Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../) 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/ope...), 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.
После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра (http://www.opennet.me/opennews/art.shtml?num=35392) или модифицировались исполняемые файлы http-серверов Apache (http://www.opennet.me/opennews/art.shtml?num=36810), lighttpd или nginx (http://www.opennet.me/opennews/art.shtml?num=36917) для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама.Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.
Сообщается, что нашумевшие взломы cPanel (http://www.opennet.me/opennews/art.shtml?num=36810), kernel.org (http://www.opennet.me/opennews/art.shtml?num=32226) и серверов Linux Foundation (http://www.opennet.me/opennews/art.shtml?num=31726) были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G". Если будет выведено сообщение о недоступности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.
URL: http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../
Новость: http://www.opennet.me/opennews/art.shtml?num=39350
ССЗБ
неудивительно, что работает и на других платформах, где есть перл.
Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделаны?
...продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки ... за три года был получен контроль над более чем 25 тысячами серверов...<После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей...>
ох шит...
Да дело в том что это серьёзная спланированная акция, в которой продуманы шаги вперёд ( как получить доступ, как спрятать инфу об этом, как использовать для извлечения прибыли/дальнейшего распространения ). Тут же ещё не известно, возможно использовались на начальном этапе (получение паролей), в том числе, дыры роутерах.
> в том числе, дыры роутерах.Дары в роутерах (админ:админ) не дают рута на сам сервант.
Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.
>> в том числе, дыры роутерах.
> Дары в роутерах (админ:админ) не дают рута на сам сервант.
> Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети ), потом компы на работах, корп. сети, и т.д. Тут как раз дело возможно в хорошо продуманной стратегии роста ботнета.
> Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети )Рута? У вас все в конторе им владеют что ли? А то вон ssh по-умоланию рута вообще не принимает.
Вы уж давайте точный и технически-грамотный (или хотя бы технически-правдоподобный) ответ, понятный инженеру или не давайте вообще.
А то... беременность, она того, заразна.зыж
Ещё раз, вантуз с кейлогером и путти самый простой вариант.
На счёт x64 ничего не написано? Или я не увидел?
Да там нечего видеть. Главным моментом всех подобных сообщений всегда является способ распространения. Он здесь такой же, как обычно: брутфорс паролей да подобранные ключи. Имея ключ или пароль с соответствующими правами от системы можно творить с ней что хочешь -- вот новость-то!
*пролюбленные ключи
> На счёт x64 ничего не написано? Или я не увидел?ESET .pdf:
"""The traffic of the hosts infected by Perl/Calfbot yields other interesting data.[...] Analysing the User-Agent information we found out that the most prevalent strings are, without surprises, from x86 and x64 Linux systems. We also observed User-Agent strings from OpenBSD, perl/calfbot FreeBSD, OS X and Cygwin.
>>всех подобных сообщений всегда является способ распространения.
Не этого. Тут акцент на макс.использование _всего, что уже есть. Скрытно и портируемо.
Но да, поминается не-использование уязвимостей и _использование проснифанных паролей ssh при логине через форвард через заражённую машину [и, видимо, использование их для "подбора"].
> Но да, поминается не-использование уязвимостей и _использование проснифанных паролей
> ssh при логине через форвард через заражённую машинуА разве пароли можно вообще проснифать ? вся ssh-сессия будет зашифрована.
>> Но да, поминается не-использование уязвимостей и _использование проснифанных паролей
>> ssh при логине через форвард через заражённую машину[[Хотя возможны другие варианты форварда, нежели запуск ssh на средней машине. форвард порта, netcat в строке Proxy ssh.conf.]]
> А разве пароли можно вообще проснифать ? вся ssh-сессия будет зашифрована.
Новость не читай ("В частности, программа ssh подменялась на вариант"), обсуждение не читай (#39), оригинал(ы) не читай, в лужа газики пускай. На заражённой заменяется бинарь ssh.
Уж ли он не проснифает то, что _сам берёт со стдина, сам шифрует и шлёт?
Тов.из #33 делает ту же ошибку:
> 1) как можно перхватить пароль пароль? Я думал, что для ssh его не перехватить даже если сеть доступна и всякие "злые люди между тобой и сервером".
Злые дяди не "между", они внутри ssh, которому ты говоришь пароль. (и внутри sshd, с которым соединяешься, возможно.)
Не путайте архитектуру х86 и разрядность.
x86_86 и x86_64 это все x86 - речь была об этом.
x86_86 - это очень ооок.
самая крутая система.
>достаточно запустить "ssh -G"Не обнаружил данный ключ в мане http://www.opennet.me/man.shtml?topic=ssh&category=1&russian=2
Поражённый ман!
>Если будет выведено сообщение о недоступности опции, то система не поражена.
Сори. Подумал, что наоборот, если ключ не доступен, то система поражена.
> Подумал, что наоборот, если ключ не доступен, то система поражена.Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"
>> Подумал, что наоборот, если ключ не доступен, то система поражена.
> Поражён мозг у того, кто пишет слово "недоступен" как "не доступен""недоступен" != "не, доступен"
Как я понял, речь о том, что в отличие от нормального ssh, в подмененном этот ключ есть.
это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)
> это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)...и при этом программа завершает свою работу с магическим значением 255
В том-то и фишка! :)
Просто после выпуска сабжевой новости хакеры уже поменяли ключ на существующий редко используемый.
Не там "G" искал
>Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсыНу хоть в чём-то пользователям iOS повезло...
Ну так какая аудитория - такие и предпочтения. Наверняка отправляют на ресурсы с накачанными симпатичными мальчиками.
"А пользователи iOS перенаправлялись на порноресурсы." я таки подозревал что они все дрочеры.
>>Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы
> Ну хоть в чём-то пользователям iOS повезло...Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрессивным и плохо сочетающимся с устаревшими направлениям в данной области >:-)
если уж списывать, то списывать полностью из статьи
> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
> если уж списывать, то списывать полностью из статьи
>> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”Это не во всех shell сработает, не нужно думать, что у всех bash.
> Это не во всех shell сработает, не нужно думать, что у всех
> bash.Я, конечно, не активист посикса и не знаток оного, но под busybox-sh и dash, вполне сработало. Как и под bash, само.
Подучи POSIX, болезный?
"2>&1" - под csh/tcsh не сработает, болезный.
А ещё не работает в CP/M и прочих древностях. И что?
В вашем детсаде все что старее недели древность?
> В вашем детсаде все что старее недели древность?в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.
> в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах.
вот я и говорю: на лечение, потом на пенсию. галлюцинации от большого здоровья не возникают.
csh variant:ssh -G | & grep -e illegal -e unknown > /dev/null ; if ( $? == 255 ) echo "System clean"
> for(i = 0; i < strlen(encrypted_string) / 2; i++) {Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на серверах в XXI-ом веке. К тому же, про то, что кто-то с сервера по паролю ходит на другие сервера.
> кто-то с сервера по паролю ходит на другие сервераЯ один такой? Ищу друзей по нещастью. :(
>> кто-то с сервера по паролю ходит на другие сервера
> Я один такой? Ищу друзей по нещастью. :(Ну, разве что вы ходите на сервера потенциального противника. :)
> Ну, разве что вы ходите на сервера потенциального противника. :)Я на свои сервера по паролю хожу во многих случаях. Правда, пароли длинные и я разборчив на предмет того что, как и откуда я делаю. Пока никто за 7 лет не поломал. Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
>> Ну, разве что вы ходите на сервера потенциального противника. :)
> Я на свои сервера по паролю хожу во многих случаях. Правда, пароли
> длинные и я разборчив на предмет того что, как и откуда
> я делаю. Пока никто за 7 лет не поломал. Но у
> вас еще все впереди, 160Мб логов с попытками брута ssh за
> неделю - еще не предел.Ну брутят то как-раз пароли, это могут делать боты, так как другой информации, кроме ip:port им не нужно. В данном случае можно посоветовать fail2ban, sshguard...
> вас еще все впереди, 160Мб логов с попытками брута ssh за
> неделю - еще не предел.Кстати, а можно как-то пароли увидеть подбираемые ?
> Кстати, а можно как-то пароли увидеть подбираемые ?Да, например с помощью смоляной ямы
> Кстати, а можно как-то пароли увидеть подбираемые ?Гуглите по слову honeypot. Еще когда-то был левый патч для sshd, обеспечивающий логгирование неправильных паролей, но вряд ли он покатит на современных версиях sshd.
> Еще когда-то был левый патч для sshd, обеспечивающий
> логгирование неправильных паролей, но вряд ли он покатит на современных версиях
> sshd.Впрочем, при минимальных познаниях Си поправить можно и самому.
> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.Зачем вы вообще наружу SSH выставляете?
А что есть более безопасные способы попадания на сервер с наружи?
portknock например
>> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
> Зачем вы вообще наружу SSH выставляете?Хотя бы стандартный порт сменить - это отсеит 99% bf
>>> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
>> Зачем вы вообще наружу SSH выставляете?
> Хотя бы стандартный порт сменить - это отсеит 99% bfда не отсеивает оно его... А так ну пусть 5 паролей из словоря попробует, через неделю ещё 5...
Я тоже имею доступ к своим серверам по паролю. Пользуюсь этой возможностью в крайнем случае: если нет возможности зайти по ключу, а зайти надо.
>> for(i = 0; i < strlen(encrypted_string) / 2; i++) {
> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
> серверах в XXI-ом веке. К тому же, про то, что кто-то
> с сервера по паролю ходит на другие сервера.I have a bad news for you...
Вы даже не представляете, сколько админов ни разу в жизни не настраивали доступ по ключу...
> I have a bad news for you...
> Вы даже не представляете, сколько админов ни разу в жизни не настраивали
> доступ по ключу...А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.
>> I have a bad news for you...
>> Вы даже не представляете, сколько админов ни разу в жизни не настраивали
>> доступ по ключу...
> А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.Это если знать, что делать.
Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь.
Кучу людей делали по статье из инета, не понимая, что они делают.
> Это если знать, что делать.
> Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь.
> Кучу людей делали по статье из инета, не понимая, что они делают.Ну, если взломают их сервер, то будет уроком - наймут специалиста для решения данной задачи. Либо, ещё лучше, начнут вникать в проблему.
> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
> серверах в XXI-ом веке.Правильно, используйте ключи - их на автомате пи...ть проще :).
>> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
>> серверах в XXI-ом веке.
> Правильно, используйте ключи - их на автомате пи...ть проще :).И храните их закрытую часть на сервере, да.
> И храните их закрытую часть на сервере, да.Ну рулить то вы откуда-то будете, правда? А что помешает оттуда ключ свистнуть? На ключ конечно тоже пароль можно поставить, но если утверждается что пароль можно спереть - пароль на ключ тоже спереть можно. А вот гемора добавляется.
> Ну рулить то вы откуда-то будете, правда? А что помешает оттуда ключ
> свистнуть? На ключ конечно тоже пароль можно поставить, но если утверждается
> что пароль можно спереть - пароль на ключ тоже спереть можно.
> А вот гемора добавляется.Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие порты и вообще за NAT.
Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с паролем так не получится. Если злоумышленник получил доступ к вашему ПК, то для него нет особой разницы - ставить кейлоггер или воровать ключ.
> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломанНичего мы не узнаем - почистят нам логи и поставят бекдор за полсекунды, так все сделают что мы подумать не сможем что кто-то заходил :)
>> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан
> Ничего мы не узнаем - почистят нам логи и поставят бекдор за
> полсекунды, так все сделают что мы подумать не сможем что кто-то
> заходил :)Чтобы логи почистить, нужны локальные привилегии.
Если это взлом не для организации ботнета, а целенаправленный, то на таких серверах неплохо бы удалённый лог писать.
> Ничего мы не узнаем - почистят нам логи и поставят бекдор за
> полсекунды, так все сделают что мы подумать не сможем что кто-то
> заходил :)а что, отправлять логи на другой сервер уже немодно?
> Преимуществ больше.ORLY? :)
> Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации.Логин нэйм нужен по любому. И это два.
(Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :)
Если у вас до сих пор против этого нет защиты sshguard, fail2ban - да мильЁн их! - вы тоже буратина.Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа, с ремарками пр идиотов выше.
> ORLY? :)Ну да, и я написал только то, что сразу в голову пришло.
>> Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации.
> Логин нэйм нужен по любому. И это два.Бот его подбирает. Посмотрите /var/log/messages.
> (Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :)
Не всегда это так. Если настроить PAM и вход с определённого IP, то это может быть полезно для бэкапов.
> Если у вас до сих пор против этого нет защиты sshguard, fail2ban
> - да мильЁн их! - вы тоже буратина.Вы тоже, если полагаетесь исключительно на временные блокировщики.
> Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа,
> с ремарками пр идиотов выше.ну-ну
>[оверквотинг удален]
> Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно
> никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее
> данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что
> он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие
> порты и вообще за NAT.
> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан
> (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с
> паролем так не получится. Если злоумышленник получил доступ к вашему ПК,
> то для него нет особой разницы - ставить кейлоггер или воровать
> ключ.Секретней ключа ещё только лицензионная электронная цифросепулька. (юмор, сарказм и так далее).
>> И храните их закрытую часть на сервере, да.
> Ну рулить то вы откуда-то будете, правда?Есть такая штука, называется пробросом ssh. Она как раз позволяет ходить туда-сюда по серверам, не держа на них отдельной копии закрытого ключа.
Че?
ssh-agent forwarding
>> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на
>> серверах в XXI-ом веке.
> Правильно, используйте ключи - их на автомате пи...ть проще :).Да. Вот зайду я на вражеский сервер, сворую оттуда открытый ключ, и положу его на своём, чтобы вражина мог на мой сервер зайти и попасть в мои хитроумные ловушки. :)
Дополнительный пинок к переходу на запароленные ssh ключи.
Вместе с ssh agent это даже удобнее, чем пароли.
Не говоря о безопасности.
Хотя... скорее это пинок к изучению документации по ключам.
А то бездумное использование тоже чревато.P.S.
Что-то мельчают тролли на опеннете.
Ни одного возгласа "linux - решето!!!111".
> Дополнительный пинок к переходу на запароленные ssh ключи.
> Вместе с ssh agent это даже удобнее, чем пароли.
> Не говоря о безопасности.
>Хотя... скорее это пинок к изучению документации по ключам.
> А то бездумное использование тоже чревато.соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована форвард-машина -> скажи ключу до свидания (безо всякого пароля)
бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connec...
скрипты с соединениями по ssh с ключами вызывают трепет.
а ещё мастер-сокеты...
> соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована
> форвард-машина -> скажи ключу до свидания (безо всякого пароля)Не совсем понял, как можно увести ключ при форвардинге.
А вот выполнить команды - да, дыра.
Как вариант - зловред может сгенерить свой ключ и разложить его везде, пользуясь форвардингом.> бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connec...
> скрипты с соединениями по ssh с ключами вызывают трепет.
> а ещё мастер-сокеты...Спасибо, буду знать.
> Не совсем понял, как можно увести ключ при форвардинге.Имел в виду, если включён форвард ssh-agent-а -- как по ссылке ниже.
Впрочем, эти зловреды ключами не заморачиваются. Пока, видимо.>> бди! ssh-agent -c, blog.endpoint.com/2014/03/scripting-ssh-master-connections.html
> Спасибо, буду знать.Не-не, я нагнетаю и труню. Я не источник знаний! Я настаиваю. :>
> Ни одного возгласа "linux - решето!!!111".А зачем ? :-) решета не нада, достататочна одын дырка, чтоб оказаться в г.. :-)
> В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверовЗа что им только деньги плотятЪ?
Даже мои тапочки чуть не лопнули от смеха ;)
Это же надо за три года 25 т. серверов, с оффтопиком за 15 минут можно миллионы накрутить ;)
2 вопроса:
1) как можно перхватить пароль пароль? Я думал, что для ssh его не перехватить даже если сеть доступна и всякие "злые люди между тобой и сервером".
Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги. Тогда как они заменяют на них модули и апач если у юзера нет прав?
2) Чего eset 2 года молчал? Безуспешно пытался наваять защиту замалчивая проблему, но т к не потятнул, то решил просто попиариться?
ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус на Линукс-серверах по-прежнему нахрен не нужен.
> ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус
> на Линукс-серверах по-прежнему нахрен не нужен.Нет, ну почему же ? ClamAv для проверки ворд-эксель-поверпоинт и прочее для виндовс-машинв корпоративной сети же.
> 1) как можно перхватить пароль пароль? Я думал, что для ssh его
> не перехватить даже если сеть доступна и всякие "злые люди между
> тобой и сервером".На винде перехватывают ввод пароля при помощи кейлоггера, а на сервере перехватывают пароль входа на другой сервер через подмену утилиты ssh.
> Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги.Если пользователь зашёл на внешнюю систему по ключу, но с использованием троянской утилиты ssh, то злодей получит и ключи удалённой строны.
> Тогда как они заменяют на них модули и апач если у
> юзера нет прав?Видимо модуль внедряют на системах с root/root, входомами под root через ssh или с открытым доступом через sudo. На остальных просто спамерский бот ставят.
> 2) Чего eset 2 года молчал? Безуспешно пытался наваять защиту замалчивая проблему,
> но т к не потятнул, то решил просто попиариться?Не, просто они обобщили и связали имеющиеся данные. Походите по ссылкам к новости, там как раз за последние три года разные сообщения от Eset встречаются.
>> 1) как можно перхватить пароль пароль? Я думал, что для ssh его
>> не перехватить даже если сеть доступна и всякие "злые люди между
>> тобой и сервером".
> На винде перехватывают ввод пароля при помощи кейлоггера,Тут все понятно.
> а на сервере перехватывают
> пароль входа на другой сервер через подмену утилиты ssh.Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир? :(
Может загружать в свой хомяк статически слинкованный клиент ssh?>> Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги.
> Если пользователь зашёл на внешнюю систему по ключу, но с использованием троянской
> утилиты ssh, то злодей получит и ключи удалённой строны.Немного слаб в этой теме. Попроще, каким образом?
>> Тогда как они заменяют на них модули и апач если у
>> юзера нет прав?
> Видимо модуль внедряют на системах с root/root, входомами под root через ssh
> или с открытым доступом через sudo. На остальных просто спамерский бот
> ставят.Все может быть. Но как лучше мониторить? Простые методы вперед.
>> а на сервере перехватывают
>> пароль входа на другой сервер через подмену утилиты ssh.
> Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир?
> :(
> Может загружать в свой хомяк статически слинкованный клиент ssh?Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или я не прав).
>>> а на сервере перехватывают
>>> пароль входа на другой сервер через подмену утилиты ssh.
>> Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир?
>> :(
>> Может загружать в свой хомяк статически слинкованный клиент ssh?Не пускай там ssh (ssh.conf+ProxyCommand+netcat и второй ssh - тоже твой локальный). Не форварди агента. Не... ходи в интернеты. Не смотри прон. Не возжелай.... ЭЭЭэ, о чём это мы??
> Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или
> я не прав).Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли, вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh от локального агента.
> Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для
> соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли,
> вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh
> от локального агента.Андрей, если бы оно ТАК работало, это было бы по меньшей мере глупо.
Вот хорошая статья на этот счёт: http://www.clockwork.net/blog/2012/09/28/602/ssh_agent_hijac...
>> Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для
> Андрей, если бы оно ТАК работало,
> Вот хорошая статья на этот счёт:Спасибо. Я нёс полную чушь, признаю.
Private ключ не унесут. Могут рас- или зашифровать с его использованием любое сообщение или залогиниться по нему на любой сервер, где это прокатит. //Правильно эти ботнетчики не заморачиваются. Пока root пароли снифятся, чего в эту криптографию лезть.
> После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролейЭто единственное, о чем было бы интересно почитать. Когда есть пароль -- можно делать что хочешь.
Замечена еще какая-то хрень. Чаще всего на бсдшных машинах из exUSSR прется (RU, UA). На зараженных хостах ставится 3proxy, слушающий на 1080 и 8080, требует авторизацию. Достаточно глупые дроны ботнета ломятся в несколько IRC сетей, в виде которых ботнет неплохо демаскируется благодаря крайне глупой логике, вызывающей анноянс у посетителей каналов :). Используют слова русского происхождения для ников. Это что за выводок? Явно exUSSRовское творчество.
у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично
вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме.
с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено.
и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M.
и пока живу так, отслеживая изменение файлов в tripwire.
К слову о скриптах - скрипты они такие, что каждый админ пишет под себя, и велика доля вероятности что другой админ их сделает, а другой не разберет, тем более что кто-то предпочитает bash, кто-то perl, а кто-то питон.
А вот "специально придуманные для этого инструменты, не велосипеды", типа веб-морд-управлялок на php+*sql - тут да, один админ настроит и все остальные админы разберутся.
Это было мое большое ИМХО, спасибо за внимание :)
"против лома нет приема" © - можно иметь теоретически безупречную ось и кривую систему идентификации и q-q
> можно иметь теоретически безупречную осьи кривой маздай у админа
достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор при компиляции бинарника и выложить этот бинарник в репозиторий. через пару дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте найти иголку в стоге сена ^^
> достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор
> при компиляции бинарника и выложить этот бинарник в репозиторий. через пару
> дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте
> найти иголку в стоге сена ^^самая подстава в том что хозяин репа может и не знать что в его датацентр приходили компетентные люди.
>модуль рассылки спама был написан на PerlНа самом деле это обычный почтовый клиент - там просто в 14 строчке один символ похерился.
Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость... в виде ненадёжных паролей и проё**ных ключей!Когда же хомячки вирус-ОС ..эмм виндус-ОС наконец перестанут клепать жёлтые новости про Unixоподобные)
>>Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость... в видепользователей...
Падение меньше, чем на 50% считаем ростом. 25 тысяч заражённых серверов считаем незаражёнными, т.к. метод заражения не утверждён синодом как каноничный. Что дальше?
Ну и параноики же работают в этой компании ESET.
Надо же слепить в кучу тысячи несвязанных между собой атак и взломов. Да ещё и кернел.орг и линукс фоундейшен сюда же прилепили.
учишь эникейщиков не вводить никакие пароли в винду, учишь — а толку…
Что-то та часть, что касается подмены одной из либ SSH очень мне напоминает Linux/Ebury, с которым у всех сейчас головняка хватает. Хорошо хоть, что факт заражения несложно обнаружить.
25000 серверов. А сколько это от общего количества? Капля в море или ощутимое количество?