Разработчики компании Ksplice, развивающей (http://www.opennet.me/opennews/art.shtml?num=27811) технологию обновления Linux-ядра без перезагрузки, обнаружили (http://blog.ksplice.com/2010/09/cve-2010-3081/), что представленный (http://seclists.org/fulldisclosure/2010/Sep/268) в списке рассылки Full Disclosure "работающий" эксплоит Ac1db1tch3z (ABftw.c), предназначенный для проверки систем на наличие обнаруженной на прошлой неделе уязвимости (http://www.opennet.me/opennews/art.shtml?num=27979), сочетал в себе функции троянского ПО.
Эксплоит действительно позволял получить root-доступ из-за ошибки в трансляции 32-разрядных вызовов на 64-разрядных Linux-ядрах, но дополнительно активировал "бэкдор", позволяющий злоумышленникам в дальнейшем получить права суперпользователя на данном компьютере, даже после установки обновлений Linux-ядра и перезагрузки. Для проверки активации бэкдора в системе подготовлена специальная утилита (https://www.ksplice.com/uptrack/cve-2010-3081.ssi.xhtml).
URL: http://blog.ksplice.com/2010/09/cve-2010-3081/
Новость: http://www.opennet.me/opennews/art.shtml?num=28017
pwnd
Вы все еще используете x86_64?
А, так вот зачем у него такой кислотный код был - чтобы народ мозг при попытках анализа сломал. То-то я и смотрю - сплойт от Роберта прост как топор и понятен, а это чуть ли не обфусцировано. Судя по всему мну не заPWNили :) сплойт от кислотных сук в отличие от робертовского для начала ниасилил почему-то рут получить... :). А на будущее наука - не запускать такой мутный код как от кислотных сук вообще.
> А на будущее наука - не запускать такой мутный код как от кислотных сук вообще.Н-да, что-то вовремя подсказало не тащить ТАКОЕ на важные системы и проверять от левого вдребезги непривилегированного пользователя (которого потом userdel -r и процессов не осталось). Хотя если б сработало, толку от этой меры было бы ноль. Слава Богу.
>Н-да, что-то вовремя подсказало не тащить ТАКОЕ на важные системы и проверять
>от левого вдребезги непривилегированного пользователя (которого потом userdel -r и
>процессов не осталось). Хотя если б сработало, толку от этой меры
>было бы ноль. Слава Богу.У меня он тоже не сработал. Разумеется у меня хватило ума не тащить это на сервера и прочая но на десктопе (который впрочем изрядно зафайрволен, так что удачи им ремотно порулить) - я из любопытства все-таки запустил. Правда вот сплойт от кислотных сук не сработал :) что как оказалось даже к лучшему.
Можно для тупых объяснить, это тот файл который robert_you_suck.c либо что то другое?
robert_you_suck.c я запускал, но кода для оставления бекдора на мой взгляд там маловато как-то... Как залечить то что они оставили?
Это что-то другое ;). В оригинале новости на опеннете и не только была ссыль на эксплойт ABftw.c от неких Ac1db1tch3z (Acid Bitches) - он, конечно, эксплойт, но заодно еще и бэкдор довешивает. Отличается весьма мутно написанным кодом с дебильными названиями функций и прочая. В общем Ac1db1tch3z полностью оправдали свое название ;). Роберт тут не при чем, насколько я понимаю. У него и сплойт куда менее мутный, там названия нормальные и прочая.
>Как залечить то что они оставили?Бэкапом данных и установкой начисто. Больно, но спать спокойней.
Один раз пришлось проходить (при подозрениях на пролом openssh в 2003).
Нет слов, только дикий хохот.
это гениально
Замечательный результат социальной инженерии.
>Замечательный результат социальной инженерии.Угумс, теперь админы x86_64 (и мы все, им сочувствующие!) могут почувствовать себя на месте олух^WHappy Winner-ов, щелкающих по "этот ссылка" для увеличения своего ... и переводящих $nn для получения выигрыша в "1BLN GBP".
Если ты на своем же боевом сервере пускаешь эксплоиты сомнительного происхождения - то ты заслуживаешь такой участи.
редхетовцы отдыхают ибо они поленились запустить херсплоит услышав тока то что он на их системе не работоспособен ))))))))
Надо обмотать каждый комп бинтами в три слоя, залить йодом, потом ещё три слоя полиэтилена и самое главное никаких контактов с интернетом.
А йод зачем?
Чтоб щитовидка не опухла.
про эпоксидку забыл =)
"Для проверки активации бэкдора в системе подготовлена специальная утилита" - более усовершенствованная версия трояна?
Хм. Выдаёт "!!! Error in setting cred shellcodes". ABftw.c выдаёт такую же ошибку. Что бы это значило?
Судя по всему в утилитке используются некоторые куски кода взятые из ABftw.c. Ну, как и обещали - усовершенствованная версия бэкдора :)))
> ABftw.c
> ABwtf.cfix
>> ABftw.c
>> ABwtf.c
>
>fixftw - for the win.Тоже акроним tho
КО кагбэ намекает: wtf -- тоже, а фикс -- является игрой... гм! :) букв. И кстати, обновоите ваш пакет чувства юмора, да.
что-то про бессплатный сыр было похожее :)
"Пошлите SMS на короткий номер дял палучения БЕСПЛАТНОГО!!!!11 сыра." ? Ж)
кто ж запускает то бинарные эксплойты? )
для проверки был и robert_you_suck.c
>кто ж запускает то бинарные эксплойты? )ABftw.c сорец не?
да , я уже посмотрела, просто загружать предлагают ABwtf.c.binтем не менее там в исходниках частично обфусцированно все, чтобы запутать...
Сорец - сорец. Только если вы загляните внутрь, то обнаружите там всякие невнятные блобы, неизвестного содержания.
>Сорец - сорец. Только если вы загляните внутрь, то обнаружите там всякие
>невнятные блобы, неизвестного содержания.стрейс вам в помощь
>>Сорец - сорец. Только если вы загляните внутрь, то обнаружите там всякие
>>невнятные блобы, неизвестного содержания.
>стрейс вам в помощьПо шеллкоду? А можно для чайников -- там сисколлов достаточно дёргается для опознания или хоть подозрений-то на характер кода?
а ситемного вызова сокет там не будет ????
>стрейс вам в помощьСкорее уж дизассемблер, для колупания шеллкода. А то может оно через полгода срабатывает, мне что - полгода на стрейс ффтыкать чтоли, ожидая подозрительных действий? В общем вывод простой - нехрен такую кислотню хрень с столь мутным кодом вообще запускать. Нормальные люди так сорцы не пишут...
вот такой боянчег тоже был http://www.opennet.me/openforum/vsluhforumID3/70844.html#76
Удивительно но то, что это полноценный варез с обходом ещё вороха слоёв защиты было известно с самого начала, но нет же, идиоты неизлечимы и теперь им придётся лечить себе систему от оставленного этой байдой бэкдора. Ну может хоть это их чему-то научит.
>кто ж запускает то бинарные эксплойты? )Он вполне себе исходник, только полуобфускированный. Код весьма мутный. Такое просто не следует запускать вообще.
А у меня эта хрень отказалас компилироваться. С выводом матерщины...
ну ежели суметь понять.... - на что материлась - то можно заметить в коде ifdef
и либу, для кот. может понадобиться опред. девпакедж
ну ежили не удосужились пройти этот квест - хорошо, что не собралось ;)
Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
Что ж делать-то?
>Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?Переставь вен^Wубунту
я так хочу ещё одну новость "утилита по удалению эксплойта, оказавшегося трояном, оказалась трояном"
"Лаборатория Касперского отрыла платный сервис обновления антивируса для обновления трояна, проверяющего факт установки торяна, выпущенного на позапрошлой неделе разработчиками Ksplice в виде утилиты удаления трояна КислыхТёлок от поза-поза-прошлой недели."
тред был бы эпичен как древний перловый однострочник на лоре, там где каментили что-то типа "я тебя найду сучонок"
Ну было, тред как тред.
>Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?Отправь СМС.
>Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?Показывать это всем желающим. Брать по 100 рублей за билет, разумеется. Потому что если вы не врете - у вас первый в мире графический троянец для *никсов. Крайне редкая и уникальная штука которую можно показывать как экспонат :)
>Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?Сделайте скриншот и покажите почтенной публике. Очень интересно.
Забавно.
Помнится, шутка такая была: чтобы на компе с *nix появился вирус, нужно скачать его исходники, скомпилить и запустить.
Именно это и произошло - все сами скачали, сами скомпилили, сами запустили!
Так вот она какая - вирусная эпидемия на *nix =)
Пока существует слабое звено в виде человека - о безопасность можно забыть. Хоть под виндой хоть под досом.
Это не шутка, а классика. Первый знаменитый вирус (червь Моррисона) именно так и распространялся (вернее это был один из путей распространения) — приходил email с исходниками вроде как новогодней открытки. Предлагалось откомпилировать и запустить.
>Именно это и произошло - все сами скачали, сами скомпилили, сами запустили!Только это не вирус :). Но бэкдор - тоже неплохо доставляет, особенно если его обнаружить у себя в системе :)
Вот она хваленая безопасность Linux. Несмотря на неоднократные, такого рода, инциденты многие до сих пор считаю, что Linux безопасен ну очень безопасен.
Смешно.
:D Прочитай коммент сверху))) Реально смешно)
>Вот она хваленая безопасность Linux. Несмотря на неоднократные, такого рода, инцидентыКакие инциденты, если не секрет?
Когда админ сам скомпилил и запустил вирус?)
Против этого никакая безопасность не поможет.>Linux безопасен ну очень безопасен.
>Смешно.Все познается в сравнении.
По сравнению с какой системой linux - дырявый?
Зато мы все занем, какая система дырявая по сравнению с linux)
> Когда админ сам скомпилил и запустил вирус?)80% вирусов на Windows именно так и заражают систему. А остальные это IE.
>Зато мы все занем, какая система дырявая по сравнению с linux)
DOS?
> > Когда админ сам скомпилил и запустил вирус?)
>
> 80% вирусов на Windows именно так и заражают систему. А остальные это IE.У 80% компьютеров с виндой есть компилятор???
95% компьютеров с виндой компилятор не нужен - там юзеры имеют права админов.
>У 80% компьютеров с виндой есть компилятор???Да.
Действительно безопасной системе никакой админ не страшен :)
>Какие инциденты, если не секрет?
>Когда админ сам скомпилил и запустил вирус?)Но запустил-то в песочнице от простого юзера, а поимел проблем от рута.
>Против этого никакая безопасность не поможет.
Вот именно. Такая ширпотребная "безопасность" никому не поможет.
>до сих пор считаю, что Linux безопасен ну очень безопасен.Чувак, чтобы поюзать этот сплойт, надо уже иметь аккаунт на машине или эквивалентный доступ к ней. Так что дырка конечно неприятна, но это не запуск чужого кода без вопросов по сети ремотно. Как у некоторых других бывало много раз. А если аккаунт у юзера есть - юзер в принципе и так может порядочно попакостить, особенно если речь идет о рассылке спама и прочая. Нарушение разделения прав и подъем привилегий - это безусловно не руль для многопользовательской системы, но и не самый опасный тип дыр.
А бэкдор в эксплойте - это конечно забавно, но к безопасности системы относится еще меньше чем трояны в кейгенах. Если вы сами скомпилили и запустили какой-то левый бэкдор - ну чем система то в этом виновата? Сами себе злобный буратина :).
>Вот она хваленая безопасность Linux.Меня единственный раз сломали (по ощущениям, прямых доказательсв найти не удалось и отложенный для forensics analysis диск этому самому анализу уже никогда не был подвергнут) через хвалёный openssh не менее хвалёной openbsd team.
Я не стал из этого делать настолько всеобъемлющие выводы, т.к. человеку свойственно ошибаться и рассчитывать на обратное -- уже ошибка.
>Вот она хваленая безопасность Linux. Несмотря на неоднократные, такого рода, инциденты многие
>до сих пор считаю, что Linux безопасен ну очень безопасен.
>Смешно.Ой как толсто! Я думал, такая толстота в мой 22" монитор не влезет.
А у меня не скомпилился. Даже с -D__i386__. Опять вирус из серии "О, у меня он даже скомпилился!"?
>А у меня не скомпилился. Даже с -D__i386__.Чего это за левый кулхацкинг компилера? Жжоте блин! :) Думаете, этот ваш выкрутас убедит gcc сгенерить вам 32-битный код вместо 64-битного? А вот и фиг вам! Если уж так хочется бэкдор получить - надо gcc -m32 было юзать. Тогда гцц сам __i386__ задефайнит (для i386 кода то) :))). Нет, безусловно, #error от кислотных сцук вы этим фортелем видимо заворкэраундили, но вообще-то он там был чтобы послать олухов которые пытаются компилить это не как i386. При том идентификатор начинающийся с __ - это нечто заведомо служебное, если вы не знали. Переопределять такие сущности юзерам по стандарту вообще не полагается. Вы... вы... вы за счет своей некомпетентности не получили бэкдор! Бывает же такое! :))) Лол! :).
>Опять вирус из серии "О, у меня он даже скомпилился!"?
Да, для его компила надо понимать как гцц работает в 64-битной системе и как его убедить там сгенерить 32-битный код. Что вы успешно ниасилили.
/me находит такое свойство бэкдора крайне оригинальным - он у олухов не разбирающихся в системе не запускается принципиально т.к. требует компилеру недефолтный ключ -m32 скормить :). Fool proof бэкдор - новое слово в технике! :D
Под рутом:$ sudo ./a.out
Diagnostic tool for public CVE-2010-3081 exploit -- Ksplice, Inc.
(see http://www.ksplice.com/uptrack/cve-2010-3081)!!! Must run as non-root.
Под юзером:
$ ./a.out
Diagnostic tool for public CVE-2010-3081 exploit -- Ksplice, Inc.
(see http://www.ksplice.com/uptrack/cve-2010-3081)$$$ Kernel release: 2.6.35-gentoo
!!! Error in setting cred shellcodesСиди и думай теперь - это они пропатчили, или доломали.
мне кажется вас снова обманули... :(
Запускал вирус на убунте и на CentOS (последние). Ни там ни там утилита ничего не находит.
мануал напишите, как вирус собрать, а то сегфолтится зараза, может зависимостей каких не хватает? )))
Дыра не в ядре Linux, а в голове админа.
За что минусуют, а вроде все верно говорит? Работа админа как бы в этом и состоит! Админы которые тестируют софт и запускают непонятные эксплоиты на серверах не компетентны и их нужно выгонять палками! %(
Epic win!
ABftw.c:62:2: error: #error "r34d th3 c0d3 m0r0n!!# () #"
и что это должно означать для окружающих? ;):
- вам озвучили пожелание, в ваш адрес, в письменном виде, от создателей кода
- вы хотите перевода
- вы предлагаете вариант вашего восприятия, словами из кода, обращаясь к форумчанам
>и что это должно означать для окружающих? ;):Видимо это означает то что бэкдор был с защитой от дурака :))). У тех кто слишком туп чтобы знать про (недефолтный) ключ компилеру -m32 сплойт ессно не компилится, что логично. На их же счастье, кстати :). Такие вот под линух бэкдоры - дуракозащищенные :)))
Лучшее враг хорошего.
А если руки шаловливые играться надо в песочнице.з.ы. Нефиг гайки крутить в механизме когда он едет :)
>Лучшее враг хорошего.
>А если руки шаловливые играться надо в песочнице.
>
>з.ы. Нефиг гайки крутить в механизме когда он едет :)Анек напомнило, про автослесаря и хирурга.
Мастер, вытирая руки, сдает машину клиенту и попутно с ним болтает:
- А вот вы кем работаете?
- Хирург, операции на сердце провожу...
- И много платят?
- 20 000$ за операцию...
- Вот блин... ведь по сути одно и то же делаем, ты движки перебираешь и
я тоже... а мне всего 300 баксов платят...
- Хочешь так же как я получать?
- Конечно!!!!
Хирург достает из кармана пачку баксов, ЗАВОДИТ ДВИЖОК...
- Перебирай.....
Теперь справедливо выражение - заражен антивирусом :)
Под выньдос заражают вирусами, а под Linux — антивирусами, ага...
подготовленная специальная утилита для проверки активации бэкдора Ac1db1tch3z, предназначенного для проверки систем на наличие обнаруженной на прошлой неделе уязвимости оказалась трояном...
А разве ещё кто-то пользуется не _pure_ 64bit ядрами? Только не говорите про wine, что ему требуются 32bit либы - он не нужен, если не умеет работать в pure 64 режиме. Таким образом 4 года назад отказался от флеша - просто не было 64bit плагина, и я про него забыл.
Йа. gens, doom III, heroes III, unreal tournament 2004, skype, utorrent, adobe reader. Gens при этом свободен, а ещё свободен PCSX2, только в 2008 году там сменились разработчики. Они сделали поистине огромное количество коммитов (за 2 года их почти 4000, а до их прихода было только 400, плюс 1000 коммитов перед их приходом из форка). При этом 64-битны: все игры iD Software, даже не их Heretic. Кроме DooM III и Quake IV, и играх, основанных на их движках. Quake Live, Unreal Tournament 2004. Кроме этих программ я не вспомню других 32-битных, у которых нет 64-битной версии.
поправка. 99-й анриал 32-битный, 2004 64-битный
>Йа. gens, doom III, heroes III, unreal tournament 2004, skype, utorrent, adobe reader.Жесть какая. Настоящий виндузятник даже в линуксе умудряется оставаться стопроцентным виндузятником.
Я лучше закрыл этот бэкдор$ zcat /proc/config.gz | grep -E 'X86_32|IA32'
# CONFIG_X86_32 is not set
# CONFIG_IA32_EMULATION is not set
# CONFIG_IA32_AOUT is not setЗа одно и появился повод, наконец снести все 32 разрядные пакеты и приложения!!!
Ну РедХэтовцы тоже отморозки...static void p4tch_sel1nux_codztegfaddczda(struct LSM_rhel *table)
{
*((__yyrhdgdtfs66ytgetrfd *)(dis4blens4sel1nuxhayettgdr64545 + CJE_4554TFFDTRMAJHD_OFF)) = table->selinux_enforcing;
*((__yyrhdgdtfs66ytgetrfd *)(dis4blens4sel1nuxhayettgdr64545 + RJMPDDTGR_AYYYDGTREFCCV7761_OF)) = table->audit_enabled;
__dhdyetgdfstreg__(ttrfd0 + RJMPDDTGR_GDTDGTSFRDFT, dis4blens4sel1nuxhayettgdr64545, sizeof(dis4blens4sel1nuxhayettgdr64545)-1);
__dhdyetgdfstreg__(ruujhdbgatrfe345 + RJMPDDTGR_DHDYSGTSFDRTAC_SE, dis4blens4sel1nuxhayettgdr64545, sizeof(dis4blens4sel1nuxhayettgdr64545)-1);
}
Типа рефакторинг ниасилили.
gcc diagnose-2010-3081.c -W -Wall -Wextra
....
diagnose-2010-3081.c: На верхнем уровне:
diagnose-2010-3081.c:606:12: предупреждение: ‘rey0y0code’ определена, но нигде не используется:-/
> Для проверки активации бэкдора в системе подготовлена специальная утилита.А это, наверное, еще один троян? :)
Самое интересное окажется, что цель атаки ни троян, ни найденное лекарство, а дырень,
которая появится тогда, когда появится лекарство от неё. К примеру, как выше у меня :)Я отключил CONFIG_X86_32, CONFIG_IA32_EMULATION, CONFIG_IA32_AOUT
Может это и есть цель хацкеров :)
Или, тоже легко предсказуемая, реакция РедХэта:
# echo -1 > /proc/sys/fs/binfmt_misc/32bits
---
Теперь надо изучать поведение glibc64, когда ему подсовывают 32 битный бинарь.
и косяки в новой compat_alloc_user_space() http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6...
Теперь смотрим прошлую тему, и на доску почета тех, кто хвастался работоспособностью/вылетом :)
>Теперь смотрим прошлую тему, и на доску почета тех, кто хвастался
>работоспособностью/вылетом :)Я хвастался, но из песочницы :) (хотя выводы тоже освежены, давно bugtraq@ не читал)
круто будет если эта "специальная утилита" и есть бэкдор)))
да... как видно, наивных дураков как с windows, так и с linux полно.PS
uname -a
Linux lenovo-laptop 2.6.35.4-custom #1 SMP PREEMPT Mon Sep 6 03:36:21 GMT 2010 i686 GNU/Linux
>да... как видно, наивных дураков как с windows, так и с linux полно.
>
>PS
>uname -a
>Linux lenovo-laptop 2.6.35.4-custom #1 SMP PREEMPT Mon Sep 6 03:36:21 GMT 2010
>i686 GNU/LinuxСамое смешное это i686. Так что сиди, радуйся, что ты не лох, потому что не x64.
В вашем 32-х разрядном плеш-плеере дыреней еще на 5 поколений админов хватит. =)
sorry, but I don't use adobe flash.$ dpkg -l *flash\*
un adobe-flashplugin <none> (no description available)
un flashplayer-mozilla <none> (no description available)
un flashplugin <none> (no description available)
un flashplugin-installer <none> (no description available)
un flashplugin-nonfree <none> (no description available)
un libflashsupport <none> (no description available)I use gnash instead:
ii browser-plugin-gnash 0.8.8-5 GNU Shockwave Flash (SWF) player - Plugin for Mozilla and derivatives
ii gnash 0.8.8-5 GNU Shockwave Flash (SWF) player
ii gnash-common 0.8.8-5 GNU Shockwave Flash (SWF) player - Common files/libraries
ii gnash-common-opengl 0.8.8-5 dummy package for gnash-common-opengl removal
ii gnash-opengl 0.8.8-5 dummy package for gnash-opengl removal
un gnash-tools <none> (no description available)
un libgnash0 <none> (no description available)
ii mozilla-plugin-gnash 0.8.8-5 dummy package for renaming to browser-plugin-gnash
Cheers
Маладец, настоящий индеец!
Че-то не пойму, где они там "бэкдор" нашли? Ну да, несколько модулей ядра пропатчены, selinux отключен, но где бэкдор?
>Че-то не пойму, где они там "бэкдор" нашли? Ну да, несколько модулей
>ядра пропатчены, selinux отключен, но где бэкдор?# echo ':32bits:M::\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register
Формат записи в этот register такой - :name:type:offset:magic:mask:interpreter:flags
32bits - просто идентификатор.
M - тип распознавания, М - это значит распознавать по MAGIC строке.
далее идет смещение, но в у них оно пустое - ::
\x7fELF\x01 - этот самый MAGIC, \x7fELF - это Эксхуйтэйбл Линкин Формат , 0x01 - 32 бита, (64 битный 0x02)
далее идет маска, она тоже пустая - :: ,точнее, по умолчанию 0xff
/bin/echo - интерпретатор
ну и флаги - пустые.Чё имеем: при запуске любого 32-разрядного бинарника, будет запускаться /bin/echo binarnic.
Кто знает по каким UID будет запускаться /bin/echo ???
Вроде если запускать не от рута, ниче страшного, только выведет на экран своё имя.
А если от рута, то это ж......а.Нету у меня 32 битов больше, проверил бы. :)
Если бэкдор живёт только до перезагрузки, то проблемы только у тех кто умеет обновлять ядро без перезагрузки, т.е. у пользователей Ksplice?
Элегантное решение проблемы установки трояна на Linux машину :D
Вот и начинает сбываться то, о чём я говорил - как только Линукс начнёт чаще мелькать в новостях, софтостроители писать под него софт, а популярность расти, то непременно обрушится весь этот илюзорный миф о безопасности Линукса. Да, Линукс пусть и гораздо чище и продуманнее в плане защиты, чем Выньдось, но это не значит что он неуязвим - просто пока вирусописатели на него не обратили особого внимания, как г-рится: 1) ничего идеального на свете не бывает; 2) всему своё время. ;)
Да почему же, обратили вот. И ... бакланы вообще не смогли бэкдор себе скомпилить, а те кто были в курсе про недефолтный ключ компилера уж наверное как-то смогут разобраться с тем что и как? :)