Сообщается (http://www.welivesecurity.com/2016/04/07/mumblehard-takedown.../) о закрытии ботнета Mumblehard, включавшего около 4000 Linux-серверов. Ботнет был обнаружен (https://www.opennet.me/opennews/art.shtml?num=42159) более года назад и использовался преимущественно для рассылки спама. В сотрудничестве с правоохранительными органами разных стран, в числе которых Украина и Эстония, исследователям из компании ESET удалось получить контроль над IP-адресом последнего активного управляющего сервера и инициировать операцию чистки вредоносного ПО. При этом, пока не ясно каким способом осуществлялась внедрение вредоносного ПО, изначально выдвинутая теория, что компоненты Mumblehard распространялись через эксплуатацию уязвимостей в WordPress, не подтвердилась.Управляющее ПО Mumblehard написано на языке Perl, но распространяется в зашифрованной форме внутри исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Кроме бэкдора, позволяющего управлять работой хоста, в комплект входит реализация высокопроизводительного SMTP-сервера, способного рассылать большие объемы спама. Интересной особенностью управляющих серверов является наличие средств для отслеживания попадания узлов ботнета в чёрные списки Spamhaus (http://www.abuseat.org/) и отправки сообщений на прекращение блокировки IP-адресов, в том числе система использует встроенные и внешние механизмы распознавания символов (OCR) для обхода защиты через ввод CAPTCHA.
URL: http://arstechnica.com/security/2016/04/researchers-help-shu.../
Новость: http://www.opennet.me/opennews/art.shtml?num=44211
Так как эти машины были не с голым ядром в качестве ОС, их следует называть GNU/Linux-серверы.
> Так как эти машины были не с голым ядром в качестве ОС, их следует называть GNU/Linux-серверы.Ага, название ОС должно содержать полное перечисление установленного софта: GNU/X11/Apache/Linux/TeX/Perl/Python/FreeCiv и тк далее.
Если Вы не хотите перечислять всё установаленное ПО, называйте операционную систему просто - GNU. GNU без Linux - это более корректное названия, чем Linux без GNU.
Я свою систему называю, как я хочу. Столмана я уважаю, но Я ЕМУ НИЧЕГО НЕ ДОЛЖЕН. В лицензии, которую он придумал, не сказано ничего про то, что меня будут доставать анонимусы, зомбированные на оба полужопия головного мозга.
> Если Вы не хотите перечислять всё установаленное ПО,
> называйте операционную систему просто - GNU.Это будет ровно так же неверно. В Openwall придумали другой вариант: Owl GNU/*/Linux.
>> Если Вы не хотите перечислять всё установаленное ПО,
>> называйте операционную систему просто - GNU.
> Это будет ровно так же неверно. В Openwall придумали другой вариант:
> Owl GNU/*/Linux.Не только в Openwall. Дениска Попов ещё дальше пошёл.
Я очень люблю и уважаю "гнутый" софт, и предпочитаю его дефолтному на Mac OS, FreeBSD, Solaris. Но само название GNU/Linux (или даже просто GNU) и логотип GNU - это днище. Уверен, что если бы ядро называлось GNU, а окружение Linux - OCь называли бы Linux.
Иди в венду.
GNU/Linux звучит так что не годится для хорошей рекламы.
> GNU/Linux звучит так что не годится для хорошей рекламы.Термин "хорошая реклама" не в шутку может употреблять только клинический идиот или лицемерный рекламный планктон.
>Интересной особенностью управляющих серверов является наличие средств для отслеживания попадания узлов ботнета в чёрные списки Spamhaus CBL и отправки сообщений на прекращение блокировки IP-адресов, в том числе система использует встроенные и внешние механизмы распознавания символов (OCR) для обхода защиты через ввод CAPTCHA. Для управления рассылкой спама в ботнете применялся достаточно функциональный web-интерфейс.
>СкриншотВот это юзабилити, вот это я понимаю. КДЕ, смотри и учись.
Это называется "коммерческое ПО", ага ;)
> Это называется "коммерческое ПО", ага ;)Вы там в кем-то снесённом субтредике предлагали "не позориться", при этом почему-то не пытаясь пояснить, чем именно; я же могу предложить Вам поучиться сперва применять свои советы к себе, поскольку здесь вообще-то многие в курсе, почему слова "коммерческое ПО" далеко не волшебные и уж тем более не делающие внезапно очередную кривулину непогрешимой.
Ну, это неэквивалентная дихотомия. А пытаться делать вид, что эквивалентная -- глупо, поскольку с наблюдаемым не стыкуется.
> Вы там в кем-то снесённом субтредике предлагали "не позориться", при этом почему-то не пытаясь пояснить, чем именно;"Кем-то снесённом"? И вы, конечно же, не знаете, кем? :) Ну, ладно... Мне как-то неловко пояснять очевидную вещь, но если вы в самом деле не понимаете, то использовать в качестве аргумента "Протоколы Сионских мудрецов" не будет ни один разумный человек.
> здесь вообще-то многие в курсе, почему слова "коммерческое ПО" далеко не волшебные и уж тем более не делающие внезапно очередную кривулину непогрешимой.
А я, по-вашему, не в курсе? И кстати, ровно то же высказывание применимо к слову "СПО".
Можно код этой управляющей программы посмотреть? Нравится дизайн HTML-страницы, хочу скопировать его для своего веб-сайта (если это свободное ПО, конечно).
Ага, под AGPL распространяется :)
> Можно код этой управляющей программы посмотреть? Нравится дизайн HTML-страницы, хочу скопировать
> его для своего веб-сайта (если это свободное ПО, конечно).А между тем исследователи ломают голову над тем, как оно распространялось. Да вот так и распространялось: "Ух ты, классно! Себе хочу!"
вирусы это свобоное ПО, антивирусы нет
Сверхсвободное - их даже скачивать не надо, сами закатываются и ставятся.
Вирусы и спамерские ботнеты не могут быть свободным ПО на территории РФ, так как они запрещены законодательством.
Программы для непреднамеренного уничтожения или копирования информации, также для обхода систем защиты информации не считаются свободным ПО в России, и лицензия GNU GPL для подобных программ считается фиктивной.
> Программы для непреднамеренного уничтожения или копирования информацииТак оно преднамеренное. Юзер сам прямым текстом говорит:
>> Нравится дизайн HTML-страницы, хочу скопировать его для своего веб-сайта.
Юзера устраивает лицензия. Вот оно и устанавливается ему на сайт. Всё добровольно.
Откуда такая инфа? На бред похоже. "Непреднамеренно уничтожать или копировать информацию" можно и с помощью утилит rm или cp. Как в том анекдоте - "аппарат-то имеется".
Подобные формулировки используются в Уголовном Кодексе.> и при помощи rm и cp
В этом и соль. УК РФ писали не под интерфейс юникс.
А причём здесь интерфейс Юникс? Как будто непреднамеренно уничтожать или копировать информацию можно исключительно с помощью интерфейса Юникс.
> А причём здесь интерфейс Юникс? Как будто непреднамеренно уничтожать или копировать информацию
> можно исключительно с помощью интерфейса Юникс..... а если еще припомнить, что Линукс-то не Юникс вовсе, и это САМ ВЕЛИКИЙ заявил...
Опять пыхпых код оказался дырявым, да что же это такое.
Это руки пыхпых прогеров оказались дырявыми
То ли дело нода с руби, там уже не код, а целые репозитарии.
С разморозкой вас, руби уже очень давно не модно, нода тоже уже вышла. Сейчас go || elixir || swift. Правда у последнего плохо с линуксом пока.
> С разморозкой вас, руби уже очень давно не модноразговор был не о "модно/не модно", а о "дыряво/не дыряво". да и вообще, вопрос моды интересует же только самых гламурных програмистиков
Давно - это уже два дня как запатчено? :)
на какую аудиторию интересно расчитана эта инфа безусловно мирового масштаба? то есть интересно что окажется в продолжении и каким образом повлияет это все на айти линукс убунту и опенсорц
Ну если сегодня твой сервак внезапно перестал свопиться, то для тебя польза есть.
> Ну если сегодня твой сервак внезапно перестал свопиться, то для тебя польза
> есть.да было б дело этой системы во мне
очевидно, далее окажется, что раз язык интерфейса - русский, значит это всё - промыслы злых русских, и ещё это - киберагрессия против соединённых долларами штатов. а они неоднократно обещали за кибератаки отвечать военными ударами (архивы сми не дадут соврать).
> очевидно, далее окажется, что раз язык интерфейса - русский, значит это всё
> - промыслы злых русских, и ещё это - киберагрессия против соединённых
> долларами штатов. а они неоднократно обещали за кибератаки отвечать военными ударами
> (архивы сми не дадут соврать).вот об этом и спрашивал почти, версия что надо,тоже примерно так и подумал обо всем этом.
опять впаривают аскорбинку ибо в ней витамины, тогда когда того что у пациента все конечности на одних сухожилиях болтаются никого из медиков не волнует, вот так вот и живем получается в этой системе, вторим всему подряд без разбора тому, что изо всех щелей прет и думаем вот би моя сервака продолжил только свапаться ведь иначе действительно с миром что то начнет происходить и он больше не будет прежним жэ
Ну вот. В первом же сообщении - мерзкая политота, в первой же десятке - виндотролль. Чудовищно.По теме - дырявые плагины для вордпресса, root с паролем 1234 и PermitRootLogin on в sshd_config, chmod 777 всюду, куда дотянулись - и после этого кто-то чему-то удивляется? Однако, интересно было бы узнать, что за OCR :)
> Ну вот. В первом же сообщении - мерзкая политота,
> в первой же десятке - виндотролль. Чудовищно.Помогайте ссылкой. Пока -- "сообщить модератору".
#1 оставил как иллюстрацию, не увидев нарушений http://wiki.opennet.ru/ForumHelp -- Вам же могу предложить http://gvy.livejournal.com/74705.html к размышлению.
>Помогайте ссылкой. Пока -- "сообщить модератору".Кнопка "сообщить модератору" не работает.
вендотроль 80lvl: http://www.opennet.me/openforum/vsluhforumID3/107453.html#1
первое сообщение. кнопку жал. не работает.
>>Помогайте ссылкой. Пока -- "сообщить модератору".
> Кнопка "сообщить модератору" не работает.Работает, но не моментально -- т.к. валится одному Максиму, насколько понимаю.
PPS: ну вот, уже и сработало, похоже. :)
PS re (удалённое за клевету) #107: вот ещё, страдать по таким поводам.
>>>Помогайте ссылкой. Пока -- "сообщить модератору".
>> Кнопка "сообщить модератору" не работает.
> Работает, но не моментально -- т.к. валится одному Максиму, насколько понимаю.
> PPS: ну вот, уже и сработало, похоже. :)
> PS re (удалённое за клевету) #107: вот ещё, страдать по таким поводам.не работает.
> вендотроль 80lvl: https://www.opennet.me/openforum/vsluhforumID3/107453.html#1
> первое сообщение. кнопку жал. не работает.Зачем жал? Пусть висит, там уже -52. Интересно же, сколько соберет. Это уже топ shit-парада.
>> вендотроль 80lvl: https://www.opennet.me/openforum/vsluhforumID3/107453.html#1
>> первое сообщение. кнопку жал. не работает.
> Зачем жал?Потому что деза: в начале от одного лица троллируем линукс, потом от второго троллируем дебиан. Грустно видеть это на сайте. Первая двойка комментов же, словно у кого-то в RSS поставлено.
> Пусть висит, там уже -52. Интересно же, сколько соберет. Это уже топ shit-парада.)) да убрать надо и всё. Чистота важнее метания какашек под дикий хохот ребятни.
Миша, а что с Максимом? Почему страница удалена? С ним всё в порядке?
> Миша, а что с Максимом? Почему страница удалена? С ним всё в порядке?Судя по тому, что недавно отвечал на мою просьбу восстановить ошибочно мной удалённое -- в порядке; "страница удалена" бывает при переносе темы, насколько понимаю, так порой делает на сильно зафлеймленых обсуждениях.
OCR − скорее всего, Tesseract.
ESET - а, так вот что они на примеры присланных вирусов реагируют по трое суток, они ботнет всем коллективом обевреживали... Понятно брать перестали, надо пеар.зы, через трое суток те вирусы никому в их базе не интересны уже. уже приходит следующий док, делающий тоже самое, но с другими именами переменных внутри, и соотвествено снова не ловится ИХ антивирусом. Но написать проверку что онлоад скрипт грузящий .exe из интернета - это вирус, они не осилили. они все были брошены на ботнет. спасибо им за это.
> ESET - а, так вот что они на примеры присланных вирусов реагируют
> по трое суток, они ботнет всем коллективом обевреживали... Понятно брать перестали,
> надо пеар.nod32 был кульным только в самом начале, когда был бесплатным. Потом уже через пару лет всё стало УГ, и судя по всему тем же и осталось.
Это ты ещё с DrWeb не общался.
Вообще через некоторое время перестают реагировать на присылаемые вирусы.
> Это ты ещё с DrWeb не общался.
> Вообще через некоторое время перестают реагировать на присылаемые вирусы.Подумал бы о том, что ты не один такой им их шлёшь и вы реально заябываете.
>> Это ты ещё с DrWeb не общался.
>> Вообще через некоторое время перестают реагировать на присылаемые вирусы.
> Подумал бы о том, что ты не один такой им их шлёшь
> и вы реально заябываете.А ничего что в договоре было написано что в случае чего новые сигнатуры добавляются в течении несолкьих дней в случае если они будут присланы?
ну и как бэ - если продукт не выполняет свои функции - то за что платить-то?
> ну и как бэ - если продукт не выполняет свои функции - то за что платить-то?Всё верно: вендузоед должен страдать.
>> ну и как бэ - если продукт не выполняет свои функции - то за что платить-то?
> Всё верно: вендузоед должен страдать.Я ни слова не говорил именно про windows.
В моём случае речь шла про линуксовую версию и с официальным ключиком, не спёртым у кого либо.
> В моём случае речь шла про линуксовую версию и с официальным ключиком,
> не спёртым у кого либо.Правда?
>> В моём случае речь шла про линуксовую версию и с официальным ключиком,
>> не спёртым у кого либо.
> Правда?Аха
Интерфейс красивый - это самое главное.
супер безопасность
Судя по анализу https://www.opennet.me/opennews/art.shtml?num=42159 , он сейчас бы начал поражать виндоус-машины, поддерживающие ELF.
То есть, год назад, когда под угрозой были юниксы, никто не парился. А сейчас специалисты эсет активизировались и все победили
> А сейчас специалисты эсет активизировались и все победилиESET вам не доктор веб который "А мы нашли его, слышите все, мы нашли это, ЭТО ...", тут до "единого микроба" убили ботнет и написали
>> А сейчас специалисты эсет активизировались и все победили
> ESET вам не доктор веб который "А мы нашли его, слышите
> все, мы нашли это, ЭТО ...", тут до "единого микроба" убили
> ботнет и написалиОй, только не надо тут рассказывать про нам ESET, знаем. Панацеи антивирусной не существует. Я вам тоже могу забавных случаев и про Касперского и "ваш" ESET рассказать
> он сейчас бы начал поражать виндоус-машины, поддерживающие ELF. То есть, год назад, когда под угрозой были юниксы, никто не парился.Как найдёшь Windows 10 insider preview на сервере, который крутит боевое веб приложение, возвращайся...
>> он сейчас бы начал поражать виндоус-машины, поддерживающие ELF. То есть, год назад, когда под угрозой были юниксы, никто не парился.
> Как найдёшь Windows 10 insider preview на сервере, который крутит боевое веб
> приложение, возвращайся...Ха, ты думаешь, среди виндузятников нет школьников? Ха!
>> Как найдёшь Windows 10 insider preview на сервере, который крутит боевое веб
>> приложение, возвращайся...
> Ха, ты думаешь, среди винд узятников нет школьников? Ха!У шкoльников нет денег на лицензию на более 10 tcp соединений нет. А Газпром массовости не сделает.
> У шкoльников нет денег на лицензию на более 10 tcp соединений нет.
> А Газпром массовости не сделает.скачал без ключа для доты ибо железо не тянет в убунту, работает пол года наверное, ничиго не просит сабака, эх мнеб комп нормальный, да нищиброд...
Да ладно, чего уж там, не так уж и часто в www встретишь сервер, который под Windous работает. Не то, чтобы совсем нету таких, но вижу такое не часто.
> Да ладно, чего уж там, не так уж и часто в www
> встретишь сервер, который под Windous работает. Не то, чтобы совсем нету
> таких, но вижу такое не часто.Походи интереса ради по ВПК США. Нортроп Грумманн, Локхид Мартин, Рэйтеон. Ты сильно удивишься, я думаю.
А я считаю, что через headblead их поимели, сделали бекдор и обновили http+ssl.
А web-интерфейс-то на русском языке...
> А web-интерфейс-то на русском языке.А название английское Mumblehard.
Только слепой не видит в этом интерфейсе арабских цифр, а значит - прямой связи с исламистами!
Странно все это.
Если сервер веб то у него нет записей в ДНС по RFC
Толку с такого спам хоста если его все шлют лесом кроме всяких мейлру которые плевать хотели на стандарты.
Если это веб сервер тем более не понятно почему у них есть 25 порт открытый.
> Странно все это.
> Если сервер веб то у него нет записей в ДНС по RFC
> Толку с такого спам хоста если его все шлют лесом кроме всяких
> мейлру которые плевать хотели на стандарты.
> Если это веб сервер тем более не понятно почему у них есть
> 25 порт открытый.Что же тут странного? RFC прямо утверждает, что ДОЛЖНО принимать почту от почтовых серверов, и вовсе не имеющих ни прямой, ни реверсной ДНС записи либо же имеющих некорректные.
Насколько понимаю, это для Виндовых SMTP-серверов сделано, так как они лягут мгновенно после того, как получат DNS-запись и станут видимы.
> Что же тут странного? RFC прямо утверждает, что ДОЛЖНО принимать почту от почтовых серверов, и вовсе не имеющих ни прямой, ни реверсной ДНС записи либо же имеющих некорректные.Этот RFC отстает от жизни. Все крупные мылоплощадки режут почту при отсутствии прямой+реверс ДНС-записи. Во всех инструкциях по установки постфикса рекомендуют резать.
И правильно делают.
>> Что же тут странного? RFC прямо утверждает, что ДОЛЖНО принимать почту от почтовых серверов, и вовсе не имеющих ни прямой, ни реверсной ДНС записи либо же имеющих некорректные.
> Этот RFC отстает от жизни. Все крупные мылоплощадки режут почту при отсутствии
> прямой+реверс ДНС-записи. Во всех инструкциях по установки постфикса рекомендуют резать.
> И правильно делают.Вы не правы. Крупные площадки с халявными ящиками по типу мейлру отказались от фильтрации по записям ДНС что бы не гемороиться объяснять каждому с кривыми записями почему он олень. Но у них сами пользователи нажимают "это спам" по сути мейлру получает спамфильтр от юзеров. Но почте организаций где работникам есть чем заняться кроме как выступать байесовыми биороботам надо фильровать по днс обязательно.
Кстати, новость как раз об этом. Не будешь фильтровать и тебе будет валиться вот такой вот спам.
>RFC прямо утверждает, что ДОЛЖНО принимать почту от почтовых серверов, и вовсе не имеющих ни прямой, ни реверсной ДНС записи либо же имеющих некорректные.Ловите наркомана!
>Насколько понимаю, это для Виндовых SMTP-серверов сделано, так как они лягут мгновенно после того, как получат DNS-запись и станут видимы
похоже на гнездо наркоманов.
ms EDGE 2010 у меня прожевывал такую нагрузку - закачаешься.
И эти люди называют нас нарками?!?!? :)
> ms EDGE 2010 у меня прожевывал такую нагрузку - закачаешься.Системных требований как у Exchange 2010 нет наверное больше ни у одного почтаря на планете. Достаточно сказать что 32-битные системы он в принципе не поддерживает - памяти там ему слишком мало, понимаешь.
Что по RFC нельзя иметь две записи типа "A" с именами www и mail?, а в обратной зоне, если на сервере работает web сервер, прописать только mail?
Прикол в том, что у меня так и не получилось получить почту на @mail.ru, отправленную с @gmail.com. С точки зрения @gmail.com всё нормально, на @mail.ru пусто... А ещё они у меня ящик отжали, который с 2000го года юзался... «Мы полагаем, что вас взломали, введите-ка номер телефона...». Если на gmail в таких случаях можно нажать «Пофиг, это я был...», то тут без альтернатив.
> А ещё они у меня ящик отжали, который с 2000го года юзался...Мейлрушник должен страдать. Даже больше, чем вендузоед.
> Прикол в том, что у меня так и не получилось получить почту
> на @mail.ru, отправленную с @gmail.com. С точки зрения @gmail.com всё нормально,
> на @mail.ru пусто... А ещё они у меня ящик отжали, который
> с 2000го года юзался... «Мы полагаем, что вас взломали, введите-ка номер
> телефона...». Если на gmail в таких случаях можно нажать «Пофиг, это
> я был...», то тут без альтернатив.на днях отправлял на gmail почту из mailru. Экзешник надо было затестить, 5Кб. Майлру отправил норм, а гмайл отверг, дескать вирус. Робат умнее человека. Трепыщите.
А как проверить, что оно было/есть на сервере? nod32 не предлагать.
нанять грамотного одмина
> нанять грамотного одминаЗдесь таких нет. Да и вообще среди говорящих по-русску таких нет.
Long live Perl!
> Long live Perl!Антивирус: ls -s /usr/bin/perl /dev/null
>> Long live Perl!
> Антивирус: ls -s /usr/bin/perl /dev/nullЧто это?))
Часть 1. Перестал работать радиомост TP-LINK. Купил в DNS две антенны Wi-Fi на 8 dBi и запустил hostapd по этому руководству: http://ubuntovod.ru/instructions/vremennaya-tochka-dostupa.html Сигнал, конечно, хуже, чем с направленным радиомостом, но пофиг - работает же.Но вот беда: комп теперь включен круглосуточно, а я боюсь за ресурс HDD. Установил систему на флешку. Выбрал SLED 11 SP4, потому что энтерпрайс и оперативные закрывания уязвимостей. Потому что 60 дней обновлений мне за глаза, а потом отремонтирую радиомост. А ещё потому что решил попробовать поднять FTP, чтобы цепляться к своему компу удалённо по IP.
Установил, перевёл роутер в режим Bridge, и соединился. Белый IP, настроенный фаерволл, всё супер.
Часть 2. Понадобилось совершить платёж Bitcoin-аи. Скачал Bitcoin-Qt, strings сообщает что официальный билд как раз хочет GLIBC_2.11 (в SLED-е не 2.12, как у всех, а 2.11). Установил, совершил платёж, удалил (кошелёк на внешнем HDD).
Часть 3. На флешке всё время мигает индикатор доступа. Всё мигает и мигает. Свопа нет, ФС: ext2. Чего она мигает? lastb говорит что файла с неудачными логинами нет, и предполагает что он мог быть удалён. Фигасе!
Долго пробовал запустить iptop, а он ругался на мой Python 2.6 и так и не запустился. Я так и не узнал, что читает флешку.
Часть 4: я купил радиоточку взамен переставшему работать, и перестал насиловать комп как роутер. Флешка с подозрительно ведущей себя системой вытащена.
Вопрос: может ли это быть сабж?
hostapd с DNS-сервером? Просто если да - как раз недавно закрывали уязвимость в Glibc, позволяющую взломать через DNS-сервер.В SUSE Firewall dnsmasq смотрел во внешнюю сеть?
>[оверквотинг удален]
> Часть 3. На флешке всё время мигает индикатор доступа. Всё мигает и
> мигает. Свопа нет, ФС: ext2. Чего она мигает? lastb говорит что
> файла с неудачными логинами нет, и предполагает что он мог быть
> удалён. Фигасе!
> Долго пробовал запустить iptop, а он ругался на мой Python 2.6 и
> так и не запустился. Я так и не узнал, что читает
> флешку.
> Часть 4: я купил радиоточку взамен переставшему работать, и перестал насиловать комп
> как роутер. Флешка с подозрительно ведущей себя системой вытащена.
> Вопрос: может ли это быть сабж?"... обратиться к доктору" (с) Авиценна.
спама меньше не стало, пусть лучше работают