The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.08.2016 12:11  Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют

Компания DrWeb сообщила о выявлении нового вредоносного ПО Linux.Lady.1, поражающего серверы на базе Linux с установленными незащищёнными конфигурациями СУБД Redis. Linux.Lady.1 написан на языке программирования Go. После получения контроля над уязвимым сервером Redis программа устанавливается в систему и используется злоумышленниками как звено в кластере майнинга криптовалют.

Вредоносное ПО также может заниматься сбором и отправкой информации со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему Linux.Lady.1 устанавливает себя под видом исполняемого файла /usr/sbin/ntp, создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска, добавляет в ~/.ssh/authorized_keys* свой SSH-ключ и устанавливает в /etc/ssh/sshd_config возможность входа по SSH с правами root.

  1. Главная ссылка к новости (http://news.drweb.ru/show/?i=1...)
  2. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
  3. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  4. OpenNews: Выявлено троянское ПО для Linux c функциями сохранения скриншотов и записи звука
  5. OpenNews: В распространяемых через сторонние источники исполняемых файлах для Linux выявлен троян
  6. OpenNews: Выявлено около 6000 скомпрометированных установок СУБД Redis
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trojan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:23, 11/08/2016 [ответить] [смотреть все]
  • +13 +/
    > создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска

    Хорошо что у меня не systemd.

     
     
  • 2.2, Аноним, 12:33, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Ну ничего, скоро вебовцы специально для тебя напишут Linux Man 1 с установкой пр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 14:52, 11/08/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    > Ну ничего, скоро вебовцы специально для тебя напишут Linux.Man.1 с установкой прямиком
    > в /proc/Documents and Settings/

    Фанаты Учения Рыжего Пророка такие фанаты. У них и юмор свой, лишь только таким же, на всю го^W инициализацию системдэшнутым, понятный.

    Хотя вот как раз их любимое детище пилится в лучших традициях виндуза — один большой, везде проталкиваемый комбайн, "быстрые бинарные протоколы". И может этот комбайн все-все-все!
    Правда, шаг влево или вправо и у нестандартного хотетеля начинается «веселье».
    Тут вон, недавно, один любитель демонстрировал "замену" крону с систем-комбайн^W системд-таймерами – подумаешь простыня копипасты из бложика^W Скрижалей Пророка в нескольких файлах, вместо одной строчки в crontab. Зато "встроенно и из коробки!".

    Разве что код (пока) открыт.
    Но вот качество этого кода …
    https://github.com/systemd/systemd/blob/master/src/basic/unit-name.c#L476
    [code]

            s = new(char, a + 1 + b + strlen(e) + 1);
            if (!s)
                    return -ENOMEM;

            strcpy(mempcpy(mempcpy(s, f, a + 1), i, b), e);
    [/code]
    https://github.com/systemd/systemd/blob/master/src/basic/unit-name.c#L476
    [code]
            t = newa(char, strlen(p) + 2 + 4 + 1);
            stpcpy(stpcpy(stpcpy(mempcpy(t, p, fn - p), ".#"), fn), ".lck");
    [/code]


     
     
  • 4.29, Аноним, 17:34, 11/08/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    а что не так с качеством покажи-ка свой код для начала ... весь текст скрыт [показать]
     
     
  • 5.31, Аноним, 17:57, 11/08/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    А, понятно Очередной питонист ... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 7.36, Аноним, 18:37, 11/08/2016 [ответить] [смотреть все]  
  • +2 +/
    Что же вы так самокритично-то А так да, вы еще очень похожи на очередного пито... весь текст скрыт [показать]
     
     
  • 8.57, Аноним, 18:17, 12/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Кривизна кода системд - это мелочь по сравнению с твоим жёлчным самопиаром Пены... весь текст скрыт [показать]
     
     
  • 9.58, Аноним, 20:34, 12/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Вполне допускаю, что для того, кто ничего не смыслит в написании кода, кривизна ... весь текст скрыт [показать]
     
     
  • 10.60, Аноним, 22:19, 12/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    отвечаешь невпопад, но ничего. Поржать можно. И даже не с Поцтеринга.
     
  • 10.66, Аноним, 04:56, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты и такой не напишешь И даже Led и его дружки делом доказали что на шелле можн... весь текст скрыт [показать]
     
  • 5.39, Crazy Alex, 18:46, 11/08/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Да с ним абсолютно всё не так Вообще рекордный какой-то пример 1 на фиг такие... весь текст скрыт [показать]
     
     
  • 6.42, Аноним, 19:10, 11/08/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Да нет, просто показательный, а так там много чего Меня когда-то заинтересовало... весь текст скрыт [показать]
     
     
  • 7.49, Аноним, 14:27, 12/08/2016 [^] [ответить] [смотреть все]  
  • +/
    а что не нравится на любимом линуксе Лени работает - а остальной шлак не нужен ... весь текст скрыт [показать]
     
     
  • 8.51, Crazy Alex, 15:21, 12/08/2016 [^] [ответить] [смотреть все]  
  • +/
    вообще-то переносимый и поддерживаемый - это совсем-совсем разные вещи Если... весь текст скрыт [показать]
     
  • 8.68, Аноним, 16:04, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Где и когда системы инициализации были портабельными Бзды дро и как хотели и ... весь текст скрыт [показать]
     
  • 7.67, Аноним, 15:50, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты забыл выдержки перлов из инит-скриптов Их там есть Буквально каждый первый ... весь текст скрыт [показать]
     
     
  • 8.69, Аноним, 17:57, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Угу Принцип Протухшая говядина все же лучше свинины с диоксином Во-первых, ... весь текст скрыт [показать]
     
  • 2.23, Аноним, 16:55, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    зловред из новости работает со всеми системами инициализации, создание юнита sys... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, _, 17:05, 11/08/2016 [^] [ответить] [смотреть все]  
  • –5 +/
    Брешешь Нету в новости ничего про другие системы инициализации Да и как ты себ... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 17:33, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    В оригинальной новости на сайте Dr Web - вообще ни слова о systemd, так что пров... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 19:07, 11/08/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Плохо читали оригинал от Dr Web - создает файл etc systemd system ntp service ... весь текст скрыт [показать]
     
  • 2.61, Аноним, 04:38, 13/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да ну ничего ты не понимаешь в колбасных обрезках Вирмэйкер тоже человек и людс... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Barafu, 12:37, 11/08/2016 [ответить] [смотреть все]  
  • +7 +/
    На языке GO с его тягой к статической сборке бинарников.
    Шутка про троянского слона.
     
     
  • 2.47, vitalif, 22:05, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Как еще линукс вирус распространятт если не статической сборкой А ну версия lib... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 13:13, 11/08/2016 [ответить] [смотреть все]  
  • +2 +/
    Сначала они ставят незащищенные конфигурации, а потом удивляются, что их взломал... весь текст скрыт [показать]
     
     
  • 2.50, Аноним, 14:29, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    то есть домашние воры это хорошо ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, Аноним, 04:42, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Домашние воры не есть хорошо, но если ты бросаешь кошелек с сотнями денег на ули... весь текст скрыт [показать]
     
  • 1.8, АнонимХ, 13:31, 11/08/2016 [ответить] [смотреть все]  
  • +/
    > исполняемого файла /usr/sbin/ntp

    Т.е. зловред вместо того, что бы действительно проявить свои вирусные качества - встроиться в бинарник и данные redis-а каким-нибудь хитрым способом, тупо устанавливается, слегка маскируясь. А редис использует только из-за уязвимости.

    Никакой красоты, одни биткоины.

     
  • 1.9, dkg, 13:39, 11/08/2016 [ответить] [смотреть все]  
  • –1 +/
    Да, Go! это круто
     
  • 1.10, Аноним, 13:57, 11/08/2016 [ответить] [смотреть все]  
  • +4 +/
    Гошные бинарники деплоить удобно, в том числе и зловредные.
     
  • 1.11, анрн, 14:10, 11/08/2016 [ответить] [смотреть все]  
  • +12 +/
    Выявлены вирусы поражающие серверы на базе любой операционной системы с установленными незащищёнными конфигурациями любого программного обеспечения, вирус написан на любом языке программирования. После получения контроля над уязвимым сервером программа устанавливается в систему и используется злоумышленниками как угодно.
    Вредоносное ПО также может заниматься чем угодно со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему вирусы делают что хотят.

    fixed

    drweb не благодари

     
     
  • 2.43, Дегенератор, 19:46, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Так архитектура линуха же не позволяет запускаться вирусам, это ж не масдай Не ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, анрн, 19:56, 11/08/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Архитектура твоего мозга не позволяет тебе осознать, что в твоем теле вирусы, ко... весь текст скрыт [показать]
     
  • 3.65, Аноним, 04:49, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Чтобы redis смог записать что-то в etc нннннуууу, на тестовой машине доктор... весь текст скрыт [показать]
     
     
  • 4.70, анрн, 18:27, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Я думаю именно так и взломали сервера drweb-a
     
  • 1.12, Аноним, 14:19, 11/08/2016 [ответить] [смотреть все]  
  • –1 +/
    А что значит незащищенная конфигурация Если я просто поставил редис в качестве ... весь текст скрыт [показать]
     
     
  • 2.14, angra, 14:34, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Для работы этого вируса нужно чтобы redis биндился на все интерфейсы, а не тол... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, azure, 15:00, 11/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Это стандартная фича редиса - записывать файлы в ФС, ставить им права на выполне... весь текст скрыт [показать]
     
     
  • 4.22, angra, 15:35, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Нет Просто ты не способен придумать как использовать абсолютно нормальную для D... весь текст скрыт [показать]
     
  • 4.26, vitvegl, 17:21, 11/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Где ты такое видел Профиль в помощь https github com vitvegl AppArmor-profile... весь текст скрыт [показать]
     
  • 1.13, manster, 14:32, 11/08/2016 [ответить] [смотреть все]  
  • –1 +/
    так можно к любой системе с незащищенной конфигурацией или ослабленной (по дефолту) - а вот откуда берутся такие дефолты это вопрос интересный ...
     
     
  • 2.15, Ergil, 14:36, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В данном случае 171 незащищенный 187 это Redis слушающий внешний интерфейс и... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 14:39, 11/08/2016 [ответить] [смотреть все]  
  • +1 +/
    Один я заметил чтобы майнить на серверах биткоины как они написали, нужно мини... весь текст скрыт [показать]
     
     
  • 2.45, Аноним, 21:03, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Возможно, майнили другие криптовалюты Либо у них большой пул, и серверы с уязви... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, pkdr, 14:42, 11/08/2016 [ответить] [смотреть все]  
  • +4 +/
    Итак, надо поставить ничем не защищённый редис, обязательно запустить его от рута (взломанный редис, запущенный от юзера в /etc и /usr/sbin ничего не запишет), выпустить этот редис в интернет.
    Потом надо, чтобы у админа не было selinux и прочего, ему было плевать на появившиеся сервисы, на новые ключи в конфиге ssh, на изменённый конфиг ssh.

    Молдавский вирус, по мне, даже поэффективнее будет, задо ДрВеб может радостно вопить "Смотрите же! Смотрите! Ну ведь есть вирусы для линукса, есть! Купите у нас антивирус!"

     
  • 1.20, Аноним, 15:18, 11/08/2016 [ответить] [смотреть все]  
  • –1 +/
    И придет мне часов через пяток письмецо code Warning The file properties hav... весь текст скрыт [показать]
     
     
  • 2.21, Andrey Mitrofanov, 15:32, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    gt оверквотинг удален Вот ты ж фантазёр, фантазируешь, как зловред уже обновля... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 17:49, 11/08/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Посыпаю от стыда голову пепом Да, будет тогда все по другому будет мне письме... весь текст скрыт [показать]
     
  • 2.27, vitvegl, 17:30, 11/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    gt оверквотинг удален кстати, Поттеринг поломал ro в systemd 222 где-то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Аноним, 18:03, 11/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Рассказывая в очередной раз о том, что системдводы ССЗБ, а сам системд больше по... весь текст скрыт [показать]
     
     
  • 4.52, Аноним, 15:24, 12/08/2016 [^] [ответить] [смотреть все]  
  • +/
    А убирание кнопки пуск и плиточки в windows 8 диверсия со стороны опенсорсников ... весь текст скрыт [показать]
     
     
  • 5.56, Аноним, 18:04, 12/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Нет, диверсия со стороны тех же прорпиетарных окошек, типа код закрыт, править ... весь текст скрыт [показать]
     
  • 5.64, Аноним, 04:46, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Скорее, случайно самоэлопотомировались Смотри, Элоп вернулся в MS Продажи упал... весь текст скрыт [показать]
     
  • 3.63, Аноним, 04:45, 13/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот те раз, а как же у меня debian с systemd 229 загружается с RO rootfs-ом то ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (8)

  • 1.53, Subcreator, 16:18, 12/08/2016 [ответить] [смотреть все]  
  • +/
    Для майнинга на чем, на проце?? Уже даже на видюхах умер...
     
     
  • 2.54, ANONYM, 16:31, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты сейчас про какую крипту X11, X13 вполне, менее популярные алгоритмы тем боле... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, Subcreator, 17:31, 12/08/2016 [^] [ответить] [смотреть все]  
  • +/
    А кроме Dash что-то имеет смысл майнить Оборот и цена - мизер, да и где их пото... весь текст скрыт [показать]
     
  • 2.59, Аноним, 20:46, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    блокчейн - уже давно не только криптовалюты уже и мессенджеры и почта и голосов... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor