https://opennet.me/openforum/vsluhforumID3/93134.html Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать (http://sempersecurus.blogspot.com/2013/12/a-forensic-overview-of-linux-perlbot.html) за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility (https://code.google.com/p/volatility/).<br><br><br>После симуляции уязвимости в CGI-режиме PHP, исправленной (http://www.opennet.ru/opennews/art.shtml?num=33765) в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложени https://opennet.me/openforum/vsluhforumID3/93134.html#100 Fri, 20 Dec 2013 12:59:23 GMT <br>&gt;Смотри 5.85 и думай кто на самом деле "аналитик".<br><br>Ты наверное?) На заре его существования и биткоин можно было спокойно майнить на проце. Это вопрос не используемой железки, а общей мощности сети, не важно по какому алгоритму ты майнишь. Валют-однодневок по мимо биткоина, было до хрена и больше, только лайткоин набрал какую-то популярность. Никто ради очередной такой валюты ботнеты разворачивать не будет.<br> https://opennet.me/openforum/vsluhforumID3/93134.html#99 Fri, 20 Dec 2013 09:15:38 GMT &gt;Вот за что я люблю школьных аналитиков с опеннет...... В конце 2012 для майнинга их уже никто не использовал.<br><br>Смотри 5.85 и думай кто на самом деле "аналитик".<br> https://opennet.me/openforum/vsluhforumID3/93134.html#98 Fri, 20 Dec 2013 06:21:08 GMT &gt; Почему же, это вполне себе вирус.<br><br>Нет. Давайте оставим хомячковую терминологию хомячкам. Это червь, бекдор, всё что угодно ещё, но не вирус. Вирусной активности сия малварь не проявляла. Хотя, в общем-то, могла бы. Но под линуксами это действительно гемор, поэтому под линуксом и нет вирусов.<br> https://opennet.me/openforum/vsluhforumID3/93134.html#97 Fri, 20 Dec 2013 05:52:53 GMT &gt;&gt; до сих пор продолжают утверждать, что под линукс вирусов нет.<br>&gt; Ну и где они эти ваши вирусы? все что в статье - <br>&gt; НЕ вирус.<br><br>Почему же, это вполне себе вирус. Единственное, он работает на очень малом количестве систем, которые давно не обновлялись и при "правильной" настройке php. На сервер успешно загружается произвольный скрипт "a,pdf" и работает в /var/tmp/ (до ближайшей перезагрузки). Скрипт не получил root-права (это не обязательно), скрипт не остался в системе навечно (это тоже не обязательно). Скрипт смог загрузить стороннее ПО (в том числе и ELF) и выполнить его (а значит при желании он сможет получить и root-права и остаться навечно). Вполне себе сойдет за trojan-loader по классификации популярных антивирусных систем... <br><br>Вопрос в другом - хороший способ защиты от таких уязвимостей не установка антивируса. Он вряд ли спасет в случае всяких bash- и perl-скриптов, которые легко может переписать до неузнаваемости программист уровня CodeMonkey. Ну и регулярные обновления всей системы и грамотны https://opennet.me/openforum/vsluhforumID3/93134.html#96 Thu, 19 Dec 2013 19:31:03 GMT &gt;&gt;уверен, что нужно обновляться без мозга в голове <br>&gt; Без моска - не стоит даже пытаться за комп садиться.<br>&gt; Но, вообще-то, вдумчивые да аккуратные админы не забывают смотреть в бюллетени безопасности. <br>&gt; Например, сюда http://www.linuxsecurity.com <br><br>Ну вот, чтоб долеко не ходить, лезем http://www.linuxsecurity.com/content/view/160621/<br><br>Засекаем время: 23:17<br><br>Package : pixman<br>Vulnerability : integer underflow<br>Problem type : remote<br>Debian-specific: no<br>CVE ID : CVE-2013-6425<br><br>23:18 - Ищем CVE-2013-6425: <br>https://security-tracker.debian.org/tracker/CVE-2013-6425 , есть в stable<br><br>23:21 - Лезем в систему: <br><br># ldconfig -p &#124; grep libpixman<br>libpixman-1.so.0 (libc6) =&gt; /usr/lib/i386-linux-gnu/libpixman-1.so.0<br>libpixman-1.so (libc6) =&gt; /usr/lib/i386-linux-gnu/libpixman-1.so<br><br>есть такое... <br><br>23:25 # apt-get install apt-rdepends (пока вспомнишь, чем зависимости искать...)<br><br>смотрим кому нужна эта либа <br><br>23:26 # apt-rdepends -r libpixman-1-0<br><br>23:30 Считаем и куеем https://opennet.me/openforum/vsluhforumID3/93134.html#95 Thu, 19 Dec 2013 14:23:26 GMT &gt; до сих пор продолжают утверждать, что под линукс вирусов нет.<br><br>Ну и где они эти ваши вирусы? все что в статье - НЕ вирус. <br> https://opennet.me/openforum/vsluhforumID3/93134.html#94 Thu, 19 Dec 2013 13:58:21 GMT &gt; PHP же, причем тут Линукс.<br><br>В данном случае php - это только способ распространения. Главное другое - под линукс написано столько вредоносных программ в формате ELF, а также скриптов на perl и shell, что они выполнялись аж несколько дней! А некоторые до сих пор продолжают утверждать, что под линукс вирусов нет.<br> https://opennet.me/openforum/vsluhforumID3/93134.html#93 Thu, 19 Dec 2013 12:23:59 GMT Вот за что я люблю школьных аналитиков с опеннет. Нихрена не умею, ничего никогда полезного не делали, но все знают, и на все у них свое экспертное мнение))).<br>Мощность одного процессорного ядра ~1МХеш. То есть сеть из 10000 ядер будет равна по мощности одному асику за 350 баксов. А что по вашему сделает админ пула увидев 10000 подключений сжирающих канал и имеющих мощность ~0? Правильно - забанит их нахрен.)<br><br>&gt;Выкапывают. Было бы это не так - никто б не заморачивался.<br><br>Сейчас этим никто и не заморачивается. Ботнеты с майнингом появились в конце 2010, начале 2011. В конце 2012 для майнинга их уже никто не использовал (пытались выбивать деньги с пулов через дос, но, насколько мне известно, успеха это не имело)). Сейчас это просто легаси софт.<br> https://opennet.me/openforum/vsluhforumID3/93134.html#92 Thu, 19 Dec 2013 12:23:40 GMT Момент обнаружения != момент обнародования.<br><br>С уважением, ваш кэп.<br>