The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.08.2016 12:11  Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют

Компания DrWeb сообщила о выявлении нового вредоносного ПО Linux.Lady.1, поражающего серверы на базе Linux с установленными незащищёнными конфигурациями СУБД Redis. Linux.Lady.1 написан на языке программирования Go. После получения контроля над уязвимым сервером Redis программа устанавливается в систему и используется злоумышленниками как звено в кластере майнинга криптовалют.

Вредоносное ПО также может заниматься сбором и отправкой информации со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему Linux.Lady.1 устанавливает себя под видом исполняемого файла /usr/sbin/ntp, создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска, добавляет в ~/.ssh/authorized_keys* свой SSH-ключ и устанавливает в /etc/ssh/sshd_config возможность входа по SSH с правами root.

  1. Главная ссылка к новости (http://news.drweb.ru/show/?i=1...)
  2. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
  3. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  4. OpenNews: Выявлено троянское ПО для Linux c функциями сохранения скриншотов и записи звука
  5. OpenNews: В распространяемых через сторонние источники исполняемых файлах для Linux выявлен троян
  6. OpenNews: Выявлено около 6000 скомпрометированных установок СУБД Redis
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trojan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 12:23, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +13 +/
    > создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска

    Хорошо что у меня не systemd.

     
     
  • 2.2, Аноним (-), 12:33, 11/08/2016 [^] [ответить]    [к модератору]
  • +3 +/
    Ну ничего, скоро вебовцы специально для тебя напишут Linux.Man.1 с установкой прямиком в /proc/Documents and Settings/
     
     
  • 3.18, Аноним (-), 14:52, 11/08/2016 [^] [ответить]    [к модератору]
  • +6 +/
    > Ну ничего, скоро вебовцы специально для тебя напишут Linux.Man.1 с установкой прямиком
    > в /proc/Documents and Settings/

    Фанаты Учения Рыжего Пророка такие фанаты. У них и юмор свой, лишь только таким же, на всю го^W инициализацию системдэшнутым, понятный.

    Хотя вот как раз их любимое детище пилится в лучших традициях виндуза — один большой, везде проталкиваемый комбайн, "быстрые бинарные протоколы". И может этот комбайн все-все-все!
    Правда, шаг влево или вправо и у нестандартного хотетеля начинается «веселье».
    Тут вон, недавно, один любитель демонстрировал "замену" крону с систем-комбайн^W системд-таймерами – подумаешь простыня копипасты из бложика^W Скрижалей Пророка в нескольких файлах, вместо одной строчки в crontab. Зато "встроенно и из коробки!".

    Разве что код (пока) открыт.
    Но вот качество этого кода …
    https://github.com/systemd/systemd/blob/master/src/basic/unit-name.c#L476
    [code]

            s = new(char, a + 1 + b + strlen(e) + 1);
            if (!s)
                    return -ENOMEM;

            strcpy(mempcpy(mempcpy(s, f, a + 1), i, b), e);
    [/code]
    https://github.com/systemd/systemd/blob/master/src/basic/unit-name.c#L476
    [code]
            t = newa(char, strlen(p) + 2 + 4 + 1);
            stpcpy(stpcpy(stpcpy(mempcpy(t, p, fn - p), ".#"), fn), ".lck");
    [/code]


     
     
  • 4.29, Аноним (-), 17:34, 11/08/2016 [^] [ответить]    [к модератору]
  • –2 +/
    > Но вот качество этого кода …

    а что не так с качеством? покажи-ка свой код для начала

     
     
  • 5.31, Аноним (-), 17:57, 11/08/2016 [^] [ответить]    [к модератору]
  • +2 +/
    >> Но вот качество этого кода …
    > а что не так с качеством?

    А, понятно. Очередной питонист.

     
     
     
    Часть нити удалена модератором

  • 7.36, Аноним (-), 18:37, 11/08/2016 [ответить]     [к модератору]  
  • +2 +/
    Что же вы так самокритично-то А так да, вы еще очень похожи на очередного пито... весь текст скрыт [показать]
     
     
  • 8.57, Аноним (-), 18:17, 12/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Кривизна кода системд - это мелочь по сравнению с твоим жёлчным самопиаром. Пены, дыма и гари слишком много.
     
     
  • 9.58, Аноним (-), 20:34, 12/08/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Вполне допускаю, что для того, кто ничего не смыслит в написании кода, кривизна ... весь текст скрыт [показать]
     
     
  • 10.60, Аноним (-), 22:19, 12/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    отвечаешь невпопад, но ничего. Поржать можно. И даже не с Поцтеринга.
     
  • 10.66, Аноним (-), 04:56, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Ты и такой не напишешь И даже Led и его дружки делом доказали что на шелле можн... весь текст скрыт [показать]
     
  • 5.39, Crazy Alex (ok), 18:46, 11/08/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Да с ним абсолютно всё не так Вообще рекордный какой-то пример 1 на фиг такие... весь текст скрыт [показать]
     
     
  • 6.42, Аноним (-), 19:10, 11/08/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Да нет, просто показательный, а так там много чего Меня когда-то заинтересовало... весь текст скрыт [показать]
     
     
  • 7.49, Аноним (-), 14:27, 12/08/2016 [^] [ответить]     [к модератору]  
  • +/
    а что не нравится на любимом линуксе Лени работает - а остальной шлак не нужен ... весь текст скрыт [показать]
     
     
  • 8.51, Crazy Alex (ok), 15:21, 12/08/2016 [^] [ответить]     [к модератору]  
  • +/
    вообще-то переносимый и поддерживаемый - это совсем-совсем разные вещи Если... весь текст скрыт [показать]
     
  • 8.68, Аноним (-), 16:04, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Где и когда системы инициализации были портабельными Бзды дро и как хотели и ... весь текст скрыт [показать]
     
  • 7.67, Аноним (-), 15:50, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Ты забыл выдержки перлов из инит-скриптов Их там есть Буквально каждый первый ... весь текст скрыт [показать]
     
     
  • 8.69, Аноним (-), 17:57, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Угу Принцип Протухшая говядина все же лучше свинины с диоксином Во-первых, ... весь текст скрыт [показать]
     
  • 2.23, Аноним (-), 16:55, 11/08/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    зловред из новости работает со всеми системами инициализации, создание юнита sys... весь текст скрыт [показать]
     
     
  • 3.25, _ (??), 17:05, 11/08/2016 [^] [ответить]    [к модератору]  
  • –5 +/
    Брешешь! Нету в новости ничего про другие системы инициализации! Да и как ты себе это представляешь? :-)
    Радуюсь за поняшек топивших за системДы :) Запах винды уже с нами ....
     
     
  • 4.28, Аноним (-), 17:33, 11/08/2016 [^] [ответить]     [к модератору]  
  • +/
    В оригинальной новости на сайте Dr Web - вообще ни слова о systemd, так что пров... весь текст скрыт [показать]
     
     
  • 5.41, Аноним (-), 19:07, 11/08/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Плохо читали оригинал от Dr Web - создает файл etc systemd system ntp service ... весь текст скрыт [показать]
     
  • 2.61, Аноним (-), 04:38, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Да ну ничего ты не понимаешь в колбасных обрезках Вирмэйкер тоже человек и людс... весь текст скрыт [показать]
     
  • 1.4, Barafu (?), 12:37, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    На языке GO с его тягой к статической сборке бинарников.
    Шутка про троянского слона.
     
     
  • 2.47, vitalif (ok), 22:05, 11/08/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Как еще линукс вирус распространятт если не статической сборкой! А ну версия libc не совпадет!
     
  • 1.6, Аноним (-), 13:13, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >с установленными незащищёнными конфигурациями

    Сначала они ставят незащищенные конфигурации, а потом удивляются, что их взломали

     
     
  • 2.50, Аноним (-), 14:29, 12/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > >с установленными незащищёнными конфигурациями
    > Сначала они ставят незащищенные конфигурации, а потом удивляются, что их взломали

    то есть домашние воры это хорошо ?

     
     
  • 3.62, Аноним (-), 04:42, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Домашние воры не есть хорошо, но если ты бросаешь кошелек с сотнями денег на ули... весь текст скрыт [показать]
     
  • 1.8, АнонимХ (ok), 13:31, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > исполняемого файла /usr/sbin/ntp

    Т.е. зловред вместо того, что бы действительно проявить свои вирусные качества - встроиться в бинарник и данные redis-а каким-нибудь хитрым способом, тупо устанавливается, слегка маскируясь. А редис использует только из-за уязвимости.

    Никакой красоты, одни биткоины.

     
  • 1.9, dkg (?), 13:39, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Да, Go! это круто
     
  • 1.10, Аноним (-), 13:57, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Гошные бинарники деплоить удобно, в том числе и зловредные.
     
  • 1.11, анрн (?), 14:10, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    Выявлены вирусы поражающие серверы на базе любой операционной системы с установленными незащищёнными конфигурациями любого программного обеспечения, вирус написан на любом языке программирования. После получения контроля над уязвимым сервером программа устанавливается в систему и используется злоумышленниками как угодно.
    Вредоносное ПО также может заниматься чем угодно со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему вирусы делают что хотят.

    fixed

    drweb не благодари

     
     
  • 2.43, Дегенератор (?), 19:46, 11/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Так архитектура линуха же не позволяет запускаться вирусам, это ж не масдай! Не переживайте, держитесь там и хорошего настроения!
     
     
  • 3.44, анрн (?), 19:56, 11/08/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Архитектура твоего мозга не позволяет тебе осознать, что в твоем теле вирусы, которые негативно влияют на твою адекватность.
     
  • 3.65, Аноним (-), 04:49, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Чтобы redis смог записать что-то в etc нннннуууу, на тестовой машине доктор... весь текст скрыт [показать]
     
     
  • 4.70, анрн (?), 18:27, 13/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Я думаю именно так и взломали сервера drweb-a
     
  • 1.12, Аноним (-), 14:19, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А что значит незащищенная конфигурация?
    Если я просто поставил редис в качестве session storage для чата и ничего не настраивал моя конфигурация считается незащищенной?
     
     
  • 2.14, angra (ok), 14:34, 11/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Для работы этого вируса нужно чтобы redis биндился на все интерфейсы, а не тол... весь текст скрыт [показать]
     
     
  • 3.19, azure (ok), 15:00, 11/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Это стандартная фича редиса - записывать файлы в ФС, ставить им права на выполнение и запускать со своими привелегиями? Или оно просто решето?
     
     
  • 4.22, angra (ok), 15:35, 11/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Нет Просто ты не способен придумать как использовать абсолютно нормальную для D... весь текст скрыт [показать]
     
  • 4.26, vitvegl (?), 17:21, 11/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Где ты такое видел? Профиль в помощь https://github.com/vitvegl/AppArmor-profiles/blob/master/ubuntu/i386/usr.bin.r
     
  • 1.13, manster (ok), 14:32, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    так можно к любой системе с незащищенной конфигурацией или ослабленной (по дефолту) - а вот откуда берутся такие дефолты это вопрос интересный ...
     
     
  • 2.15, Ergil (?), 14:36, 11/08/2016 [^] [ответить]     [к модератору]  
  • +/
    В данном случае 171 незащищенный 187 это Redis слушающий внешний интерфейс и... весь текст скрыт [показать]
     
  • 1.16, Аноним (16), 14:39, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Один я заметил ? чтобы майнить на серверах биткоины как они написали, нужно минимум тысяч 10-30 серверов чтобы более менее что-то заработать.
    Калькулятор майнинга в помощь )
     
     
  • 2.45, Аноним (-), 21:03, 11/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Возможно, майнили другие криптовалюты.

    Либо у них большой пул, и серверы с уязвимым Redis – лишь небольшая его часть.

     
  • 1.17, pkdr (ok), 14:42, 11/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Итак, надо поставить ничем не защищённый редис, обязательно запустить его от рута (взломанный редис, запущенный от юзера в /etc и /usr/sbin ничего не запишет), выпустить этот редис в интернет.
    Потом надо, чтобы у админа не было selinux и прочего, ему было плевать на появившиеся сервисы, на новые ключи в конфиге ssh, на изменённый конфиг ssh.

    Молдавский вирус, по мне, даже поэффективнее будет, задо ДрВеб может радостно вопить "Смотрите же! Смотрите! Ну ведь есть вирусы для линукса, есть! Купите у нас антивирус!"

     
  • 1.20, Аноним (-), 15:18, 11/08/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    И придет мне часов через пяток письмецо code Warning The file properties hav... весь текст скрыт [показать]
     
     
  • 2.21, Andrey Mitrofanov (?), 15:32, 11/08/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    gt оверквотинг удален Вот ты ж фантазёр, фантазируешь, как зловред уже обновля... весь текст скрыт [показать]
     
     
  • 3.30, Аноним (-), 17:49, 11/08/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Посыпаю от стыда голову пепом Да, будет тогда все по другому будет мне письме... весь текст скрыт [показать]
     
  • 2.27, vitvegl (?), 17:30, 11/08/2016 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален кстати, Поттеринг поломал ro в systemd 222 где-то ... весь текст скрыт [показать]
     
     
  • 3.32, Аноним (-), 18:03, 11/08/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Рассказывая в очередной раз о том, что системдводы ССЗБ, а сам системд больше по... весь текст скрыт [показать]
     
     
  • 4.52, Аноним (-), 15:24, 12/08/2016 [^] [ответить]    [к модератору]  
  • +/
    А убирание кнопки пуск и плиточки в windows 8 диверсия со стороны опенсорсников?
     
     
  • 5.56, Аноним (-), 18:04, 12/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Нет, диверсия со стороны тех же прорпиетарных окошек, типа код закрыт, править ... весь текст скрыт [показать]
     
  • 5.64, Аноним (-), 04:46, 13/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Скорее, случайно самоэлопотомировались Смотри, Элоп вернулся в MS Продажи упал... весь текст скрыт [показать]
     
  • 3.63, Аноним (-), 04:45, 13/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > кстати, Поттеринг поломал ro / в systemd > 222 где-то =). В
    > связи с systemd-tmpfiles-*

    Вот те раз, а как же у меня debian с systemd 229 загружается с RO rootfs-ом то?

     
  • 1.53, Subcreator (??), 16:18, 12/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для майнинга на чем, на проце?? Уже даже на видюхах умер...
     
     
  • 2.54, ANONYM (?), 16:31, 12/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Ты сейчас про какую крипту? X11, X13 вполне, менее популярные алгоритмы тем более.
     
     
  • 3.55, Subcreator (??), 17:31, 12/08/2016 [^] [ответить]    [к модератору]  
  • +/
    А кроме Dash что-то имеет смысл майнить? Оборот и цена - мизер, да и где их потом менять?

    Даже на видюхе ниочем
    $ ./ccminer -a X11 --benchmark
    [2016-08-12 17:29:47] GPU #0: GeForce GTX 660, 1925.65 kH/s
    [2016-08-12 17:29:47] Total: 1910.37 kH/s

    Не говоря уж о проце
    $ ./cpuminer -a x11 --benchmark
    [2016-08-12 17:08:40] Total: 64.87 kH/s

     
  • 2.59, Аноним (-), 20:46, 12/08/2016 [^] [ответить]    [к модератору]  
  • +/
    блокчейн - уже давно не только криптовалюты.
    уже и мессенджеры и почта и голосовые сервисы(гуглим меш потато).
    недавно до уровня альфы и IPFS доросла. в общем помаленьку растет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor