https://mobile.opennet.me/openforum/vsluhforumID3/108803.html Компания DrWeb сообщила (http://news.drweb.ru/show/?i=10140&c=5&lng=ru&p=0) о выявлении нового вредоносного ПО Linux.Lady.1 (http://vms.drweb.ru/virus/?_is=1&i=8400823), поражающего серверы на базе Linux с установленными незащищёнными конфигурациями СУБД Redis. Linux.Lady.1 написан на языке программирования Go. После получения контроля (https://www.opennet.ru/opennews/art.shtml?num=44766) над уязвимым сервером Redis программа устанавливается в систему и используется злоумышленниками как звено в кластере майнинга биткоинов.<br><br><br><br> Вредоносное ПО также может заниматься сбором и отправкой информации со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему Linux.Lady.1 устанавливает себя под видом исполняемого файла /usr/sbin/ntp, создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска, добавляет в ~/.ssh/authorized_keys* свой SSH-ключ и устанавливает в /etc/ssh/sshd_config возможность входа по SSH https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#70 Sat, 13 Aug 2016 15:27:17 GMT Я думаю именно так и взломали сервера drweb-a<br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#69 Sat, 13 Aug 2016 14:57:57 GMT &gt; Ты забыл выдержки перлов из инит-скриптов. Их там есть. <br><br>Угу. Принцип "Протухшая говядина все же лучше свинины с диоксином!"?<br><br>Во-первых, системд уже давно не только/просто система инициализации. Во-вторых, менять шило на мыло все равно очень сомнительный профит. Особенно учитывая количество кода (где-то 350 тыщ строк) и старательное завязывание на системд всего и вся. <br><br>Еще раз: никто не спорит, что сами по себе некоторые задумки в системд очень даже ничего. <br>Но с такой реализацией как то это уж очень смахивает на хорошую такую мину замедленного действия. Причем, очень даже покруче инит-скриптов. <br><br>А ведь я еще даже не вспоминаю про некоторые личностные качества и "забытые" обещания. Вон, когда мержили тот же udev, обещали что "After udev is merged into the systemd tree you can still build it for usage *outside of systemd systems*, and we will support these builds officially."<br>Но года через два оказалось что это было "давно и неправда". <br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#68 Sat, 13 Aug 2016 13:04:44 GMT &gt; Вам что сказали ? правильно переносимый код не нужен.<br><br>Где и когда системы инициализации были портабельными? Бзды дро...и как хотели и совместимостью ни с кем не парились. У большинства дистров линукса инит-скрипты никогда и не были совместимыми, как минимум без большого напильника. Проприетарные юниксы вообще городили кто во что горазд. Как там насчет переносимости SMF? Кто и куда его перенес?<br><br>&gt; Ничего жрите что дают и не вякайте.<br><br>Да вот что-то мы тут с парнями повякали насчет эмбедовки и ее проблем. Поттеринг более-менее услышал. В отличие от тугих на ухо хейтеров, с которыми конструктивный диалог невозможен в принципе а все ответы сводятся к "это ваши проблемы, пишите весь код сами".<br><br>&gt; RedHat за вас уже решил :-) <br><br>Редхат за меня может решить только в одном случае: когда им окажется нужно то же самое что и мне. В этом случае очень хорошо если проблемы замахают они а не я. У них ресурсов вона сколько.<br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#67 Sat, 13 Aug 2016 12:50:36 GMT &gt; Да нет, просто показательный, а так там много чего. Меня когда-то заинтересовало, <br>&gt; что там используется в качестве парсера конфигов, ну я и полез <br><br>Ты забыл выдержки перлов из инит-скриптов. Их там есть. Буквально каждый первый скрипт плюет на логгинг и коды возврата. Если сервис повис на старте, это навсегда и обнаружено не будет. В случае любых ошибок упирается сам админ. Пути прописанные на примерно третьей странице - норма жизни. И при переносе между системами эти пути надо править. Что делает процесс не слишком пресным.<br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#66 Sat, 13 Aug 2016 01:56:27 GMT &gt; Вполне допускаю, что для того, кто ничего не смыслит в написании кода, <br>&gt; кривизна самой пропиаренной и проталкиваемой системы инициализации и управления демонами, <br><br>Ты и такой не напишешь. И даже Led и его дружки делом доказали что на шелле можно и похуже. Они там до сих пор таскают баш 3.х параллельно с 4.х, потому что кучу окаменелых скриптов всем лень переписывать. Т.е. по факту у них куча легаси кода на шелле который кто-то когда-то наворотил и который никто майнтайнить не хочет. Вот так баш превращается в какой-то питон.<br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#65 Sat, 13 Aug 2016 01:49:13 GMT &gt; Так архитектура линуха же не позволяет запускаться вирусам, это ж не масдай! <br>&gt; Не переживайте, держитесь там и хорошего настроения!<br><br>Чтобы redis смог записать что-то в /etc ... нннннуууу, на тестовой машине докторвеба так наверное бывает, да.<br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#64 Sat, 13 Aug 2016 01:46:58 GMT &gt; А убирание кнопки пуск и плиточки в windows 8 диверсия со стороны опенсорсников?<br><br>Скорее, случайно самоэлопотомировались. Смотри, Элоп вернулся в MS. Продажи упали в 3 раза. Увлекся мужик работой :)<br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#63 Sat, 13 Aug 2016 01:45:37 GMT &gt; кстати, Поттеринг поломал ro / в systemd &gt; 222 где-то =). В <br>&gt; связи с systemd-tmpfiles-* <br><br>Вот те раз, а как же у меня debian с systemd 229 загружается с RO rootfs-ом то?<br> https://mobile.opennet.me/openforum/vsluhforumID3/108803.html#62 Sat, 13 Aug 2016 01:42:19 GMT &gt; то есть домашние воры это хорошо ?<br><br>Домашние воры не есть хорошо, но если ты бросаешь кошелек с сотнями денег на улице, у всех на виду, без присмотра, не стоит удивляться что у кошелька выросли ноги. Особенно если по улицам будут шнырять тысячи неизвестно чьих роботов, как в интернете.<br>