The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +/
Сообщение от opennews (ok), 30-Апр-21, 11:01 
Исследовательская лаборатория 360 Netlab сообщила о выявлении нового вредоносного ПО для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55054

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +14 +/
Сообщение от FortyTwo (ok), 30-Апр-21, 11:01 
Прекрасно. Найди в комбайне inject...
Ответить | Правка | Наверх | Cообщить модератору

2. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +21 +/
Сообщение от Аноним (2), 30-Апр-21, 11:03 
Воистену, хотели виндовс-лайк монолит - получили и атаки.
Надеюсь это отрезвит мейтейнеров основных дистрибутивов от привязки только к одной системе инициализации.
Ответить | Правка | Наверх | Cообщить модератору

4. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –14 +/
Сообщение от пох. (?), 30-Апр-21, 11:08 
А кто их спрашивать-то собирается? Современный софт без libsystemd и не собирается давно.

Ответить | Правка | Наверх | Cообщить модератору

7. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +20 +/
Сообщение от Аноним (7), 30-Апр-21, 11:12 
Гентушники твои слова не подтверждают.
Ответить | Правка | Наверх | Cообщить модератору

148. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от uis (ok), 01-Май-21, 10:52 
Кроме одного эмулятора ведроида. anbox. Там sysd используется для... работы с dbus. Видимо про libdbus они не слышали.
А так да, не подтверждаю.
Ответить | Правка | Наверх | Cообщить модератору

8. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от анон (?), 30-Апр-21, 11:14 
врете, батенька
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +9 +/
Сообщение от фыв (??), 30-Апр-21, 11:18 
ArtixLinux (arch), Devuan, Slackware, Gentoo.
Некоторые сущности, как это не смешно - вечны )
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

18. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +5 +/
Сообщение от анон (?), 30-Апр-21, 11:25 
Десктоп на Artix, сервер на Devuan и никаких проблем. У кого софт без системды не собирается рекомендую менять софт
Ответить | Правка | Наверх | Cообщить модератору

130. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от валяйте (?), 30-Апр-21, 20:47 
А также ты рекомендуеш им сидеть без работы.
Ответить | Правка | Наверх | Cообщить модератору

149. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от uis (ok), 01-Май-21, 10:54 
>У кого софт без системды не собирается рекомендую менять софт

Лучше нормально написать разрабам, что, например, для dbus systemd не нужен, а достаточно libdbus.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

203. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (203), 12-Май-21, 18:07 
dbus тоже ненужен!

Это дыра которые через polkitd с Java Script политиками безопасности повышает привилегии обычного пользователя до рута.

Ответить | Правка | Наверх | Cообщить модератору

24. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –2 +/
Сообщение от Аноним (-), 30-Апр-21, 11:31 
Большинство софта в них неработают без dbus,polkit,elogind.
Так что всем рекомендую перейти на https://k1sslinux.org
Софта немного, но зато чист от троянов IBM.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

27. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от фыв (??), 30-Апр-21, 11:35 
Наличие dbus, elogind не смущает, как и не даёт о себе знать.
Иными словами: меньшее из зол дабы не впадать в крайности )
Ответить | Правка | Наверх | Cообщить модератору

45. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от пох. (?), 30-Апр-21, 11:57 
> Наличие dbus, elogind не смущает, как и не даёт о себе знать.

ну так и троянец три года не давал о себе знать и никого не смущал.

Назовет себя dbus, или elogind и будет чувствовать себя прекрасно следующие пять лет - в вашей чудо-системе без системды, но с полным ее косплеем (из костыликов и подпорочек).

Ответить | Правка | Наверх | Cообщить модератору

48. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от фыв (??), 30-Апр-21, 11:59 
Чего же троянец ждал десятилетия? Почему сразу не порадовал нас из sysVinit?
Ответить | Правка | Наверх | Cообщить модератору

52. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от пох. (?), 30-Апр-21, 12:19 
В смысле? Вот этого всего "shitlogind", dbus-daemon --system --address=systemd: и тому подобного и ждал.  Десять лет ждвал, и вот! Дождалси!

А то два /sbin/init, да еще и второй не с pid1 - палево какое-то получается. Мне в свое время залетевший троянец попытался скосплеить dhcpd - тоже не очень удачно вышло, во-первых, палево, откуда на сервере такое, во-вторых, вляпался в selinux, кто ж dhcp даст развернуться-то...
А вот с shitlogind никаких проблем не было бы.

Ответить | Правка | Наверх | Cообщить модератору

143. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (143), 01-Май-21, 09:16 
Что из этого списка имеет хоть какое-нибудь вменяемое применение?
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

21. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +6 +/
Сообщение от Аноним (21), 30-Апр-21, 11:28 
Без системГ не собирается только гном. Оба не нужны.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

30. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от Аноним (30), 30-Апр-21, 11:36 
Все собирается, мало того еще и работает потом - Void тому подверждение...40 гном завезли и он работает а системГ и в помине нет...
Ответить | Правка | Наверх | Cообщить модератору

142. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от thhh (?), 01-Май-21, 09:11 
Тут про systemd разговор, а вы хвпстаетесь про сборку без мифического системГ.
Ответить | Правка | Наверх | Cообщить модератору

11. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –5 +/
Сообщение от фвы (?), 30-Апр-21, 11:15 
Как, люди создавшие это, с аримей великовозрастных школьников на команде "фас" на каждом форуме по всему миру, способна отрезвиться..
Идея системд отличная. Да вот реализация - апофеоз идиотизма.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

33. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 30-Апр-21, 11:38 
> Да вот реализация - апофеоз идиотизма.

Вот тут на 100% согласен.


Ответить | Правка | Наверх | Cообщить модератору

39. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от фыв (??), 30-Апр-21, 11:44 
Наш хрупкий мирок it фриков будут давить. А вечно пованивающая бездумная "масса" будет блеять и обзывать маразматиками, консерваторами, динозаврами, тех кто еще что-то понимает. И нам еще придётся выбирать и не раз, что принесёт и не такие неудобства как появление системд.. таков уж мир и его хищные настроения.
Правильно директор Курчатовского сказал "пендосы выигрывают, так как играют в долгую". Невероятно глупо даже не подозревать что эьто не касается и обычных юзверских пк.
Ответить | Правка | Наверх | Cообщить модератору

50. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от YetAnotherOnanym (ok), 30-Апр-21, 12:09 
Хуже всего, что те, кто должен был бы думать за эту массу - такие же. Что Медвед со своим айфонным энтузиазмом, что Греф и остальные банкиры с переводом всего в смартфоны клиентов, что "минцифра", которая в упор не видит, что сайты ведомств кишат закладками, сливающими налево инфу о гражданах. И некуды бечь.
Ответить | Правка | Наверх | Cообщить модератору

67. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от n00by (ok), 30-Апр-21, 13:04 
Эти господа и не должны про то думать -- не их компетенция. Когда Путин отвечал на троллинг про "пропатчить КДЕ под ФриБСД", что следует обратиться к специалистам, именно это и имелось ввиду.

Другой вопрос, как так получилось, что Рашн ОС унд Апликейшн "разрабатывают" персонажи, у которых #define объявляет переменную, а потом подобный треш продаётся в госструктуры за бюджетные средства, и почему за эту деятельность не сажают пачками -- вот это как раз вопрос к товарищам майорам.

Ответить | Правка | Наверх | Cообщить модератору

76. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +6 +/
Сообщение от sig11 (?), 30-Апр-21, 13:31 
"Когда Путин отвечал"
Это Ющенко отвечал... путин такое даж не выговорит
Ответить | Правка | Наверх | Cообщить модератору

77. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –7 +/
Сообщение от n00by (ok), 30-Апр-21, 13:34 
Я не смотрел Ющенко (тот факт, что до него провокацию вообще допустили, уже о многом говорит). Путину вопрос повторили много позже, он его так и обыграл, что слов таких не знает, и что каждый должен заниматься своим делом, иначе получается бардак.
Ответить | Правка | Наверх | Cообщить модератору

103. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от anonymous (??), 30-Апр-21, 15:51 
Эффект Мандела налицо.
Ответить | Правка | Наверх | Cообщить модератору

112. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от n00by (ok), 30-Апр-21, 16:49 
Если после массированной информкомпании по поводу реакции первых лиц на мем кто-то не смог заметить кардинально отличающиеся сведения, это проявления когнитивной ригидности, а не очередной мемчик.
Ответить | Правка | Наверх | Cообщить модератору

36. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (30), 30-Апр-21, 11:41 
Все что нужно чтобы это исправить - завезти в стандартную поставку системд только 2 модуля - инициализацию и менеджер плагинов ...мне собсно кроме первого ничего не нужно из этого комбаина.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

47. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от YetAnotherOnanym (ok), 30-Апр-21, 11:58 
Хватайте луддита!
Ответить | Правка | Наверх | Cообщить модератору

95. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от Аноним (30), 30-Апр-21, 15:02 
Сколько модулей, из этой сотен входящих в состав ненужноД, ты используеш?
Ответить | Правка | Наверх | Cообщить модератору

65. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (65), 30-Апр-21, 12:52 
>Все что нужно чтобы это исправить - завезти в стандартную поставку системд только 2 модуля - инициализацию и менеджер плагинов ...

В систему инициализации добавить инит? Остановите планету, я сойду!

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

89. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +5 +/
Сообщение от Аноним (30), 30-Апр-21, 14:47 
Наркоман? сустемд перестал быть системой инициализации примерно в версии 0.0.0.1
Ответить | Правка | Наверх | Cообщить модератору

64. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +16 +/
Сообщение от topin89 (ok), 30-Апр-21, 12:48 
Прямо сейчас запущен комп с контейнером nspawn и голыми иксами (без оконного сервера и графического логина)

Давайте глянем, что там есть

/lib/systemd/systemd
/usr/bin/systemd-nspawn
/lib/systemd/systemd-machined
/lib/systemd/systemd-logind
/usr/bin/dbus-daemon
/lib/systemd/systemd-timesyncd
/lib/systemd/systemd-resolved
/lib/systemd/systemd-udevd
/lib/systemd/systemd-journald

Итак, что было бы, если бы не было systemd

/lib/systemd/systemd стал бы любым удобным init

systemd-nspawn и systemd-machined стали бы ворохом программ из LXC/Docker

systemd-logind честно не знаю. Может, elogind, может, оно в целом не нужно

dbus-daemon остался бы как есть, потому что он часть не systemd, а freedesktop

/lib/systemd/systemd-resolved стал бы другим dns-клиентом

systemd-timesyncd стал бы любым другим ntp-клиентом

udevd стал бы фиг его знает чем, mdev, vdev smdev или остался бы как есть, ибо не требует systemd сам по себе

systemd-journald стал бы любым другим демоном журналирования

Серьёзно, из всего списка убрался бы разве что logind, и то не факт.

Тут ещё мог бы быть networkd, но мы его сами заменили.


Что до многочисленных сервисов в автозапуске, как будто их раньше было мало. Блин, там этот троян можно было бы внедрить в скрипт запуска любого случайного сервиса, фиг бы кто заметил.

Давайте будем честны, дело не в комбайне и монолитности, дело в том, что везде один на всех systemd. Делать трояны, атакующие одно и тоже, внезапно гораздо проще, чем распыляться на сотни разных конфигураций.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

69. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –3 +/
Сообщение от Аноним (69), 30-Апр-21, 13:07 
Кто "мы"?
Ответить | Правка | Наверх | Cообщить модератору

70. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от dimez (?), 30-Апр-21, 13:20 
> systemd-logind честно не знаю.

Зачем в контейнере logind?

> /lib/systemd/systemd-resolved стал бы другим dns-клиентом

Зачем в контейнере dns-клиент?

> systemd-timesyncd стал бы любым другим ntp-клиентом

Зачем в контейнере синхронизация времени?

> udevd стал бы фиг его знает чем

Зачем в контейнере udevd?

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

90. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от Moomintroll (ok), 30-Апр-21, 14:47 
>> ... комп с контейнером ...
> Зачем в контейнере ...?

Чукча не читатель?

Ответить | Правка | Наверх | Cообщить модератору

122. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Dimez (ok), 30-Апр-21, 19:36 
Писать надо нормально. Я, конечно, удивился, как это в контейнере голые иксы появились, но решил не спрашивать.
Ответить | Правка | Наверх | Cообщить модератору

74. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +5 +/
Сообщение от jOKer (ok), 30-Апр-21, 13:26 
Дело не в том, что он один такой весь и другого нет. Дело в том, что коронная "фишка" ненужноГ - "конфиг вместо скрипта" порождает вместо тонко настраиваемой под конкретного пользователя системы, некую стандартную мыльницу, которая действительно "одна на всех".

При этом, поддержать весь спектр юс-кэйсов она не в состоянии, и поэтому поддерживает только _наиболее распространенные_. А их число сравнительно невелико, и на этом уже можно строить атаку. Что и делают. То есть, - если кто не понял, - история под катом, это плата за лень. За лень написать свой скрипт самому и под себя... ну или хотя бы посмотреть как устроен чужой.

И знаете что? Мне совсем ненужноГ-шников не жалко. Поделом.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

78. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от HyC (?), 30-Апр-21, 13:37 
ЧСХ "наиболее распространенных" юз кейсов стало уже столько что документация на сыстемдэ стала толще "войны и мира" и осилить ее наизусть в полном обьеме в одно рыло чтобы свободно без гугеля в ней ориентироваться надо иметь мозгов килограмм на двести.

При этом я например сильно не уверен можно ли чрез сыстемды без костылей и синей изоленты поднять два дот1ку вилана на одном интерфейсе, но чтоб у них маки разные были. Что при дидах в одну строчку делалось.

Ответить | Правка | Наверх | Cообщить модератору

125. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Онаним (?), 30-Апр-21, 19:53 
Заглянул на боевой сервер

root           1       0  0 Mar16 ?        00:05:38 /usr/lib/systemd/systemd --switched-root --system --deserialize 17
root         597       1  0 Mar16 ?        00:03:22 /usr/lib/systemd/systemd-journald
root         631       1  0 Mar16 ?        00:00:05 /usr/lib/systemd/systemd-udevd
root         808       1  0 Mar16 ?        00:01:25 /usr/lib/systemd/systemd-logind
dbus         810       1  0 Mar16 ?        00:12:13 /usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only
systemd+     916       1  0 Mar16 ?        00:00:47 /usr/lib/systemd/systemd-networkd

Собственно всё, что к системде относится. И это включая dbus и systemd-networkd. Кроме них и инита - три процесса. Такие дела. Три процесса погоды не делают.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

101. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (101), 30-Апр-21, 15:32 
> Воистену, хотели виндовс-лайк монолит - получили и атаки.
> Надеюсь это отрезвит мейтейнеров основных дистрибутивов от привязки только к одной системе
> инициализации.

Нифига это их не отрезвит, им пофиг, они кормятся с тех рук, которые это всё и проталкивают.
Так что либо велкам на маргиналодистры без этого шлака, либо расслабляйте булки и получайте удовольствие, потом будет ещё чудесатее!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

133. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (133), 30-Апр-21, 22:21 
Причем здесь системд? Без него сабж станет более подозрительно выглядеть разве что =)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от пох. (?), 30-Апр-21, 11:07 
А чего его искать-то, коли комбайн весь из них и состоит? Или тебе принципиально именно этот, название типа красивое?

/lib/systemd/system/motd-news.timer - вот, к примеру, лежит себе штатный троянец, ну, ладно, лежал - с пол-года назад испортили, гады. А ведь немало инфы о хомячках попер в правильную норку...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

35. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –2 +/
Сообщение от Аноним (35), 30-Апр-21, 11:39 
Ну расскажи мне, какую инфу он попёр в "правильную норку". Статистику версий Убунты? Прям очень ценная инфа, наверно за миллионы биткоинов на чёрном рынке торгуется.
Ответить | Правка | Наверх | Cообщить модератору

44. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –4 +/
Сообщение от пох. (?), 30-Апр-21, 11:52 
> Ну расскажи мне, какую инфу он попёр в "правильную норку".

а зачем тебе, шк0льнику, лишнего знать, спи спокойно.

> Статистику версий Убунты?

нет.

> Прям очень ценная инфа

видимо, предполагалась достаточно ценная, раз ее понадобилось так старательно прятать. В том числе от перехвата dlp системами.

А купили ее или нет, и сколько это было в btc - это кос...запрещенный на впопеннете персонаж только знает.

Ответить | Правка | Наверх | Cообщить модератору

192. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от anonimous (?), 02-Май-21, 22:39 
Запилил он systemd,
Чтобы было как в Винде.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (5), 30-Апр-21, 11:08 
три мать его года
Ответить | Правка | Наверх | Cообщить модератору

56. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от n00by (ok), 30-Апр-21, 12:24 
Антивирус не нужен (с) же.
Впрочем, для детекта такой штуки сигнатурный анализ избыточен, может хватить "пакетного менеджера".
Ответить | Правка | Наверх | Cообщить модератору

71. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от mos87 (ok), 30-Апр-21, 13:24 
не нужен.
Ответить | Правка | Наверх | Cообщить модератору

75. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от n00by (ok), 30-Апр-21, 13:28 
Вы уже посмотрели в оригинале статьи, каким образом в теле зловреда строчки шифруются?
Ответить | Правка | Наверх | Cообщить модератору

134. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (133), 30-Апр-21, 22:22 
не нашел бы дыже если бы и стоял. Кто его в базы то внесет если только нашли?
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

139. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от n00by (ok), 01-Май-21, 08:20 
> не нашел бы дыже если бы и стоял. Кто его в базы
> то внесет если только нашли?

Вы сузили понятие "антиврус" до "сигнатурный сканер" от незнания или что бы запутать?

Ответить | Правка | Наверх | Cообщить модератору

154. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Базиль (??), 01-Май-21, 12:52 
От глупости.
Ответить | Правка | Наверх | Cообщить модератору

204. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (203), 12-Май-21, 18:10 
Integrity: https://sourceforge.net/p/linux-ima/wiki/Home/
Ответить | Правка | К родителю #134 | Наверх | Cообщить модератору

161. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Shinma (ok), 01-Май-21, 19:21 
Простите, а каким образом ваш антивирус в принципе помог бы устранить сам корень причины, а его в статье описали - Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей


вы все сретесь на тему - ой вот еще один зловред итд, а то, что в принципе на его месте может стоять любой другой набор букв хоть скрипт шелковский вы упускаете. Антивирус за вас поставит патчи в систему и закроет дыры? иди все таки тут надо было пользоваться стандартным штатным пакетным менеджером?
к сожалению современные безопасники как раз и думают своим узколобым мышлением - поставьте антивирус на линукс и мы поставим себе галочку в работе, что систему защитили.... а то что этот антивирус может быть очень просто устранен если уж рут получили это уже на тему - ну что ты сразу начинаешь, нормально же общались....

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

165. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от n00by (ok), 02-Май-21, 08:08 
> Простите, а каким образом ваш антивирус в принципе помог бы устранить сам
> корень причины, а его в статье описали - Вредоносное ПО могло
> быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или
> подбора ненадёжных паролей

В моём сообщении был намёк, цитирую: может хватить "пакетного менеджера". В том случае, когда его задача не распаковывать пакетики, как принято считать у некоторых, а обеспечивать целостность системы, то есть согласованность исполняемых файлов и данных. В такой ситуации появление неучтённого юнит-файла исключено, не говоря про исполняемые.

> вы все сретесь на тему - ой вот еще один зловред итд,
> а то, что в принципе на его месте может стоять любой
> другой набор букв хоть скрипт шелковский вы упускаете.

Напомните, пожалуйста, ссылочкой, где я это делал.

> Антивирус за вас
> поставит патчи в систему и закроет дыры? иди все таки тут
> надо было пользоваться стандартным штатным пакетным менеджером?

"Стандартный" ПМ не закроет вектор атаки, поскольку не является не_обходимым для установки в систему.

> к сожалению современные безопасники как раз и думают своим узколобым мышлением -
> поставьте антивирус на линукс и мы поставим себе галочку в работе,
> что систему защитили.... а то что этот антивирус может быть очень
> просто устранен если уж рут получили это уже на тему -
> ну что ты сразу начинаешь, нормально же общались....

К сожалению современные умники как раз и думают своим узколобым мышлением - обобщают частный случай на всех, а когда им говоришь "вы делаете тоже самое" - ну что ты сразу начинаешь, нормально же общались....

Ответить | Правка | Наверх | Cообщить модератору

168. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Shinma (ok), 02-Май-21, 09:06 
"Напомните, пожалуйста, ссылочкой, где я это делал."

Эта часть текста не лично вам, а вообще ко всем кто видит только софтину,а  не то почему она появилась в системе.

""Стандартный" ПМ не закроет вектор атаки, поскольку не является не_обходимым для установки в систему."

Не понятен смысл предложения. Он и не должен быть необходимым он используется, чтобы обновлять систему с репозитария устанавливая все доступные обновления безопасности, чего не антивирус ни другой софт сделать не может, за исключением ручной установки.

"К сожалению современные умники как раз и думают своим узколобым мышлением - обобщают частный случай на всех, а когда им говоришь "вы делаете тоже самое" - ну что ты сразу начинаешь, нормально же общались...."

Так же смысл предложения скрыт от понимания.

Ответить | Правка | Наверх | Cообщить модератору

196. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от n00by (ok), 03-Май-21, 08:05 
> "Напомните, пожалуйста, ссылочкой, где я это делал."
> Эта часть текста не лично вам, а вообще ко всем кто видит
> только софтину,а  не то почему она появилась в системе.

Вон вахтёр на входе сидит, а документы лежат в сейфе. Наверное, директору делать больше нечего, кроме как ключик с собой таскать?

> ""Стандартный" ПМ не закроет вектор атаки, поскольку не является не_обходимым для установки
> в систему."
> Не понятен смысл предложения. Он и не должен быть необходимым он используется,
> чтобы обновлять систему с репозитария устанавливая все доступные обновления безопасности,
> чего не антивирус ни другой софт сделать не может, за исключением
> ручной установки.

Обновления не являются достаточным условием обеспечения безопасности. Безопасность, внезапно, обеспечивается, а не "настраивается".

> "К сожалению современные умники как раз и думают своим узколобым мышлением -
> обобщают частный случай на всех, а когда им говоришь "вы делаете
> тоже самое" - ну что ты сразу начинаешь, нормально же общались...."
> Так же смысл предложения скрыт от понимания.

Это предложение -- Ваше.

Ответить | Правка | Наверх | Cообщить модератору

61. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от Аноним (61), 30-Апр-21, 12:45 
Это исследователи, а не вредители. Исследование длилось три года. Раз Миннесота не призналась значит никто не виноват.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

119. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –2 +/
Сообщение от Атон (?), 30-Апр-21, 18:31 
Это же линукс.
Это же опенсорс.
Сделай сам.
"миллионы пар глаз не пропустят уязвимость"

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

156. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от barmaglot (??), 01-Май-21, 12:57 
> При запуске с правами root для активации вредоносного ПО

Это не уязвимость это ССЗБ. Скачай какашку истанови от рута и бэкдор готов ...

Ответить | Правка | Наверх | Cообщить модератору

162. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от Shinma (ok), 01-Май-21, 19:30 
башкой они не думают, что в принципе если рут получили не благодоря этой софтине то и писать то не очем. А если уж рут поулчил то дальше какая разница чем ты пользуешься.....А сама софтина ничего из перечисленного для получения прав и повшения привилегий не умеет. ей для этого надо другие уязвимости которые или просто патчаться или никто не знает о их существовании как и антивирусы.
Ответить | Правка | Наверх | Cообщить модератору

164. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Атон (?), 02-Май-21, 07:24 
>> При запуске с правами root для активации вредоносного ПО
> Это не уязвимость это ССЗБ. Скачай какашку истанови от рута

Этому бэкдору не нужна установка и рутовые права.

Ответить | Правка | К родителю #156 | Наверх | Cообщить модератору

169. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Shinma (ok), 02-Май-21, 09:07 
В систему он как попал? сам автоматически ищет уязвимости и внедряется?
Ответить | Правка | Наверх | Cообщить модератору

173. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Атон (?), 02-Май-21, 09:20 
> В систему он как попал? сам автоматически ищет уязвимости и внедряется?

через уязвимость браузера.
через уязвимость плагинов.
через <модное по> на электроне.
через уязвимость мессенджера.
через почту.
пользователь сам скачал и запустил.


и да. после этого RotaJakiro по команде управляющего центра скачивает с гитхаба полезную нагрузку - сканер соседних машин, ищет на них уязвимости и сам автоматически ставится.

особенно удобно, когда на соседнюю машину можно по SSH залогинится без ввода "сложного" пароля, с сохраненными в хомяке пользователя ключами.

Ответить | Правка | Наверх | Cообщить модератору

175. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –2 +/
Сообщение от Shinma (ok), 02-Май-21, 09:25 
Две чашки чая этому господину. Т.е. если это читают наши безопасники (мои) - вы балбесы, вам человек выше описал дыры, закрывайте их, а не пытайтесь впарить антивирус и забыть о нормальной настройке безопасности!!!
У нас просто тренд в корпорации - своим админам не верить, верить только статьям в интернете и менеджерам продающими антивирусный и прочий софт по ИБ.
Ответить | Правка | Наверх | Cообщить модератору

186. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –2 +/
Сообщение от Аноним (186), 02-Май-21, 13:09 
>> В систему он как попал? сам автоматически ищет уязвимости и внедряется?
> через уязвимость браузера.
> через уязвимость плагинов.
> через <модное по> на электроне.
> через уязвимость мессенджера.
> через почту.
> пользователь сам скачал и запустил.

Вранье! Это в венде так, а Божественный Пингвинчик неуязвим - тут нужно скачать, поправить сорц, скомпилять и запустить самому. Потому что неуловим^W Ядро защищает! Вотъ!

Ответить | Правка | К родителю #173 | Наверх | Cообщить модератору

172. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Пользователь (?), 02-Май-21, 09:20 
Бэкдор установлен в ядро?
Ответить | Правка | К родителю #164 | Наверх | Cообщить модератору

174. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Атон (?), 02-Май-21, 09:22 
> Бэкдор установлен в ядро?

этому бэкдору не нужна установка.

Ответить | Правка | Наверх | Cообщить модератору

176. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Пользователь (?), 02-Май-21, 09:30 
Значит он изначально был заложен в ядро?
Ответить | Правка | Наверх | Cообщить модератору

198. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Name Field (?), 03-Май-21, 12:27 
> "миллионы пар глаз не пропустят уязвимость"

Придумали Флэтпэк и Снэпы, после чего утверждение уже неверно. Увы.

Ответить | Правка | К родителю #119 | Наверх | Cообщить модератору

200. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Атон (?), 03-Май-21, 21:56 
>> "миллионы пар глаз не пропустят уязвимость"
> Придумали Флэтпэк и Снэпы, после чего утверждение уже неверно. Увы.

А что, софт в флатпаках и снапах без исходников появляется? самозарождается как плесень?

Ответить | Правка | Наверх | Cообщить модератору

6. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (7), 30-Апр-21, 11:09 
Украинские хакеры :)
Ответить | Правка | Наверх | Cообщить модератору

12. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от xrensgory (?), 30-Апр-21, 11:15 
Украинский регистратор, только лишь
Ответить | Правка | Наверх | Cообщить модератору

17. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (17), 30-Апр-21, 11:23 
https://ua.opennet.ru/
Ответить | Правка | Наверх | Cообщить модератору

29. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +13 +/
Сообщение от Аноним (21), 30-Апр-21, 11:36 
А вот если бы это был российский регистратор, то это было бы прямым доказательством вины России. А так всего лишь. Двойные стандарты.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

53. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (17), 30-Апр-21, 12:20 
> Двойные стандарты.

Давай так - https://domain.glass/ua.opennet.ru

gethostbyname    193.111.9.70 [ua.opennet.ru]
IP Location    Kiev Kyiv 03040 Ukraine UA

Ответить | Правка | Наверх | Cообщить модератору

87. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (21), 30-Апр-21, 14:40 
B что мне зеркало с этим именем должно доказать?
Ответить | Правка | Наверх | Cообщить модератору

88. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (21), 30-Апр-21, 14:42 
*И что...
Ответить | Правка | Наверх | Cообщить модератору

32. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (32), 30-Апр-21, 11:37 
Украинские любители аниме
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

62. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (61), 30-Апр-21, 12:45 
Опять Миннесота чудить небось.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

136. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Украинские хакеры (?), 30-Апр-21, 23:16 
Ну да.
Просто мы не любим как systemd, так и Поцтеринга. Не знали, что ли?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

9. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (9), 30-Апр-21, 11:14 
Интересно будет, если в Gentoo вдруг появится процесс системы.
Ответить | Правка | Наверх | Cообщить модератору

14. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от Аноним (9), 30-Апр-21, 11:17 
*системды
Ответить | Правка | Наверх | Cообщить модератору

41. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от ryoken (ok), 30-Апр-21, 11:47 
Как альтернативный инит оно и так есть. А вот если при рабочем OpenRC - это да, повод порыться или повосстаналиваться из бакапов.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

102. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (102), 30-Апр-21, 15:50 
Чтоб оно, вдруг само по себе, не появилось без вашего ведома:
echo "sys-apps/systemd" > /etc/portage/package.mask
Ответить | Правка | Наверх | Cообщить модератору

107. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от ryoken (ok), 30-Апр-21, 16:25 
> Чтоб оно, вдруг само по себе, не появилось без вашего ведома:
> echo "sys-apps/systemd" > /etc/portage/package.mask

Оно у меня в make.conf -systemd. Или стоит перестраховаться?

Ответить | Правка | Наверх | Cообщить модератору

135. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (133), 30-Апр-21, 22:23 
да и захочешь да не поставится или не заработает. гента выбора не дает, однако =)
Ответить | Правка | Наверх | Cообщить модератору

79. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Zenitur (ok), 30-Апр-21, 13:41 
Такой смотришь top или ps -A, а там systemd. В системе, где ты его не собирал O_o.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

104. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (102), 30-Апр-21, 15:52 
Ага, точно, в top со 100% загрузки CPU :)
Ответить | Правка | Наверх | Cообщить модератору

81. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от klalafuda (?), 30-Апр-21, 14:04 
Появление Gentoo где-либо в 2021м году - это само по себе редкое природное явление. Даже без systemd.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

137. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от ryoken (ok), 01-Май-21, 00:08 
> Появление Gentoo где-либо в 2021м году - это само по себе редкое
> природное явление. Даже без systemd.

Куды бечь? Деб давно скурвился, а с rpm-ами я как-то вообще не дружу. Да и привык - надрессировал и пашет аки танк :).

Ответить | Правка | Наверх | Cообщить модератору

155. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Базиль (??), 01-Май-21, 12:54 
Статистикой владеешь? Разбрасываешься слишком сильными заявлениями.
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

10. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от vleemail (ok), 30-Апр-21, 11:15 
"с учётом нагромождения современных дистрибутивов Linux"(С). Дожили! :-)
Ответить | Правка | Наверх | Cообщить модератору

37. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от Аноним (37), 30-Апр-21, 11:42 
>"с учётом нагромождения современных дистрибутивов Linux"(С). Дожили! :-)

А все любители компактного ПО же говорили, что ядро и дистрибутивы превращаются в блоатварь. Все эти systemd, NetworkManadger, firewalld все друг другу родные братья, отбирающие у пользователя контроль над тем, что система делает. Но им отвечали, что нынешний Windows жрёт больше ресурсов. И вот результат. Троян в системе теперь найти сложно как иголку в стоге сена. Уже не посмеёмся над Windows-юзерами с их безликими svchost.exe.

Ответить | Правка | Наверх | Cообщить модератору

51. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 30-Апр-21, 12:12 
> NetworkManadger

Ну дык, писать на форумах всяко легче, чем разобраться с ip или ifconfig.

Ответить | Правка | Наверх | Cообщить модератору

144. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (143), 01-Май-21, 09:22 
Найти иголку в стоге сена очень просто. Надо сжечь стог. Да, все верно, я именно про это.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

201. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (201), 04-Май-21, 01:41 
А я говорил что DOS вечен?
Ответить | Правка | Наверх | Cообщить модератору

16. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +11 +/
Сообщение от Аноним (21), 30-Апр-21, 11:19 
Вредоносное ПО, маскирующееся под вредоносное ПО. Парадокс.
Ответить | Правка | Наверх | Cообщить модератору

28. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Ля (?), 30-Апр-21, 11:36 
Рекурсия
Ответить | Правка | Наверх | Cообщить модератору

20. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +9 +/
Сообщение от YetAnotherOnanym (ok), 30-Апр-21, 11:28 
"_За_громождения". Нагромождение дистрибутивов - это когда дистрибутив на дистрибутив. А когда в дистрибутиве напихано хлама - это загромождение дистрибутива.
Ответить | Правка | Наверх | Cообщить модератору

42. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +3 +/
Сообщение от ryoken (ok), 30-Апр-21, 11:48 
>> Нагромождение дистрибутивов - это когда дистрибутив на дистрибутив

Mint что ли? (Минт поверх бубунты поверх Деба, в случае LMDE - только поверх Деба :D ).

Ответить | Правка | Наверх | Cообщить модератору

22. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от Аноним (35), 30-Апр-21, 11:29 
А не нарушают ли авторы статьи, размещённой на blog.netlab.360.com, законы о копирастии? Они ведь без разрешения авторов вредоноса провели реверс-инжиниринг их "интеллектуальной собственности", да ещё и публикуя результаты на сайте компании, что усиливает популярность сайта, а значит ведёт к финансовой выгоде, а значит "из корыстных побуждений". Более того, разбором вредоноса авторам вредоноса, очевидно, ещё и нанесён ущерб, включая упущенную выгоду.

Предлагаю Бидону и лидерам Евросоюза лично поручить "правоохранителям" проверить наличие нарушения копирайта и в связи с этим исследовать необходимость введения санкций против указанной компании в частности и КНР в общем. Ильфак, конечно, будет против, но кто его спрашивает. Пусть Гидру АНБ используют вместо Иды.

Закон ведь должен быть один для всех, и для Take 2, и для вредоносописателей.

Ответить | Правка | Наверх | Cообщить модератору

34. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от фыв (??), 30-Апр-21, 11:39 
Пока такие как вы сидят тихо, у нас есть подобная информация.
Ответить | Правка | Наверх | Cообщить модератору

43. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Адмирал Майкл Роджерс (?), 30-Апр-21, 11:51 
Агентство Национальной Безопасности США действует в рамках полномочий, определённых соответствующими законодательными актами Соединённых Штатов. Могу заверить, что безответственное разглашение компанией 360 Netlab технических подробностей об упомянутом в новости программном обеспечении получит должную оценку и не останется без последствий.
Считаю при этом необходимым предостеречь неуполномоченных лиц от попыток давать поручения Агентству Национальной Безопасности США.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

23. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от Аноним (23), 30-Апр-21, 11:31 
Узвери в кедах и на zsh могут спать спокойно?
Ответить | Правка | Наверх | Cообщить модератору

26. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –4 +/
Сообщение от пох. (?), 30-Апр-21, 11:35 
нет, на кремацию в кедах нельзя. Только туфли или тапочки.

Неэкологично, понимаешь...

Ответить | Правка | Наверх | Cообщить модератору

25. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Анонимemail (25), 30-Апр-21, 11:35 
Секюрити бай обскюрити даëт плоды...
Ответить | Правка | Наверх | Cообщить модератору

49. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (21), 30-Апр-21, 12:00 
>Секюрити бай обскюрити даëт плоды...

Какой хитрый, потер свой комментарий про любов к дыркам винды.

Ответить | Правка | Наверх | Cообщить модератору

96. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним84701 (ok), 30-Апр-21, 15:04 
> Секюрити бай обскюрити даëт плоды...
>> Security through diversity is a calculated and measured response to attacks against the mainstream and is usually used to survive and withstand uniform attacks. This response involves intentionally making things slightly different to completely different, forcing an attacker to alter a standard attack vector, tactics, and methodology.

Computer and Information Security Handbook, 2009

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

46. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (46), 30-Апр-21, 11:57 
А вот в слаке бы сразу заметно было, что какой-то systemd появился
Ответить | Правка | Наверх | Cообщить модератору

145. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от слакавод (?), 01-Май-21, 09:40 
что верно- то верно!
Ответить | Правка | Наверх | Cообщить модератору

159. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (159), 01-Май-21, 13:58 
kworker panel-24 webcontent rcu_par_gp dconf kdeconnectd xfconfd at-spi2-registryd dbus-launch/daemon pulseaudio
системд смотрелся бы скромно, незаметно
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

54. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (54), 30-Апр-21, 12:22 
Интересно, хоть кто-то из фапающих дочитал до методов установки зловреда? :) Или как обычно - скушали желтенькое из заголовка и сразу возбудились?
Ответить | Правка | Наверх | Cообщить модератору

57. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (57), 30-Апр-21, 12:29 
*лениво так* А шо там? Снова от рута запускать? Ничего интересного же.
Ответить | Правка | Наверх | Cообщить модератору

60. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +5 +/
Сообщение от Аноним (61), 30-Апр-21, 12:43 
Лол сам почитай там и от пользователя и от рута можно. В любой npm пакет добавь и все, делов то.
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

63. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от n00by (ok), 30-Апр-21, 12:47 
При запуске в правами root создаёт юнит-файл с Restart=always.
Ответить | Правка | Наверх | Cообщить модератору

123. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (123), 30-Апр-21, 19:43 
Ну не осилили написать непадучий вирус, что поделать. Скажи спасибо что не на питоне.
Ответить | Правка | Наверх | Cообщить модератору

141. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от n00by (ok), 01-Май-21, 08:30 
> Ну не осилили написать непадучий вирус, что поделать. Скажи спасибо что не
> на питоне.

Это вообще не про падучесть. Это задача "выживания" решена средствами системы. Без root-прав (когда нет возможности создать юнит systemd) два процесса перезапускают один другой.

Ответить | Правка | Наверх | Cообщить модератору

72. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от mos87 (ok), 30-Апр-21, 13:24 
так и не рассказали как его подцепить-то. опять скачать скомпилить и запустить от рута?
Ответить | Правка | Наверх | Cообщить модератору

82. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (82), 30-Апр-21, 14:07 
По первой ссылке в новости все подробно расписано. Без рута тоже работоспособен, в рамках прав этого юзера конечно.

Это же троян, а не вирус. Он (или его доставщик) идёт как пейлоад к какой-нибудь уязвимости.

Ответить | Правка | Наверх | Cообщить модератору

73. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от Аноним (73), 30-Апр-21, 13:25 
мерзкий, мерзкий, мерзкий systemd.. сдохни поцтер, сгинь шапка.
Ответить | Правка | Наверх | Cообщить модератору

80. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Анонимemail (80), 30-Апр-21, 13:59 
Вредоносное ПО маскируется под другое Вредоносное ПО
Ответить | Правка | Наверх | Cообщить модератору

83. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от Вопль_в_пустыне (?), 30-Апр-21, 14:22 
Вот поэтому и ставим фряху везде где можно заменить линукс. Линукс давно протух и всех тащит в бездну.
Ответить | Правка | Наверх | Cообщить модератору

116. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от paulus (ok), 30-Апр-21, 17:34 
> Вот поэтому и ставим фряху везде где можно заменить линукс.

Вот когда фряха будет сразу запускаться на ноутах, тогда и поговорим...

Ответить | Правка | Наверх | Cообщить модератору

117. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от bi brother (?), 30-Апр-21, 17:58 
Cuck license. Спасибо канеш...
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

84. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от Аноним (84), 30-Апр-21, 14:23 
> новое вредоносное ПО для Linux, маскирующееся под процесс systemd

Процесс systemd, маскирующийся под безобидное ПО.

Ответить | Правка | Наверх | Cообщить модератору

85. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от lockywolf (ok), 30-Апр-21, 14:28 
Это хорошо, что под Линукс новое ПО появляется.
Ответить | Правка | Наверх | Cообщить модератору

86. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +5 +/
Сообщение от Аноним (86), 30-Апр-21, 14:37 
Хахаха, маскировка под systemd, кто бы сомневался. Уже никто не знает что в этом .... творится. Один шлако процессом больше и никто не заметит.
Ответить | Правка | Наверх | Cообщить модератору

113. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (113), 30-Апр-21, 16:53 
Особенно  забавно когда никаких dbus и gvfs там быть не может в принципе, да и системд не везде. На кого это рассчитано? Лично я бы скорее не заметил лишний file.so в процессах или там thumbnailer.so -- их и так там десятки. Если рут есть, можно и вообще спрятать из процессов (не уверен насчёт ванильных ядер, но различные патчи позволяют что угодно скрывать от рута в рантайме). А вот трафик промониторить бы не плохо было, такие стрёмные домены палятся на раз. Как и айпишнике украинские. Причём, желательно, подключаться к роутеру, и получать с него, но это опционально и роутер первым заразят, так что нужно анализировать расхождения в трафике между роутером и пк.
Ответить | Правка | Наверх | Cообщить модератору

91. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (91), 30-Апр-21, 14:48 
Интересно, а трояны для intel me кто-нибудь писал? А то какой профит это вирусописателям даст, intel me имеет доступ к любой части озу, к любой железки, умеет из коробки работать с сетью и к тому же имеет более высокий приоритет, что процессор и даже то что работает в 0 кольце процессора. Да и найти такую закладку будет очень трудно и тем более её перепрошить!
Ответить | Правка | Наверх | Cообщить модератору

94. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (94), 30-Апр-21, 14:58 
Поздравляю всех любителей системды. Привет с антикса )
Ответить | Правка | Наверх | Cообщить модератору

100. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (73), 30-Апр-21, 15:18 
падержую, привет с Devuan!
Ответить | Правка | Наверх | Cообщить модератору

118. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (118), 30-Апр-21, 18:08 
Как отсутствие системд спасает от сабжа? Разве что юзеру с каким нибудь sysvinit будет легче заметить вирус, т.к системд в процессах быть не может
Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

180. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Супернуб (?), 02-Май-21, 11:23 
элементарно жеж - отсутствие сис-г спасает появлением оного в списках процессов, что должно наводить на нехорошие мысли.
ЗЫ. Коньки эту задачу облегчают - пяток топовых процессов и пара-тройка текущих соединений с нетом.
Как зеркало заднего вида на авто - достаточно изредка вросаь в него взгляд, что бы избежать неожиданностей.
Кстати - как-то ставил себе ТОР. Было прикольно - браузер не запущен, а в сетку всё равно лезет.
Снёс нафиг - купил VPN. Сейчас снова никаких непонятных коннектов
Ответить | Правка | Наверх | Cообщить модератору

187. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (186), 02-Май-21, 13:14 
> Супернуб
> Кстати - как-то ставил себе ТОР. Было прикольно - браузер не запущен,
> а в сетку всё равно лезет.
> Снёс нафиг - купил VPN. Сейчас снова никаких непонятных коннектов

Не вводи людей в заблуждение - замени в нике "нуб" на "ламер".

Ответить | Правка | Наверх | Cообщить модератору

98. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –1 +/
Сообщение от swine (ok), 30-Апр-21, 15:11 
Оличная новость. Скоро linux сравняется таки функциональностью с windows.
Ответить | Правка | Наверх | Cообщить модератору

99. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (73), 30-Апр-21, 15:17 
надоело каждый день шляпу хоронить, ну вот и сегодня тож рип.
Ответить | Правка | Наверх | Cообщить модератору

105. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –11 +/
Сообщение от Аноним (105), 30-Апр-21, 15:58 
А, древние мифы:

В линуксе нет malware. Есть.

Линуксу не нужен AV. Нужен.

Исходный код проверяют десятки тысяч людей. Часто никто, кроме коммитера.

// b.

Ответить | Правка | Наверх | Cообщить модератору

108. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от Аноним (113), 30-Апр-21, 16:25 
Даже венде не нужен антивирус (который в любом случае пропустит больше половины дряни и при этом удивительным образом доконает своими false-positive там где нормальный целиком легитимный софт купленный в магазине). Ботнеты это не malware. Нужно просто приучить хомячков, подобных тебе, все левые файлы отсылать на вирус тотал. И если тот этого не сделал, прилюдно пускать по кругу. А вот шпионящие программы на ПК действительно не нужны.

Пс обычно и коммитер не проверяет, так что только перекрёстные ревью устраивать, благо опенсорс хотя бы кто-то читает. Я вот читаю разнообразный опенсорс, иногда он в это время где-то на стадии прототипа. Если я вижу обфусцированные данные, у меня возникают вопросы.

Ответить | Правка | Наверх | Cообщить модератору

199. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Name Field (?), 03-Май-21, 12:32 
> Исходный код проверяют десятки тысяч людей. Часто никто, кроме коммитера.

Если этот код не в офиц. репо и вообще мало популярен. Ерунда это про десятки тысяч. Проверяют, но не всю планету, а малую часть.

Остальную часть, большую, ташат к себе хомячки. Ставшее по силам хомячкам автоматически выпадает из проверок и затухает.

Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

109. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (109), 30-Апр-21, 16:36 
Чем в Artix/Void systemd-networkd/resolved/journald заменяют обычно?
Ответить | Правка | Наверх | Cообщить модератору

114. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от sig11 (ok), 30-Апр-21, 17:01 
Обычно systemd-networkd/resolved/journald  - заменяется на busybox

В моем artix обхожусь:

ifconfig,route,brctl вместо systemd-networkd
dnsmasq вместо resolved
rsyslog вместо journald

Ответить | Правка | Наверх | Cообщить модератору

115. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (115), 30-Апр-21, 17:25 
https://serverfault.com/questions/458628/should-i-quit-using...
DNS over TLS dnsmasq не поддерживает, вроде, да и там DHCP server внутри еще.
Ответить | Правка | Наверх | Cообщить модератору

152. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (152), 01-Май-21, 12:24 
Чо? Там по умолчанию есть утилита ip.. впрочем нормальные люди при установке уже ставят все так как нужно.
Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

110. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (113), 30-Апр-21, 16:41 
Знаете ли вы какие-нибудь мониторы трафика для линукса? Ну чтобы вроде какого-нибудь nethogs только не говно. Wireshark это конечно хорошо, но во-первых не совсем реалтайм и больше про разбор пакетов и не мониторинг, во-вторых не понятно что вообще фильтруется файрволом и на каком этапе, а что пролазит. У меня весь канал забит спамом от всякого дерьма в локалке, нтп генерирует кучу рандомных коннектов, а тут ещё китайцы ломятся с миллионов ипешников.

Может быть что-то навроде nettop, только чтобы geoip был и показывались соединения (куда-откуда и что и сколько), и не только реалтайм. И может быть интеграцию с ядерным файрволом. Я склоняюсь к написанию собственного мониторинга, но задача-то вроде примитивная. Почему никто не думает о пользователях?

Ответить | Правка | Наверх | Cообщить модератору

147. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Fractal cucumber (ok), 01-Май-21, 10:28 
.
Ответить | Правка | Наверх | Cообщить модератору

181. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Супернуб (?), 02-Май-21, 11:36 
На коленке - последние тёплые ламповые "коньки" и в них секретный параметр "tcp_portmon"
Быстро, дёшево, сердито, в реальном времени - что, куда, откуда, по каким портам и протоколам.
Геолокацию, конечно, не даст, но, на самом деле, она особо-то и не нужна, что бы увидеть не своё
соединение
Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

111. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +4 +/
Сообщение от Аноним (111), 30-Апр-21, 16:44 
Нужно, долгих лет проекту
Ответить | Правка | Наверх | Cообщить модератору

120. Скрыто модератором  +/
Сообщение от Аноним (120), 30-Апр-21, 19:18 
Ответить | Правка | Наверх | Cообщить модератору

121. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  –2 +/
Сообщение от Dzen Python (ok), 30-Апр-21, 19:31 
> новое вредоносное ПО

1. Они его хотя бы минимально отладили, не будет падать с сегфолтами, как остальные нескриптовые виросы?
2. С какой версией либси собирать систему надо?
3. Какие зависимости у него? Какие версии зависимостей? С какими флагами их собирать?
4. Откуда оно запустится на системе, если для /var, /home и /temp у меня явно запрещен запуск чего бы то ни было?

Ответить | Правка | Наверх | Cообщить модератору

126. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (126), 30-Апр-21, 19:53 
Вот тоже интересно, где эту хрень скачать можно умудриться.
В голову приходят только скрипты установки программ и сомнительные .run архивы. Может быть ещё AppImage  с сомнительных источников?
Ну я на винде без антивируса сидел и не ловил вирусы, просто не устанавливал что попало. Врят ли этому линуксоиды  СИЛЬНО подвержены.
Ответить | Правка | Наверх | Cообщить модератору

146. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Fractal cucumber (ok), 01-Май-21, 10:26 
Ну так вирусов уже нет давно нигде, понятно что не ловил.
Ответить | Правка | Наверх | Cообщить модератору

124. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (124), 30-Апр-21, 19:52 
>При запуске с правами root для активации вредоносного ПО создавались

Скущно. Расходимся

Ответить | Правка | Наверх | Cообщить модератору

127. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от Аноним (126), 30-Апр-21, 19:57 
Да можно и без рута. В /home/  юзера может быть куча текстовых файликов с паролями и прочими важными данными. У меня например так, и боты видел сервера на это сканировать пытаются, на всякие backup.zip, password.txt и т.д
Ответить | Правка | Наверх | Cообщить модератору

132. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от Аноним (132), 30-Апр-21, 21:52 
На https://busybox.net/ нашел ссылку "Life without systemd", которая ведёт на kill_it_with_fire.txt
Спасибо, RotaJakiro! :)
Ответить | Правка | Наверх | Cообщить модератору

150. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от darkshvein (ok), 01-Май-21, 11:19 
пользуясь случаем, передаю привет Леонарду П. и показываю ему средний палец.
гений, просто гений.
теперь фиг разберёшь, где атака, а где нет, с этим нагромождением бинарников.


походу, надо валить на генту.

Ответить | Правка | Наверх | Cообщить модератору

153. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (152), 01-Май-21, 12:24 
Void еще есть.
Ответить | Правка | Наверх | Cообщить модератору

151. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +2 +/
Сообщение от Аноним (152), 01-Май-21, 12:19 
Системдунам превед!
Ответить | Правка | Наверх | Cообщить модератору

157. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +3 +/
Сообщение от Аноним (157), 01-Май-21, 13:21 
Новый патч из Миннесоты
Ответить | Правка | Наверх | Cообщить модератору

160. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от InuYasha (??), 01-Май-21, 15:23 
А rkhunter ничего не замечал? Или он на новые файлы не реагирует..
Ответить | Правка | Наверх | Cообщить модератору

167. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от n00by (ok), 02-Май-21, 08:58 
> А rkhunter ничего не замечал? Или он на новые файлы не реагирует..

rkhunter в принципе что-то найти может? Я эту башпортянку не осилил, вдруг там есть какой скрытый смысл. Хватило нижеследующего фрагмента. Антируткиты под альтернативную ОС используют драйвера не от избытка лишнего времени разработчиков.

    # Evil strings
    STRINGSCAN="crond:LOGNAME=root:Illogic Rootkit
            hostname:phalanx:Phalanx Rootkit
            init:/dev/proc/fuckit:Fuckit Rootkit
            init:FUCK:Suckit Rootkit
            init:backdoor:Suckit Rootkit (backdoored init file)
            init:/usr/bin/rcpc:Portacelo Rootkit
            init:/usr/sbin/login:trNkit Rootkit ulogin
            killall:/dev/ptyxx/.proc:Ambient (ark) Rootkit
            login:vt200:Linux Rootkit (LRK4)
            login:/usr/bin/xstat:Linux Rootkit (LRK4)
            login:/bin/envpc:Linux Rootkit (LRK4)
            login:L4m3r0x:Linux Rootkit (LRK4)
            login:/lib/libext:SHV4 Rootkit
            login:/usr/sbin/login:Flea Linux Rootkit
            login:/usr/lib/.tbd:TBD Rootkit
            login:sendmail:Ambient (ark) Rootkit
            login:cocacola:cb Rootkit
            login:joao:Spanish Rootkit
            ls:/dev/ptyxx/.file:Dica-Kit Rootkit
            ls:/dev/ptyxx/.file:Ambient (ark) Rootkit
            ls:/dev/sgk:Linux Rootkit (LRK4)
            ls:/var/lock/subsys/...datafile...:Ohhara Rootkit
            ls:/usr/lib/.tbd:TBD Rootkit

...

    # Possible rootkit files and directories
    # The '%' character represents a space.
    FILESCAN="file:/dev/sdr0:T0rn Rootkit MD5 hash database
          file:/dev/pisu:Rootkit component
          file:/dev/xdta:Dica-Kit Rootkit
          file:/dev/saux:Trojaned SSH daemon sniffer log
          file:/dev/hdx:Linux.RST.B infection
          file:/dev/hdx1:Linux.RST.B infection
          file:/dev/hdx2:Linux.RST.B infection


Ответить | Правка | Наверх | Cообщить модератору

185. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от InuYasha (??), 02-Май-21, 12:10 
В базе сигнатур известных руткитов нет ничего плохого. Насколько я помню, ркх реагирует на изменение файлов в системе (чем, кстати, должен заниматься пакетный менеджер и какой-нибудь селинукс, если что).
Ответить | Правка | Наверх | Cообщить модератору

188. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +1 +/
Сообщение от n00by (ok), 02-Май-21, 16:32 
> В базе сигнатур известных руткитов нет ничего плохого.

Место занимает, даёт пользователям иллюзию неких гарантий. Даёт явные указания авторам: вас нашли.

Руткит под альтернативной ОС "не имеет" файлов, а стало быть и сигнатур. Там RootkitRevealer Марка Руссиновича получает списки файлов двумя различными способами и сравнивает, таким образом находит скрытые.

> Насколько я помню, ркх
> реагирует на изменение файлов в системе (чем, кстати, должен заниматься пакетный
> менеджер и какой-нибудь селинукс, если что).

Вот-вот, информация о файлах для пакетного менеджера доступна, но почему-то изменения он не отслеживает. Уних-вэй, ага, инфекции должна ловить отдельная программулина, дублируя функционал. А если я случайно файл удалил, это вообще никто не решает, значит я ССЗБ и всё тут.

Ответить | Правка | Наверх | Cообщить модератору

163. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  –1 +/
Сообщение от Shinma (ok), 01-Май-21, 19:38 
"Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей. "

Дальше вопрос можно закрывать, очередная фейко новость для тупых начальников ИБ. Они не будут думать, что первопричина это не софтина в новости, а дыры в системе которые оказались там или потому, что систему не патчили обычным пакетным менеджером или об этих уязвимостях еще вообще никто не знает. А то что в итоге получая рут и доступ ты там ставишь/удаляешь/маскируешь хоть что угодно это уже тупых начальников не колышит. Главное воткнуть антивирус, который не пакеты не умеет писать раньше чем они в репозитории появятся ни дыры эти самые не закроет,по факту только в качестве системы мониторинга ставится.
В итоге если есть уязвимости для поулчения рута то каким боков тут вообще новость про какуюто говно софтину? вы лучше скажите как они рут получили, что там за дыры были. Почему у них в итоге оказались права рута что они смогли какуюто левую софтину там поднять? где основной материал то? почему пишут в стиле рекламы антивирусных программ? А то описали в принципе обычный клиент удаленного управления с кучей крутых фишек, а вот, что на самом деле к безопасности относится - нету. Как оно попало в систему??? как это можно было избежать? корень зла в итоге совсем не там где описано в статье. Вы же думайте головой, что вас тупые ИБшники читают и им палец в рот не клади дай систему защитить антивирусом и нафеячить проблем админам , а не защитить систему Linux, как оно должно быть. когда злоумышленник получил рута используя уязвимости в системе - какая вообще после этого разница какое он туда ПО поставил??? сообщать надо материал - КАК ОН РУТ ПОЛУЧИЛ. а то, что он туда в итоге понаставил это уже хоть башь скрипт хоть удаленное управление это уже вторичная проблема.

Ответить | Правка | Наверх | Cообщить модератору

166. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  –1 +/
Сообщение от n00by (ok), 02-Май-21, 08:31 
> сообщать надо материал - КАК ОН РУТ ПОЛУЧИЛ. а то, что
> он туда в итоге понаставил это уже хоть башь скрипт хоть
> удаленное управление это уже вторичная проблема.

Рут получен терморектокриптоанализом. Тем же способом получены обязательства админа умолчать о компрометации системы. Ещё вопросы? Ещё желающие?

Ответить | Правка | Наверх | Cообщить модератору

170. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +1 +/
Сообщение от Shinma (ok), 02-Май-21, 09:11 
Я думал форум фантазеров и сказочников по другим адресам находится. Вы безопасность так же настраиваете с учетом что вам проведут - терморектокриптоанализ, а руководствоваться навыками администрирования Linux систем уже выше ваших знаний?
Ответить | Правка | Наверх | Cообщить модератору

177. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +/
Сообщение от n00by (ok), 02-Май-21, 09:33 
Дело в том что я не обменистратор ЛВС, потому не знаю, что означает "настраивать безопасность". Зато я немножко в курсе теории (кое-что слышал про доказательства корректности, без которых императивные реализации априори уязвимы) и практики, где безопасность это, так сказать, процесс. Кстати, когда Вашу Home Page начнёт атаковать эксперт с паяльником, не советую его бить -- даже если сломать ему ногу, он это не почувствует, только разозлится.
Ответить | Правка | Наверх | Cообщить модератору

178. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +/
Сообщение от Shinma (ok), 02-Май-21, 09:47 
> Дело в том что я не обменистратор ЛВС, потому не знаю, что
> означает "настраивать безопасность". Зато я немножко в курсе теории (кое-что слышал
> про доказательства корректности, без которых императивные реализации априори уязвимы)
> и практики, где безопасность это, так сказать, процесс. Кстати, когда к
> Вам придёт эксперт с паяльником, не советую его бить -- даже
> если сломать ему ногу, он это не почувствует, только разозлится.

К вам никаких претензий не имею, просто эти статьи иногда читают наши (мои) безопасники. А мне потом пол года разгребать их глупые потуги нагадить в моих линукс системы. Потому, что знаний и опыта работы в Linux системах у них нет, в универе им преподают как осуществлять защиту периметра на бумаге не вдаваясь в инженерную часть всего оборудования и ПО на Linux от точки доступа в интернет корпорации до последнего пользователя, в итоге все, что они могут это читать вот такие рекламные новости и ставить антивирус который им тоже прорекламировали.... а когда я им пишу - ребята я рут в системе, вы написали бумаги где написано, что вы защищаете систему в том числе от меня.... у меня рут есть вам о чем то это говорит???... они верят в святость и непогрешимость антивируса под Linux, он всемогущ. Потому, что настоящая настройка Linux в сторону безопасности это настолько сложный геморойный процесс, что никому не охото за это браться когда у тебя 200+ систем только на линуксах  и нужно не наломать дров.
Зато вот такие новости про софт в Linux им как голодной собаке косточка, чувствую после праздников опять письмо прилетит официальное с этой статьей... Потому, что в статье нет акцента на то как получен доступ в систему, а есть только сам факт уже полученного доступа и что само ПО детектируется антивирусом....спустя три года....Очень существенная разница искать причину-дыру как проникли в систему и закрыть ее или просто тупо пытаться защититься антивирусником от трояна. так если хакеры доступ получили какая им разница, что троян спалили антивирсуником, если им надо они что угодно могут наворотить через те же дыры. Хоть 1005001 троянов наставить, хоть снести ее, хоть зашифровать.

Ответить | Правка | Наверх | Cообщить модератору

179. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +/
Сообщение от Shinma (ok), 02-Май-21, 10:02 
понаберут винтузятников по объявлению на работу в ИБ, а потом они мне вот такие статьи про Linux тыкают на работе. Ну или со стажем 40+ лет и которые сидят на своем месте уже просто по сроку службы, а по знаниям ноль без палочки, потому, что новые технологии они не изучали. В ИТ все меняется и устаревает очень быстро. Чтобы быть в тренде надо постоянно учится, а наши только и могут, что жопу просиживать и получать ЗП за былые заслуги и выслугу лет.
Ответить | Правка | Наверх | Cообщить модератору

194. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  –1 +/
Сообщение от Аноним (152), 03-Май-21, 03:09 
Вам открыть секрет? Вантуз всем нужен, а потому ванузятники. Пусть 200 не на вантузе, но все же один сервер это все те же знания винды. Линукс без патчей безопасности дыряв предположим, а они платными стали. Так зачем объяснять всем как эксплуатировали дыру? Вот когда перестанете на других как на арагов глядеть так начнете внятно объяснять им и учить их как надо работать с компами. А то есть психопаты что думают они будут в крупной конторе работать только с железом. И да никому ненужно 5 лет учить как защитить комп. Там материала то на пол года от силы если преподавать все прямо и понятно. Так вот странно видеть от админы непонятные эмоции. Пока уязвимость не исправят информация о ней должна оставаться закрытой. Главный в OpenBSD разок отличился когда шобла типа продвинутых корпорастов проигнориала его существование и опубликовал патчи уязвимостей процессоров. Вони тогда было дофига.  Вы же не публикуете свои личные и паспортные данные на каждом заборе. Вот и безопасникам по мозгам трактор проехался "делать вид деятельности" пока учзвимость не исправят. Вы может и привыкли только с компами бороться, но с людьми можно и нужно сотрудничать. А то обычно программиста и администратора принудительно делают врагами и типа так лучше. Нет, хуже. Так делают те, кто не занимается одним делом - построением программы и внедрением. Пуско-наладочные работы делают не работники заводов, а программисты написавшие софт (или иные сотрудники связанные с ними напрямую). Если бы онибыли врагами, то за любую лшибку всех казрили бы. Сами то в двух словах не объяснили как должно быть. Потому что те кто пишут статью должны, а чукча не писатель. Надеюсь понятно объяснил, а то многие мозгоеды думают с ними кто-то правда хочет общаться.
Ответить | Правка | Наверх | Cообщить модератору

182. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +1 +/
Сообщение от n00by (ok), 02-Май-21, 11:42 
> эти статьи иногда читают наши
> (мои) безопасники.

Слава Богу, хоть кто-то читает. Некоторые даже дочитывают до "при выполнении с правами обычного пользователя".

Ответить | Правка | К родителю #178 | Наверх | Cообщить модератору

183. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +1 +/
Сообщение от n00by (ok), 02-Май-21, 11:51 
> Потому, что в статье нет акцента на то как получен доступ
> в систему

В статье, если под ней понимать оригинал, вообще про получение доступа не сказано (во всяком случае, при беглом просмотре я не нашёл). При этом приведены фрагменты псевдокода многих фрагментов зловреда, то есть анализ выполнен достаточно подробно и вариант "не нашли" отпадает. Это говорит о том, что в обнаруженных экземплярах код установки в систему отсутствует. Значит либо "установщик" с системы удалён (представляет бо́льшую ценность, чем рабочий модуль), либо там рядом руткит, который не обнаружили.

Ответить | Правка | К родителю #178 | Наверх | Cообщить модератору

184. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd"  +/
Сообщение от Shinma (ok), 02-Май-21, 12:07 
да я тоже статьи почитал, что в интернете сейчас про него пишут, нет информации как зловред оказался в системе. но сам он этого не умеет.
Ответить | Правка | Наверх | Cообщить модератору

171. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Пользователь (?), 02-Май-21, 09:18 
Итак, как же все-таки был получен рут доступ? Или закладка была в ядре?
Ответить | Правка | Наверх | Cообщить модератору

193. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от Аноним (193), 03-Май-21, 02:54 
А обвинят опять Петрова и Баширова :)
Ответить | Правка | Наверх | Cообщить модератору

202. "RotaJakiro - новое вредоносное ПО для Linux, маскирующееся п..."  +/
Сообщение от dyadya (?), 04-Май-21, 18:27 
Новость от китайцев, создавших антивирь.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру