The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Загадочная инфекция поражает web-сайты на Linux/Ap..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Загадочная инфекция поражает web-сайты на Linux/Ap..."  
Сообщение от opennews on 25-Янв-08, 13:14 
Компания Finjan (http://finjan.com/) опубликовала пресс-релиз (http://www.finjan.com/Pressrelease.aspx?PressLan=1819&id=1820), из которого следует, что она обнаружила новый вид сетевой инфекции, из-за которой уже пострадало более 10 тыс. сайтов. Заражению подвержены только компьютеры под управлением Linux с установленным HTTP-сервером Apache.


Марк Кокс из команды безопасности Apache заявил, что не имеет никаких доказательств того, что инфекция эксплуатирует незакрытую уязвимость в Apache. Команда безопасности RedHat тоже заявила, что не может прокомментировать происходящее, т.к. на данный момент еще не получила доступ к инфицированным машинам. Компания cPanel опубликовала предупреждение (http://www.cpanel.net/security/notes/random_js_toolkit.html), в котором описано поведение инфекции после заражения системы ( установка rootkit и замена ряда исполняемых файлов, динамически создающие JavaScript вставки вклинивающиеся в трафик сайтов).


В качестве одного из способов обнаружения паразитной активности, предлагается использовать tcpdump:

   tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'").


Инфекцию назвали Random JS Toolkit и пока не найден способ ее удаления, кроме повторной установки ОС и замены паролей.

URL: http://www.linux.com/feature/125548
Новость: http://www.opennet.me/opennews/art.shtml?num=13845

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от leonid.ko on 25-Янв-08, 13:14 
Что-то на утку похоже. Слишком серьёзная уязвимость что бы её так просто пропустили разработчики и администраторы (ИМХО).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от sakal email(ok) on 25-Янв-08, 13:22 
ну по поводу инфекции ранее, могу подтвердить, к нам обращалось множество клиентов с жалобой на неизвестно откуда взявшийся javascript-код на страницах (правда чаще говорили "касперский ругается на наш сайт") :) зараза дописывала в конце всех index.php файлов js-код и при открытии предлагала скачать exe-файлек
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от garmahis (ok) on 25-Янв-08, 16:16 
Мы тоже на этом обожглись. Организация, предоставляющая нам хостинг до сих пор не решила эту проблему. Так и приходится периодически перезаливать php-файлы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Dvorkin email(??) on 25-Янв-08, 20:08 
мой опыт говорит, что инфекция, вставляющая в index.php / index.html свой код на яваскрипте появилась уже как полгода.
виноваты в ней пользоователи виндовссс, которые забивают пароли доступа к FTP в свой Total Commander.
забивают, а потом червяк из совершенно другой сети откуда-нибудь из ЮАР или что-то в этом духе при помощи этого пароля имеет полный FTP

вот каждый раз я радуюсь, что у меня Линукс на PC. а любители винды сами свое г..вно вычищают со своих сайтов. не дело это сисадмина :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

92. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Юрий email(??) on 22-Фев-08, 10:49 
>[оверквотинг удален]
>на яваскрипте появилась уже как полгода.
>виноваты в ней пользоователи виндовссс, которые забивают пароли доступа к FTP в
>свой Total Commander.
>забивают, а потом червяк из совершенно другой сети откуда-нибудь из ЮАР или
>что-то в этом духе при помощи этого пароля имеет полный FTP
>
>
>вот каждый раз я радуюсь, что у меня Линукс на PC. а
>любители винды сами свое г..вно вычищают со своих сайтов. не дело
>это сисадмина :)

Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было. Я админ хостинга. Ежедневно чистим.
Чистильщик конечно до безобразия прост.
Ну и потихоньку сигнатуры собираю чтобы потом в  антивирусник прикрученный к фтп  зарядить чтоб на лету чистило

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

93. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Dvorkin email(??) on 22-Фев-08, 11:11 
>Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было.
>Я админ хостинга. Ежедневно чистим.

я своим немногочисленным строго-настрого наказал насчет Тотал Коммандера и смены паролей на FTP.
и пару раз заставил самим разгрести.
все спокойно уж давно как...

>Чистильщик конечно до безобразия прост.

да, на sh можно написать

>Ну и потихоньку сигнатуры собираю чтобы потом в  антивирусник прикрученный к
>фтп  зарядить чтоб на лету чистило

вы молодец.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

94. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Юрий email(??) on 22-Фев-08, 11:23 
>[оверквотинг удален]
>все спокойно уж давно как...
>
>>Чистильщик конечно до безобразия прост.
>
>да, на sh можно написать
>
>>Ну и потихоньку сигнатуры собираю чтобы потом в  антивирусник прикрученный к
>>фтп  зарядить чтоб на лету чистило
>
>вы молодец.

Надоело это уже так. Своим уже приказал пароли не сохранять ни в каких клиентах ( сохраненные в фаре тоже ворует.) Тех кто в 1ps раскручивал сайт сразу радую чтоб ждали трояна. Некоторым разрешил конекты только с определенных подсетей их провов (ужас как надоел куала-лумпур в логах). Некоторым кто цмски использует и файлы не меняет индексовые просто  
chattr +i index.*

Чистильщика  у мну два. Один на сш другой на пхп (я был занят, а программер наш только на пхп хорошо и быстро пишит)

А насчет этой инфекции что-то неправдоподобно.  Был раз случай у нас, но там админ аболтус свой  ключ прогавил по которому конекты были позволены. А тут просто какой то страх описан

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 21:26 
Попробуйте на акки на FTP пароль сменить и не хранить пароли на компьютере
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от spa (??) on 25-Янв-08, 13:27 
слава Чертям! правда уж больно похоже на миф.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 13:33 
"пока не найден способ ее удаления, кроме повторной установки ОС и замены паролей."  - упал под стол и долго ржал. Афтары похоже нетолько не знакомы c тем что обычно веб сервера работают в chroot окружении, так и вообще похоже не имеют никакого понятия о расграничении прав в *nix
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Домовые on 25-Янв-08, 13:40 
>обычно веб сервера работают в
>chroot окружении, так и вообще похоже не имеют никакого понятия о
>расграничении прав в *nix

Уверен, что 99% нет. Это раз.
Два - какой толк от разграничения прав, если в конечном итоге поражается клиентская машина? Серверу-то это до одного места.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "*sigh*"  
Сообщение от Michael Shigorin email(ok) on 27-Янв-08, 00:07 
>"пока не найден способ ее удаления, кроме повторной установки ОС и замены
>паролей."  - упал под стол и долго ржал.

Очередной анонимный теоретик...

>Афтары похоже нетолько не знакомы c тем что обычно веб сервера работают в
>chroot окружении

Который не в курсе, что обычно веб-сервер в чрут запихивать как раз бессмысленно: получается по толщине эквивалент VPS, а по надёжности изоляции -- много хуже.  chroot(2) не является средством безопасности by design.

>так и вообще похоже не имеют никакого понятия о расграничении прав в *nix

Новичкам положено сперва изучить архивы bugtraq за последний десяток лет, погуглить слово "rootkit", потом выступать.  Если ещё захочется.

PS: мне этим самым способом пока приходилось пользоваться один раз; это было подозрение на то, что успешно применили CAN-2003-0786 (то самое в openssh).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "*sigh*"  
Сообщение от X on 29-Янв-08, 23:03 
>Который не в курсе, что обычно веб-сервер в чрут запихивать как раз
>бессмысленно: получается по толщине эквивалент VPS,

Неправда ваша, дяденька.Chroot можно сделать очень компактным.Особенно если сервак умеет дропать права и делать чрут уже после старта.Получается буквально сотни кб...несколько мб.Никакой VPS во столько не влезет.

>а по надёжности изоляции -- много хуже.

Факт.Зато и делается проще и в любой системе нахаляву.

> chroot(2) не является средством безопасности by design.

А чем он тогда по вашему является?Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом.С минимальным вредом для остальной системы.Если что VPS довольно недавно появились...и куда жирнее по ресурсам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "chroot / vps"  
Сообщение от Michael Shigorin email(ok) on 30-Янв-08, 01:49 
>>Который не в курсе, что обычно веб-сервер в чрут запихивать как раз
>>бессмысленно: получается по толщине эквивалент VPS,
>Неправда ваша, дяденька. Chroot можно сделать очень компактным.

Вот только толку с него обычно пропорционально.  Статику относительно безопасно раздать -- дело относительно нехитрое...

>Особенно если сервак умеет дропать права и делать чрут уже после старта.

Я в курсе и про mod_chroot тоже.

>Получается буквально сотни кб...несколько мб.Никакой VPS
>во столько не влезет.

На самом деле VPS с разделяемыми бинарниками недалеко по накладным расходам...

>>а по надёжности изоляции -- много хуже.
>Факт.Зато и делается проще и в любой системе нахаляву.

Насчёт халявы тоже не могу совсем согласиться; посмотрите альтовский chrooted, если хотите (и тут же есть chrootuid), но и с ними -- это изрядно возни.

>> chroot(2) не является средством безопасности by design.
>А чем он тогда по вашему является?

Средством изменить вид процессов на файловую систему, разумеется.

>Всю жизнь был средством оставить хаксора в огрызках системы наедине с дырявым сервисом.

Смотря чью... http://wiki.linux.edu/doku.php?id=chroot_hack

>С минимальным вредом для остальной системы.

Собственно, я не говорю, что чрутить смысла нет.  Нет смысла на это полагаться.

>Если что VPS довольно недавно появились...

Опять же кому как.  Я в production использую с 2004, было бы действительно надо -- парой лет раньше уже было что купить.

>и куда жирнее по ресурсам.

Для меня оно оправдано в первую очередь управляемостью и более внятным барьером.  В т.ч. по PID/UID/GID, сетевым интерфейсам, лимитам на CPU/RAM...  бишь моё время на чруты, если их не стотыщмильёнов, дороже станет, чем нарисовать контейнеров.

Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux Server 4.0 :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

83. "chroot / vps"  
Сообщение от Dvorkin email(??) on 30-Янв-08, 02:04 
>Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux
>Server 4.0 :-)

мой опыт с разными мандривами на одном базовом OpenVZ говорит, что смысла в собиралке/рулилке никакого нет. лучше человеку дать внятный док в один абзац текстом, чем писать скриптами какую-то хрень, которая будет пытаться автоматизировать создание темплейта.
этот скрипт обязательно сломается или вы что-то не учтете и вам прийдется ее поддерживать, тратить время и переписывать...
может я ошибаюсь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

85. "chroot / vps"  
Сообщение от Michael Shigorin email(ok) on 30-Янв-08, 15:12 
>>Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux
>>Server 4.0 :-)
>мой опыт с разными мандривами на одном базовом OpenVZ говорит, что смысла
>в собиралке/рулилке никакого нет.

Вообще-то vzctl -- тоже рулилка.  А берёшь ты всегда непонятно чьи тарболы, что ли?

>лучше человеку дать внятный док в один абзац текстом, чем писать скриптами какую-то хрень,
>которая будет пытаться автоматизировать создание темплейта.

Хрень уже скоро год как написана и работает, просто там, как всегда, было что поправить/улучшить (по части юзабельности в первую очередь).

И я собираюсь *допинать* там те места, которые меня каждый раз анноят при выполнении с помощью bare vzctl :-)

>этот скрипт обязательно сломается или вы что-то не учтете и вам прийдется
>ее поддерживать, тратить время и переписывать...
>может я ошибаюсь

Покрути в руках Server 4.0 на досуге.  Эти фиксы войдут в 4.0.2, думаю, но и 4.0.0 работал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 13:41 
Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав root'а?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Z00Ke on 25-Янв-08, 13:44 
>Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав
>root'а?

ИМХО: Можно повысить привилегии. даже гдето сплойтик видел но под старый линух

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 13:46 
>Как может устанавливаться руткит, если Apache бегает на правах, далёких от прав
>root'а?

Ага, кажется всё понятно. Надо было статью до конца переводить, а не в лучших традициях жёлтой прессы. Из оригинальной статьи:

"Absent any forensic evidence of break-ins, the current thinking is that the malware authors gained access to the servers using stolen root passwords. The earliest known victims, according to quotes by researchers in this ComputerWorld story, were sites run by large hosting companies, which could give attackers root access to hundreds or even thousands of Web sites when compromised."

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Z00Ke on 25-Янв-08, 13:43 
да фигня это всё быть такого не может просто утка очередная
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 13:46 
может это через CPanel попадает ..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Ewgen email on 25-Янв-08, 13:49 
Может кто сталкивался с проблемкой - частенько попадают сайты с внедренным в index кодом типа:
<!--[z0s]--><script>document.write(unescape("%3Cscript%3Eif%28eD%21%3D1%29%7Bfunction%20f...
Гугл дает много сведений но каким образом этот код внедряется в индексные страницы понять не могу.
http://www.google.ru/search?hl=ru&q=%3C%21--%...
Хотя вот тут http://forum.joom.ru/index.php?topic=11183.msg56137 малость расписано.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 14:14 
да. про это же написано в новости -- предыдущая эпидемия. Попадпает от юзеров по фтп -- их компы заражены. Пусть меняют пароли и используют, ну хотя бы фар, для доступа к сайту. У нас это помогло
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от 235 on 25-Янв-08, 19:44 
опеделенно, сайты на джумле не могут быть показателем :\ они так ламаються часто на хостинге...

подобный вставки видел, их делали либо прямо с админки сайта (придумайте пароли посложнее) либо через множество дыр пхп-смс

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 13:49 
Это, случаем, не про
http://www.securitylab.ru/poc/312226.php
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Pers email(??) on 25-Янв-08, 13:53 
1. cPanel ни при чём, иначе бы серваки рутали.

2. Linux, похоже, тоже ни при чём - траблы есть и на фре.

3. А PHP как таковой никто не учёл?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Impec on 25-Янв-08, 14:03 
>1. cPanel ни при чём, иначе бы серваки рутали.
>
>2. Linux, похоже, тоже ни при чём - траблы есть и на
>фре.
>
>3. А PHP как таковой никто не учёл?

В оригинале же четко написано что эта хрень могла быть положена кем-то кто получил рутовый пароль к хостеру нескольких тысяч сайтов. Какая нахрен загадочная инфекция.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Great.Megatron email on 25-Янв-08, 14:27 
>2. Linux, похоже, тоже ни при чём - траблы есть и на фре.

А это точно эти траблы, а не тыренье ftp паролей?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от ЩекнИтрч on 25-Янв-08, 20:33 
>2. Linux, похоже, тоже ни при чём - траблы есть и на
>фре.

Не Фре нету :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от viper (??) on 25-Янв-08, 14:04 
Бред.
Страницы правятся через ftp с использование тыренных троянами паролей.
Обычно вставляется iframe, !--[z0s]--><script>document.write и т.д. в конец index.php во всех каталогах.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 14:08 
Почитал пресс-релизы.. информация к размышлению:
1. It has been established that this compromise requires super user privileges. It is common to see a short but successful root login via ssh 5-10 minutes before the compromise occurs.
2. This javascript will begin exploiting several known vulnerabilities within Windows, Quicktime and Yahoo Messenger on the web visitor's PC.

Больше похоже на ручную/полуавтоматическую эксплуатацию уже имеющихся дыр, чем на реальную заразу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 14:13 
Да. В прошлый раз нас тоже коснулось... Но там юзеры хостинга сами были виноваты -- вирус у них пароли тырил.
А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые пароли рута. Выход для незараженных -- менять пароли и переводить ssh на нестандартный порт (если червь, я думаю он не будет сканить порты и искать ssh на всех портах)

Про выявление. мне кажется правильная строка:
tcpdump -nAs 2048 src port 80 | grep "'[a-zA-Z]\{5\}\.js'"
покуда название файла состоит из рандомных 5 символов. первая кавычка пропущена в новости и в конце два лишних символа

Про лечение. На cPanel написано, что надо загрузиться с CD и поменять несколько зараженных файлов на исходные:
/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Anatoliy email(??) on 25-Янв-08, 14:50 
>А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые
>пароли рута. Выход для незараженных -- менять пароли и переводить ssh

Не понял, а права root для ssh были разрешены ранее, или происходит переконфигурирование инфекцией? Неужели на сервера разрешают по ssh входить под root???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 18:30 
>Неужели на сервера разрешают по ssh входить под root???

B Linux - разрешено by default, во FreeBSD к примеру - наоборот, по умолчанию запрешено.
Должен также заметить что в данной ситуации, даже если ты запретишь логиниться рутом, зная пароль - уже есть где развернуться ...


GR.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Dvorkin email(??) on 25-Янв-08, 20:14 
>B Linux - разрешено by default, во FreeBSD к примеру - наоборот,

в нормальном линуксе запрещено ssh root@somesite
by default.
вы что-то с чем-то путаете или какие-то странные, сильно "ручные" линуксы используете

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Денис Смирнов email on 26-Янв-08, 12:12 
>>Неужели на сервера разрешают по ssh входить под root???
>
>B Linux - разрешено by default, во FreeBSD к примеру - наоборот

Не пользуйтесь кривыми дистрибутивами где совершеная такая идиотская ошибка.
Ибо это значит что создатели этих дистрибутивов слово "security" только слышали где-то когда-то, но не помнят что оно означает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "root@"  
Сообщение от Michael Shigorin email(ok) on 27-Янв-08, 00:37 
>>>Неужели на сервера разрешают по ssh входить под root???
>>B Linux - разрешено by default, во FreeBSD к примеру - наоборот
>Не пользуйтесь кривыми дистрибутивами где совершеная такая идиотская ошибка.

Перевожу Дениса: в ALT Linux с рутовым паролем по ssh ломиться по умолчанию совершенно безнадёжно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 14:13 
Есть такие вирусы под Windows, который MAC гейта на свой меняет, и как прокся выступает подпихивая JS.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

87. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от MX on 02-Фев-08, 05:44 
>Есть такие вирусы под Windows, который MAC гейта на свой меняет, и
>как прокся выступает подпихивая JS.

Что за бред вы несёте?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

89. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от ва on 13-Фев-08, 16:19 
>>Есть такие вирусы под Windows, который MAC гейта на свой меняет, и
>>как прокся выступает подпихивая JS.
>
>Что за бред вы несёте?

Э... не бред, однако. Просто криво написано.
Вирь проводит arp spoofing свича, встраивая зараженную машину между сервером (прокси, рутером или еще чем) и другими клиентами. Проходящий трафик анализируетя и по возможности модифицируется (вставляется скрипт).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 14:16 
Это не утка. Эпидемия уже 3 неделю. Странно что только сейчас написали
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "OpenNews: Загадочная инфекция поражает web-сайты на Linux/Ap..."  
Сообщение от Pilat on 25-Янв-08, 14:23 
Замените
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'").

на

tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 14:40 
жесть:"When the system is fully online in an infected state, the kernel will begin serving a javascript payload to random web requests"

ядро модифицирует ответы вебсервера :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 25-Янв-08, 15:52 
У меня у узеров трояном перли акаунты фтпишные и вставлялась такая хер.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "OpenNews: Загадочная инфекция поражает web-сайты на Linux/Ap..."  
Сообщение от aZ on 26-Янв-08, 01:07 
Проблема существует, вчера клиент жаловался на это. (все файлы сайта целы и не изменены, рамдомно в страницы вставляется код). У клиента стоит линукс.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "OpenNews: Загадочная инфекция поражает web-сайты на Linux/Ap..."  
Сообщение от Dvorkin email(??) on 26-Янв-08, 17:31 
>Проблема существует, вчера клиент жаловался на это. (все файлы сайта целы и
>не изменены, рамдомно в страницы вставляется код). У клиента стоит линукс.

а есть ли уверенность, что пароль FTP знает только он?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Timurko on 26-Янв-08, 08:37 
Стыд и позор опенету за такую утку...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от ЩекнИтрч on 26-Янв-08, 11:20 
Какую утку?
Вас кидди, разнесший БуБу, кстати, сумел миновать?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от ZeiBa email(ok) on 26-Янв-08, 12:39 
Уверен что это проявление трояна, который тырит сохраненные пароли на фтп. А апач и линукс совсем не при делах. Стыдно публиковать такие новости.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "стыдно другое"  
Сообщение от Michael Shigorin email(ok) on 27-Янв-08, 00:40 
>Уверен что это проявление трояна, который тырит сохраненные пароли на фтп. А
>апач и линукс совсем не при делах. Стыдно публиковать такие новости.

Совершенно не стыдно, когда есть какая-то такая вот непонятка -- лишний раз обратить внимание системных администраторов.

Другое дело, что источник несколько истеричен.

PS: а PermitRootLogin yes -- ещё одна причина неприязни к редхатоидам и выбора для себя альта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "стыдно другое"  
Сообщение от Аноним on 27-Янв-08, 12:14 
$ cat /etc/redhat-release
CentOS release 5 (Final)

# cat /etc/ssh/sshd_config | grep Root
#PermitRootLogin yes

как видно - закомменчено по дефолту
хватит уже рекламировать Альт )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "стыдно другое"  
Сообщение от oops on 28-Янв-08, 08:09 
>$ cat /etc/redhat-release
>CentOS release 5 (Final)
>
># cat /etc/ssh/sshd_config | grep Root
>#PermitRootLogin yes
>
>как видно - закомменчено по дефолту
>хватит уже рекламировать Альт )

Это как раз говорит о том, что по умолчанию разрешено.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

90. "стыдно другое"  
Сообщение от playnet on 14-Фев-08, 21:43 
>>$ cat /etc/redhat-release
>>CentOS release 5 (Final)
>>
>># cat /etc/ssh/sshd_config | grep Root
>>#PermitRootLogin yes
>>
>>как видно - закомменчено по дефолту
>>хватит уже рекламировать Альт )
>
>Это как раз говорит о том, что по умолчанию разрешено.

Может хватить чушь нести? Ну получи доступ к машине как рут, где эта строка закомментирована.

А Yes там для того, чтобы удобнее было при необходимости этот рут доступ включать: коммент снял -- доступ есть. А о дефолтном значении оно ничего не говорит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

91. "стыдно другое"  
Сообщение от Michael Shigorin email(ok) on 16-Фев-08, 02:21 
>>>$ cat /etc/redhat-release
>>>CentOS release 5 (Final)
>>># cat /etc/ssh/sshd_config | grep Root
>>>#PermitRootLogin yes
>>>как видно - закомменчено по дефолту
>>Это как раз говорит о том, что по умолчанию разрешено.
>Может хватить чушь нести?

Вот и не несите.

>А Yes там для того, чтобы удобнее было при необходимости этот рут
>доступ включать: коммент снял -- доступ есть. А о дефолтном значении
>оно ничего не говорит.

Когда подрастёте и ознакомитесь с практикой хорошо комментированных именно "в дефолт" конфигов, принятой много где (в частности, в openssh) -- Вам будет стыдно, что когда-то говорили такие глупости.

А пока -- вот и не несите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "хорошая иллюстрация :))"  
Сообщение от Michael Shigorin email(ok) on 28-Янв-08, 13:42 
>хватит уже рекламировать Альт )

Я не альт "рекламирую", а предлагаю *думать* по мере надобности.  Тот же альт -- это уже следствие таких процессов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Nir0 on 26-Янв-08, 11:51 
эта хрень распространяется через виндовые машины админов, которые панасахраняли пароли на фтп
хостер имхо любой - фря, линух, винда, мак...
вадя сразу после нового года антивирус написал на шелле, который чистит от вредоносного кода все папочки :) в понедельник попрошу выложить сюда..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Роман (??) on 26-Янв-08, 12:34 
Вы новость читали? Файлы создаются в /sbin.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 26-Янв-08, 13:34 
>Вы новость читали? Файлы создаются в /sbin.

А вы комментарии? Речь в пердыдущем посте идет по зараженных файлах по ftp.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Den (??) on 26-Янв-08, 15:41 
>>Вы новость читали? Файлы создаются в /sbin.
>
>А вы комментарии? Речь в пердыдущем посте идет по зараженных файлах по
>ftp.

и причем тут Linux, если скрипты выполняются от юзера user1, то каким макаром они изменят мне систему и засетапят rootkit

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от koiviii on 26-Янв-08, 16:19 
Действительно было такое, в конец HTML/PHP файла дописывался javascript код с IFRAME для перехода на какой-то сайт в Китае, содержащий .EXE. Обновления происходили по FTP. Соответственно платформа не имела значения - были изменены файлы на unix и win хостингах. Решилось сменой пароля клиентов для FTP доступа.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "Инсайдеры рулез форева"  
Сообщение от Sivolday (??) on 26-Янв-08, 19:54 
План крупномасштабной акции:
- берем десяток крупных хостеров;
- выявляем в них десяток-же студентов-дежурных админов;
- за 3-5 тыс. грина получаем у них рутовых паролей;
- начинаем заражать Вынь-машины клиентов с целью воровства паролей, данных кредиток и прочей лабуды;
- баланс: на 50 тыс. затрат получаем 50 тыс. обутых лохов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "Инсайдеры рулез форева"  
Сообщение от Аноним on 27-Янв-08, 02:43 
Не говорите бред. За клиентсикми машинами следит надо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от 6a6ep on 26-Янв-08, 20:26 
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'

И что ? Этот регексп выцепит прохождение любых яваскриптов, чьё имя состоит из пяти буквенных символов. Куча срабатываний.  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "tcpdump vs mkdir"  
Сообщение от Michael Shigorin email(ok) on 27-Янв-08, 00:43 
>tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'
>И что ? Этот регексп выцепит прохождение любых яваскриптов, чьё имя состоит
>из пяти буквенных символов. Куча срабатываний.

Тоже удивился, почему в переводе новости выбрали этот тест, а не то, что подменённый mkdir обламывается с чисто цифровыми именами -- бишь предлагали "mkdir 1" в качестве алярма.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 27-Янв-08, 10:14 
Уфф! Слава богу - апач - это не ко мне!-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "Загадочная инфекция поражает web-сайты на Linux/Apache"  
Сообщение от Аноним on 27-Янв-08, 15:25 
За 2 дня насобирал:

sudo tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
    var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
    var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
    var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];
    var jsfiles = ['prototype.lite.js', 'moo.fx.js', 'moo.fx.scroll.js', 'begunScroll.js'];

При этом, ничего подобного у меня на диске нет.
Машина работает как шлюз с натом. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "OpenNews: Загадочная инфекция поражает web-сайты на Linux/Ap..."  
Сообщение от lbcom on 30-Янв-08, 12:44 
новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "OpenNews: Загадочная инфекция поражает web-сайты на Linux/Ap..."  
Сообщение от Аноним on 30-Янв-08, 18:11 
>  новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.

Какой там разбор? Дырявый phpmyadmin поюзан. Все кто хотели уже давно разобрались :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру