Здравствуй, Кэптен!  Каким еще откровением ты жаждешь поделиться?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor