Компания Symantec провела (http://www.symantec.com/connect/blogs/iot-worm-used-mine-cry...) анализ степени поражения систем червём Linux.Darlloz. Червь был выявлен (http://www.opennet.me/opennews/art.shtml?num=38547) в ноябре прошлого года и воспринимался как малоопасный прототип, так как для его распространения использовалась база из нескольких десятков типовых паролей и эксплоит для уязвимости с CGI-режиме PHP, исправленной (http://www.opennet.me/opennews/art.shtml?num=33765) два года назад. Тем не менее, сканирование всего диапазона IP-адресов, показало, что на конец февраля червём Linux.Darlloz было поражено почти 32 тысяч систем.
Присутствие червя удалось идентифицировать благодаря тому, что после проникновения в систему червь запускает http-сервер на порту 58455 и отдаёт исполняемый файл со своей копией по фиксированному пути. Червь изначально рассчитан на поражение устройств, постоянно подключенных к сети и остающихся без внимания пользователей, которые часто оставляют неизменными заводские параметры входа. В частности, червь поражает домашние рутеры, телеприставки, web-камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC. Тем не менее, 43% поражённых систем составили работающие под управлением Linux компьютеры и серверы на базе архитектуры x86, и только 38% - специализированные устройства.
Интересно, что в качестве одной из функций червя является майнинг криптовалюты Mincoins и Dogecoins , при этом злоумышленникам удалось заработать на этом всего около 200 долларов.URL: http://www.symantec.com/connect/blogs/iot-worm-used-mine-cry...
Новость: http://www.opennet.me/opennews/art.shtml?num=39373
> эксплоит для уязвимости с CGI-режиме PHP, исправленной два года назад.Прекрасная иллюстрация последствий применения концепции "поставил и забыл".
А также - неплохая оценка распространенности этой концепции в современном мире.
> концепции "поставил и забыл"."осилил и отметил"
"Поставил и забыл" — в идеале так и должно быть, но для этого нужно качественное ПО, для чего нужно принципиально поменять инструменты и подходы к разработке, для чего нужны исследования. Но, к сожалению, компьютерные науки и инженерия ПО не развиваются, а вырождаются в поп-культуру [1]. Так и живем.[1] A Conversation with Alan Kay, ACM Queue, 2004.
https://queue.acm.org/detail.cfm?id=1039523
"Поставил и забыл" - это всего лиш афоризм. А не практическое правило. Любой нормальный админ профессионал понимает что забывать ничего нельзя, тем более в вопросах безопастности.
Я хотел миллионы срубить, а срубил токо 200 баксов:(
Поражён твоей неудачей
Да там вон тоже какие-то ботоводы пускали ботов. Они в freenode лезли. Ну а народ научился им k-line на автомате ставить. Ибо боты глупы как тапки.
точно также думают начинающие "айти воротилы", поступающие на факультеты информатики, АСУ и пр.
> Я хотел миллионы срубить, а срубил токо 200 баксов:(Ты представитель компании Symantec, автор Linux.Darlloz?
Купи на эти деньги пиццу.
> а срубил токо 200 баксов:(FAIL, чо!
> Я хотел миллионы срубить, а срубил токо 200 баксов:(Переезжай в страны африки/азии, там это получше, чем "токо" )
Ещё вариант - напиши книгу "как я взломал десятки тысяч linux машин".
Кстати, а хорошая мысль... пойду писать эксплойты, т.е. собирать материал для книги.
Мне интересно, как они определили сумму?
>червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтерыПроще говоря все те устройства, в которые криворукие разрабы вместо нормального линукса засунули какую-нибудь увечную хренотень с бэкдорами и несменяемыми заводскими паролями.
> Проще говоря все те устройства, в которые криворукие разрабы вместо нормального линукса засунули какую-нибудь увечную хренотень с бэкдорами и несменяемыми заводскими паролями.Да-да, во всем виноваты разработчики устройств. Особенно в бэкдоре PHP. И несменяемые пароли - это очень важно, ведь сабж распространялся через брутфорс, да?
> для его распространения использовалась база из около десятка типовых паролей и эксплоит для уязвимости в CGI-режиме PHPфифти-фифти.
Но "около десятка типовых паролей" — феерично.
а как же хваленая защита Linux? ну там selinux и все такое..
selinux могли и отрубить. умников, которые это делают - полно.
Почему все такие жёлтые новости в плане "Поражение линукс систем путём подбора паролей" или "незакрытых двугодичных уязвимостей", на опеннете попадают в ветку Главные новости ?
Потому, что червь заразил 32000 устройств на линуксе? Не юзер же виноват, что на внешних интерфейсах слушает ssh по умолчанию.
винды поражаются по схожим причинам, но ее дырявость давно принята как данность.
Ты новость то читал?
Или для тебя что php, что ssh это одно и тоже?Пых между прочим и бздях, и на вантузах есть.
Зыж
В лучших традициях троллей, Москва-Васюки уже прошедший этап галактического чемпионата.
> винды поражаются по схожим причинамОтнюдь.
> Не юзер же виноват, что на внешних интерфейсах слушает ssh по умолчанию.Опустим всё остальное, и разберём данное предложение:
А кто виноват?! =))) Кто запрещает, или может быть линейкой по рукам или ещё чему ни будь бьёт, когда ты пытаешься отредактировать /etc/ssh/sshd_config ?! =)
Кто виноват?
Может у тебя какой альяс прописан вроде того:
alias 'cat /etc/ssh/sshd_config | sed 's/Port 22/Port 777/g' > /etc/ssh/sshd_config'="rm -rf /"
А может у тебя вето наложено на sed или на vi или на nano, или вообще на весь каталог /etc ?
> cat /etc/ssh/sshd_config | sed 's/Port 22/Port 777/g' > /etc/ssh/sshd_configВо-первых, это приведёт к пустому /etc/ssh/sshd_config;
во-вторых, useless use of cat(1);
в-третьих, sed -i уже давно есть.
Ну хорошо, можно сделать и так:
cat /etc/ssh/sshd_config | sed 's/Port 22/Port 777/g' | (while read line; do out+="$line\n"; done; echo -e $out > /etc/ssh/sshd_config)
Всё равно это был сарказм, т.к. альяс такого рода тоже не прописать.
Все рано через жопу.
sed -in 's/Port 22/Port 777/g' /etc/ssh/sshd_config,
вот и все.
Я этот "метод" использую, как защита от дурака^W сканов известных портов работает.
Но если взятся за хост "сурьёзно" тот же nmap умеет опознавать, что именно слушает на данном порту || портах, и ему пох сколько раз вы этот порт меняли.
Так что километровые пароли и/или логин по ключам ещё никто не отменял.
ЗЫ fail2ban тоже вроде не отменяли.
> Я этот "метод" использую, как защита от дурака^W сканов известных портов работает.
> Но если взятся за хост "сурьёзно" тот же nmap умеет опознавать, что
> именно слушает на данном порту || портах, и ему пох сколько
> раз вы этот порт меняли.
> Так что километровые пароли и/или логин по ключам ещё никто не отменял.
> ЗЫ fail2ban тоже вроде не отменяли.Самое позитивное открыть порт только на IPv6, за месяцы работы сервака, даже не единого пакета REJECT не пробежало в ip6tables. Раздолье, никто не брутофорсит, никто не сканирует, видать никто даже добраться не может.
> Самое позитивное открыть порт только на IPv6,...а потом, когда основной пров упадет, обломаться что у бэкапного ipv6 нет? Во спасибо! :)
> видать никто даже добраться не может.
IPv4 на гигабите хардкорными тулзами типа zmap перебирается за несколько часов. Весь, целиком. С IPv6 этот номер не пройдет. Думаю, будут таскать списки known good IP адресов, etc. Впрочем, в V4 достаточно повесить ssh на порт отличный от 22 и интенсивность сканов снижается на порядки. Хотя особо умные сканеры - находят. Так что лучше port knock сделать.
Хм... А почему у прова вообще IPv6 должен быть? o_O
Больше интересен вопрос, на кой хрен нужен провайдер без IPv6?
> Больше интересен вопрос, на кой хрен нужен провайдер без IPv6?Байтики гонять, мсье. Даже если циске впился v6, это ещё не значит, что всем прям-таки припекло бежать за новым клиентским/канальным/магистральным оборудованием.
Как думаете, почему истерики про "конец v4" напоминали истерики про "штурм майдана"?
>> Больше интересен вопрос, на кой хрен нужен провайдер без IPv6?
> Байтики гонять, мсье. Даже если циске впился v6, это ещё не
> значит, что всем прям-таки припекло бежать за новым клиентским/канальным/магистральным
> оборудованием.
> Как думаете, почему истерики про "конец v4" напоминали истерики про "штурм майдана"?Я понимаю, что у вас там в AfriNIC адресов навалом, но нас тут в цивилизации от NAT'ов уже мутит, а платить хотя бы за /26 вообще никто смысла не видит. Тем более, когда нормальные пацаны /56 раздают просто так сразу, /48 после одного емейла, и больше при наличии реальной необходимости.
> Я понимаю, что у вас там в AfriNIC адресов навалом,
> но нас тут в цивилизации от NAT'ов уже мутитКак Вы полагаете, не наплевать ли мне на эту вашу сифилизацию? Помирайте хоть по /32.
А "дровишки" про кошку от dk@. Ему как-то больше доверия.
Хорошо, что от тебя не зависит принятие никаких решений. А то дай волю таким вот чудо-админам, так весь мир бы за NAT'ом сидел. Удачи с кошками.
> Хорошо, что от тебя не зависит принятие никаких решений.У нынешних майдановцев другой аналогичный мем -- "ты раб".
Впрочем, предлагаю каждому заняться своим делом и пусть жизнь рассудит.
Да уже рассудила по сути. Tier 1 потихонечку внедряет. Французы деплоят, румыны (кто бы мог подумать, а?). У некоторых провайдеров транзит местами друг с другом строго по IPv6 разговаривает. Понимаешь, оно удобно и хорошо. Лучше, чем IPv4. Но ты продолжай грызть кактус.
> Как Вы полагаете, не наплевать ли мне на эту вашу сифилизацию?За ломание протокольной логики надо расстреливать с особой жестокостью.
>> Больше интересен вопрос, на кой хрен нужен провайдер без IPv6?
> Байтики гонять, мсье.Учитывая что у V4 наступает душняк в плане адресов - вот извините. По изначальному дизайну протокола у каждого свой адрес. А общественные туалеты где целая помойка спидозных и не очень машин с одного адреса висит - напрягают. Грубое надругательство над протокольной логикой в извращенной форме. И да, если вам надо stateful firewall - не надо его из NAT делать, это изврат.
> Хм... А почему у прова вообще IPv6 должен быть? o_OНаверное, чтобы им пользоваться. А то V4 адресов на всех не хватает, а сидеть в общественном туалете с еще 100500 индивидов - удовольствие сильно ниже среднего. Один лох поймает трояна и наспамит. А в блеклист вся орава попадет. И потом хрен почту отправишь, в IRC автоматический g-line на голову прилетает, etc. А оно надо?
из 1000 абонентов только один пользуется почтой не через веб. И вообще можно гонять через прокси, где smtp без авторизации можно блочить. Если вас не устраивает такой кардебалет - покупайте белый адрес. Да это дороже. Но если прову придется переходить на ipv6 - это однозначно отразится на ценах и неизвестно еще, что будет дешевле.
> из 1000 абонентов только один пользуется почтой не через веб. И вообще
> можно гонять через прокси, где smtp без авторизации можно блочить. Если
> вас не устраивает такой кардебалет - покупайте белый адрес. Да это
> дороже. Но если прову придется переходить на ipv6 - это однозначно
> отразится на ценах и неизвестно еще, что будет дешевле.Если провайдер не пользуется исключительно старым оборудованием, то IPv6 с большой вероятностью уже поддерживается. Другое дело, что не все ещё алфавит выучили и прочитать десяток RFC не в состоянии. Но тут уж от людей зависит.
> винды поражаются по схожим причинам, но ее дырявость давно принята как данность.Ну если ты поставишь rdesktop голым задом в интернет и пароль админа 123456 - грех жаловаться что его сломали и сделали из тебя бесплатный терминальный сервер, бесплатный прокси, спаморассылку и халявный майнер, уж извини.
>Не юзер же виноват, что на внешних интерфейсах слушает ssh по умолчанию.И юзер тоже виноват! Хотя это и не снимает вины с производителя железки. Не имеешь понятия о защите при работе в сети - не подключай устройство сам, а обратись, хотя бы, в службу техподдержки провайдера. Лучше найди хорошего ITшника (не вендузятника).
>Почему все такие жёлтые новости в плане "Поражение линукс систем путём подбора паролей" или "незакрытых двугодичных уязвимостей", на опеннете попадают в ветку Главные новости ?Потому что Dr.Web, NOD32 и прочие производители антивирусов уже начинают серьёзно беспокоится о том что продажи их антивирусов под Linux равны нулю, ввиду того что число вирусов под Linux равно нулю.
Аналогично событиям на Украине, "неполживые" СМИ, в данном случае в лице opennet.ru, создают необходимый информационный фон в надежде исправления плачевной ситуации с продажами антивирусов для Linux.
> Потому что Dr.Web, NOD32 и прочие производители антивирусов уже начинают серьёзно беспокоится
> о том что продажи их антивирусов под Linux равны нулю, ввиду
> того что число вирусов под Linux равно нулю.Как равны нулю ?Что есть статистика в открытом виде ?
А если серьезно то "откаты" творят чудеса .Вот перешла у нашем городке служба приставов под
Linux ,спустя 8 месяцев разразился небольшой скандал ,в документах пересланных из службы приставов оказался червь макровирус .Хотя в службе приставов и не было зараженных компьютеров ,и не они оказались виноваты что оригинал был заражен и пришлось в другое ведомство пересылать также в формате ворд (у них внутри организации odf) ,их обязали с минфина поставить антивирус .И вдобавок пришло предписание с прокуратуры :
если организация работает без антивируса то в случае пересылки зараженного файла руководитель может налипнуть на административный штраф .
Очень интересно. А если антивирус стоит - то кто отвечает за такие косяки?
Касперский?
> Очень интересно. А если антивирус стоит - то кто отвечает за такие
> косяки?
> Касперский?Не знаю ,но доказать прокуратуре что предприняты меры по защите от вирусов легче .Вдобавок некоторые корпоративные версии антивирусов сейчас стали проверять софт на дырки и советывать обновлять его и даже сейчас могут проверять на некоторые безмозглые настройки (разумеется это про винду) .
> Не знаю ,но доказать прокуратуре что предприняты меры по защите от вирусов легчеА что мешает проверять почту clamav-ом на входе и выходе? И накукуй для этого симантек, который сам ловит вирус через три?
>..доказать прокуратуре что предприняты меры по защите от вирусов легче.При этом что-то устанавливать вовсе не обязательно, достаточно показать документы (антивирь куплен, взят на баланс и т.д. ;).
Это старая печалька, как монитор стоимостью 200 баксов за 2000-чи только потому что сертифицирован в штучном количестве для использования в медтехнике.
> Аналогично событиям на Украине, "неполживые" СМИ, в данном случае в лице opennet.ru,
> создают необходимый информационный фон в надежде исправления плачевной ситуации с
> продажами антивирусов для Linux.Не порите чушь. На опеннете такие "новости" полезны в качестве напоминалки против ложного чувства безопасности, а за рекламой антивирусов обращайтесь к соответствующим паразитам.
Для ленивых краткое содержание новости:
Symantec Хочет кушать,
Symantec не смог ломануть Linux,
Symantec занялся брутфорсом паролей и дырками в былосайтах,
Symantec в угасающей надежде попытался запилить вирус попова,
Symantec готов что угодно выдать за взлом именно Linux,
Symantec просит наконец купить у них их блобозонд.P.S. Дураки должны страдать, для умных же есть SELinux/OSSEC/Snort и прочие
инструменты для противодействия и обнаружения такого рода проблем.
> P.S. Дураки должны страдать, для умных же есть SELinux/OSSEC/Snort и прочиеОт глупых паролей не спасет...
fail2ban?
> fail2ban?Обычно ботнетики сканят с кучи разных айпи. В пересчете на 1 IP активность низкая, а вот в сумме может быть довольно прилично.
> Присутствие червя удалось идентифицировать благодаря тому, что после проникновения в систему червь запускает http-сервер на порту 58455 и отдаёт исполняемый файл со своей копией по фиксированному пути.Не иначе как в Symantec барабанит, для статистики, очевидно же.
> В частности, червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC.Там что, есть PHP? О_о
там есть admin/admin, admin/1234
Это везде есть. И не лечится, видимо.
Задолбали новости про Linux черви и вирусы. Это не вирусы и червяки, а раздолбайство пользователей. И новось ИМХО должна звучать так. 32 тысячи раздолбаев не удосужились сделать стойкие пароли. И в связи с этим ...
Новости пишут такие же раздолбаи, которые нихрена не понимают в предмете. В этом смысле опенннет давно превратился в помойку, где пропускают жёлтые заголовки.
Те, кто приходят на нашу "помойку" все такие в белых перчатках - уходят все такие в белых тапочках.
Червь вообще не имеет никакого отношения к поражению мозга тех ламеров, девайсы которых поразил этот червь. Что тут может быть непонятного ?
> Новости пишут такие же раздолбаи,И читают исключительно раздолбаи, вернее читают и верят тому что написано.
> Задолбали новости про Linux черви и вирусы.Да ладно, бакланам все системы покорны. Вон тут какая-то пачка ботов с бсдшных машин из ex-USSR лезет. В почетном списке замечен, например, firstvds.
урраа! признааание!
Признание убогости мышления 32000 человек, если предположить одно устройство на человека. Чему вы здесь радуетесь ?
200 баксов? Куда задонатить, чтоб авторам не так стыдно было?
wget http://114.33.85.166:58455/x86 && strings x86 | grep minerd
Ферма для mining на веб-камерах.
:-)
> Ферма для mining на веб-камерах.А что, 200 баксов то не лишниее. Пять старушек^W^W миллион вебкамов - уже рупь^W лайткоин, или что там у нас хорошо на CPU майнится.
Но и после этой новости будут чудики, утверждающие что вирусов под линь нету.
Причём здесь линь? Вирус использует уязвимость в PHP, а он и под ваше вынь есть. К тому же её уже два года как закрыли, а кто забил на обновления, тот должен страдать. Так что вирусов под линь таки нет.
Вирус под Линукс должен обладать как минимум следующими характеристиками:
1. Уметь работать под системой любой битности и на любом типе процессора.
2. Не требовать рутовских(админских) прав.
3. Работать на системе из коробки, а не на той на которой уже установлен прикладной софт.
4. Уметь работать на системе с установленными актуальными обновлениями безопасности.
5. Обходить механизм sudo(uac).Пока такие вирусы есть только под Винду.
Ой, у Семантека опять чтоль продажи падают?
>Ой, у Семантека опять чтоль продажи падают?Что-что? Если продажи антивируса для Linux до этого были равны нулю то как тогода они могут упасть? Отрицательным числом станут?
Есть какой-нибудь онлайн-сервис для сканирования всего интернета?
> Есть какой-нибудь онлайн-сервис для сканирования всего интернета?Да. Покупаешь сервак с гигабитным каналом (это у нас будет онлайн сервис) и запускаешь на нем zmap (а это у нас будет сканирование всего интернета).
И это свидетельствует о серьезном росте популярности linux, я считаю.P.S Меняйте пароли хотя бы раз в месяц и ставьте исправления безопасности. Слово "linux" не защищает от глупостей типа "admin admin", троянов и древних дырок.