The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ Mumblehard, вредоносного ПО для Linux и FreeBSD

04.05.2015 09:07

Компания ESET опубликовала отчёт (PDF) с результатами анализа троянского ПО Mumblehard, внедряемого злоумышленниками на серверы под управлением Linux и FreeBSD, и используемого для построения ботнета, специализирующегося на рассылке спама. Сообщается, что в настоящее время зафиксировано около 8900 поражённых данным вредоносным ПО хостов. Активность прослеживается с 2009 года, но пик расширения ботнета наблюдается последние несколько месяцев (например, в первую неделю апреля к ботнету было подключено около 3 тысяч новых узлов).

Для распространения Mumblehard атакующие используют различные уязвимости, незакрытые в web-приложениях. Поражаются в основном web-серверы, на которых ненадлежащим образом организован процесс установки обновлений. Само по себе Mumblehard включает только бэкдор для организации удалённого управления и демон для рассылки спама, сочетающий в себе функции прокси. Mumblehard обычно устанавливается в директории /tmp или /var/tmp и вызывается через cron каждые 15 минут. Выявить Mumblehard можно по наличию в crontab вызовов программ, подобных "/var/tmp/qCVwOWA". Для защиты помогает монтирование /tmp с опцией noexec.

Необычной особенностью Mumblehard является то, что он написан на языке Perl, но распространяется в форме исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Для скрытия Perl-кода от первичного изучения применяется простейшее шифрование. ELF-файл оформлен таким образом, что может запускаться как в Linux, так и на системах BSD.





  1. Главная ссылка к новости (http://www.welivesecurity.com/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42159-botnet
Ключевые слова: botnet
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (122) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 09:12, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    >Mumblehard

    Бормотун? Хотя нет -- hard всё же... Бормотище, во!
    Хорошее название.
    Предлагаю скрипт для вычистки от этой дряни назвать "диктор".
    :)

     
     
  • 2.61, systemd_anonymousd (?), 16:31, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Mumblehard
    > Бормотун? Хотя нет -- hard всё же... Бормотище, во!

    Бормотуха.


     
  • 2.77, Аноним (-), 21:06, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Бормотище, во!

    Обормотище.

     
  • 2.101, Khariton (ok), 23:19, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Обормот?
     

  • 1.2, Аноним (-), 09:12, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обновляйте свои сервера своевременно господа!
     
     
  • 2.3, anonymouse (?), 09:30, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +26 +/
    И поставьте наш антивирус, ну по жаааалуиста.
     
     
  • 3.7, Аноним (-), 09:57, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Планета буратин.
     

  • 1.8, Zenitur (ok), 10:52, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Как раз меня недавно хакнули. Google стал говорить что с моей машины рассылается спам, и перестал работать. Firefox, Linux. Может и он..
     
     
  • 2.91, Аноним (-), 21:53, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это вы с соседом Васей у прова за одним айпишником сидите. У Васи заcpанная винда рассылает спам, а гуголь тебе странички не открывает. :)
     
  • 2.109, Аноним (-), 14:56, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Как раз меня недавно хакнули. Google стал говорить что с моей машины
    > рассылается спам, и перестал работать. Firefox, Linux. Может и он..

    Может ты просто получил по наследству айпи какого-то овоща с маздайкой? Хотя проверить трафф wireshark/tcpdump и лучше на роутере - не лишне. Мало ли чего.

     
     
  • 3.140, Аноним (-), 20:30, 08/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Либо провайдер предоставляет услуги через NAT.  Но это всегда можно проверить, например открыв 80-й порт через nc и подключившись через анонимайзер к нему.
     

  • 1.10, Аноним (-), 11:45, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    Антивирусы, да?
    Толпа никчемных деньготребователей.
    Клиенты поймали вирус-шифровальщик, так при рабочем, обновленном и нормально настроенном докторе вебе - эта гадость пошифровала все файло.
    Спецом потом тестировал на других антивирях (все лицензионное, честно купленное):
    ESET: не обнаружил, файло пошифровано.
    Kaspersky: не обнаружил, файло пошифровано.
    Связался с техподдержкой:
    DrWeb: Упс, там 1024битный RSA, ничем помочь не можем, обращайтесь в отдел К.
    ESET: А мы ничего и не гарантировали.
    Kaspersky: Эм, ничем помочь не можем.

    В итоге, нахрена тратить деньги на этих лузеров? Нахрена слушать этих лузеров?

     
     
  • 2.12, анус (?), 11:53, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    есть, например, закон о персональных данных, требующий сертифицированное антивирусное ПО.
     
     
  • 3.16, Xasd (ok), 12:05, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > есть, например, закон о персональных данных, требующий сертифицированное антивирусное ПО.

    а было бы тогда не плохо запускать этот антивирус где-нибудь скраешку в виртуальной машине.. пусть там себе работает, один фиг, пользы от него ни какой нет, а купить заставляют :-)

     
  • 3.35, plain5ence (ok), 12:49, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вот только после обновления этого сертифицированного ПО оно, внезапно, перестаёт быть сертифицированным.
     
     
  • 4.128, Аноним (-), 13:59, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот только после обновления этого сертифицированного ПО оно, внезапно, перестаёт быть сертифицированным.

    Да это бага в законе. Обновления должны выпускаться и сертифицироваться.

     
     
  • 5.132, Michael Shigorin (ok), 14:57, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вот только после обновления этого сертифицированного ПО оно, внезапно,
    >> перестаёт быть сертифицированным.
    > Обновления должны выпускаться и сертифицироваться.

    Так и есть.

     
     
  • 6.135, сумашедший (?), 22:24, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Добрый вечер Михаил!
    Есть вопрос по поводу СПО в учреждениях. Если установить (например Alt Linux KDesktop)
    и использовать его без покупки дополнительной лицензии, будет этот шаг соответствовать 152-ФЗ?
     
     
  • 7.136, Michael Shigorin (ok), 09:27, 07/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть вопрос по поводу СПО в учреждениях.

    Так спросили бы по официальным контактам :-)

    > Если установить (например Alt Linux KDesktop) и использовать его без покупки
    > дополнительной лицензии, будет этот шаг соответствовать 152-ФЗ?

    Если провести аттестацию -- возможно; только для KDesktop она обойдётся сильно дорого, т.к. у него сертификата нет, в отличие от СПТ: https://www.opennet.ru/opennews/art.shtml?num=30326 (исошку на пробу можно получить по письму на support@).

    И в любом разе при переезде на линукс постарайтесь сперва организовать компактный пилотный проект, возможно, в несколько вариантов параллельно, а уж после выяснения и решения неизбежных проблем его масштабировать на остальные места.

     
  • 3.78, Аноним (-), 21:08, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > есть, например, закон о персональных данных, требующий сертифицированное антивирусное ПО.

    Вымогатели заставляют покупать софт от очковтирателей. Безопасность прет из всех щелей.

     
  • 2.19, Михрютка (ok), 12:06, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Спецом потом тестировал на других антивирях (все лицензионное, честно купленное):
    > ESET: не обнаружил, файло пошифровано.
    > Kaspersky: не обнаружил, файло пошифровано.
    > DrWeb: Упс, там 1024битный RSA, ничем помочь не можем, обращайтесь в отдел
    > К.

    ща прибегут анонимы и нальют тебе в уши, што ты лузер, и што надо было просто фрешклам запускать почаще.


     
     
  • 3.79, Аноним (-), 21:09, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А вот образцово-показательный пример впаривателя, который в рекламном буклетике наобещает золотые горы, а при малейших проблемах сделает козью морду.
     
  • 2.20, YetAnotherOnanym (ok), 12:07, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Затем, что без них Вы ловили бы эту гадость намного, намного чаще.
     
     
  • 3.28, Анонимус сапиенс (?), 12:21, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Затем, что без них Вы ловили бы эту гадость намного, намного чаще.

    не запускающийся троянчик в папке загрузки как страшно.

     
  • 3.55, азазайзер (?), 15:22, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не несите чушь. Не пользуюсь антивирусами уже 15 лет, волосы - шелковистые.
     
     
  • 4.59, Kroz (??), 15:57, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не несите чушь. Не пользуюсь антивирусами уже 15 лет, волосы - шелковистые.

    Даже на Windows и DOS? Если ответите да, заподозрю паричок на вас :).

     
     
  • 5.65, MaxMoshko (?), 17:26, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Подозреваю в вас нуба, ибо на последних окошках чтобы подхватить вирус нужно отключить мозг.
     
     
  • 6.68, Аноним (-), 17:52, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На последних окошках у тебя тоже антивируса нет?


     
  • 6.81, Аноним (-), 21:11, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Подозреваю в вас нуба, ибо на последних окошках чтобы подхватить вирус нужно
    > отключить мозг.

    Ну не знаю, у знакомых хомяков семерки и восьмерки все загажены черти-каким малваре. Половина из которого является "типа, антивирусами". Потом при загрузке машины все дико тормозит, лезет 5 окошек "я тут что-то не смог обновить базы", "триал закончился" и прочая. А в браузере висит 5 тулбаров, которые никто не просил но которые откуда-то поставились.

    Вообще, был тут эксперимент - перцы поставили программы из топ10 на download.com. Что у них после этого стало с системой - ну вы поняли.

     
     
  • 7.103, anonimm (?), 09:55, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вывод: у знакомых хомяков семерки и восьмерки отключен мозг, очевидно же.
     
     
  • 8.107, Аноним (-), 14:48, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, ну профессионал конечно и из гoвна дворец построит Но отбить дурной запах ... текст свёрнут, показать
     
  • 6.92, Аноним (-), 21:57, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > на последних окошках чтобы подхватить вирус нужно отключить мозг.

    Легко: из профиля пользователя можно запускать исполняемые файлы. А дальше - как повезет...

     
  • 6.100, all_glory_to_the_hypnotoad (ok), 23:02, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > на последних окошках чтобы подхватить вирус нужно отключить мозг.

    это типичное состояние пользователя окошек, точнее им же включать даже нечего.

     
  • 6.108, Аноним (-), 14:52, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Подозреваю в вас нуба, ибо на последних окошках чтобы подхватить вирус нужно
    > отключить мозг.

    Так виндами никто кроме нубов и не пользуется - для существ с головным мозгом там нечего ловить. Системная автоматизация кривая и геморная, всё за всех решает какой-то мерзкософт, да и вообще, существо с мозгом может хотя-бы прочитать EULA и подумать - согласно ли оно с всем этим булшитом...

     
     
  • 7.119, клоун (?), 17:22, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какой именно пункт EULA тебя не устраивает?

    Отказ от ответственности есть во всех лицензионных и пользовательских соглашениях, даже не Линукс.

    Неисключительное право собственности?

    Требование наклеить наклейку на корпус ПК - неприятно, но можно и на дно наклеить.

     
     
  • 8.125, Valerkind (ok), 13:19, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В каком веке живешь Давно уж нет никаких наклеек ... текст свёрнут, показать
     
  • 4.98, solomon243 (ok), 22:18, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Та же фигня.

    А может просто по порнухе теперь реже лазаю...

     
  • 2.26, Анонимус сапиенс (?), 12:20, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > В итоге, нахрена тратить деньги на этих лузеров? Нахрена слушать этих лузеров?

    По моему опыту самая надежная защита от вирусни - software policies и своевременное обновление средств выхода в интернеты. На 200 компьютерах ни одного заражения не было за 2.5 года. Раз в год проверял централизованным симантеком. Единственное что находилось троянчики в каталоге "загрузки".

    Зато видел кучу компьютеров с установленным антивирусным паразитом и пачкой adware.

     
     
  • 3.39, Аноним (-), 13:15, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я обычно ставлю бекап-боксы (самба + линукс + снимки фс каждый день) куда сливаю важную инфу.
     
     
  • 4.44, Анонимус сапиенс (?), 13:32, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А подробнее?
     
  • 4.45, Анонимус сапиенс (?), 13:42, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А доперло. Ты вендо ПО используешь для залития бекапов на линукс сервер.
     
     
  • 5.49, Аноним (-), 13:59, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А доперло. Ты вендо ПО используешь для залития бекапов на линукс сервер.

    Именно так. Плюс мониторинг бекапов. Если по какой-то причине не проходит - мыло мне, а дальше разбираюсь.

     
  • 4.46, Аноним (-), 13:42, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У меня тоже подобная схема реализована. Linux + btrfs в RAID1 + samba, ежедневные снимки. Полет нормальный.
     
     
  • 5.82, Аноним (-), 21:14, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня тоже подобная схема реализована. Linux + btrfs в RAID1 +
    > samba, ежедневные снимки. Полет нормальный.

    Это все круто, НО если у тебя разрушатся какие-то блоки, например, бэдсектора полезут - снапшоты могут завалиться как стопка домино, если зависели от этих блоков. Поэтому неплохо иногда делать и классические бэкапы, желательно на физически другую машину. Чтоб не вышло так что после пыха блока питания от винчей остались угольки, а админу прилетели пи...льки.

     
     
  • 6.90, Аноним (-), 21:21, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> У меня тоже подобная схема реализована. Linux + btrfs в RAID1 +
    >> samba, ежедневные снимки. Полет нормальный.
    > Это все круто, НО если у тебя разрушатся какие-то блоки, например, бэдсектора
    > полезут - снапшоты могут завалиться как стопка домино, если зависели от
    > этих блоков. Поэтому неплохо иногда делать и классические бэкапы, желательно на
    > физически другую машину. Чтоб не вышло так что после пыха блока
    > питания от винчей остались угольки, а админу прилетели пи...льки.

    Дак, рейд1 - зеркало. Тоже не панацея, но вероятность факапа в два раза меньше.

     
     
  • 7.111, Аноним (-), 15:03, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Дак, рейд1 - зеркало. Тоже не панацея, но вероятность факапа в два
    > раза меньше.

    Так raid тоже не замена бэкапа. Если например блок питания пыхнет - оба харда могут одновременно сдохнуть. А у кого большая инфраструктура - предпочитают бэкапаться ремотно. Спасает от более масштабных факапов типа пожара или омона в офисе.

     
     
  • 8.126, Michael Shigorin (ok), 13:30, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Братцы, так RAID, backup и UPS друг другу не замена Ну и один бэкап -- не бэка... текст свёрнут, показать
     
  • 4.60, Kroz (??), 16:04, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Напомните, какой у вас период ротации бекапов? Ну, через какое время, скажем, сегодняшний бекап потрется? Это чтоб знать какое время вирус не должен себя обнаруживать, чтобы потом его с корнями выдирать приходилось.

    Да, и еще напомните длительность восстановления такого бекапа и заодно стоимость простоя одного часа сервиса. Можно без учета того фактора, что не все дежурные админы хоть раз такое делали и знают как такое делается только в теории.

    Просто интересно.

     
     
  • 5.83, Аноним (-), 21:15, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Напомните, какой у вас период ротации бекапов? Ну, через какое время, скажем,
    > сегодняшний бекап потрется? Это чтоб знать какое время вирус не должен
    > себя обнаруживать, чтобы потом его с корнями выдирать приходилось.

    Ставь таймаут на рандом от пары дней до месяца, по любому угадаешь :)

     
     
  • 6.120, клоун (?), 17:28, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не смешно.

    Это называется "концепция резервного копирования". Она всегда есть: в виде документа или в виде реалий. И для компании лучше, чтобы она была оформлена в виде документа. Так руководство компании (отдела) будет понимать за что оно платит, а исполнители точно понимать что нужно руководству (SLA), а за что им не платят.

     
     
  • 7.137, count0krsk (ok), 16:36, 07/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ох уж эти Масквичи. За МКАД-ом про это ваше СЛА слышали 3.5 директора, и те в филиалах Газпрома и Роснано.
    Обычно всё проще: работает - получаешь оклад, сломалось - ищещь работу. И как-то живёт так страна. А вы ходите дальше в розовых очках, только ночью за МКАД не выезжайте ;-)
    Тьфу, блин, это же Клоун написал! А я отвечал, старался...
     
  • 3.40, Аноним (-), 13:20, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> В итоге, нахрена тратить деньги на этих лузеров? Нахрена слушать этих лузеров?
    > По моему опыту самая надежная защита от вирусни - software policies и
    > своевременное обновление средств выхода в интернеты. На 200 компьютерах ни одного
    > заражения не было за 2.5 года. Раз в год проверял централизованным
    > симантеком. Единственное что находилось троянчики в каталоге "загрузки".
    > Зато видел кучу компьютеров с установленным антивирусным паразитом и пачкой adware.

    К слову, сейчас такая зараза в моде: http://forum.drweb.com/index.php?showtopic=320137

    Поскольку наша контора обслуживает мелких клиентов, у многих тупо нет АД и прочего, часто клиентская сеть выглядит как пяток ноутбуков, которыми так-же пользуются и дома.

    Короче, только бекапы выручают.

     
  • 2.31, plain5ence (ok), 12:30, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это действительно форменное безобразие. Похоже, нужно что-то с этим делать, не может же это вечно так продолжаться. Я бы на вашем месте написал своему депутату об этой ситуации, пусть подумают о принятии соответствующего закона. Возможно, стоило бы обязать всех вирусописак бесплатно высылать копию каждой новой версии зловреда в Единую Государственную Базу Вирусов (по примеру того как издательства копию выпускаемых книг в библиотеку отдают). Тогда-то уж эти лузеры точно не смогут отвертеться "вас заражённых много, а я одна".
     
  • 2.41, z (??), 13:24, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Обычная практика АВ - пасти известные источники распространения и оперативно добавлять сигнатуры/шаблоны, всякие там эвристики - лишь обобщение известного, не более
     
     
  • 3.50, Аноним (-), 14:05, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну, скажем, если какая-то софтина массово читает файло, а затем для каждого вызы... большой текст свёрнут, показать
     
     
  • 4.56, z (??), 15:40, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну, скажем, если какая-то софтина массово читает файло, а затем для каждого вызывает вполне известные алгоритмы шифрования - то модуль эвристики как-бы мог и сообразить, что что-то не так пошло?

    Для этого нужно, чтобы эмулятор кода АВ хотя-бы распаковал бинарь и проанализировал - чем тот же ClamAV в принципе не занимается, а 95% из остальных можно тупо обломать по глубине эмуляции либо таймауту, вставив какой-нибудь ресурсоёмкий цикл ещё до входа в основную процедуру

    >Блин, просто-же!

    Читай выше, что я написал

     
     
  • 5.87, Аноним (-), 21:19, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Ну, скажем, если какая-то софтина массово читает файло, а затем для каждого вызывает вполне известные алгоритмы шифрования - то модуль эвристики как-бы мог и сообразить, что что-то не так пошло?
    > Для этого нужно, чтобы эмулятор кода АВ хотя-бы распаковал бинарь и проанализировал
    > - чем тот же ClamAV в принципе не занимается, а 95%
    > из остальных можно тупо обломать по глубине эмуляции либо таймауту, вставив
    > какой-нибудь ресурсоёмкий цикл ещё до входа в основную процедуру

    А причем-тут бинарь вируса? Винда, вроде, позволяет антивирям перехватывать системные вызовы. Посмотреть кто вызывает open('some.docx','w').

    >>Блин, просто-же!
    > Читай выше, что я написал

     
     
  • 6.104, Аноним (-), 10:18, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Еще один идиот с непомерным ЧСВ. Читай выше что я написал. Тоже мне, нобелевский лауреат))) Все верно, если процессор начинает дергать много файло на запись, на удаление, да еще из разных директорий это очевидный паттерн зловреда. За редкими исключениями, которые можно прописать. Не слушай идиотов, все правильно ты говоришь.
     
  • 6.105, Аноним (-), 10:23, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Блин, просто-же!
    >> Читай выше, что я написал

    В следующий раз шли сразу на... тех кто так пишет. Это признак невменяемости.

     
  • 6.106, z (??), 11:28, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А причем-тут бинарь вируса? Винда, вроде, позволяет антивирям перехватывать системные вызовы. Посмотреть кто вызывает open('some.docx','w').

    Бинарь вируса тут притом, что если не поставить ему флаг подозрительности - так можно нарваться на:
    1) общесистемные тормоза при перехвате системных вызовов от всех программ
    2) ложные срабатывания от п.1
    3) паттерн обращения к файлам очень меняется по желанию разработчика зловреда

    >>Блин, просто-же!
    >Читай выше, что я написал

    Попов/Бабушкин, перелогинтесь!

     
  • 4.76, Аноним (-), 20:55, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > если docx/xlsx на запись открыты чем-то кроме офиса

    Ничего что офисы бывают разные? OpenOffice, LibreOffice, WPS Office, и другие?

     
     
  • 5.85, Аноним (-), 21:18, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> если docx/xlsx на запись открыты чем-то кроме офиса
    > Ничего что офисы бывают разные? OpenOffice, LibreOffice, WPS Office, и другие?

    Дак поставить порог срабатывания, сделать теневую копию, подождать, если подозрительной активности нет - считать доверенной прогой. Ну или тупо юзера спросить. Ни один офис, не переписывает массово, в течении часа, тысячу docx/xlsx.

     
  • 2.99, imak (ok), 22:39, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Никак не оправдывая производителей антивирусов, за попытки втюхать свои программ... большой текст свёрнут, показать
     
     
  • 3.118, клоун (?), 16:32, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не путай, пожалуйста не может восстановить и не может восстановить бесплатно ... большой текст свёрнут, показать
     
     
  • 4.122, Michael Shigorin (ok), 19:23, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Не путай, пожалуйста "не может восстановить" и "не может восстановить бесплатно".

    Во-первых, не бесплатно -- за услугу типа "страховка" им по сути и платят.
    Во-вторых, есть подозрение, что килобитный ключ ни один из них подбирать не возьмётся _вообще_.

    PS: клевету на "нормального админа", разумеется, удалил.

     
  • 2.102, csdoc (ok), 02:38, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http habrahabr ru post 256573 Все правильно, если файл уже зашифрован - антив... большой текст свёрнут, показать
     

  • 1.11, Аноним из Сибири (?), 11:51, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    selinux уже скоро 15 лет, и он, что характерно, помогает. что скажут в своё оправдание админы?
     
     
  • 2.15, Михрютка (ok), 12:03, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > что скажут
    > в своё оправдание админы?

    что их любимый пэпэхамойадминчик\вордпресик\панелька\еще-кокой-нибудь-говнософтик человеческими буквами прямо в readme просил выключить selinux.

     
     
  • 3.17, Xasd (ok), 12:06, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> что скажут
    >> в своё оправдание админы?
    > что их любимый пэпэхамойадминчик\вордпресик\панелька\еще-кокой-нибудь-говнософтик
    > человеческими буквами прямо в readme просил выключить selinux.

    выключить selinux и выставить везде 777 :-D

     
     
  • 4.23, Михрютка (ok), 12:15, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > выключить selinux и выставить везде 777 :-D

    мне одна рыбка человеческим голосом рассказывала, что для нормальной работы ее гениальной вебаппликухи (похапэ, мускель, жаба и еще какая-то хипстота) надо на приватный ключ сервера плюнуть chmod 600 nginx. для безопасности. и потому что первая прочитанная в интернетах говностатья says so.

    натурально, остальное файло у етой аппликухи именно с тремя семерками и лежало :)))


     
     
  • 5.32, Xasd (ok), 12:30, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    на мой взгдляд ещё и интересно то, что 666 уже хватило бы для того чтобы был бы FAIL .. но нет же(!) мы сделаем даже не 666, а 777 -- на файлы! :-)
     
     
  • 6.34, Михрютка (ok), 12:39, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на мой взгдляд ещё и интересно то, что 666 уже хватило бы
    > для того чтобы был бы FAIL .. но нет же(!) мы
    > сделаем даже не 666, а 777 -- на файлы! :-)

    а это потому что деплоилось копированием с макбучика через какой-то сфтп плугин

     
     
  • 7.84, Аноним (-), 21:16, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а это потому что деплоилось копированием с макбучика через какой-то сфтп плугин

    Ну так виндузоиды и макосники - прирожденные безопасники.


     
  • 6.80, anonymous (??), 21:11, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > на мой взгдляд ещё и интересно то, что 666 уже хватило бы для того чтобы был бы FAIL .. но нет же(!) мы сделаем даже не 666, а 777 -- на файлы! :-)

    Это называется "дать все права".
    Удивительно, но даже (вроде) неглупые люди делают "chmod 777".
    Причем на вопрос "понимаешь что это значит", даже могут ответить правильно.

     
     
  • 7.121, клоун (?), 17:35, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот у меня домашний файловый сервер на базе Линукс. Один единственный пользователь, один девайс с которого к нему обращаются. Объясни популярно какого рожна я должен заморачиваться ограничением самого себя в правах и уровне доступа?

    У меня нет раздвоения личности на Я-админ и Я-пользователь. И нет необходимости в таком разделении.

    Наименее проблемная учётная запись, дающая мне желаемое - root. Наименее проблемные права - полные. И я не вижу смысла тратить личное (неоплачиваемое) время на удовлетворение мазохистских желаний разработчиков.

     
     
  • 8.138, count0krsk (ok), 18:10, 07/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это пока Вы не фак-апнулись, и не в той панели файл-менеджера shift-del нажали ... текст свёрнут, показать
     
  • 4.130, Аноним (-), 14:38, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > выставить везде 777 :-D

    Знал бы ты сколько в твой любимый дистр Линукса страниц оперативной памяти с правами 777 выделяет! :-)

    С правами на файлы, при желании, можно жестко бороться. В Линукс можно поставить патч от grsecurity.net там есть поддержка технологии TPE (доверительного пути исполнения). Настройка тривиальна, надо указать доверительную или запрещённую группу.
    Если доверительная группа root (0), то разрешен запуск только файлов доступных на изменение root и находящиеся в каталогах доступных на запись только root.

     
  • 2.22, Штунц (?), 12:09, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    SELinux - разработка АНБ
     
     
  • 3.27, Михрютка (ok), 12:20, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > SELinux - разработка АНБ

    "Милосердие - поповское слово"(С)

     
  • 3.93, Аноним (-), 22:07, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да. Это так. И?
     
  • 2.58, AlexYeCu (ok), 15:51, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что это нечто настраиваемое через гланды, работающее через гланды и метровыми саморезами прикрученное к шапкам, причём тоже, скорее всего, через гланды?
     
  • 2.129, Аноним (-), 14:20, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > selinux уже скоро 15 лет, и он, что характерно, помогает. что скажут
    > в своё оправдание админы?

    selinux - от АНБ и тяжело пишутся правила.

    gradmin - хорошая альтернатива и самообучаем.

    Админы скажут что надо хотя бы дешевыми методами защиты пользоваться, ресурсов затраченых минимум, а 99% "вирей" обезвредит:

    1
    /, /usr - монтировать ro,
    а /tmp, /var, /home - монтировать noexec!

    2
    Также хорошо помогает в /etc/sysctl.conf
    kernel.grsecurity.tpe = 1
    kernel.grsecurity.tpe_gid = 0
    kernel.grsecurity.tpe_invert = 1
    kernel.grsecurity.grsec_lock = 1

     
     
  • 3.133, Аноним (-), 15:07, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > /home - монтировать noexec!

    А сам комп вообще не включать!

     
     
  • 4.134, Аноним (-), 15:20, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У меня так всегда смонтировано, и /home c опцией noexec никак разработке скриптов не мешает!!! Собрать пакет в домашнем каталоге пакет и запустить не даст :) Примонтируй отдельный раздел для разработки /home/develop с RWX и там работай.

    Вот с TPE - пожоще ограничение будет и тоже можно жить и под себя настроить. Попробуй сам..

     

  • 1.13, Xasd (ok), 11:58, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Выявить Mumblehard можно по наличию в crontab вызовов программ, подобных "/var/tmp/qCVwOWA"...

    так.. проверим сервера...

        # crontab -l
        -bash: crontab: command not found

    :-D

     
     
  • 2.18, Аноним (-), 12:06, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    echo $PATH
     
     
  • 3.21, Xasd (ok), 12:08, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    code echo PATH usr local sbin usr local bin usr bin usr bin sit... большой текст свёрнут, показать
     
     
  • 4.25, Михрютка (ok), 12:19, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > а нафига вообще нужен crontab на серверах?
    > systemd-timers тоже не плохо справляется со своей задачей! :-)

    а нафига нужен системдэ-таймерс на серверах, где с задачами кронтаба прекрасно справляется кронтаб?

     
     
  • 5.29, Xasd (ok), 12:23, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –7 +/
    >> а нафига вообще нужен crontab на серверах?
    >> systemd-timers тоже не плохо справляется со своей задачей! :-)
    > а нафига нужен системдэ-таймерс на серверах, где с задачами кронтаба прекрасно справляется
    > кронтаб?

    тыг crontab это дополнительное ПО .. а systemd-timers -- системное основное :-)

     
     
  • 6.43, имя. (?), 13:29, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>> а нафига вообще нужен crontab на серверах?
    >>> systemd-timers тоже не плохо справляется со своей задачей! :-)
    >> а нафига нужен системдэ-таймерс на серверах, где с задачами кронтаба прекрасно справляется
    >> кронтаб?
    > тыг crontab это дополнительное ПО .. а systemd-timers -- системное основное :-)

    No manual entry for systemd-timers

     
     
  • 7.47, Xasd (ok), 13:52, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/



    man systemd.timer



     
     
  • 8.86, Аноним (-), 21:19, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кстати годная штука Пиндык крону, имхо, на моих машинах ... текст свёрнут, показать
     
  • 6.54, Михрютка (ok), 14:41, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > тыг crontab это дополнительное ПО .. а systemd-timers -- системное основное :-)

    кому и кобыла невеста



     
  • 5.114, Аноним (-), 15:12, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а нафига нужен системдэ-таймерс на серверах, где с задачами кронтаба прекрасно
    > справляется кронтаб?

    А теперь с ними будет справляться таймерс :). При том там очевидно как прописать например "запустить вот это через 10 минут после старта системы". И это делается просто и логично, в отличие от.

     
     
  • 6.115, Михрютка (ok), 15:58, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А теперь с ними будет справляться таймерс :). При том там очевидно
    > как прописать например "запустить вот это через 10 минут после старта
    > системы". И это делается просто и логично, в отличие от.

    если вышеотквоченная задача на sysv init системе для вас непонятна и непроста, никакой инит менеджер вам не поможет. займитесь чем-нибудь более интуитивно понятным.

     
     
  • 7.139, count0krsk (ok), 18:19, 07/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    sleep, нет?
    Можно конечно написать свой демон, который вежливо подождёт до нужного uptime...
     
  • 4.30, pkdr (ok), 12:29, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > systemd-timers тоже не плохо справляется со своей задачей! :-)

    В данном случае малвари, по большому счёту, плевать кто её будет запускать раз в 15 минут, православный крон или богомерзкий системд от Злого Поттера.

     
     
  • 5.33, Xasd (ok), 12:33, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> systemd-timers тоже не плохо справляется со своей задачей! :-)
    > В данном случае малвари, по большому счёту, плевать кто её будет запускать
    > раз в 15 минут, православный крон или богомерзкий системд от Злого
    > Поттера.

    ну вот, пусть эти вирусоизобретатели -- обновят уже эти свои вирусы :-)

    а то понимаешь ли вирус сделали, а он не работает как надо :-( , требует для себя зависимости дополнительные :-(

     
     
  • 6.51, pkdr (ok), 14:06, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну вот, пусть эти вирусоизобретатели -- обновят уже эти свои вирусы :-)

    Видимо они замшелые ретрограды и системд-хейтеры

    > а то понимаешь ли вирус сделали, а он не работает как надо :-( , требует для себя зависимости дополнительные :-(

    Это стандартная проблема вирусов в opensource - их надо постоянно патчить, ставить зависимости давать им права

     
     
  • 7.63, Аноним (-), 17:16, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Это стандартная проблема вирусов в opensource - их надо постоянно патчить, ставить зависимости давать им права

    Ты не переживай, systemd изменит это к лучшему. Почему иы думаешь антиврники воспряли духом и снова стали пиариться на наших полянах? Потому что не видно только слкпым и дурным ...

     
     
  • 8.75, Sluggard (ok), 20:21, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать, антивири когда-нибудь пиариться переставали Часто на ОпенНете н... текст свёрнут, показать
     
     
  • 9.94, Аноним (-), 22:09, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Иногда этого может быть недостаточно и придется делать патчи ... текст свёрнут, показать
     
     
  • 10.97, Sluggard (ok), 22:13, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Самим писать, ага Пора открывать багтрекеры для линуксовых вирусов уже И репоз... текст свёрнут, показать
     
  • 8.113, Аноним (-), 15:08, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, да, казалось бы, при чем тут Лужков ... текст свёрнут, показать
     
  • 6.57, Аноним (-), 15:42, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего, когда все переползут на systemd тянуть зависимостей нужно будет значительно меньше, так как в systemd уже все что нужно будет.
     
     
  • 7.88, Аноним (-), 21:20, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > так как в systemd уже все что нужно будет.

    А что с собой сейчас надо переть? Ядро с кучей системных вызовов - уже есть. Остальное вирусу не сильно надо, по большому счету.

     
  • 2.42, z (??), 13:26, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Учись, студент:
    >C:\>crontab -l
    >"crontab" не является внутренней или внешней
    >командой, исполняемой программой или пакетным файлом.
     
     
  • 3.95, Аноним (-), 22:11, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поздравляем! Вы в безопасности. :)
     

  • 1.36, Аноним (-), 12:57, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На первой картинке - скриншоты какого-то отладчика?
     
     
  • 2.37, Xasd (ok), 13:11, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    скорее всего IDA какая-нибудь (проприетарная)
     
  • 2.38, Anonim (??), 13:14, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > На первой картинке - скриншоты какого-то отладчика?

    Да.

     

  • 1.48, бедный буратино (ok), 13:57, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эй, а где OpenBSD?
     
     
  • 2.52, Михрютка (ok), 14:34, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а самому порт написать слабо?
     
  • 2.64, ПолковникВасечкин (?), 17:17, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так он же не ломается!
     
  • 2.89, Аноним (-), 21:21, 04/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > эй, а где OpenBSD?

    А под него тебе придется портировать самому :)

     

  • 1.62, Аноним (-), 17:03, 04/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Необычной особенностью Mumblehard является то, что он написан на языке Perl, но распространяется в форме исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Для скрытия Perl-кода от первичного изучения применяется простейшее шифрование. ELF-файл оформлен таким образом, что может запускаться как в Linux, так и на системах BSD.

    класс!!

     
     
  • 2.117, клоун (?), 16:17, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Антивирусы анализируют части кода + пытаются выполнить файл в песочнице чтобы понять что он делает.

    Способ обхода антивируса - максимально заморочить код. Самое лучшее из придуманного - встроенный интерпритатор.

    Лет 10 назад такие фокусы не прокатывали из-за слабой производительности ПК. С тех пор аппаратные возможности выросли и вирусная активность стала незаметной.

     

  • 1.110, ALex_hha (ok), 14:59, 05/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Антивирусы, да?
    > Толпа никчемных деньготребователей.
    > Клиенты поймали вирус-шифровальщик, так при рабочем, обновленном и нормально настроенном > докторе вебе - эта гадость пошифровала все файло.

    люди, которые пишут крипто вирусы тоже пользуются антивирусами и проверяют свои творения на всех наиболее известных антивирусах со свежими базами ;) Так что полагаться на то, что антивирус спасет и защитит в 100% случаев просто глупо. Но совсем без антивируса работать тоже печально, по крайней мере на windows. У нас на работе на linux/macos никаких антивирусов нет и никаких проблем за 7 лет не было ни разу, чего не могу сказать об windows.

     
     
  • 2.112, Аноним (-), 15:06, 05/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > нет и никаких проблем за 7 лет не было ни разу,
    > чего не могу сказать об windows.

    Ну так на линухе закинуть вирь в репы - сложное начинание. И софт мимо репов ставить - не совсем просто для нубов. "Потому и не кусают".

     

  • 1.127, Игорь (??), 13:36, 06/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Полагаю, что подцепил на ноутбуке эту заразу. При подключении к интернету исходящий трафик примерно в три раза превышает входящий. Также при попытке зайти на гугл, гугл ругался, что от меня исходит подозрительный трафик. Стоит Роса R5 64-bit. Ну и что теперь делать?
     
     
  • 2.131, z (??), 14:40, 06/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Чтоб желудок не устал - принимайте uninstall
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру