Перейти к публикации
Дедовский городской форум
claus

Уязвимость систем на базе Linux

Рекомендованные сообщения

Раз

http://www.opennet.ru/opennews/art.shtml?num=36155

и два

http://www.webhostingtalk.com/showpost.php...p;postcount=196

Ниже текст для тех, кому влом идти по ссылка

 

Суть в чём. Начался массовый взлом серверов на базе Linux. Пока, что ломают всё на базе rhel 5/6, но нашли сервера с тем же хаком под SuSe и Debian squeeze.

 

После взлома оставляют в системе файл /lib64/libkeyutils.so.1.9 (или /lib/libkeyutils.so.1.9)

Так же запихивается троян (меняется поведение демона sshd). Пока что место нахождения дыры не известно.-)

 

 

Господа будьте бдительны.

 

p.s Что за ужасающий спойлер.....

Изменено пользователем nezhalko

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

временно отключить sshd и ждать секур апгрейд

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а управление переложить в руки telnet?

Да вот только telnet открыт, всем ветрам открыт....

Изменено пользователем claus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на предприятии можно и монитор с клавиатурой притащить, а для домашнего использования можно и отключить и подождать пока исправят

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
на предприятии можно и монитор с клавиатурой притащить, а для домашнего использования можно и отключить и подождать пока исправят

Хех...

Жги дальше!

 

p.s Ты сделал мне день! Спасибо!

Изменено пользователем claus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Препарировали гада.

http://news.drweb.com/show/?c=5&i=3332&lng=ru

И таки да это вирус-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ага, теперь доктор веб будет "продоавать решение"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ага, теперь доктор веб будет "продоавать решение"

 

Чисто по секрету) он его продаёт уже лет 5)) Как и KAV.

 

А ты понял мессадж? Чую не совсем)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А ты понял мессадж? Чую не совсем)

честно, я по диагонали просмотрел. Какая-та библиотека, куда-то прописывается, муть.

 

Просто к доктору нет доверия, потому что он находил в моем коде под андроид какую-то хрень со страшном названием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
честно, я по диагонали просмотрел. Какая-та библиотека, куда-то прописывается, муть.

Не-не)) прикол не в бибилотеке (p.s Ты ктстати поищии libkeyutil.so.1.9 в системе) у меня многие знакомы нашли, да и не в этом мессадж то.

Просто к доктору нет доверия, потому что он находил в моем коде под андроид какую-то хрень со страшном названием.

Ну, не пишите какую-то херь в коде-)))

Макс, тебе то уж должно быть известно по какому принципу работают антивирусы, или из умного студента ассимилируемся в быдло-кодера?

 

 

Видимо да же по диагонали слабоватенько).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
решето!

Ага, дуршлак!...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ну, не пишите какую-то херь в коде-)))

Макс, тебе то уж должно быть известно по какому принципу работают антивирусы, или из умного студента ассимилируемся в быдло-кодера?

обидел, ну я тебя тоже недалеким могу обозвать по твоим прошлым опусам.

 

Конкретно, он ругался на библиотеку, сделанную гуглом, про принципы работы антивирусов просвяти, я считаю их хренью для лохов с единственным принципом - замутить бабла для походов по новой зеландии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ну, не пишите какую-то херь в коде-)))

Макс, тебе то уж должно быть известно по какому принципу работают антивирусы, или из умного студента ассимилируемся в быдло-кодера?

обидел, ну я тебя тоже недалеким могу обозвать по твоим прошлым опусам.

 

Конкретно, он ругался на библиотеку, сделанную гуглом, про принципы работы антивирусов просвяти, я считаю их хренью для лохов с единственным принципом - замутить бабла для походов по новой зеландии.

 

 

Обидеть не хотел, хотя высказался жестко.

Мои прошлые опусы, это прошлые опусы) Молодо, зелено.

Доверять не доверять антивирусам это личное дело каждого, могу сказать так для Unix like антивирусы всё ещё не актуальны, просто потому что паразитов слишком мало.

Под виндой, хз хз, я как то умудрился поймать вымогателя на kinozal.tv. Правда и вылечил его сам, но это уже другой сказ.

 

А что тут сложного. суть такая есть вирусная лаборатория, там вирусы пишутся отлавливаются, и препарируются, после чего выявляют характерный элемент кода и/или поведения, выявленный элемент называется сигнатурой, которая заносится в базу. База сливается сканеру, ну а сканер проверяет содержимое файла на наличие этой самой сигнатуры. Примерно так. (я не вирусный аналитик, точнее сказать не смогу). Дальше уже всякие преамбулы.

Ложное обнаружение возможно. Возможно что в гугловской библиотеке были похожие элементы, а может кто-то из вирусо писателей просто слямзил библиотеку.

 

Антивирус чем то схож с ремнями безопасности. Они могут никогда не понадобится, но это же не значит что их не надо пристёгивать? Или авария может быть на столько страшной, что ремни тебе уже не помогут.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А что тут сложного. суть такая есть вирусная лаборатория, там вирусы пишутся отлавливаются, и препарируются, после чего выявляют характерный элемент кода и/или поведения, выявленный элемент называется сигнатурой, которая заносится в базу. База сливается сканеру, ну а сканер проверяет содержимое файла на наличие этой самой сигнатуры.

 

У современных антивирусов кроме сигнатурного анализа есть еще много разных методов. Антивирус может запустить подозрительный код в песочнице и проверить его действия в виртуальное среде, есть уже и облачная эвристика, когда поведенческий анализ проводится на миллионах компьютеров. Но, конечно, надо понимать ограничение, которое никуда не денется - у автора зловреда всегда есть фора. Он имеет возможность протестить свой код на всех распространенных антивирусах, адаптировать и выпустить на волю только тогда, когда из распространенных антивирусов его не будет ловить никто, дальше все зависит от скорости реакции антивирусников.

 

Препарировали гада.

http://news.drweb.com/show/?c=5&i=3332&lng=ru

И таки да это вирус-)

 

Ключевая фраза: "Механизм распространения троянца пока еще до конца не изучен, однако имеются основания полагать, что его установка на атакуемые серверы осуществляется с использованием критической уязвимости." Остальное можно и не читать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну да). Там пока много не ясного. Здаётся мне что "облака" сыграли свою роль в этом вопросе.

 

http://www.opennet.ru/opennews/art.shtml?num=36220

 

Вот ещё одна штучка, правда её пока вроде не юзают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

www.anti-malware.ru/news/2013-02-25/11230

 

О как) Касперыч разродился)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(я не вирусный аналитик, точнее сказать не смогу).

точность - вежливость королей профессионалов.

О как) Касперыч разродился)

Ждал, что ты напишешь о его заявлении, поэтому написал про горы новой зеландии и лохов, добавлю пруф:

https://twitter.com/e_kaspersky_ru/status/304832261583433728

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(я не вирусный аналитик, точнее сказать не смогу).

точность - вежливость королей профессионалов.

Хех я и не претендую на профессионализм в этой области)

О как) Касперыч разродился)

Ждал, что ты напишешь о его заявлении, поэтому написал про горы новой зеландии и лохов, добавлю пруф:

https://twitter.com/e_kaspersky_ru/status/304832261583433728

 

Дык, возми любого хозяина компании с оборотами под 1-2 млрд в год и будет то же самое-) Так что увы, но это не тот показатель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и подконец. Максим, вы обижены на них? Я тут обсуждал уязвимости в Линуксе, что их начали использовать для организации атака, и для хака серверов(и вноса в них троянов, маяков и ботов), а вы скатились к обсуждению отдыха Касперского). Знаешь мне как то плевать сколько он там отелей поменял) Мне интересно сколько я поменяю,когда буду отдыхать там)

Изменено пользователем claus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ну и подконец. Максим, вы обижены на них? Я тут обсуждал уязвимости в Линуксе, что их начали использовать для организации атака, и для хака серверов(и вноса в них троянов, маяков и ботов), а вы скатились к обсуждению отдыха Касперского). Знаешь мне как то плевать сколько он там отелей поменял) Мне интересно сколько я поменяю,когда буду отдыхать там)

Я же написал, что обиделся на тебя. Я "работу" антивируса почувствовал на себе и к ним доверия у меня нет, далее выяснил, что ты сам не понимаешь как они работают. Обсуждение уязвимости, как такового и нет, ты дал ссылку на какую-то сомнительную на русском языке статью с оборотами "однако имеются основания полагать". Каждый день десятки уязвимостей находят, это не повод кричать "ставьте наш мегаантивирус-доктор", а то это попахивает нехваткой на походы по новой Зеландии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

согласен с Максимом

 

никакой конкретики, работы механизама уязвимости, одно балобольство

 

может дадите, уважаемый ссылочку на секьюритифокус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Читайте первый пост.

 

 

http://www.webhostingtalk.com/showpost.php...p;postcount=196

http://blog.solidshellsecurity.com/2013/02...eyutils-so-1-9/

https://access.redhat.com/security/cve/CVE-2013-0871

https://rdot.org/forum/showthread.php?p=30828

https://access.redhat.com/security/cve/CVE-2012-5536

 

Вот ссылки из первого поста...... Это только малый ряд ссылок из первого поста. больше всего мне нравится лог snoopy (хотя это не показатель, боже о чём я...)

 

за сим откланиваюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да вот только telnet открыт, всем ветрам открыт.... rolleyes.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

никакой конкретики, работы механизама уязвимости, одно балобольство closedeyes.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

×
×
  • Создать...