Компания Finjan (http://finjan.com/) опубликовала пресс-релиз (http://www.finjan.com/Pressrelease.aspx?PressLan=1819&id=1820), из которого следует, что она обнаружила новый вид сетевой инфекции, из-за которой уже пострадало более 10 тыс. сайтов. Заражению подвержены только компьютеры под управлением Linux с установленным HTTP-сервером Apache.
Марк Кокс из команды безопасности Apache заявил, что не имеет никаких доказательств того, что инфекция эксплуатирует незакрытую уязвимость в Apache. Команда безопасности RedHat тоже заявила, что не может прокомментировать происходящее, т.к. на данный момент еще не получила доступ к инфицированным машинам. Компания cPanel опубликовала предупреждение (http://www.cpanel.net/security/notes/random_js_toolkit.html), в котором описано поведение инфекции после заражения системы ( установка rootkit и замена ряда исполняемых файлов, динамически создающие JavaScript вставки вклинивающиеся в трафик сайтов).
В качестве одного из способов обнаружения паразитной активности, предлагается использовать tcpdump:tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'").
Инфекцию назвали Random JS Toolkit и пока не найден способ ее удаления, кроме повторной установки ОС и замены паролей.URL: http://www.linux.com/feature/125548
Новость: http://www.opennet.me/opennews/art.shtml?num=13845
Что-то на утку похоже. Слишком серьёзная уязвимость что бы её так просто пропустили разработчики и администраторы (ИМХО).
ну по поводу инфекции ранее, могу подтвердить, к нам обращалось множество клиентов с жалобой на неизвестно откуда взявшийся javascript-код на страницах (правда чаще говорили "касперский ругается на наш сайт") :) зараза дописывала в конце всех index.php файлов js-код и при открытии предлагала скачать exe-файлек
Мы тоже на этом обожглись. Организация, предоставляющая нам хостинг до сих пор не решила эту проблему. Так и приходится периодически перезаливать php-файлы.
мой опыт говорит, что инфекция, вставляющая в index.php / index.html свой код на яваскрипте появилась уже как полгода.
виноваты в ней пользоователи виндовссс, которые забивают пароли доступа к FTP в свой Total Commander.
забивают, а потом червяк из совершенно другой сети откуда-нибудь из ЮАР или что-то в этом духе при помощи этого пароля имеет полный FTPвот каждый раз я радуюсь, что у меня Линукс на PC. а любители винды сами свое г..вно вычищают со своих сайтов. не дело это сисадмина :)
>[оверквотинг удален]
>на яваскрипте появилась уже как полгода.
>виноваты в ней пользоователи виндовссс, которые забивают пароли доступа к FTP в
>свой Total Commander.
>забивают, а потом червяк из совершенно другой сети откуда-нибудь из ЮАР или
>что-то в этом духе при помощи этого пароля имеет полный FTP
>
>
>вот каждый раз я радуюсь, что у меня Линукс на PC. а
>любители винды сами свое г..вно вычищают со своих сайтов. не дело
>это сисадмина :)Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было. Я админ хостинга. Ежедневно чистим.
Чистильщик конечно до безобразия прост.
Ну и потихоньку сигнатуры собираю чтобы потом в антивирусник прикрученный к фтп зарядить чтоб на лету чистило
>Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было.
>Я админ хостинга. Ежедневно чистим.я своим немногочисленным строго-настрого наказал насчет Тотал Коммандера и смены паролей на FTP.
и пару раз заставил самим разгрести.
все спокойно уж давно как...>Чистильщик конечно до безобразия прост.
да, на sh можно написать
>Ну и потихоньку сигнатуры собираю чтобы потом в антивирусник прикрученный к
>фтп зарядить чтоб на лету чистиловы молодец.
>[оверквотинг удален]
>все спокойно уж давно как...
>
>>Чистильщик конечно до безобразия прост.
>
>да, на sh можно написать
>
>>Ну и потихоньку сигнатуры собираю чтобы потом в антивирусник прикрученный к
>>фтп зарядить чтоб на лету чистило
>
>вы молодец.Надоело это уже так. Своим уже приказал пароли не сохранять ни в каких клиентах ( сохраненные в фаре тоже ворует.) Тех кто в 1ps раскручивал сайт сразу радую чтоб ждали трояна. Некоторым разрешил конекты только с определенных подсетей их провов (ужас как надоел куала-лумпур в логах). Некоторым кто цмски использует и файлы не меняет индексовые просто
chattr +i index.*Чистильщика у мну два. Один на сш другой на пхп (я был занят, а программер наш только на пхп хорошо и быстро пишит)
А насчет этой инфекции что-то неправдоподобно. Был раз случай у нас, но там админ аболтус свой ключ прогавил по которому конекты были позволены. А тут просто какой то страх описан
Попробуйте на акки на FTP пароль сменить и не хранить пароли на компьютере
слава Чертям! правда уж больно похоже на миф.
"пока не найден способ ее удаления, кроме повторной установки ОС и замены паролей." - упал под стол и долго ржал. Афтары похоже нетолько не знакомы c тем что обычно веб сервера работают в chroot окружении, так и вообще похоже не имеют никакого понятия о расграничении прав в *nix
>обычно веб сервера работают в
>chroot окружении, так и вообще похоже не имеют никакого понятия о
>расграничении прав в *nixУверен, что 99% нет. Это раз.
Два - какой толк от разграничения прав, если в конечном итоге поражается клиентская машина? Серверу-то это до одного места.
>"пока не найден способ ее удаления, кроме повторной установки ОС и замены
>паролей." - упал под стол и долго ржал.Очередной анонимный теоретик...
>Афтары похоже нетолько не знакомы c тем что обычно веб сервера работают в
>chroot окруженииКоторый не в курсе, что обычно веб-сервер в чрут запихивать как раз бессмысленно: получается по толщине эквивалент VPS, а по надёжности изоляции -- много хуже. chroot(2) не является средством безопасности by design.
>так и вообще похоже не имеют никакого понятия о расграничении прав в *nix
Новичкам положено сперва изучить архивы bugtraq за последний десяток лет, погуглить слово "rootkit", потом выступать. Если ещё захочется.
PS: мне этим самым способом пока приходилось пользоваться один раз; это было подозрение на то, что успешно применили CAN-2003-0786 (то самое в openssh).
>Который не в курсе, что обычно веб-сервер в чрут запихивать как раз
>бессмысленно: получается по толщине эквивалент VPS,Неправда ваша, дяденька.Chroot можно сделать очень компактным.Особенно если сервак умеет дропать права и делать чрут уже после старта.Получается буквально сотни кб...несколько мб.Никакой VPS во столько не влезет.
>а по надёжности изоляции -- много хуже.
Факт.Зато и делается проще и в любой системе нахаляву.
> chroot(2) не является средством безопасности by design.
А чем он тогда по вашему является?Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом.С минимальным вредом для остальной системы.Если что VPS довольно недавно появились...и куда жирнее по ресурсам.
>>Который не в курсе, что обычно веб-сервер в чрут запихивать как раз
>>бессмысленно: получается по толщине эквивалент VPS,
>Неправда ваша, дяденька. Chroot можно сделать очень компактным.Вот только толку с него обычно пропорционально. Статику относительно безопасно раздать -- дело относительно нехитрое...
>Особенно если сервак умеет дропать права и делать чрут уже после старта.
Я в курсе и про mod_chroot тоже.
>Получается буквально сотни кб...несколько мб.Никакой VPS
>во столько не влезет.На самом деле VPS с разделяемыми бинарниками недалеко по накладным расходам...
>>а по надёжности изоляции -- много хуже.
>Факт.Зато и делается проще и в любой системе нахаляву.Насчёт халявы тоже не могу совсем согласиться; посмотрите альтовский chrooted, если хотите (и тут же есть chrootuid), но и с ними -- это изрядно возни.
>> chroot(2) не является средством безопасности by design.
>А чем он тогда по вашему является?Средством изменить вид процессов на файловую систему, разумеется.
>Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом.
Смотря чью... http://wiki.linux.edu/doku.php?id=chroot_hack
>С минимальным вредом для остальной системы.
Собственно, я не говорю, что чрутить смысла нет. Нет смысла на это полагаться.
>Если что VPS довольно недавно появились...
Опять же кому как. Я в production использую с 2004, было бы действительно надо -- парой лет раньше уже было что купить.
>и куда жирнее по ресурсам.
Для меня оно оправдано в первую очередь управляемостью и более внятным барьером. В т.ч. по PID/UID/GID, сетевым интерфейсам, лимитам на CPU/RAM... бишь моё время на чруты, если их не стотыщмильёнов, дороже станет, чем нарисовать контейнеров.
Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux Server 4.0 :-)
>Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux
>Server 4.0 :-)мой опыт с разными мандривами на одном базовом OpenVZ говорит, что смысла в собиралке/рулилке никакого нет. лучше человеку дать внятный док в один абзац текстом, чем писать скриптами какую-то хрень, которая будет пытаться автоматизировать создание темплейта.
этот скрипт обязательно сломается или вы что-то не учтете и вам прийдется ее поддерживать, тратить время и переписывать...
может я ошибаюсь
>>Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux
>>Server 4.0 :-)
>мой опыт с разными мандривами на одном базовом OpenVZ говорит, что смысла
>в собиралке/рулилке никакого нет.Вообще-то vzctl -- тоже рулилка. А берёшь ты всегда непонятно чьи тарболы, что ли?
>лучше человеку дать внятный док в один абзац текстом, чем писать скриптами какую-то хрень,
>которая будет пытаться автоматизировать создание темплейта.Хрень уже скоро год как написана и работает, просто там, как всегда, было что поправить/улучшить (по части юзабельности в первую очередь).
И я собираюсь *допинать* там те места, которые меня каждый раз анноят при выполнении с помощью bare vzctl :-)
>этот скрипт обязательно сломается или вы что-то не учтете и вам прийдется
>ее поддерживать, тратить время и переписывать...
>может я ошибаюсьПокрути в руках Server 4.0 на досуге. Эти фиксы войдут в 4.0.2, думаю, но и 4.0.0 работал.
Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав root'а?
>Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав
>root'а?ИМХО: Можно повысить привилегии. даже гдето сплойтик видел но под старый линух
>Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав
>root'а?Ага, кажется всё понятно. Надо было статью до конца переводить, а не в лучших традициях жёлтой прессы. Из оригинальной статьи:
"Absent any forensic evidence of break-ins, the current thinking is that the malware authors gained access to the servers using stolen root passwords. The earliest known victims, according to quotes by researchers in this ComputerWorld story, were sites run by large hosting companies, which could give attackers root access to hundreds or even thousands of Web sites when compromised."
да фигня это всё быть такого не может просто утка очередная
может это через CPanel попадает ..
Может кто сталкивался с проблемкой - частенько попадают сайты с внедренным в index кодом типа:
<!--[z0s]--><script>document.write(unescape("%3Cscript%3Eif%28eD%21%3D1%29%7Bfunction%20f...
Гугл дает много сведений но каким образом этот код внедряется в индексные страницы понять не могу.
http://www.google.ru/search?hl=ru&q=%3C%21--%...
Хотя вот тут http://forum.joom.ru/index.php?topic=11183.msg56137 малость расписано.
да. про это же написано в новости -- предыдущая эпидемия. Попадпает от юзеров по фтп -- их компы заражены. Пусть меняют пароли и используют, ну хотя бы фар, для доступа к сайту. У нас это помогло
опеделенно, сайты на джумле не могут быть показателем :\ они так ламаються часто на хостинге...подобный вставки видел, их делали либо прямо с админки сайта (придумайте пароли посложнее) либо через множество дыр пхп-смс
Это, случаем, не про
http://www.securitylab.ru/poc/312226.php
1. cPanel ни при чём, иначе бы серваки рутали.2. Linux, похоже, тоже ни при чём - траблы есть и на фре.
3. А PHP как таковой никто не учёл?
>1. cPanel ни при чём, иначе бы серваки рутали.
>
>2. Linux, похоже, тоже ни при чём - траблы есть и на
>фре.
>
>3. А PHP как таковой никто не учёл?В оригинале же четко написано что эта хрень могла быть положена кем-то кто получил рутовый пароль к хостеру нескольких тысяч сайтов. Какая нахрен загадочная инфекция.
>2. Linux, похоже, тоже ни при чём - траблы есть и на фре.А это точно эти траблы, а не тыренье ftp паролей?
>2. Linux, похоже, тоже ни при чём - траблы есть и на
>фре.Не Фре нету :)
Бред.
Страницы правятся через ftp с использование тыренных троянами паролей.
Обычно вставляется iframe, !--[z0s]--><script>document.write и т.д. в конец index.php во всех каталогах.
Почитал пресс-релизы.. информация к размышлению:
1. It has been established that this compromise requires super user privileges. It is common to see a short but successful root login via ssh 5-10 minutes before the compromise occurs.
2. This javascript will begin exploiting several known vulnerabilities within Windows, Quicktime and Yahoo Messenger on the web visitor's PC.Больше похоже на ручную/полуавтоматическую эксплуатацию уже имеющихся дыр, чем на реальную заразу.
Да. В прошлый раз нас тоже коснулось... Но там юзеры хостинга сами были виноваты -- вирус у них пароли тырил.
А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые пароли рута. Выход для незараженных -- менять пароли и переводить ssh на нестандартный порт (если червь, я думаю он не будет сканить порты и искать ssh на всех портах)Про выявление. мне кажется правильная строка:
tcpdump -nAs 2048 src port 80 | grep "'[a-zA-Z]\{5\}\.js'"
покуда название файла состоит из рандомных 5 символов. первая кавычка пропущена в новости и в конце два лишних символаПро лечение. На cPanel написано, что надо загрузиться с CD и поменять несколько зараженных файлов на исходные:
/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch
>А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые
>пароли рута. Выход для незараженных -- менять пароли и переводить sshНе понял, а права root для ssh были разрешены ранее, или происходит переконфигурирование инфекцией? Неужели на сервера разрешают по ssh входить под root???
>Неужели на сервера разрешают по ssh входить под root???B Linux - разрешено by default, во FreeBSD к примеру - наоборот, по умолчанию запрешено.
Должен также заметить что в данной ситуации, даже если ты запретишь логиниться рутом, зная пароль - уже есть где развернуться ...
GR.
>B Linux - разрешено by default, во FreeBSD к примеру - наоборот,в нормальном линуксе запрещено ssh root@somesite
by default.
вы что-то с чем-то путаете или какие-то странные, сильно "ручные" линуксы используете
>>Неужели на сервера разрешают по ssh входить под root???
>
>B Linux - разрешено by default, во FreeBSD к примеру - наоборотНе пользуйтесь кривыми дистрибутивами где совершеная такая идиотская ошибка.
Ибо это значит что создатели этих дистрибутивов слово "security" только слышали где-то когда-то, но не помнят что оно означает.
>>>Неужели на сервера разрешают по ssh входить под root???
>>B Linux - разрешено by default, во FreeBSD к примеру - наоборот
>Не пользуйтесь кривыми дистрибутивами где совершеная такая идиотская ошибка.Перевожу Дениса: в ALT Linux с рутовым паролем по ssh ломиться по умолчанию совершенно безнадёжно.
Есть такие вирусы под Windows, который MAC гейта на свой меняет, и как прокся выступает подпихивая JS.
>Есть такие вирусы под Windows, который MAC гейта на свой меняет, и
>как прокся выступает подпихивая JS.Что за бред вы несёте?
>>Есть такие вирусы под Windows, который MAC гейта на свой меняет, и
>>как прокся выступает подпихивая JS.
>
>Что за бред вы несёте?Э... не бред, однако. Просто криво написано.
Вирь проводит arp spoofing свича, встраивая зараженную машину между сервером (прокси, рутером или еще чем) и другими клиентами. Проходящий трафик анализируетя и по возможности модифицируется (вставляется скрипт).
Это не утка. Эпидемия уже 3 неделю. Странно что только сейчас написали
Замените
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'").на
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
жесть:"When the system is fully online in an infected state, the kernel will begin serving a javascript payload to random web requests"ядро модифицирует ответы вебсервера :)
У меня у узеров трояном перли акаунты фтпишные и вставлялась такая хер.
Проблема существует, вчера клиент жаловался на это. (все файлы сайта целы и не изменены, рамдомно в страницы вставляется код). У клиента стоит линукс.
>Проблема существует, вчера клиент жаловался на это. (все файлы сайта целы и
>не изменены, рамдомно в страницы вставляется код). У клиента стоит линукс.а есть ли уверенность, что пароль FTP знает только он?
Стыд и позор опенету за такую утку...
Какую утку?
Вас кидди, разнесший БуБу, кстати, сумел миновать?
Уверен что это проявление трояна, который тырит сохраненные пароли на фтп. А апач и линукс совсем не при делах. Стыдно публиковать такие новости.
>Уверен что это проявление трояна, который тырит сохраненные пароли на фтп. А
>апач и линукс совсем не при делах. Стыдно публиковать такие новости.Совершенно не стыдно, когда есть какая-то такая вот непонятка -- лишний раз обратить внимание системных администраторов.
Другое дело, что источник несколько истеричен.
PS: а PermitRootLogin yes -- ещё одна причина неприязни к редхатоидам и выбора для себя альта.
$ cat /etc/redhat-release
CentOS release 5 (Final)# cat /etc/ssh/sshd_config | grep Root
#PermitRootLogin yesкак видно - закомменчено по дефолту
хватит уже рекламировать Альт )
>$ cat /etc/redhat-release
>CentOS release 5 (Final)
>
># cat /etc/ssh/sshd_config | grep Root
>#PermitRootLogin yes
>
>как видно - закомменчено по дефолту
>хватит уже рекламировать Альт )Это как раз говорит о том, что по умолчанию разрешено.
>>$ cat /etc/redhat-release
>>CentOS release 5 (Final)
>>
>># cat /etc/ssh/sshd_config | grep Root
>>#PermitRootLogin yes
>>
>>как видно - закомменчено по дефолту
>>хватит уже рекламировать Альт )
>
>Это как раз говорит о том, что по умолчанию разрешено.Может хватить чушь нести? Ну получи доступ к машине как рут, где эта строка закомментирована.
А Yes там для того, чтобы удобнее было при необходимости этот рут доступ включать: коммент снял -- доступ есть. А о дефолтном значении оно ничего не говорит.
>>>$ cat /etc/redhat-release
>>>CentOS release 5 (Final)
>>># cat /etc/ssh/sshd_config | grep Root
>>>#PermitRootLogin yes
>>>как видно - закомменчено по дефолту
>>Это как раз говорит о том, что по умолчанию разрешено.
>Может хватить чушь нести?Вот и не несите.
>А Yes там для того, чтобы удобнее было при необходимости этот рут
>доступ включать: коммент снял -- доступ есть. А о дефолтном значении
>оно ничего не говорит.Когда подрастёте и ознакомитесь с практикой хорошо комментированных именно "в дефолт" конфигов, принятой много где (в частности, в openssh) -- Вам будет стыдно, что когда-то говорили такие глупости.
А пока -- вот и не несите.
>хватит уже рекламировать Альт )Я не альт "рекламирую", а предлагаю *думать* по мере надобности. Тот же альт -- это уже следствие таких процессов.
эта хрень распространяется через виндовые машины админов, которые панасахраняли пароли на фтп
хостер имхо любой - фря, линух, винда, мак...
вадя сразу после нового года антивирус написал на шелле, который чистит от вредоносного кода все папочки :) в понедельник попрошу выложить сюда..
Вы новость читали? Файлы создаются в /sbin.
>Вы новость читали? Файлы создаются в /sbin.А вы комментарии? Речь в пердыдущем посте идет по зараженных файлах по ftp.
>>Вы новость читали? Файлы создаются в /sbin.
>
>А вы комментарии? Речь в пердыдущем посте идет по зараженных файлах по
>ftp.и причем тут Linux, если скрипты выполняются от юзера user1, то каким макаром они изменят мне систему и засетапят rootkit
Действительно было такое, в конец HTML/PHP файла дописывался javascript код с IFRAME для перехода на какой-то сайт в Китае, содержащий .EXE. Обновления происходили по FTP. Соответственно платформа не имела значения - были изменены файлы на unix и win хостингах. Решилось сменой пароля клиентов для FTP доступа.
План крупномасштабной акции:
- берем десяток крупных хостеров;
- выявляем в них десяток-же студентов-дежурных админов;
- за 3-5 тыс. грина получаем у них рутовых паролей;
- начинаем заражать Вынь-машины клиентов с целью воровства паролей, данных кредиток и прочей лабуды;
- баланс: на 50 тыс. затрат получаем 50 тыс. обутых лохов.
Не говорите бред. За клиентсикми машинами следит надо.
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'И что ? Этот регексп выцепит прохождение любых яваскриптов, чьё имя состоит из пяти буквенных символов. Куча срабатываний.
>tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'
>И что ? Этот регексп выцепит прохождение любых яваскриптов, чьё имя состоит
>из пяти буквенных символов. Куча срабатываний.Тоже удивился, почему в переводе новости выбрали этот тест, а не то, что подменённый mkdir обламывается с чисто цифровыми именами -- бишь предлагали "mkdir 1" в качестве алярма.
Уфф! Слава богу - апач - это не ко мне!-)
За 2 дня насобирал:sudo tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];При этом, ничего подобного у меня на диске нет.
Машина работает как шлюз с натом. :)
новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.
> новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.Какой там разбор? Дырявый phpmyadmin поюзан. Все кто хотели уже давно разобрались :)