Компания Symantec обнаружила (http://www.symantec.com/connect/blogs/all-your-tomcat-are-be...) вредоносное ПО, сочетающее в себе функции бэкдора и червя, приспособленного для самостоятельного распространения. Вредоносное ПО поражает серверы приложений на базе Apache Tomcat, используя для проникновения метод подбора паролей. После поражения очередной системы вредоносное ПО может выполнять функции бэкдора, управление которым производится через сторонний IRC-сервер.
<center><a href="http://www.symantec.com/connect/sites/default/files/users/us... src="http://www.opennet.me/opennews/pics_base/0_1385027240.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>
Поддерживаются типовые возможности троянского ПО, в том числе такие функции, как выполнение произвольных команд на поражённой системе, запуск SOCKS-прокси, обновления собственного кода, участие в DDoS-атаках, перехват и отправка конфиденциальных данных. Особый интерес представляют функции для сканирования сети на предмет наличия других серверов с Tomcat и организации атаки на них. Атака строится на переборе тривиальных паролей для типовых логинов, например, "admin:admin", "tomcat:password" и т.п.Код вредоносного ПО, который в базе Symantec фигурирует как Java.Tomdep, написан на языке Java и распространяется в форме сервлета, выполняемого в Apache Tomcat. Java.Tomdep не привязан к конкретным платформам и поражает Tomcat-серверы на базе Linux, OS X, Solaris и Windows. Особенностью также является то, что несмотря на запуск в окружении Tomcat, взаимодействие с вредоносным ПО основано на использовании IRC, без создания или модификации web-страниц (атака не нацелена на посетителей сайтов, обслуживаемых поражённым сервером). Вредоносный код поставляется в файле ApacheLoader, например, размещается как /jsp-examples/error/ApacheLoader.
URL: http://www.symantec.com/connect/blogs/all-your-tomcat-are-be...
Новость: http://www.opennet.me/opennews/art.shtml?num=38488
Давно пока, странно что только сейчас такой появился
> Давно пока,Это у вас такое "давай, досвидания"? :)
Смысл новости: У Symantec упали продажи, надо пропиариться.> используя для проникновения метод подбора паролей.
дальше не интересно.
> Смысл новости: У Symantec упали продажи, надо пропиариться.
>> используя для проникновения метод подбора паролей.
> дальше не интересно.Павлиня, у Симантека продажи не упадут в обозримом будущем, хочешь ты этого или нет.
>> Смысл новости: У Symantec упали продажи, надо пропиариться.
>>> используя для проникновения метод подбора паролей.
>> дальше не интересно.
> Павлиня, у Симантека продажи не упадут в обозримом будущем, хочешь ты этого
> или нет.Привед, Оналитег! https://www.google.com/finance?cid=546053
С середины августа у них началась жопа, 22 октября наступила большая жопа.
Через неделю они начали внезапна находить какие-то вакуумные уязвимости, бэкдоры и трояны.
Если смотреть статистику за последний год, то ничего страшного не видно.
> Если смотреть статистику за последний год, то ничего страшного не видно.2008 год был в целом тоже спокойный.
Не бзди, павлинушка, у них все гораздо лучше, чем в июне.
> 2008 год был в целом тоже спокойный.Да нифига, вышел 2008 сервер и симантеку наверняка пришлось рвать попы, ибо оно не очень то совместимо с 2003, в том числе по ядерным драйверам :)
Падение на 0.7 за 3 дня? Надеюсь ты просто потролить контингент решил...
Симантек too big to fail =)
13 августа - 26.96
21 октября - 25.41
сейчас - 23.38Да, безусловно, это развитие, прогресс, положительная динамика!
Акционеры счастливы, за полгода слить 3$ c одной акции!!!> Симантек too big to fail =)
Кому они нахрен сейчас нужны, компания со стратегией бизнеса из XX века.
Их программно-аппаратные комплексы защиты - тормозное УГ. Решения цисок
намного эффективнее, порой цена даже дешевле.
Виндозные средства защиты и антивири заменяются штатными.
Согласен.
Symantec уже давно стал "не нужен".
Их софтовые решения - набор тормозов.
Только ghost бессмертен )
> Только ghost бессмертен )Ага, клонировать 2Tб винты наверно большая радость :)
Ъ олдскульщики даже 2Тб размечают в msdos. А потеря емкости при этом — «не главное»™.
* >2Тб
Тупые анонимы просто не в курсе, что современная винда диски больше 2ТБ автоматически размечает в GPT.
> Тупые анонимы просто не в курсе, что современная винда диски больше 2ТБ
> автоматически размечает в GPT.Везёт вам, M$-табуреткам, - у вас методичка всегда под рукой.
Никакой потери нет, просто создай 2 раздела вместо одного, или отформатируй весь диск в нужную фс. Нафиг тебе мбр с 1-м разделом?
> Никакой потери нет, просто создай 2 раздела вместо одного, или отформатируй весь
> диск в нужную фс. Нафиг тебе мбр с 1-м разделом?А разве мбр позволяет работать с разделами, адреса которых лежат выше 2тб?
>> Нафиг тебе мбр с 1-м разделом?
> А разве мбр позволяет работать с разделами, адреса которых лежат выше 2тб?Не тормози, сникерсни. Он говорит о варианте когда на диске вообще таблицы разделов нет. Сразу с места в карьер - файловая система. Этакий флоппик-переросток :). Технически вполне валидно. Вон у меня такой переносной "флоппик" с EXT4 есть на полтерабайта. А зачем мне таблица разделов на переносном винче?
>А потеря емкости при этом — «не главное»™.главное будет - потеря данных, если чего вдруг сотворится. семейство FAT(12-32), оно к данным очень дружелюбно, да.
> главное будет - потеря данных, если чего вдруг сотворится. семейство FAT(12-32), оно
> к данным очень дружелюбно, да.Речь, видимо, шла не об ФС, а о таблице разделов (msdos == MBR).
тогда еще умилительнее. :) сначала разметили, потом переразметили. не олдскул, а мазохизмъ сплошной.
> Symantec уже давно стал "не нужен". Их софтовые решения - набор тормозов. Только ghost
> бессмертен )Ога, ога. Не нужно ни ПО семейства Veritas SF, ни VCS, ни бэкапный софт, ни управляющий. Месье большой оригинал?
>со стратегией бизнеса из XX века.да и антивирус их особо с 2000 года не менялся. разве что актуализацию базы сигнатур сделали чаще.
а в целом политика их была, как в сказе про жадную обезьяну и апельсины. вот и просрали все перспективные проекты. нынче действия m$ очень похожа на активность симантек начала этого века. туды им и дорога.
Минимальная защита это отсутствующие или переименованные папки manager и host-manager
А мне показалось, что достаточно нетривиального пароля.
> А мне показалось, что достаточно нетривиального пароля.Что мешает и его подобрать? Например, если зловред выполняется локально под пользоваталем и не создает заметной нагрузки, то может проработать долго и подобрать таки пароль рута.
> Что мешает и его подобрать?Бренность нашего бытия.
Если пароль действительно нетривиальный, подобрать его, не создавая нагрузки, удастся только через несколько триллионов лет. Но столько сервак банально не проработает.
>> Что мешает и его подобрать?
> Бренность нашего бытия.
> Если пароль действительно нетривиальный, подобрать его, не создавая нагрузки, удастся
> только через несколько триллионов лет. Но столько сервак банально не проработает.а элементарная блокировка по кол-ву подборов увеличит этот срок в трилиард раззз
О чём говорить, если многие "боевые" сервера имеют autodeploy
> Минимальная защита это отсутствующие или переименованные папки manager и host-managerВ надежде на то что хаксоры - выпускники из интерната для умственно отсталых? Обломайтесь, хаксоры обычно не очень тyпые. Иначе хацкерствовать не получается.
>> Минимальная защита это отсутствующие или переименованные папки manager и host-manager
> В надежде на то что хаксоры - выпускники из интерната для умственно
> отсталых? Обломайтесь, хаксоры обычно не очень тyпые. Иначе хацкерствовать не получается.поведай способ получить удаленно у томката список задеплоеного в него (найди переименованый manager, другими словами).
мне кажется было бы удобнее взламывать сервера если установить ssh и для рута установить пароль 'password'
А вот и нет по моим логам SSH самый популярный пароль 123456
.
qwerty
соглашусь с предыущими предложениями, всё-таки 6 символов удобнее чем 8.
> А вот и нет по моим логам SSH самый популярный пароль 123456Перенеси SSH на другой порт и удивись, как логи станут скучно пустыми. :)
зачем открыл страшный секрет? пусть бы помучились :)
> зачем открыл страшный секрет? пусть бы помучились :)С другой стороны скучно, а так хоть развлекуха...
Хотя в логах апача тоже весело
дырявые D-Link ищут.
24.56.241.32 - - [12/Nov/2013:07:05:00 +0400] "\x80w\x01\x03\x01" 301 235 "-" "-"
24.56.241.32 - - [12/Nov/2013:07:05:00 +0400] "GET /HNAP1/ HTTP/1.1" 301 496 "http://111.22.33.111/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; .NET CLR 1.0.3705)"
75.144.99.57 - - [12/Nov/2013:15:57:01 +0400] "\x80w\x01\x03\x01" 301 235 "-" "-"
75.144.99.57 - - [12/Nov/2013:15:57:02 +0400] "GET /HNAP1/ HTTP/1.1" 301 496 "http://111.22.33.111/" "Mozilla/5.0 (compatible; Konqueror/2.2.2; Linux 2.4.14-xfs; X11; i686)"этот ваще адцкий сотона
162.220.67.251 - - [16/Nov/2013:19:30:00 +0400] "GET /user/soapCaller.bs HTTP/1.1" 301 482 "-" "Morfeus Fucking Scanner"
PHP ищуть
85.17.173.222 - - [12/Nov/2013:22:32:19 +0400] "GET //cgi-bin/php HTTP/1.1" 301 468 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.17.173.222 - - [12/Nov/2013:22:32:19 +0400] "GET //cgi-bin/php5 HTTP/1.1" 301 470 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.17.173.222 - - [12/Nov/2013:22:32:19 +0400] "GET //cgi-bin/php-cgi HTTP/1.1" 301 476 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.17.173.222 - - [12/Nov/2013:22:32:20 +0400] "GET //cgi-bin/php.cgi HTTP/1.1" 301 476 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.17.173.222 - - [12/Nov/2013:22:32:20 +0400] "GET //cgi-bin/php4 HTTP/1.1" 301 470 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
> Перенеси SSH на другой порт и удивись, как логи станут скучно пустыми. :)А чтобы жизнь троянов и хакеров стала интереснее, на 22 порту надо повесить что-нибудь эдакое. Желательно выстреливающее в адрес запрашивающего мег-другой рандома. Ну так, небольшой fuzzy-тест червякам не повредит :)
я понимаю, что у локалхоста исходящий канал простаивает. только для серверов, ну которые веб, обычно не простаивает.
искренне хочу посмотреть что произойдет с каким-нибудь произвольным (посещаемым) сайтом когда там такой чудо-одмин начнет генерить "мег-другой рандома" каждому боту
>> Перенеси SSH на другой порт и удивись, как логи станут скучно пустыми. :)
> А чтобы жизнь троянов и хакеров стала интереснее, на 22 порту надо
> повесить что-нибудь эдакое. Желательно выстреливающее в адрес запрашивающего мег-другой
> рандома. Ну так, небольшой fuzzy-тест червякам не повредит :)Ну теперь представь ботнет у тебя просто запрашивает 1000 коннектов.
Гиг исходящего трафика обеспечен.
1000? Ботнетов меньше 100 000 не видел. Если он и в правду так делает, то после захода ботнета, ему позвонят из ДЦ и скажут, что закупились паяльниками и ждут его в гости на вечеринку :)
новейшая система plug'n'hacked ))
> мне кажется было бы удобнее взламывать сервера если установить ssh и для
> рута установить пароль 'password'у меня пароль на root либо 123 либо 1234 либо вообще пустой. только тебе это ничего не даст, даже если скажу ip машин.
угадай почему это тебе ничего не даст.
>> мне кажется было бы удобнее взламывать сервера если установить ssh и для
>> рута установить пароль 'password'
> у меня пароль на root либо 123 либо 1234 либо вообще пустой.
> только тебе это ничего не даст, даже если скажу ip машин.
> угадай почему это тебе ничего не даст.У тебя солярис, и руту удаленка по дефолту запрещена? :)
>>> мне кажется было бы удобнее взламывать сервера если установить ssh и для
>>> рута установить пароль 'password'
>> у меня пароль на root либо 123 либо 1234 либо вообще пустой.
>> только тебе это ничего не даст, даже если скажу ip машин.
>> угадай почему это тебе ничего не даст.
> У тебя солярис, и руту удаленка по дефолту запрещена? :)чутка фри. и 2 линакса торчащие наружу. рутом логиниться запрещено, да.
А где у томката можно пароль вводить? И как, зная этот пароль, можно заставаить исполнять свой сервлет?
tomcat дефолтно из под юзера tomcat работает. Соответственно, и доступ к файловой системе. В деплой можно подсунуть чёугодно. Вот только дефолтные настройки это для даже не знаю кого.
> tomcat дефолтно из под юзера tomcat работает.Пароля в систему у него не должно быть! и шел /bin/false
Так я и говорю, какая-то вялая уязвимость. Детская.
а мне картинка понравилась
там заражённый сервер чем-то заляпан
Симантека на него стошнило. После пузыря пива.
> Симантека на него стошнило. После пузыря пива.Да нифига, это был админ пытавшийся установить этот самый симантек.
Фу! Я только пообедалВообще-то я подумал что это нарывы. Сервер всё-таки заражён..какое-то кожное зболевание
"... - У нас есть такие приборы. Но мы вам о них не расскажем"
Какая-то вялая уязвимость. Подбор всяких там admin и tomcat ... Да хоть так отдам. Хрен там подсунешь /jsp-examples/error/ApacheLoader, ибо тюнинг tomcat-а никто не отменял.
> JavaИ с ней не хочется и без нее тяжко.
большое спасибо ораклу, который распространяет проприетарную виртуальную машину
> большое спасибо ораклу, который распространяет проприетарную виртуальную машинуВы так говорите, как будто с опенждк такое невозможно.
Причём тут оракл и его джава, когда деплоят аппликухи в томкат, пользуясь тем, что дефолтные пароли не былы поменяны? С тем же успехом этот механизм заражения можно написать хоть на дотнете.
> Причём тут оракл и его джава, когда деплоят аппликухи в томкат, пользуясь
> тем, что дефолтные пароли не былы поменяны? С тем же успехом
> этот механизм заражения можно написать хоть на дотнете.а какие _дефолтовые_ пароли у tomcat ? ну, чтобы задеплоить что-либо можно было.
Не знаю, вроде бы tomcat:tomcat и есть.
Вот такое там в конфиге tomcat-users.xml:
<!--
<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="both" password="tomcat" roles="tomcat,role1"/>
<user username="role1" password="tomcat" roles="role1"/>
-->
Выключены по умолчанию все логины и пароли.
Может конечно в каком-нибуди Linux дистрибутиве это не так, но в актулаьных релизах 7.0.x с http://tomcat.apache.org все логины отключены.Локальный пользователь tomcat/www/и т.д. заблокированы и без шела.
вот ты так просто взял и открыл им тайну. пускай бы они хоть поставили томкат, ради интереса. в след. раз бы не писали бреда :(
p.s. минусующая школота, превед!
Здравствуйте, я таджикский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.
Здравствуйте, я таджикский антивирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен защитить Ваш компьютер. Поэтому очень прошу Вас, пожалуйста, не стирай важные для Вас файлы, и не отсылайте писма с таджикским вирусом по почте другим адресатам.
Заранее благодарю за понимание и сотрудничество.
Вот прям щас бы установил себе такой вирус и такой антивирус, больно жалистливые, слезу прошибають.
> Вот прям щас бы установил себе такой вирус и такой антивирус, больно
> жалистливые, слезу прошибають.Потом отпишись о том, кто победит.
Здравствуйте, я таджикский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.
Проходи мимо злобный вирус, у меня файлов нет, и компьютера нет
> Особенностью также является то, что несмотря на запуск в окружении Tomcat, взаимодействие с вредоносным ПО основано на использовании IRCява программисты жестоки и беспощадны
>> Особенностью также является то, что несмотря на запуск в окружении Tomcat, взаимодействие с вредоносным ПО основано на использовании IRC
> ява программисты жестоки и беспощадны+1.
занимающиеся программизмом на php выбрали бы мордокнигу, наверняка. а пегл погромизды наверняка выбрали бы ойсику
а жабкобыдлокодеры?
> а жабкобыдлокодеры?ну вон же выше специалист процитировал, про irc
а если серьезно, то я 1 раз видел проектик. там его части (демоны на пегл, какие-то чудоскрипты на нем же) общались посредством ирц:) точнее изначально было так, когда я проектик видел там только ircd запущеным остался да какие-то ошметки на этом птичем языке разбросаны были по машинам
> а пегл погромизды наверняка выбрали бы ойсикучего это?
>> а пегл погромизды наверняка выбрали бы ойсику
> чего это?одного тысячалетия технологии. про них помнят юзают те, кто в то время жил
ошибаешься, перл значительно древнее
> собственного кода
> Код вредоносного ПО
> Вредоносный кодА увидеть его можно целиком?
Нет. Это код шредингера.
> Нет. Это код шредингера.:)
С энтузиазмом рассказывается, что можно делать в системе с правами root.
А о найденной уязвимости - "используя для проникновения метод подбора паролей".