Около двух тысяч серверов, использующих различные дистрибутивы Linux, оказались (http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../) жертвами нового вредоносного ПО "Darkleech", оформленного в виде модуля к HTTP-серверу Apache и осуществляющего (http://malwaremustdie.blogspot.ru/2013/03/the-evil-came-back...) подстановку вредоносных JavaScript или iframe-блоков в трафик, отдаваемый сайтами пользователей хостинга.
Методы проникновения злоумышленников на серверы точно не определены, но с учётом разнородности дистрибутивов и приложений, используемых на поражённых системах, вариант эксплуатации неизвестной уязвимости в Linux оценивается как маловероятный. В качестве основных способов проникновения для установки вредоносного ПО на серверы отмечаются эксплуатация уязвимых версий панелей управления хостингом Plesk и Cpanel, а также использование паролей, перехваченных в результате действия снифферов, размещённых на поражённых вредоносным ПО клиентских машинах, или через перебор типовых паролей. Также не исключается попадание в руки злоумышленников базы паролей (http://www.webhostingtalk.com/showthread.php?t=1235797&page=84) клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем.
Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурирую серверы, обслуживающие web-ресурсы крупных компаний, таких как The Los Angeles Times и Seagate. Размещение вредоносного ПО в виде модуля Apache затрудняет выявление вредоносной активности - файлы с контентом остаются нетронутыми, а транзитная подстановка вредоносных вставок осуществляется выборочно, без повторной отдачи вредоносного кода одному и тому же пользователю и с игнорированием подсетей, фигурирующих в системных логах и закреплённых за поисковыми системами (уже поражённым клиентам, поисковым ботам, администраторам сервера и владельцам сайтов выдаются страницы без вредоносного кода).Подобное поведение затрудняет определение реального числа поражённых Darkleech серверов. Для определения примерного числа поражённых машин исследователи из компании Cisco использовали анализ HTTP-запросов на подконтрольных системах. При анализе определялось наличие обращений к URL в форме IP/hex/q.php, свойственных для iframe, подставляемых в трафик модулем Darkleech. В итоге, с начала февраля было выявлено почти 2000 поражённых хостов. Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.
URL: http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../
Новость: http://www.opennet.me/opennews/art.shtml?num=36573
>Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.Вот счетоводы то :)
2000 хостов * 10 сайтов = 20000 сайтов :)
мне интересно откуда взята цифра про 10 сайтов на сервер.
шо, опять?
Ну так это... битва за бесплатные ресурсы. Хреново администрируемые системы - лакомый кусочек. Тем не менее, заметь, точкой входа служит дырявая проприетара - cpanel, plesk.
Увидел только, что хотел увидеть.. проприетарщина ага
> Увидел только, что хотел увидеть.. проприетарщина агаТак кто ж виноват что поделия типа панелей обычно всякие индусы пишут как курица лапой? Так что если их не апдейтить (половина поди их сперло где-то по левому, а половина просто раздолбаи) - понятно чего будет. Толпа халявных ресурсов.
А так тут бсдельники вон уже тут в коментах недавно хвастались уже как-то что у них малваре не работало :). Но если оно прилетело - значит хаксоры все-таки атаковали успешно. А то что оно потом на экзоте работало некорректно - бывают в жизни огорчения.
"...Методы проникновения злоумышленников на серверы точно не определены..."
Разве такой новости уже не было с годик тому назад?
Было похожее.
> Было похожее.Вывод: х-вые администраторы с дырявыми панелями за год не извелись. Беда-беда, только массовые расстрелы спасут отца русской демократии.
>> Было похожее.
> Вывод: х-вые администраторы с дырявыми панелями за год не извелись. Беда-беда, только
> массовые расстрелы спасут отца русской демократии.Публичные порки
> Публичные поркиК сожалению, есть мнение что глупость неизлечима. Даже так.
> Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурирую серверы, обслуживающие web-ресурсы крупных компаний, таких как The Los Angeles Times и Seagate.Разве серверы Seagate не под IIS работают?
> попадание в руки злоумышленников базы паролей клиентов компании cPanel, используемых службой поддержкиЭто что же получается, чтобы пароли не утекали, придётся софт на своём сервере теперь самому админить и мантейнить? Несовременно как-то.
> Это что же получается, чтобы пароли не утекали, придётся софт на своём
> сервере теперь самому админить и мантейнить? Несовременно как-то."Если вы хотите чтобы какая-то работа была сделана качественно - придется сделать ее самому".
да было ж уже!!! точно такое ж! подозрительно...
Давайте дружно попросим открыть код Darkleech под GPL
вот тебе и безопасный Linux... только 2 недели назад расказывали о ботнете из linux роутеров.
Теперь вот ботнет из апачай, но что главное - все под Linux.
Попробуй: nmap -sV www.seagate.comВыдача:
Starting Nmap 6.00 ( http://nmap.org ) at 2013-04-03 20:07 YEKT
Nmap scan report for www.seagate.com (23.78.68.134)
Host is up (0.15s latency).
rDNS record for 23.78.68.134: a23-78-68-134.deploy.akamaitechnologies.com
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http AkamaiGHost (Akamai's HTTP Acceleration/Mirror service)
443/tcp open ssl/http AkamaiGHost (Akamai's HTTP Acceleration/Mirror service)Что, собственно, означает, что Seagate использует для защиты своих серверов на Windows/IIS промежуточное Linux ПО AkamaiGHost (Microsoft, кстати, поступает аналогично). И где тут Apache? Что, в свою очередь, означает, что сообщение предоставляет непроверенную информацию, а попросту говоря - информационный вброс, призванный необоснованно опорочить Linux и Apache. Все и делов-то.
> ПопробуйThe Los Angeles Times аналогично поступает :))))
20 000 серверов ... Может, 20 миллиардов серверов? Умора ты, автор.
80/tcp open http Apache
Service Info: Host: media.seagate.com
> Что, собственно, означает, что Seagate использует для защиты своих серверов на Windows/IIS
> промежуточное Linux ПО AkamaiGHost (Microsoft, кстати, поступает аналогично). И где тут
> Apache?"Сигейт" большая компания, у них не только www.seagate.com.
> "Сигейт" большая компанияБольшая. Но от Microsoft прется исключительно вся. У них утилиты и все прочее ПО для работы с их дисками исключительно под Microsoft сделано.
> прочее ПО для работы с их дисками исключительно под Microsoft сделано.Они в этом плане мало чем отличаются от других. Тем не менее, в лине своих утилит для работы с дисками - есть. Как минимум для всяких там SMART, твикинга AAM и прочего.
Ага, как бы. На самом деле это называется Виктория и работает под DOS.
> Ага, как бы. На самом деле это называется Виктория и работает под DOS.Таких утилит куча. В том числе и от местных умельцев. И работает оно .. эм... ну в общем под чем угодно но не *nix-like. А именно сервисные утилиты от именно производителей - таки обычно под одну офтопичную ОС, увы. Тем не менее, в ряде областей данный тренд уже ломается.
В общем, запускать софт для нештатной работы с оборудованием под ОС общего назначения не самая удачная идея.
Я такие феньки под FreeDOS писал, например.
> В общем, запускать софт для нештатной работы с оборудованием под ОС общего
> назначения не самая удачная идея. Я такие феньки под FreeDOS писал, например.Вполне нормальная идея. Иди, напиши заливку фирмвари в usb-девайс из-под доса, если такой умный. Не забудь рассказать как это понравилось. А через какой-нибудь libusb довольно просто, кстати. А слабо из DOSа изобразить JTAG на современном компьютере или тем более ноуте, без LPT и COM портов? Ну например FTDI'евским bit bang'ом? :) Ну в общем все там нынче можно. Кроме разве что совсем жестких таймингов (которые современной периферии нафиг не уперлись). Ну вон flashrom в лине спокойно флехи пишет и ничего, не хуже чем где-то еще.
за недорого могу обучить ХаКиРоВ-nmap`еров простейшим приемам работы с curl
p.s.
Server: Apache/2.2.19 (Unix) DAV/2
> за недорого могу обучить ХаКиРоВ-nmap`еров простейшим приемам работы с curlОпоздал, ты тигра, оркал тебя опередил: http://www.opennet.me/opennews/art.shtml?num=36565
В смысле, непропатченный Апаши под вяндой-вардой как-то по-другому себя ведет?
> В смысле, непропатченный Апаши под вяндой-вардой как-то по-другому себя ведет?В смысле, запускать на винде апач с cpanel или чем там еще - это бессмысленно и беспощадно. Мало того что это геморно, так еще и бессмысленно почти.
На винде Web-сервер держать вообще бессмысленно и беспощадно. Это типа как в багажниках легковушек песок с карьера вывозить.
Тем не менее, запускают, в том числе и Апаши, в том числе и с СиПэнелом.
> На винде Web-сервер держать вообще бессмысленно и беспощадно.Ну да. А хостинг и панель управления им - я такого вообще не видел. Допускаю что особо укушенные виндой психопаты все-таки бывают. Но поскольку такие вещи в винде делать кроме всего прочего еще и просто геморройно, в разы геморнее чем в любому *никсе - "редкая птица дочешет до середины, а если дочешет то гикнется и копыта отбросит!".
> Тем не менее, запускают, в том числе и Апаши, в том числе и с СиПэнелом.
Я таких отборных извращенцев не видел. Пусть раз такие крутые попробуют openvz на винде поднять :)
а линух тут при чём?
>Landesman picked a random sample of 1,239 compromised websites and found all were running Apache version 2.2.22 or higher, mostly on a variety of Linux distributions.оставшиеся (от mostly) вполне могут быть виндой.
или фряхой.
или солярой.
или с каждого лузера по_не_многу.зыж
подправил новость, а то в оригинале mostly, а тут:
> использующих различные дистрибутивы Linux,не хорошо.
а новость в том, что линукс как всегда не причем!
> а новость в том, что линукс как всегда не причем!Ну конечно, это же все линукс виноват в том что фуевые админы не апдейтят панельки управления и раздают свои пароли саппортам, которые их продалбывают потом.
> Теперь вот ботнет из апачай, но что главное - все под Linux.Главное для кого? Для маркетологов из MS? А так то да - найди поди апач пол чем-то еще кроме линукса нынче.
Да полно.
> Да полно.Да фигвам. Если некто юзает бзды всякие и прочие древние юниксы - так у них и софт обычно свой, созданный еще на заре интерента. Гламурных панелек на таком обычно не водится. Хотя тут вон некто понтовался как у него на бзду малварь прилетела но не смогла нормально работать. Значит и их прошибает, а то что кульхацкеры не ориентируются на слом микроскопичемких по рыночной доле экзотов когда можно окучать целую ораву - вполне ожидаемо. Сугубо вопрос соотношения затрат сил к результату.
> Теперь вот ботнет из апачай, но что главное - все под Linux.Вроде про ботнет не говорилось. Да и причем тут ботнет? В инфе ничего не было о СОВМЕСТНОЙ работе взломанных (отметьте - НЕ ЗАРАЖЕННЫХ) серверов. Взломали методом практически социальной инженерии и поимели. Что ничего не говорит о программно-технической безопасности взломанных систем.
А вот когда в системной (!) папке Windows без лишних вопросов меняют файл hosts или на комп ставят винлокер, или в папку XLSTART записывают шаблон с макровирусом, который запускается при любых (!) настройках безопасности Excel - вот это поимели, так поимели.
То что Вы считаете главным - отнюдь не главное, просто других модулей авторы написать или не успели, или не захотели. А возможно, заказчик всей этой затеи профинансировал проект целенаправленно - против связки Linux + Apache. Кстати, еще не доказано, что взломаны были именно Linux + Apache.
> Вроде про ботнет не говорилось. Да и причем тут ботнет?Ну как, посмотрите на ник гражданина - сразу станет понятно какой он объективный и нейтральный.
Так было ж уже...
ispmanager не подвержен
А библиотеки под него опять надо собирать самому?
А какие тебе под него модули нужны?
> базы паролей клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем.Даже такое есть? Круто :)
тупой аутсорсинг - это вообще пипец
"Кроме троянского модуля Apache на сервер устанавливается бэкдор, подменяющий собой штатный демон sshd."Простой вопрос:
Что СНАЧАЛА ставится - подменный сервер SSH или модуль Apache? Подозреваю, что SSH, а значит, сервер УЖЕ поимели, а потом добавлять можно что угодно, хоть модуль Apachе, хоть маленьких зеленых крокодильчиков в количестве.Вероятно, правильно новость звучала бы так:
Обнаружено 2000 Linux серверов, поиметых через свистоперделки типа CPanel, Plesk, виндовые машины администраторов и управляющих сайтами аутсорсеров... Метод обнаружения - выборочное изощренное изменение контента, отдаваемого сервером Apache с указанных серверов.
> виндовые машины администраторов и управляющих сайтами аутсорсеров<trollmode>
дадада все эти линуксоиды только и кричат финдофсгафно, а на самом деле тайно дома сидят на финдофс
</trollmode>
Жирно. У меня дома линукс. Обломался?
> Жирно. У меня дома линукс. Обломался?а причем тут твой линукс к "машины администраторов и управляющих сайтами аутсорсеров"?
> а причем тут твой линукс к "машины администраторов и управляющих сайтами аутсорсеров"?Наверное при том что я серверами рулю...
>> а причем тут твой линукс к "машины администраторов и управляющих сайтами аутсорсеров"?
> Наверное при том что я серверами рулю...как?! всеми двумя, один из которых имеет ip 127.0.0.1 ?
Бздишнеги могут рулить серверами только из под винды?
> Бздишнеги могут рулить серверами только из под винды?не знаю, не пробовал. а почему спрашиваешь?
так по себе же судит :-)
Ха! Сошлись 2-а одиночества :D
> Ха! Сошлись 2-а одиночества :DНу так это... дурак дурака видит издалека.
>> Ха! Сошлись 2-а одиночества :D
> Ну так это... дурак дурака видит издалека.да, пупсеги, вы нашли друг-дружку:-)
> как?! всеми двумя, один из которых имеет ip 127.0.0.1 ?Не, ну что ты, у них интернетовские айпишники. И, кстати, за 7 лет - ни одного pwnage'а почему-то. Наверное потому что за ними следят, вовремя апдейтят, стандартных паролей наружу не оставляют, особо дырявый софт не вкорячивают. Вот так - оно просто пашет себе. Годы и годы. При том что там в основном вообще убунта всего лишь. Но вот что-то не ломают.
It hides from server and site admins using blacklists and IPs and low-level server APIs (something that normal site scripts don't have access to)аа мы все умрем оно прячется используя IPs!!!11 и десунот^Wчорные списки!
реклама малваря с черными списками :)
> реклама малваря с черными списками :)купи статик IP и получишь чорную маску подсети бисплатно!
ipv6 подсети забань :)
> ipv6 подсети забань :)челябинские одмины банят по /proc/net/dev
2000 серверов?простите но это можно и руками сделать,
а там хоть модуль для апача делай, хоть инклюдь свой трафикзависит от квалификации.
> 2000 серверов?...
> руками...
> зависит от квалификации.Да, надр#ченные обезтяны и на 3000 серваков раскидать могут.
iframe нужно отключать в NoScript сразу, как вражеский класс
> iframe нужно отключать в NoScript сразу, как вражеский классИногда к сожалению и на нужных сайтах попадается.
Если подменяется sshd демон, то тут уже как минимум у злоумышленника есть root-доступ к системе. Дыра может быть где угодно, а апач - это просто инструмент, для атаки на хомячков.
Если бы дыра была где угодно, то ботнетом взломалось бы эдак в 1000 раз больше.
А так (если предположить версию с ssh и то, что не все взломанные на линухе) просто подобрали/спёрли пароли/сертификаты.
> Если бы дыра была где угодно, то ботнетом взломалось бы эдак в
> 1000 раз больше.
> А так (если предположить версию с ssh и то, что не все
> взломанные на линухе) просто подобрали/спёрли пароли/сертификаты.уже ломали - вспоминаем новость о ботнете из 50млн машинок под Linux :-) хоть бы и роутеров.
все же помнят эту историю ?:)
RIP, ты не прав. Там было 50 миллиардов ПК под Linux.
не ломали.
просто там не заперто было.
либо ключ под ковриком лежал.
какая разница - у большинства в windows так же пароль под ковриком - да еще и юзер сам подтвердил запуск троянца.
> уже ломали - вспоминаем новость о ботнете из 50млн машинокУх ты, там уже 50 млн? Как стремительно пингвин захватывает планету :)
Не надо использовать панели на своих серверах. Они проприетарные, неудобные и вообще лучшая панель - это ssh доступ к системе:)
> лучшая панель - это ssh доступ к системе:)К сожалению, туповатые хомяки "хочу сеюе сайт" такое не разумеют.
SSH - ну да, опять же putty в репах есть. Командная строка - всегда хорошо (на кой на X-ы ресурсы серверы тратить). А что о webmin скажете?
> SSH - ну да, опять же putty в репах есть. Командная строка
> - всегда хорошо (на кой на X-ы ресурсы серверы тратить). А
> что о webmin скажете?тонкий намек: о нем либо хорошо, либо никак.
> лучшая панель — это ssh доступ к системе:)так к этому в дополнение надо мозг, который умеет нормально мыслить. многие двуногие таковым не укомплектованы.
А зачем людей, не умеющих думать, заставлять устанавливать и админить веб-ресурсы?