The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Сети зафиксированы серверы, распространяющие вредоносное П..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от opennews on 03-Апр-13, 16:36 
Около двух тысяч серверов, использующих различные дистрибутивы Linux, оказались (http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../) жертвами нового вредоносного ПО "Darkleech", оформленного в виде модуля к HTTP-серверу Apache и осуществляющего (http://malwaremustdie.blogspot.ru/2013/03/the-evil-came-back...) подстановку вредоносных JavaScript или iframe-блоков в трафик, отдаваемый сайтами пользователей хостинга.


Методы проникновения злоумышленников на серверы точно не определены, но с учётом разнородности дистрибутивов и приложений, используемых на поражённых системах, вариант эксплуатации неизвестной уязвимости в Linux оценивается как маловероятный. В качестве основных способов проникновения для установки вредоносного ПО на серверы отмечаются эксплуатация уязвимых версий панелей управления хостингом  Plesk и Cpanel, а также использование паролей, перехваченных в результате действия снифферов, размещённых на поражённых вредоносным ПО клиентских машинах, или через перебор типовых паролей. Также не исключается попадание в руки злоумышленников  базы паролей (http://www.webhostingtalk.com/showthread.php?t=1235797&page=84) клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем.


Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурирую серверы, обслуживающие web-ресурсы крупных компаний, таких как The Los Angeles Times и Seagate. Размещение вредоносного ПО в виде модуля Apache затрудняет выявление вредоносной активности - файлы с контентом остаются нетронутыми, а транзитная подстановка вредоносных вставок осуществляется выборочно, без повторной отдачи вредоносного кода одному и тому же пользователю и с игнорированием подсетей, фигурирующих в системных логах и закреплённых за поисковыми системами (уже поражённым клиентам, поисковым ботам, администраторам сервера и владельцам сайтов выдаются страницы без вредоносного кода).

Подобное поведение затрудняет определение реального числа поражённых Darkleech серверов. Для определения примерного числа поражённых машин исследователи из компании Cisco использовали анализ HTTP-запросов на подконтрольных системах. При анализе определялось наличие обращений к URL в форме IP/hex/q.php, свойственных для iframe, подставляемых в трафик модулем Darkleech. В итоге, с начала февраля было выявлено почти 2000 поражённых хостов. Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.

URL: http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../
Новость: http://www.opennet.me/opennews/art.shtml?num=36573

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +3 +/
Сообщение от e.slezhuk on 03-Апр-13, 16:36 
>Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.

Вот счетоводы то :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +2 +/
Сообщение от Kataklysm (ok) on 03-Апр-13, 16:59 
2000 хостов * 10 сайтов = 20000 сайтов :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

47. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от e.slezhuk on 04-Апр-13, 09:43 
мне интересно откуда взята цифра про 10 сайтов на сервер.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +6 +/
Сообщение от бедный буратино (ok) on 03-Апр-13, 17:02 
шо, опять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +2 +/
Сообщение от Аноним (??) on 04-Апр-13, 01:38 
Ну так это... битва за бесплатные ресурсы. Хреново администрируемые системы - лакомый кусочек. Тем не менее, заметь, точкой входа служит дырявая проприетара - cpanel, plesk.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

57. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от админ on 04-Апр-13, 13:54 
Увидел только, что хотел увидеть.. проприетарщина ага
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

69. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 05-Апр-13, 01:59 
> Увидел только, что хотел увидеть.. проприетарщина ага

Так кто ж виноват что поделия типа панелей обычно всякие индусы пишут как курица лапой? Так что если их не апдейтить (половина поди их сперло где-то по левому, а половина просто раздолбаи) - понятно чего будет. Толпа халявных ресурсов.

А так тут бсдельники вон уже тут в коментах недавно хвастались уже как-то что у них малваре не работало :). Но если оно прилетело - значит хаксоры все-таки атаковали успешно. А то что оно потом на экзоте работало некорректно - бывают в жизни огорчения.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

64. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от другой аноним on 04-Апр-13, 18:48 
"...Методы проникновения злоумышленников на серверы точно не определены..."
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

4. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Brain (??) on 03-Апр-13, 17:04 
Разве такой новости уже не было с годик тому назад?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним email(??) on 03-Апр-13, 18:18 
Было похожее.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

33. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +2 +/
Сообщение от Аноним (??) on 04-Апр-13, 01:39 
> Было похожее.

Вывод: х-вые администраторы с дырявыми панелями за год не извелись. Беда-беда, только массовые расстрелы спасут отца русской демократии.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

59. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Адекват on 04-Апр-13, 15:26 
>> Было похожее.
> Вывод: х-вые администраторы с дырявыми панелями за год не извелись. Беда-беда, только
> массовые расстрелы спасут отца русской демократии.

Публичные порки

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

70. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 05-Апр-13, 02:00 
> Публичные порки

К сожалению, есть мнение что глупость неизлечима. Даже так.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

5. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 03-Апр-13, 17:50 
> Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурирую серверы, обслуживающие web-ресурсы крупных компаний, таких как The Los Angeles Times и Seagate.

Разве серверы Seagate не под IIS работают?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от Аноним (??) on 03-Апр-13, 18:06 
> попадание в руки злоумышленников базы паролей клиентов компании cPanel, используемых службой поддержки

Это что же получается, чтобы пароли не утекали, придётся софт на своём сервере теперь самому админить и мантейнить? Несовременно как-то.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 04-Апр-13, 01:40 
> Это что же получается, чтобы пароли не утекали, придётся софт на своём
> сервере теперь самому админить и мантейнить? Несовременно как-то.

"Если вы хотите чтобы какая-то работа была сделана качественно - придется сделать ее самому".

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Слакварявод on 03-Апр-13, 18:12 
да было ж уже!!! точно такое ж! подозрительно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +4 +/
Сообщение от Аноним (??) on 03-Апр-13, 18:17 
Давайте дружно попросим открыть код Darkleech под GPL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –15 +/
Сообщение от linux must _RIP_ on 03-Апр-13, 18:20 
вот тебе и безопасный Linux... только 2 недели назад расказывали о ботнете из linux роутеров.
Теперь вот ботнет из апачай, но что главное - все под Linux.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от HIP on 03-Апр-13, 18:27 
Попробуй: nmap -sV www.seagate.com

Выдача:
Starting Nmap 6.00 ( http://nmap.org ) at 2013-04-03 20:07 YEKT
Nmap scan report for www.seagate.com (23.78.68.134)
Host is up (0.15s latency).
rDNS record for 23.78.68.134: a23-78-68-134.deploy.akamaitechnologies.com
Not shown: 998 filtered ports
PORT    STATE SERVICE  VERSION
80/tcp  open  http     AkamaiGHost (Akamai's HTTP Acceleration/Mirror service)
443/tcp open  ssl/http AkamaiGHost (Akamai's HTTP Acceleration/Mirror service)

Что, собственно, означает, что Seagate использует для защиты своих серверов на Windows/IIS промежуточное Linux ПО AkamaiGHost (Microsoft, кстати, поступает аналогично). И где тут Apache? Что, в свою очередь, означает, что сообщение предоставляет непроверенную информацию, а попросту говоря - информационный вброс, призванный необоснованно опорочить Linux и Apache. Все и делов-то.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –3 +/
Сообщение от HIP on 03-Апр-13, 18:32 
> Попробуй

The Los Angeles Times аналогично поступает :))))

20 000 серверов ... Может, 20 миллиардов серверов? Умора ты, автор.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от un (??) on 03-Апр-13, 19:02 
80/tcp open  http    Apache
Service Info: Host: media.seagate.com
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 03-Апр-13, 19:18 
> Что, собственно, означает, что Seagate использует для защиты своих серверов на Windows/IIS
> промежуточное Linux ПО AkamaiGHost (Microsoft, кстати, поступает аналогично). И где тут
> Apache?

"Сигейт" большая компания, у них не только www.seagate.com.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 03-Апр-13, 20:24 
> "Сигейт" большая компания

Большая. Но от Microsoft прется исключительно вся. У них утилиты и все прочее ПО для работы с их дисками исключительно под Microsoft сделано.


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

39. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 03:24 
> прочее ПО для работы с их дисками исключительно под Microsoft сделано.

Они в этом плане мало чем отличаются от других. Тем не менее, в лине своих утилит для работы с дисками - есть. Как минимум для всяких там SMART, твикинга AAM и прочего.


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

43. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от Аноним (??) on 04-Апр-13, 06:50 
Ага, как бы. На самом деле это называется Виктория и работает под DOS.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от Аноним (??) on 04-Апр-13, 10:16 
> Ага, как бы. На самом деле это называется Виктория и работает под DOS.

Таких утилит куча. В том числе и от местных умельцев. И работает оно .. эм... ну в общем под чем угодно но не *nix-like. А именно сервисные утилиты от именно производителей - таки обычно под одну офтопичную ОС, увы. Тем не менее, в ряде областей данный тренд уже ломается.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

65. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 19:22 
В общем, запускать софт для нештатной работы с оборудованием под ОС общего назначения не самая удачная идея.
Я такие феньки под FreeDOS писал, например.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

71. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 05-Апр-13, 02:10 
> В общем, запускать софт для нештатной работы с оборудованием под ОС общего
> назначения не самая удачная идея. Я такие феньки под FreeDOS писал, например.

Вполне нормальная идея. Иди, напиши заливку фирмвари в usb-девайс из-под доса, если такой умный. Не забудь рассказать как это понравилось. А через какой-нибудь libusb довольно просто, кстати. А слабо из DOSа изобразить JTAG на современном компьютере или тем более ноуте, без LPT и COM портов? Ну например FTDI'евским bit bang'ом? :) Ну в общем все там нынче можно. Кроме разве что совсем жестких таймингов (которые современной периферии нафиг не уперлись). Ну вон flashrom в лине спокойно флехи пишет и ничего, не хуже чем где-то еще.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

25. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от тигар (ok) on 03-Апр-13, 20:26 
за недорого могу обучить ХаКиРоВ-nmap`еров простейшим приемам работы с curl
p.s.
Server: Apache/2.2.19 (Unix) DAV/2

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

40. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 03:27 
> за недорого могу обучить ХаКиРоВ-nmap`еров простейшим приемам работы с curl

Опоздал, ты тигра, оркал тебя опередил: http://www.opennet.me/opennews/art.shtml?num=36565

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

17. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +2 +/
Сообщение от Аноним (??) on 03-Апр-13, 19:16 
В смысле, непропатченный Апаши под вяндой-вардой как-то по-другому себя ведет?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

41. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 03:29 
> В смысле, непропатченный Апаши под вяндой-вардой как-то по-другому себя ведет?

В смысле, запускать на винде апач с cpanel или чем там еще - это бессмысленно и беспощадно. Мало того что это геморно, так еще и бессмысленно почти.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

63. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 18:23 
На винде Web-сервер держать вообще бессмысленно и беспощадно. Это типа как в багажниках легковушек песок с карьера вывозить.
Тем не менее, запускают, в том числе и Апаши, в том числе и с СиПэнелом.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

72. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 05-Апр-13, 02:15 
> На винде Web-сервер держать вообще бессмысленно и беспощадно.

Ну да. А хостинг и панель управления им - я такого вообще не видел. Допускаю что особо укушенные виндой психопаты все-таки бывают. Но поскольку такие вещи в винде делать кроме всего прочего еще и просто геморройно, в разы геморнее чем в любому *никсе - "редкая птица дочешет до середины, а если дочешет то гикнется и копыта отбросит!".

> Тем не менее, запускают, в том числе и Апаши, в том числе и с СиПэнелом.

Я таких отборных извращенцев не видел. Пусть раз такие крутые попробуют openvz на винде поднять :)

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

19. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от ананим on 03-Апр-13, 19:22 
а линух тут при чём?
>Landesman picked a random sample of 1,239 compromised websites and found all were running Apache version 2.2.22 or higher, mostly on a variety of Linux distributions.

оставшиеся (от mostly) вполне могут быть виндой.
или фряхой.
или солярой.
или с каждого лузера по_не_многу.

зыж
подправил новость, а то в оригинале mostly, а тут:
> использующих различные дистрибутивы Linux,

не хорошо.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от IMHO on 03-Апр-13, 19:24 
а новость в том, что линукс как всегда не причем!
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

36. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 01:51 
> а новость в том, что линукс как всегда не причем!

Ну конечно, это же все линукс виноват в том что фуевые админы не апдейтят панельки управления и раздают свои пароли саппортам, которые их продалбывают потом.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

35. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 01:48 
> Теперь вот ботнет из апачай, но что главное - все под Linux.

Главное для кого? Для маркетологов из MS? А так то да - найди поди апач пол чем-то еще кроме линукса нынче.


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

66. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 19:23 
Да полно.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

73. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 05-Апр-13, 02:19 
> Да полно.

Да фигвам. Если некто юзает бзды всякие и прочие древние юниксы - так у них и софт обычно свой, созданный еще на заре интерента. Гламурных панелек на таком обычно не водится. Хотя тут вон некто понтовался как у него на бзду малварь прилетела но не смогла нормально работать. Значит и их прошибает, а то что кульхацкеры не ориентируются на слом микроскопичемких по рыночной доле экзотов когда можно окучать целую ораву - вполне ожидаемо. Сугубо вопрос соотношения затрат сил к результату.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

44. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +2 +/
Сообщение от Аноним (??) on 04-Апр-13, 07:03 
> Теперь вот ботнет из апачай, но что главное - все под Linux.

Вроде про ботнет не говорилось. Да и причем тут ботнет? В инфе ничего не было о СОВМЕСТНОЙ работе взломанных (отметьте - НЕ ЗАРАЖЕННЫХ) серверов. Взломали методом практически социальной инженерии и поимели. Что ничего не говорит о программно-технической безопасности взломанных систем.

А вот когда в системной (!) папке Windows без лишних вопросов меняют файл hosts или на комп ставят винлокер, или в папку XLSTART записывают шаблон с макровирусом, который запускается при любых (!) настройках безопасности Excel - вот это поимели, так поимели.

То что Вы считаете главным - отнюдь не главное, просто других модулей авторы написать или не успели, или не захотели. А возможно, заказчик всей этой затеи профинансировал проект целенаправленно - против связки Linux + Apache. Кстати, еще не доказано, что взломаны были именно Linux + Apache.


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

74. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 05-Апр-13, 02:20 
> Вроде про ботнет не говорилось. Да и причем тут ботнет?

Ну как, посмотрите на ник гражданина - сразу станет понятно какой он объективный и нейтральный.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

14. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Alex (??) on 03-Апр-13, 18:41 
Так было ж уже...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 03-Апр-13, 18:56 
ispmanager не подвержен
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 03-Апр-13, 20:05 
А библиотеки под него опять надо собирать самому?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Doc_X on 04-Апр-13, 09:56 
А какие тебе под него модули нужны?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 03-Апр-13, 20:08 
> базы паролей клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем.

Даже такое есть? Круто :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +3 +/
Сообщение от HIP on 03-Апр-13, 20:21 
тупой аутсорсинг - это вообще пипец
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +6 +/
Сообщение от Anonymous1 on 03-Апр-13, 22:56 
"Кроме троянского модуля Apache на сервер устанавливается бэкдор, подменяющий собой штатный демон sshd."

Простой вопрос:
Что СНАЧАЛА ставится - подменный сервер SSH или модуль Apache? Подозреваю, что SSH, а значит, сервер УЖЕ поимели, а потом добавлять можно что угодно, хоть модуль Apachе, хоть маленьких зеленых крокодильчиков в количестве.

Вероятно, правильно новость звучала бы так:
Обнаружено 2000 Linux серверов, поиметых через свистоперделки типа CPanel,  Plesk, виндовые машины администраторов и управляющих сайтами аутсорсеров... Метод обнаружения - выборочное изощренное изменение контента, отдаваемого сервером Apache с указанных серверов.
  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от Аноним (??) on 03-Апр-13, 23:29 
> виндовые машины администраторов и управляющих сайтами аутсорсеров

<trollmode>
дадада все эти линуксоиды только и кричат финдофсгафно, а на самом деле тайно дома сидят на финдофс
</trollmode>

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 01:52 
Жирно. У меня дома линукс. Обломался?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

45. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –2 +/
Сообщение от тигар (ok) on 04-Апр-13, 07:31 
> Жирно. У меня дома линукс. Обломался?

а причем тут твой линукс к "машины администраторов и управляющих сайтами аутсорсеров"?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

50. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 10:18 
> а причем тут твой линукс к "машины администраторов и управляющих сайтами аутсорсеров"?

Наверное при том что я серверами рулю...


Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –4 +/
Сообщение от тигар (ok) on 04-Апр-13, 10:21 
>> а причем тут твой линукс к "машины администраторов и управляющих сайтами аутсорсеров"?
> Наверное при том что я серверами рулю...

как?! всеми двумя, один из которых имеет ip 127.0.0.1 ?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

54. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от ананим on 04-Апр-13, 11:29 
Бздишнеги могут рулить серверами только из под винды?
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

55. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –4 +/
Сообщение от тигар (ok) on 04-Апр-13, 11:35 
> Бздишнеги могут рулить серверами только из под винды?

не знаю, не пробовал. а почему спрашиваешь?

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

58. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –3 +/
Сообщение от linux must _RIP_ on 04-Апр-13, 15:25 
так по себе же судит :-)
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

68. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от ананим on 04-Апр-13, 23:04 
Ха! Сошлись 2-а одиночества :D
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

76. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 05-Апр-13, 02:29 
> Ха! Сошлись 2-а одиночества :D

Ну так это... дурак дурака видит издалека.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

81. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –2 +/
Сообщение от тигар (ok) on 05-Апр-13, 11:27 
>> Ха! Сошлись 2-а одиночества :D
> Ну так это... дурак дурака видит издалека.

да, пупсеги, вы нашли друг-дружку:-)

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

75. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 05-Апр-13, 02:27 
> как?! всеми двумя, один из которых имеет ip 127.0.0.1 ?

Не, ну что ты, у них интернетовские айпишники. И, кстати, за 7 лет - ни одного pwnage'а почему-то. Наверное потому что за ними следят, вовремя апдейтят, стандартных паролей наружу не оставляют, особо дырявый софт не вкорячивают. Вот так - оно просто пашет себе. Годы и годы. При том что там в основном вообще убунта всего лишь. Но вот что-то не ломают.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

28. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –3 +/
Сообщение от Михрютка (ok) on 03-Апр-13, 23:32 
It hides from server and site admins using blacklists and IPs and low-level server APIs (something that normal site scripts don't have access to)

аа мы все умрем оно прячется используя IPs!!!11 и десунот^Wчорные списки!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 00:11 
реклама малваря с черными списками :)
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Михрютка (ok) on 04-Апр-13, 01:09 
> реклама малваря с черными списками :)

купи статик IP и получишь чорную маску подсети бисплатно!

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

42. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 06:48 
ipv6 подсети забань :)
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

52. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от Михрютка (ok) on 04-Апр-13, 10:27 
> ipv6 подсети забань :)

челябинские одмины банят по /proc/net/dev

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

31. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от demimurych email(ok) on 04-Апр-13, 01:11 
2000 серверов?

простите но это можно и руками сделать,
а там хоть модуль для апача делай, хоть инклюдь свой трафик

зависит от квалификации.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 01:56 
> 2000 серверов?

...
> руками

...
> зависит от квалификации.

Да, надр#ченные обезтяны и на 3000 серваков раскидать могут.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

46. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 04-Апр-13, 07:44 
iframe нужно отключать в NoScript сразу, как вражеский класс
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 05-Апр-13, 02:30 
> iframe нужно отключать в NoScript сразу, как вражеский класс

Иногда к сожалению и на нужных сайтах попадается.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

53. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от EuPhobos (ok) on 04-Апр-13, 10:40 
Если подменяется sshd демон, то тут уже как минимум у злоумышленника есть root-доступ к системе. Дыра может быть где угодно, а апач - это просто инструмент, для атаки на хомячков.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от ананим on 04-Апр-13, 11:35 
Если бы дыра была где угодно, то ботнетом взломалось бы эдак в 1000 раз больше.
А так (если предположить версию с ssh и то, что не все взломанные на линухе) просто подобрали/спёрли пароли/сертификаты.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

60. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –2 +/
Сообщение от linux must _RIP_ on 04-Апр-13, 15:26 
> Если бы дыра была где угодно, то ботнетом взломалось бы эдак в
> 1000 раз больше.
> А так (если предположить версию с ssh и то, что не все
> взломанные на линухе) просто подобрали/спёрли пароли/сертификаты.

уже ломали - вспоминаем новость о ботнете из 50млн машинок под Linux :-) хоть бы и роутеров.
все же помнят эту историю ?:)

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

62. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 04-Апр-13, 18:08 
RIP, ты не прав. Там было 50 миллиардов ПК под Linux.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

67. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от userd (ok) on 04-Апр-13, 20:29 
не ломали.
просто там не заперто было.
либо ключ под ковриком лежал.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

84. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от linux must _RIP_ on 06-Апр-13, 22:46 
какая разница - у большинства в windows так же пароль под ковриком - да еще и юзер сам подтвердил запуск троянца.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

78. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +1 +/
Сообщение от Аноним (??) on 05-Апр-13, 02:31 
> уже ломали - вспоминаем новость о ботнете из 50млн машинок

Ух ты, там уже 50 млн? Как стремительно пингвин захватывает планету :)

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

61. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от lucentcode (ok) on 04-Апр-13, 17:36 
Не надо использовать панели на своих серверах. Они проприетарные, неудобные и вообще лучшая панель - это ssh доступ к системе:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от Аноним (??) on 05-Апр-13, 02:32 
> лучшая панель - это ssh доступ к системе:)

К сожалению, туповатые хомяки "хочу сеюе сайт" такое не разумеют.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

80. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  –1 +/
Сообщение от SCI on 05-Апр-13, 10:23 
SSH - ну да, опять же putty в репах есть. Командная строка - всегда хорошо (на кой на X-ы ресурсы серверы тратить). А что о webmin скажете?
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

82. "В Сети зафиксированы серверы, распространяющие вредоносное П..."  +/
Сообщение от тигар (ok) on 05-Апр-13, 11:29 
> SSH - ну да, опять же putty в репах есть. Командная строка
> - всегда хорошо (на кой на X-ы ресурсы серверы тратить). А
> что о webmin скажете?

тонкий намек: о нем либо хорошо, либо никак.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

83. "В Сети зафиксированы серверы, распространяющие..."  +1 +/
Сообщение от arisu (ok) on 05-Апр-13, 22:15 
> лучшая панель — это ssh доступ к системе:)

так к этому в дополнение надо мозг, который умеет нормально мыслить. многие двуногие таковым не укомплектованы.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

85. "В Сети зафиксированы серверы, распространяющие..."  +/
Сообщение от lucentcode (ok) on 13-Апр-13, 02:39 
А зачем людей, не умеющих думать, заставлять устанавливать и админить веб-ресурсы?


Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру