Антивирусная компания ESET сообщила (http://blog.eset.com/2012/12/18/malicious-apache-module-used...) об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- или JavaScript-блоков в трафик обслуживаемых сервером сайтов.
Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. В частности, модуль использует cookie и лог IP-адресов посетителей для организации внедрения клиенту вредоносного iframe только один раз (при повторных открытия страницы, на ней не будет вредоносного кода), кроме того модуль не осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH на сервер, что мешает выяснить администраторам каким образом была заражена машина и с какого именно сайта был получен вредоносный код. Модуль также содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе поисковых систем.
Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с машины администратора (для некоторых из взломанных серверов одновременно были выявлены факты взлома машин их администраторов).URL: https://threatpost.com/en_us/blogs/new-apache-exploit-doling...
Новость: http://www.opennet.me/opennews/art.shtml?num=35669
Где можно скачать? И как его ставить? И почему оно само не размножается, я не доволен.
Омский линуксоид он и в Африке Омский линуксоид
> Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине.это вредоносное ПО тольок длят ого что бы компы заражать виндовс, если у тебя на десктопе сервер, то у вирмейкеров попроси такое ВПО
Это же проприетарщина, разве омские линуксоиды такое одобряют?
пофиг что проприетарщина, "зато бесплатно"
> Где можно скачать? И как его ставить? И почему оно само не
> размножается, я не доволен.Поставь Windows (лучше XP) и без антивируса выйди в инет - будешь доволен максимум минут через 5.
Так и было последние 3 года. Есть только, поставлен firefox с noscript. Автозапуск на флэшках отключил и всё. О вредоносном ПО читаю только в статьях на википедии
> О вредоносном ПО читаю только в статьях на википедиину да: чего не вижу, того и нет.
Знаком с виндой только по анекдотам с линуксовых форумов?
Со всех репозиториев страны. apt-get. Зачем ему размножаться если ты сам его поставишь?Уже поздно тупо отрицать проблему и прикалываться. Таких случаев уже слишком много.
Вернее, домашним линукс-юзерам еще пока можно, но не специалистам.
Инструменты хоть как-то определить вредоносная ли софтина лежит в этом пакете с исходниками или бинарями есть? Какой-нить сканер по поведению, запускающий софтину в контейнере?
Ставить весь софт из одного проверенного места (которое тоже могут скомпрометировать)? А если там нужного софта нету?
Что за бред, простите. При чем здесь apt-get и репозитории,когда речь в новости о примитивном взломе, причем скорее всего не серверов, а машин сисадминов, с которых на эти серверы заходили? Даже какая система стояла на компьютерах админов, непонятно - но если там была винд, то вообще хайп ни о чём. А модуль такой пишется за пару вечеров, к вашему сведению - действия его исключительно просты.Ну и насчет "откуда софт брать" - тоже исключительная неграмотность. Да, либо вы доверяете источнику (и в нормальных дистрибутивах обеспечивается сквозная проверка целостности репозитория, незаметно там ничгео не подменишь даже если взломаешь сервер с репозиторием, в том числе такая же система используется в приличных неофициальных репозиториях), либо качаешь исходники откуда-то и проводишь аудит. А как хотели - чудес не бывает.
> Что за бред, простите.суббота, отходняк. delirium tremens.
> Где можно скачать? И как его ставить? И почему оно само не размножаетсяЭто скромный албанский вирус, его нужно ставить самостоятельно согласно инструкции от автора :)))
>нацелен на поражение пользователей WindowsЖесть. Для линукса существуют вирусы. И что же они делают? Заражают виндовс...
Вы уж меня простите, но я ещё минут 20 буду хихикать.
А что в этом необычного? Выгоднее пытаться заражать ту ОС, доля которой существенно больше. Допустим, у нас на руках есть эксплоит против Linux и другой - против Windows. Даже если условно допустить, что оба сработают на 5% атакуемых машин, то 5% от линукс-десктопов намного меньше 5% от вин-десктопов. А значит, получим гораздо меньше ботов в наш ботнет. Отсюда очевидный вывод, мы будем заниматься тем, что принесет больше профита. Just business.
Да не в нелогичности или необычности дело.
Просто феерический пример стереотипа о куче вирусов до винду и отсутствии вирусов под линь.
Мол, даже линуксовые вирусы и те под винду:)
>Выгоднее пытаться заражать ту ОС, доля которой существенно больше.Даже если б они целиком поменялись долями, не думаю, что на лине прям разразился бы ураган из вирусов. Написать что-то для выхода из юзерлэнда - задача и так нетривиальная, решаемая не далеко не в раз... А тут вдруг как пофиксят уязвимость (а их фиксят, поверь, очень быстро), так всё придется начинать с САМОГО начала.
В подобных случаях лучше все-таки не оперировать вопросами "поверь". Я предпочитаю вопросами веры в храме оперировать, а в подобном случае оперировать вопросами "знаю". Или "гарантировано". Беда в том, что в СПО никто не ОБЯЗАН что-либо находить или исправлять. Спасение утопающих.... ну ты понел....
>Беда в том, что в СПО никто не ОБЯЗАН что-либо находить или исправлять.У меня есть для вас печальные новости…
>Беда в том, что в СПО никто не ОБЯЗАН что-либо находить или исправлять.В подобном наверное действительно лучше апеллировать к фактическому состоянию дел. Смотрим.
http://www.opennet.me/cgi-bin/opennet/ks.cgi?mask=kernel
Как видишь, не ОБЯЗАНЫ, но мониторят и исправляют, причем непрерывно. И причины на то имеются, вполне объективные. Беда евангелистов проприетарщины - демагогически выстроенные логические конструкции, не не имеющие отношения к реальности. Мол, не было бы Виндовоза, была бы вирусня и в лине, даже похлеще. Ага, как же. Щаз.
если мы посмотрим - то некоторые баги ядра - исправляются только через 2-3 года...
А кто-то все это время дыры использует..
>если мы посмотримДа, давайте посмотрим.Самое время запостить парочку примеров из вайлда, иллюстрирующих все эти вопиющие ужасы.
А как раздолбайство разработчиков Windows оправдывает разработчиков Linux?
> А как раздолбайство разработчиков Windows оправдывает разработчиков Linux?Им как бы не за что оправдываться. Еще было бы неплохо, если б ты читал текст новости. Это очень трудно, но ты попробуй - супер рецепт. Твоя жизнь сразу изменится.
Для большинства задач выходить из юхерленда и не надо - например, какая разница откуда ддосить? Другой разговор, что из-за жуткой фрагментации платформы Линукс бывает сложно найти универсальные средства для решения каких-то задач, работающие хотя бы в большинстве дистрибутивов и окружений.
Ты так говоришь как будто пробовал что-то такое написать. Ну кладем скрипт в .bashrc, который в фоне чего-то делает. Бинари он поищет в 2-х местах по названию(хотя в 90% дистров они в одном месте и называются одинаково) В чем проблема?
>>Ты так говоришь как будто пробовал что-то такое написать.К счастью, нет, мы подумали и решили своё дистрибутивное ПО формировать под FreeBSD, благо специфика позволяет говорить заказчику, какую ОС использовать.
>>Ну кладем скрипт в .bashrc, который в фоне чего-то делает. Бинари он поищет в 2-х местах по названию(хотя в 90% дистров они в одном месте и называются одинаково) В чем проблема?
А я вот не использую bash, у меня дефолтшелом прописан tcsh. Сам баш то есть (тяжко его из типового линукса выпилить), но то, что написано в .bashrc вряд ли когда-нибудь запустится. Есть ещё crontab, но и его, есть несколько разных вариантов с разными вариантами хранения пользовательских списков задач... А уж на уровне системы - одних только систем инициализации штук пять как минимум, разные логин-менеджеры и тд...
>>>Ты так говоришь как будто пробовал что-то такое написать.
> К счастью, нет, мы подумали и решили своё дистрибутивное ПО формировать под
> FreeBSD, благо специфика позволяет говорить заказчику, какую ОС использовать.Скорее не говорить, но рекомендовать либо требовать.
Ну так и потребовали бы конкретное дистро: типа RHEL или Debian и т.п. А то как-то "по-лысому" аргумент выглядит.
> Сам баш то есть (тяжко его из типового линукса выпилить)ln -sf /bin/sh <ваш любимый шелл>
или, для initramfs не осилил
cd ./baselayout-*/ && make menuconfig
после распаковки сорцев?> но то, что написано в .bashrc вряд ли когда-нибудь запустится
спешл фор ю
echo "u HaCKeD by $USER" > ~/.$(basename $(getent passwd $UID| cut -d: -f7))rc
Каких задач? Что будете делать дальше, когда завтра во все дистрибутивы прилетит патч, исправляющий дыру, через которую вы залезли? Искать новую уязвимость? Как, кстати, собираетесь закрепляться в системе, не получив рута?
> Каких задач? Что будете делать дальше, когда завтра во все дистрибутивы прилетит
> патч, исправляющий дыру, через которую вы залезли? Искать новую уязвимость? Как,
> кстати, собираетесь закрепляться в системе, не получив рута?Честно сказать, давно уже не слежу за вирусной активностью (не актуально стало), но лет 5-8 назад большинство вирусов использовало в основном уязвимость в не системном компоненте "прослойка между стулом и монитором". Боюсь, что эту дырку патчами закрыть сложно и от дистрибутива она зависит слабо...
Если сейчас ситуация изменилась и большинство _массовых_ вирусов распространяется через дырки в системном ПО или, хотя бы, в браузерах/почтовых клиенах/IM/ и тд., то ИМХО эти изменения к лучшему, так как говорят о снижении средней температуры по больнице (повышении средней грамотности пользователей).
>Честно сказать, давно уже не слежу за вирусной активностью (не актуально стало), но лет 5-8 назад большинство вирусов использовало в основном уязвимость в не системном компоненте "прослойка между стулом и монитором".Вы о каком большинстве, позвольте спросить? Большинство из пары-другой десятков?
>Если сейчас ситуация изменилась и большинство _массовых_ вирусов распространяется через дырки в системном ПО или, хотя бы, в браузерах/почтовых клиенах/IM/ и тд., то ИМХО эти изменения к лучшему, так как говорят о снижении средней температуры по больнице (повышении средней грамотности пользователей).
Вообще-то средняя грамотность никсовых пользователей "лет 5-8 назад" была едва ли не на порядок выше грамотности пользователей Маздая. Всё конечно изменилось с приходом гламурного Космического туриста, но не настолько же...
> Вы о каком большинстве, позвольте спросить? Большинство из пары-другой десятков?Я говорю, конечно же, о виндах. Средняя грамотность никсовых пользователей и сейчас пока ещё на порядок выше грамотности пользователей Маздая, а тогда была на пару порядков выше. И именно этим обуславливается такое маленькое число вирусов под линукс. ИМХО.
> кстати, собираетесь закрепляться в системе, не получив рута?В хомяке
> Жесть. Для линукса существуют вирусы.Разве где то написано про вирусы? Тут речь идёт о вредоносном ПО, а это не только вирусы.
Читайте новость внимательнее. Не вирус, а модуль, легально (с точки зрения сервера) устанавливаемый через ssh, пароль которого известен злоумышленнику. Если учесть, что многие администраторы сайтов и/или разработчики пользуются windows, по совершенно понятен путь "заражения".К сожалению, есть еще идиоты, которые для администрирования сайтов, работы со своими банковскими аккаунтами, электронной почтой и прочими важными вещами пользуются windows...
Увы. Более 80% банковских клиентов работают под Windows.
С разморозкой вас, 2013 год скоро, IE6 уже не умер.
Парни, сделайте такую же хрень но с винлокером в качестве payload. В тексте укажите что систему надо апдейтить иногда. А для разблокировки пусть сертификат MCSP указывают.
ты сайтиком ошибся.
> ты сайтиком ошибся.Не, меня просто спам от вирусни задолбал.
>> ты сайтиком ошибся.
> Не, меня просто спам от вирусни задолбал.Тебе же сказали, не на тот форум попал. Советую: или смени WINDOWS на нормальную систему или обращайся на форум http://www.microsoft.com/rus/forum/default.aspx . Там даже призы дают - тебе должно быть интересно.
>>> ты сайтиком ошибся.
>> Не, меня просто спам от вирусни задолбал.
> Тебе же сказали, не на тот форум попал. Советую: или смени WINDOWS
> на нормальную систему или обращайся на форум http://www.microsoft.com/rus/forum/default.aspx
> . Там даже призы дают - тебе должно быть интересно.Не бывает нормальных или ненормальных систем. Бывает нормальная или ненормальная прокладка между креслом и консолью.
Не бывает нормальных или ненормальных прокладок между креслом и консолью. Бывают нормальные и ненормальные системы. Как-то так...
> Антивирусная компания ESET сообщила об обнаружении нового вредоносного ПО Linux/Chapro.А говорят троянов под Linux не бывает...
А кто сказал, что на взломанных машинах "администраторов" был Linux?
> А кто сказал, что на взломанных машинах "администраторов" был Linux?Точно, Сергей. Плюсую. Одного админа гоняю - любит с сайтом из дома работать, козел.
>> А кто сказал, что на взломанных машинах "администраторов" был Linux?
> Точно, Сергей. Плюсую. Одного админа гоняю - любит с сайтом из дома
> работать, козел.Ачо, SSH/SFTP еще не изобрели?
>>> А кто сказал, что на взломанных машинах "администраторов" был Linux?
>> Точно, Сергей. Плюсую. Одного админа гоняю - любит с сайтом из дома
>> работать, козел.
> Ачо, SSH/SFTP еще не изобрели?Дык и ключ и парольную фразу могут увести.
В ссш можно разрешить доступ под определенным пользователем с определенных айпи?
> В ссш можно разрешить доступ под определенным пользователем с определенных айпи?Да.
В чем трабл, вход по ключу на vasja, пользователь wheel для доступа к sudo.
Странно. Заражаются компы с Windows, но виноват почему-то Linux.
Странно. Траванулись посетители, а виноват почему-то шеф-повар.
Ну да. Траванулись посетители, а виноват админ с виндой.
> Ну да. Траванулись посетители, а виноват админ с виндой.Уважаемый виндоадмин! Если вы виндоадмин вменяемый, то вы должны понимать, что есть места, где винда может (например, сервер 1С на вашей фабрике), а есть, где винда не может (например, Интернет). И если админ не желает оказаться как в том анекдоте про нюанс (http://www.anekdot.ru/id/388489/ ), он, даже несмотря на то, что он админ винды, немного напрягается и пользует Линукс.
>> Ну да. Траванулись посетители, а виноват админ с виндой.
> Уважаемый виндоадмин! Если вы виндоадмин вменяемый, то вы должны понимать, что есть
> места, где винда может (например, сервер 1С на вашей фабрике), а
> есть, где винда не может (например, Интернет). И если админ не
> желает оказаться как в том анекдоте про нюанс (http://www.anekdot.ru/id/388489/ ), он,
> даже несмотря на то, что он админ винды, немного напрягается и
> пользует Линукс.Плюсанул за анекдот))))
К сожалению в тексте новости на опеннете, НИГДЕ, не говориться что админ был именно с ВИНДОЙ. А в исходной новости, про заражение админов так и вообще ни слова.
Так и про вирусы и трояны для linux нигде в новости не говорится. Так виндузятники сначала обозвали все вредоносное ПО (которое целенаправленно ставится с правами администратора) вирусами и троянами (хотя от них в силу недостаточной образованности другого никто и не ожидал, они даже в Вики не удосужились глянуть, чем трояны от вирусов и других вредоносов отличается), а потом стали вопить о вирусах в Linux.Я вот другому удивляюсь. Можно тут словесно гадить об Апаче. Но уберите его - на чем работать-то будут? Уж не IIS ли? - Не смешите.
>Можно тут словесно гадить об Апаче. Но уберите его - на чем работать-то будут?Nginx. Только не рассказывай никому - пока это военная тайна.
Как фронт-энд для Апача да.
Даладно
> Как фронт-энд для Апача да.У меня для вас печальные новости...
Ну да ну да. Типа тот, кто зашёл в правами рута не сможет подпилить nginx в нужную ему сторону.
> К сожалению в тексте новости на опеннете, НИГДЕ, не говориться что админ
> был именно с ВИНДОЙ. А в исходной новости, про заражение админов
> так и вообще ни слова.Так желаемое за действительное же
Потому и не написали. Само собой разумеется. Под чем же он мог быть еще (случаи, когда админ выдал логин под пыткой, не рассматриваем), если ему кейлоггера под самое не могу засадили. Такие половые извращения только виндузятникам доступны.
а не сами админы ли впихнули туда этот шальной модуль и сфэйчили атаку? :peka:
> сфэйчилиКЛБ
Помнится, года 4 или 5 назад попадалась на глаза статейка, называлась "Глубокий секс с Apache", где как-раз описывалось создание подобного модуля, видимо кто-то ее не просто осилил, но и допилил вычисление уников по логам и прятанье от админов и поисковиков. В общем, в скором времени ждем то же самое под nginx.
> В общем, в скором времени ждем то же самое под nginx.Если учесть, что там динамических модулей нет, ждать можем долго)
Хотя можно написать модуль для ядра, фигли.
Ммм... В конфигах подгруженный модуль что-ли не прописывается?
> Ммм... В конфигах подгруженный модуль что-ли не прописывается?Да конечно, прописывается, куда же он девается-то? Но в качестве админа, скорее всего, сидит тип, который не о что Joomla не осилил - в панели ее управления-то путается. Кстати, один из авторов так любимой "ВЭБ-мастэрами" в этой стране Joomla - компания Microsoft, если не ошибаюсь.
Подобное просто не удивляет. И подобные подходы вставки своего кода уже давно применялись только в других целях. Вспомните хостинги лет 5~7 назад, которые были бесплатными, но за это вставляли свою кнопку или ссылку на сайт.
Занятно было прочесть комменты.Суть новости сводится к тому что выявлено существование модуля, который из под линуксового сервера очень успешно (непринужденно и незаметно - фиг следы разберешь) гнобит виндовых клиентов осеменяя их троянами. При этом о способности самостоятельно заражать линуксовые сервера этим модулем, ничего не говорится, а упоминается лишь о том, что сервер как-то ещё требуется "сломать".
Но в комментах обнаружились поклонники винды ненавидящие линукс, у которых сообразиловка сработала на штамп "линукс-вирусы", и они громко закричали "ага, линукс тоже уязвим". Налицо неспособность адекватного восприятия текстов. Понятна их ненависть к линуксу - он предполагает способность понимать тексты мануалов.