форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
Сообщение от opennews (??) on 19-Мрт-14, 12:56
Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../) 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/ope...), 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО. После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. В частности, программа ssh подменялась  на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра (http://www.opennet.me/opennews/art.shtml?num=35392) или модифицировались исполняемые файлы http-серверов Apache (http://www.opennet.me/opennews/art.shtml?num=36810), lighttpd или nginx (http://www.opennet.me/opennews/art.shtml?num=36917) для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации. Сообщается, что нашумевшие взломы cPanel (http://www.opennet.me/opennews/art.shtml?num=36810), kernel.org (http://www.opennet.me/opennews/art.shtml?num=32226) и серверов Linux Foundation (http://www.opennet.me/opennews/art.shtml?num=31726) были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G". Если будет выведено сообщение о недоступности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа. URL: http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../ Новость: http://www.opennet.me/opennews/art.shtml?num=39350
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–5 +/–
Сообщение от Аноним (??) on 19-Мрт-14, 13:01
ССЗБ неудивительно, что работает и на других платформах, где есть перл.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	117. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Уважаемый on 27-Мрт-14, 23:43
	Уважаемые, подскажите, пожалуйста, в каком редакторе такие диаграммы были сделаны?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+9 +/–
Сообщение от JL2001 (ok) on 19-Мрт-14, 13:06
...продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки ... за три года был получен контроль над более чем 25 тысячами серверов... <После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей...> ох шит...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	28. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от NikolayV81 (ok) on 19-Мрт-14, 14:17
	Да дело в том что это серьёзная спланированная акция, в которой продуманы шаги вперёд ( как получить доступ, как спрятать инфу об этом, как использовать для извлечения прибыли/дальнейшего распространения ). Тут же ещё не известно, возможно использовались на начальном этапе (получение паролей), в том числе, дыры роутерах.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	87. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от ананим on 19-Мрт-14, 20:40
	> в том числе, дыры роутерах. Дары в роутерах (админ:админ) не дают рута на сам сервант. Проще с вантуза на котором путти. Теже кейлогеры никто не отменял.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	88. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 21:10
	>> в том числе, дыры роутерах. > Дары в роутерах (админ:админ) не дают рута на сам сервант. > Проще с вантуза на котором путти. Теже кейлогеры никто не отменял. Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети ), потом компы на работах, корп. сети, и т.д. Тут как раз дело возможно в хорошо продуманной стратегии роста ботнета.
	Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

	92. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от ананим on 19-Мрт-14, 21:26
	> Да оно может постепенно происходить, сначала роутеры, потом случайно переданные пароли ( по сети ) Рута? У вас все в конторе им владеют что ли? А то вон ssh по-умоланию рута вообще не принимает. Вы уж давайте точный и технически-грамотный (или хотя бы технически-правдоподобный) ответ, понятный инженеру или не давайте вообще. А то... беременность, она того, заразна. зыж Ещё раз, вантуз с кейлогером и путти самый простой вариант.
	Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

4. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от Андрей (??) on 19-Мрт-14, 13:15
На счёт x64 ничего не написано? Или я не увидел?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от AlexYeCu_not_logged on 19-Мрт-14, 13:18
	Да там нечего видеть. Главным моментом всех подобных сообщений всегда является способ распространения. Он здесь такой же, как обычно: брутфорс паролей да подобранные ключи. Имея ключ или пароль с соответствующими правами от системы можно творить с ней что хочешь -- вот новость-то!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+2 +/–
	Сообщение от AlexYeCu_not_logged on 19-Мрт-14, 13:20
	*пролюбленные ключи
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	32. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Andrey Mitrofanov on 19-Мрт-14, 14:30
	> На счёт x64 ничего не написано? Или я не увидел? ESET .pdf: """The traffic of the hosts infected by Perl/Calfbot yields other interesting data.[...] Analysing the User-Agent information we found out that the most prevalent strings are, without surprises, from x86 and x64 Linux systems. We also observed User-Agent strings from OpenBSD, perl/calfbot FreeBSD, OS X and Cygwin. >>всех подобных сообщений всегда является способ распространения. Не этого. Тут акцент на макс.использование _всего, что уже есть. Скрытно и портируемо. Но да, поминается не-использование уязвимостей и _использование проснифанных паролей ssh при логине через форвард через заражённую машину [и, видимо, использование их для "подбора"].
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	57. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Адекват (ok) on 19-Мрт-14, 17:05
	> Но да, поминается не-использование уязвимостей и _использование проснифанных паролей > ssh при логине через форвард через заражённую машину А разве пароли можно вообще проснифать ? вся ssh-сессия будет зашифрована.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	72. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–2 +/–
	Сообщение от Andrey Mitrofanov on 19-Мрт-14, 18:07
	>> Но да, поминается не-использование уязвимостей и _использование проснифанных паролей >> ssh при логине через форвард через заражённую машину [[Хотя возможны другие варианты форварда, нежели запуск ssh на средней машине. форвард порта, netcat в строке Proxy ssh.conf.]] > А разве пароли можно вообще проснифать ? вся ssh-сессия будет зашифрована. Новость не читай ("В частности, программа ssh подменялась  на вариант"), обсуждение не читай (#39), оригинал(ы) не читай, в лужа газики пускай. На заражённой заменяется бинарь ssh. Уж ли он не проснифает то, что _сам берёт со стдина, сам шифрует и шлёт? Тов.из #33 делает ту же ошибку: > 1) как можно перхватить пароль пароль? Я думал, что для ssh его не перехватить даже если сеть доступна и всякие "злые люди между тобой и сервером". Злые дяди не "между", они внутри ssh, которому ты говоришь пароль. (и внутри sshd, с которым соединяешься, возможно.)
	Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

	90. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от pansa (ok) on 19-Мрт-14, 21:22
	Не путайте архитектуру х86 и разрядность. x86_86 и x86_64 это все x86 - речь была об этом.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	93. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от Мегазаычы on 20-Мрт-14, 00:05
	x86_86 - это очень ооок. самая крутая система.
	Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

10. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от knike on 19-Мрт-14, 13:22
>достаточно запустить "ssh -G" Не обнаружил данный ключ в мане http://www.opennet.me/man.shtml?topic=ssh&category=1&russian=2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+15 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 13:27
	Поражённый ман!
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	15. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от анонимус (??) on 19-Мрт-14, 13:28
	>Если будет выведено сообщение о недоступности опции, то система не поражена.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	16. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от knike on 19-Мрт-14, 13:29
	Сори. Подумал, что наоборот, если ключ не доступен, то система поражена.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	96. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Led (ok) on 20-Мрт-14, 03:36
	> Подумал, что наоборот, если ключ не доступен, то система поражена. Поражён мозг у того, кто пишет слово "недоступен" как "не доступен"
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	105. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от vi on 20-Мрт-14, 10:49
	>> Подумал, что наоборот, если ключ не доступен, то система поражена. > Поражён мозг у того, кто пишет слово "недоступен" как "не доступен" "недоступен" != "не, доступен"
	Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

	17. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от zeroname on 19-Мрт-14, 13:31
	Как я понял, речь о том, что в отличие от нормального ssh, в подмененном этот ключ есть.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	18. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+16 +/–
	Сообщение от axe (??) on 19-Мрт-14, 13:31
	это недокументированный ключ, он выводит сообщение о недоступности этой опции ;)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	40. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от Xasd (ok) on 19-Мрт-14, 15:02
	> это недокументированный ключ, он выводит сообщение о недоступности этой опции ;) ...и при этом программа завершает свою работу с магическим значением 255
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	19. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Censored on 19-Мрт-14, 13:35
	В том-то и фишка! :)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	55. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 16:46
	Просто после выпуска сабжевой новости хакеры уже поменяли ключ на существующий редко используемый.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	81. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 18:59
	Не там "G" искал
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+21 +/–
Сообщение от Фыр on 19-Мрт-14, 13:23
>Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы Ну хоть в чём-то пользователям iOS повезло...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	42. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+7 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 15:28
	Ну так какая аудитория - такие и предпочтения. Наверняка отправляют на ресурсы с накачанными симпатичными мальчиками.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	107. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от cat666 (ok) on 20-Мрт-14, 12:47
	"А пользователи iOS перенаправлялись на порноресурсы." я таки подозревал что они все дрочеры.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	114. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Anonym2 on 21-Мрт-14, 09:12
	>>Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы > Ну хоть в чём-то пользователям iOS повезло... Появлялись сведения о ярко выраженной приверженности пользователей iOS к прогрессивным и плохо сочетающимся с устаревшими направлениям в данной области >:-)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от Аноним (??) on 19-Мрт-14, 13:27
если уж списывать, то списывать полностью из статьи > ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 13:39
	> если уж списывать, то списывать полностью из статьи >> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected” Это не во всех shell сработает, не нужно думать, что у всех bash.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	36. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Andrey Mitrofanov on 19-Мрт-14, 14:47
	> Это не во всех shell сработает, не нужно думать, что у всех > bash. Я, конечно, не активист посикса и не знаток оного, но под busybox-sh и dash, вполне сработало. Как и под bash, само. Подучи POSIX, болезный?
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	54. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–2 +/–
	Сообщение от kazh on 19-Мрт-14, 16:46
	"2>&1" - под csh/tcsh не сработает, болезный.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

	59. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от Crazy Alex (ok) on 19-Мрт-14, 17:09
	А ещё не работает в CP/M и прочих древностях. И что?
	Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

	68. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–2 +/–
	Сообщение от kazh on 19-Мрт-14, 17:55
	В вашем детсаде все что старее недели древность?
	Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

	103. "В результате атаки Windigo вредоносным ПО поражены более..."	+/–
	Сообщение от arisu (ok) on 20-Мрт-14, 08:47
	> В вашем детсаде все что старее недели древность? в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию.
	Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

	110. "В результате атаки Windigo вредоносным ПО поражены более..."	+/–
	Сообщение от Аноним (??) on 21-Мрт-14, 00:57
	> в нашем технологичном комплексе принято за tcsh отправлять на лечение, а потом на пенсию. У вас, я смотрю, одни младореформаторы, с ликом Леннарда на стягах.
	Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

	111. "В результате атаки Windigo вредоносным ПО поражены более..."	+/–
	Сообщение от arisu (ok) on 21-Мрт-14, 00:59
	вот я и говорю: на лечение, потом на пенсию. галлюцинации от большого здоровья не возникают.
	Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

	71. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от volax on 19-Мрт-14, 18:05
	csh variant: ssh -G | & grep -e illegal -e unknown > /dev/null ; if ( $? == 255 ) echo "System clean"
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от backbone (ok) on 19-Мрт-14, 13:43
> for(i = 0; i < strlen(encrypted_string) / 2; i++) { Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на серверах в XXI-ом веке. К тому же, про то, что кто-то с сервера по паролю ходит на другие сервера.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	24. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+3 +/–
	Сообщение от Грустный Нуб on 19-Мрт-14, 14:04
	> кто-то с сервера по паролю ходит на другие сервера Я один такой? Ищу друзей по нещастью. :(
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	25. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от backbone (ok) on 19-Мрт-14, 14:07
	>> кто-то с сервера по паролю ходит на другие сервера > Я один такой? Ищу друзей по нещастью. :( Ну, разве что вы ходите на сервера потенциального противника. :)
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	46. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 19-Мрт-14, 15:52
	> Ну, разве что вы ходите на сервера потенциального противника. :) Я на свои сервера по паролю хожу во многих случаях. Правда, пароли длинные и я разборчив на предмет того что, как и откуда я делаю. Пока никто за 7 лет не поломал. Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	49. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от backbone (ok) on 19-Мрт-14, 15:59
	>> Ну, разве что вы ходите на сервера потенциального противника. :) > Я на свои сервера по паролю хожу во многих случаях. Правда, пароли > длинные и я разборчив на предмет того что, как и откуда > я делаю. Пока никто за 7 лет не поломал. Но у > вас еще все впереди, 160Мб логов с попытками брута ssh за > неделю - еще не предел. Ну брутят то как-раз пароли, это могут делать боты, так как другой информации, кроме ip:port им не нужно. В данном случае можно посоветовать fail2ban, sshguard...
	Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

	60. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Адекват (ok) on 19-Мрт-14, 17:27
	> вас еще все впереди, 160Мб логов с попытками брута ssh за > неделю - еще не предел. Кстати, а можно как-то пароли увидеть подбираемые ?
	Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

	75. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Неадекват on 19-Мрт-14, 18:38
	> Кстати, а можно как-то пароли увидеть подбираемые ? Да, например с помощью смоляной ямы
	Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

	112. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 21-Мрт-14, 00:59
	> Кстати, а можно как-то пароли увидеть подбираемые ? Гуглите по слову honeypot. Еще когда-то был левый патч для sshd, обеспечивающий логгирование неправильных паролей, но вряд ли он покатит на современных версиях sshd.
	Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

	113. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 21-Мрт-14, 01:00
	> Еще когда-то был левый патч для sshd, обеспечивающий > логгирование неправильных паролей, но вряд ли он покатит на современных версиях > sshd. Впрочем, при минимальных познаниях Си поправить можно и самому.
	Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

	78. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от SubGun (ok) on 19-Мрт-14, 18:50
	> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел. Зачем вы вообще наружу SSH выставляете?
	Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

	82. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Anonymous528 on 19-Мрт-14, 19:03
	А что есть более безопасные способы попадания на сервер с наружи?
	Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

	89. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от Анононо on 19-Мрт-14, 21:21
	portknock например
	Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

	91. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от pansa (ok) on 19-Мрт-14, 21:26
	>> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел. > Зачем вы вообще наружу SSH выставляете? Хотя бы стандартный порт сменить - это отсеит 99% bf
	Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

	95. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 20-Мрт-14, 00:41
	>>> Но у вас еще все впереди, 160Мб логов с попытками брута ssh за неделю - еще не предел. >> Зачем вы вообще наружу SSH выставляете? > Хотя бы стандартный порт сменить - это отсеит 99% bf да не отсеивает оно его... А так ну пусть 5 паролей из словоря попробует, через неделю ещё 5...
	Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

	51. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от freehck (ok) on 19-Мрт-14, 16:03
	Я тоже имею доступ к своим серверам по паролю. Пользуюсь этой возможностью в крайнем случае: если нет возможности зайти по ключу, а зайти надо.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	27. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от XoRe (ok) on 19-Мрт-14, 14:17
	>> for(i = 0; i < strlen(encrypted_string) / 2; i++) { > Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на > серверах в XXI-ом веке. К тому же, про то, что кто-то > с сервера по паролю ходит на другие сервера. I have a bad news for you... Вы даже не представляете, сколько админов ни разу в жизни не настраивали доступ по ключу...
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	31. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от backbone (ok) on 19-Мрт-14, 14:24
	> I have a bad news for you... > Вы даже не представляете, сколько админов ни разу в жизни не настраивали > доступ по ключу... А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	69. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от XoRe (ok) on 19-Мрт-14, 17:57
	>> I have a bad news for you... >> Вы даже не представляете, сколько админов ни разу в жизни не настраивали >> доступ по ключу... > А ведь это не сложнее, чем сделать chmod +x kaspersky.exe.sh. Это если знать, что делать. Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь. Кучу людей делали по статье из инета, не понимая, что они делают.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	70. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от backbone (ok) on 19-Мрт-14, 18:03
	> Это если знать, что делать. > Это как когда в первый раз самоподписанный ssl сертификат на сайт делаешь. > Кучу людей делали по статье из инета, не понимая, что они делают. Ну, если взломают их сервер, то будет уроком - наймут специалиста для решения данной задачи. Либо, ещё лучше, начнут вникать в проблему.
	Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

	43. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 15:30
	> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на > серверах в XXI-ом веке. Правильно, используйте ключи - их на автомате пи...ть проще :).
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	44. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от backbone (ok) on 19-Мрт-14, 15:36
	>> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на >> серверах в XXI-ом веке. > Правильно, используйте ключи - их на автомате пи...ть проще :). И храните их закрытую часть на сервере, да.
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

	45. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 19-Мрт-14, 15:48
	> И храните их закрытую часть на сервере, да. Ну рулить то вы откуда-то будете, правда? А что помешает оттуда ключ свистнуть? На ключ конечно тоже пароль можно поставить, но если утверждается что пароль можно спереть - пароль на ключ тоже спереть можно. А вот гемора добавляется.
	Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

	47. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от backbone (ok) on 19-Мрт-14, 15:56
	> Ну рулить то вы откуда-то будете, правда? А что помешает оттуда ключ > свистнуть? На ключ конечно тоже пароль можно поставить, но если утверждается > что пароль можно спереть - пароль на ключ тоже спереть можно. > А вот гемора добавляется. Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие порты и вообще за NAT. Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с паролем так не получится. Если злоумышленник получил доступ к вашему ПК, то для него нет особой разницы - ставить кейлоггер или воровать ключ.
	Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

	62. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Адекват (ok) on 19-Мрт-14, 17:31
	> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан Ничего мы не узнаем - почистят нам логи и поставят бекдор за полсекунды, так все сделают что мы подумать не сможем что кто-то заходил :)
	Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

	64. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от backbone (ok) on 19-Мрт-14, 17:33
	>> Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан > Ничего мы не узнаем - почистят нам логи и поставят бекдор за > полсекунды, так все сделают что мы подумать не сможем что кто-то > заходил :) Чтобы логи почистить, нужны локальные привилегии. Если это взлом не для организации ботнета, а целенаправленный, то на таких серверах неплохо бы удалённый лог писать.
	Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

	104. "В результате атаки Windigo вредоносным ПО поражены более..."	+/–
	Сообщение от arisu (ok) on 20-Мрт-14, 08:49
	> Ничего мы не узнаем - почистят нам логи и поставят бекдор за > полсекунды, так все сделают что мы подумать не сможем что кто-то > заходил :) а что, отправлять логи на другой сервер уже немодно?
	Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

	77. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 19-Мрт-14, 18:45
	> Преимуществ больше. ORLY? :) > Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации. Логин нэйм нужен по любому. И это два. (Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :) Если у вас до сих пор против этого нет защиты sshguard, fail2ban - да мильЁн их! - вы тоже буратина. Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа, с ремарками пр идиотов выше.
	Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

	79. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от backbone (ok) on 19-Мрт-14, 18:51
	> ORLY? :) Ну да, и я написал только то, что сразу в голову пришло. >> Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно никакой информации. > Логин нэйм нужен по любому. И это два. Бот его подбирает. Посмотрите /var/log/messages. > (Кто разрешает заходить рутом (99% линуксоидов кстати) - идиоты :) Не всегда это так. Если настроить PAM и вход с определённого IP, то это может быть полезно для бэкапов. > Если у вас до сих пор против этого нет защиты sshguard, fail2ban > - да мильЁн их! - вы тоже буратина. Вы тоже, если полагаетесь исключительно на временные блокировщики. > Иногда удобно так, иногда - эдак. У меня настроено оба варианта входа, > с ремарками пр идиотов выше. ну-ну
	Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

	115. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Anonym2 on 21-Мрт-14, 09:40
	>[оверквотинг удален] > Преимуществ больше. Во-первых, отсеиваются боты, перебирающие пароли, которым не нужно > никакой информации. Во-вторых, нужно знать имя пользователя удалённого входа, соответствующее > данному украденному ключу. В-третьих, взломать сервер проще в том смысле, что > он круглосуточно доступен в отличие от телефонов/ноутбуков, которые не слушают никакие > порты и вообще за NAT. > Если осуществлён вход по ключу, то мы точно знаем, какой девай взломан > (ноутбук, телефон и т.д.) и попросту удаляем pub-key с сервера, с > паролем так не получится. Если злоумышленник получил доступ к вашему ПК, > то для него нет особой разницы - ставить кейлоггер или воровать > ключ. Секретней ключа ещё только лицензионная электронная цифросепулька. (юмор, сарказм и так далее).
	Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

	53. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от freehck (ok) on 19-Мрт-14, 16:07
	>> И храните их закрытую часть на сервере, да. > Ну рулить то вы откуда-то будете, правда? Есть такая штука, называется пробросом ssh. Она как раз позволяет ходить туда-сюда по серверам, не держа на них отдельной копии закрытого ключа.
	Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

	76. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 19-Мрт-14, 18:39
	Че?
	Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

	108. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от oraerkx on 20-Мрт-14, 14:26
	ssh-agent forwarding
	Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

	52. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+1 +/–
	Сообщение от freehck (ok) on 19-Мрт-14, 16:05
	>> Так вот, почему антивирусы тормозят систему. Вообще странно писать про пароли на >> серверах в XXI-ом веке. > Правильно, используйте ключи - их на автомате пи...ть проще :). Да. Вот зайду я на вражеский сервер, сворую оттуда открытый ключ, и положу его на своём, чтобы вражина мог на мой сервер зайти и попасть в мои хитроумные ловушки. :)
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

29. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от XoRe (ok) on 19-Мрт-14, 14:19
Дополнительный пинок к переходу на запароленные ssh ключи. Вместе с ssh agent это даже удобнее, чем пароли. Не говоря о безопасности. Хотя... скорее это пинок к изучению документации по ключам. А то бездумное использование тоже чревато. P.S. Что-то мельчают тролли на опеннете. Ни одного возгласа "linux - решето!!!111".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	38. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Andrey Mitrofanov on 19-Мрт-14, 14:58
	> Дополнительный пинок к переходу на запароленные ssh ключи. > Вместе с ssh agent это даже удобнее, чем пароли. > Не говоря о безопасности. >Хотя... скорее это пинок к изучению документации по ключам. > А то бездумное использование тоже чревато. соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована форвард-машина -> скажи ключу до свидания (безо всякого пароля) бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connec... скрипты с соединениями по ssh с ключами вызывают трепет. а ещё мастер-сокеты...
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	67. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от XoRe (ok) on 19-Мрт-14, 17:54
	> соединение с [одним] ключём через форвард -> форвард агента + если скомпрометирована > форвард-машина -> скажи ключу до свидания (безо всякого пароля) Не совсем понял, как можно увести ключ при форвардинге. А вот выполнить команды - да, дыра. Как вариант - зловред может сгенерить свой ключ и разложить его везде, пользуясь форвардингом. > бди! ssh-agent -c, http://blog.endpoint.com/2014/03/scripting-ssh-master-connec... > скрипты с соединениями по ssh с ключами вызывают трепет. > а ещё мастер-сокеты... Спасибо, буду знать.
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

	80. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Andrey Mitrofanov on 19-Мрт-14, 18:57
	> Не совсем понял, как можно увести ключ при форвардинге. Имел в виду, если включён форвард ssh-agent-а -- как по ссылке ниже. Впрочем, эти зловреды ключами не заморачиваются. Пока, видимо. >> бди! ssh-agent -c, blog.endpoint.com/2014/03/scripting-ssh-master-connections.html > Спасибо, буду знать. Не-не, я нагнетаю и труню. Я не источник знаний! Я настаиваю. :>
	Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

	63. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от SergMarkov (ok) on 19-Мрт-14, 17:32
	> Ни одного возгласа "linux - решето!!!111". А зачем ? :-) решета не нада, достататочна одын дырка, чтоб оказаться в г.. :-)
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–4 +/–
Сообщение от vi on 19-Мрт-14, 14:23
> В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов За что им только деньги плотятЪ? Даже мои тапочки чуть не лопнули от смеха ;) Это же надо за три года 25 т. серверов, с оффтопиком за 15 минут можно миллионы накрутить ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от Аноним (??) on 19-Мрт-14, 14:31
2 вопроса: 1) как можно перхватить пароль пароль? Я думал, что для ssh его не перехватить даже если сеть доступна и всякие "злые люди между тобой и сервером". Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги. Тогда как они заменяют на них модули и апач если у юзера нет прав? 2) Чего eset 2 года молчал? Безуспешно пытался наваять защиту замалчивая проблему, но т к не потятнул, то решил просто попиариться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	34. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+6 +/–
	Сообщение от тоже Аноним (ok) on 19-Мрт-14, 14:44
	ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус на Линукс-серверах по-прежнему нахрен не нужен.
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	66. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Адекват (ok) on 19-Мрт-14, 17:37
	> ESET долго надеялся на чудо, но наконец был вынужден признать правду: антивирус > на Линукс-серверах по-прежнему нахрен не нужен. Нет, ну почему же ? ClamAv для проверки ворд-эксель-поверпоинт и прочее для виндовс-машинв корпоративной сети же.
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

	39. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 19-Мрт-14, 14:58
	> 1) как можно перхватить пароль пароль? Я думал, что для ssh его > не перехватить даже если сеть доступна и всякие "злые люди между > тобой и сервером". На винде перехватывают ввод пароля при помощи кейлоггера, а на сервере перехватывают пароль входа на другой сервер через подмену утилиты ssh. > Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги. Если пользователь зашёл на внешнюю систему по ключу, но с использованием троянской утилиты ssh, то злодей получит и ключи удалённой строны. > Тогда как они заменяют на них модули и апач если у > юзера нет прав? Видимо модуль внедряют на системах с root/root, входомами под root через ssh или с открытым доступом через sudo. На остальных просто спамерский бот ставят. > 2) Чего eset 2 года молчал? Безуспешно пытался наваять защиту замалчивая проблему, > но т к не потятнул, то решил просто попиариться? Не, просто они обобщили и связали имеющиеся данные. Походите по ссылкам к новости, там как раз за последние три года разные сообщения от Eset встречаются.
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	48. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от vi on 19-Мрт-14, 15:58
	>> 1) как можно перхватить пароль пароль? Я думал, что для ssh его >> не перехватить даже если сеть доступна и всякие "злые люди между >> тобой и сервером". > На винде перехватывают ввод пароля при помощи кейлоггера, Тут все понятно. > а на сервере перехватывают > пароль входа на другой сервер через подмену утилиты ssh. Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир? :( Может загружать в свой хомяк статически слинкованный клиент ssh? >> Т к все нормальные люди используют ключи, то вломаны, очевидно, всякие хостинги. > Если пользователь зашёл на внешнюю систему по ключу, но с использованием троянской > утилиты ssh, то злодей получит и ключи удалённой строны. Немного слаб в этой теме. Попроще, каким образом? >> Тогда как они заменяют на них модули и апач если у >> юзера нет прав? > Видимо модуль внедряют на системах с root/root, входомами под root через ssh > или с открытым доступом через sudo. На остальных просто спамерский бот > ставят. Все может быть. Но как лучше мониторить? Простые методы вперед.
	Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

	50. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от vi on 19-Мрт-14, 16:01
	>> а на сервере перехватывают >> пароль входа на другой сервер через подмену утилиты ssh. > Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир? > :( > Может загружать в свой хомяк статически слинкованный клиент ssh? Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или я не прав).
	Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

	74. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от Andrey Mitrofanov on 19-Мрт-14, 18:32
	>>> а на сервере перехватывают >>> пароль входа на другой сервер через подмену утилиты ssh. >> Это как? То есть хостерам уже нельзя доверять? Куда катится этот мир? >> :( >> Может загружать в свой хомяк статически слинкованный клиент ssh? Не пускай там ssh (ssh.conf+ProxyCommand+netcat и второй ssh - тоже твой локальный). Не форварди агента. Не... ходи в интернеты. Не смотри прон. Не возжелай.... ЭЭЭэ, о чём это мы?? > Посыпаю свою голову пеплом, root-овый процесс может из RAM все считать (или > я не прав). Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли, вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh от локального агента.
	Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

	94. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от freehck (ok) on 20-Мрт-14, 00:25
	> Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для > соединения с целью получает [гм, может получать -- SUBJ-и тырили пароли, > вроде] от лок.агента пользователя его приват-ключ. Так же, как локальный ssh > от локального агента. Андрей, если бы оно ТАК работало, это было бы по меньшей мере глупо. Вот хорошая статья на этот счёт: http://www.clockwork.net/blog/2012/09/28/602/ssh_agent_hijac...
	Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

	116. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Andrey Mitrofanov on 21-Мрт-14, 19:16
	>> Посыпай дальше: форвард ssh-agent-а на среднюю машину при запуске там ssh для > Андрей, если бы оно ТАК работало, > Вот хорошая статья на этот счёт: Спасибо. Я нёс полную чушь, признаю. Private ключ не унесут. Могут рас- или зашифровать с его использованием любое сообщение или залогиниться по нему на любой сервер, где это прокатит. //Правильно эти ботнетчики не заморачиваются. Пока root пароли снифятся, чего в эту криптографию лезть.
	Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

37. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+2 +/–
Сообщение от skb7 (ok) on 19-Мрт-14, 14:52
> После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей Это единственное, о чем было бы интересно почитать. Когда есть пароль -- можно делать что хочешь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от Аноним (??) on 19-Мрт-14, 15:06
Замечена еще какая-то хрень. Чаще всего на бсдшных машинах из exUSSR прется (RU, UA). На зараженных хостах ставится 3proxy, слушающий на 1080 и 8080, требует авторизацию. Достаточно глупые дроны ботнета ломятся в несколько IRC сетей, в виде которых ботнет неплохо демаскируется благодаря крайне глупой логике, вызывающей анноянс у посетителей каналов :). Используют слова русского происхождения для ников. Это что за выводок? Явно exUSSRовское творчество.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от dimasp on 19-Мрт-14, 16:56
у меня на сервере под FreeBSD дважды за год добавляли "левый" модуль апача, и добавляли строчку с этим модулем в httpd.conf. и мой веб-сервер начинал хаотично вставлять вредоносную ссылку в код отдаваемых страниц. интересно, что гугл отлавливал это быстро, в течение 2-3 часов, и блокировал сайты в своем поиске, фарефоксе и хроме.   с помощью tripwire я видел какие файлы менялись (только модуль и httpd.conf), но как они это делали, я до сих пор не понимаю, т.к. никто по ssh не подключался. у меня подозрение, что есть какой-то еще неизвестный бэкдор, позволяющий возможно что через php, менять эти файлы от root. больше идей нет. и sudo у меня там не установлено. и решил я пока на каталог с модулями апача и на httpd.conf поставить флаги schg. и если эту атаку делает извне робот, то он даже от рута не сможет хотя бы поменять настройки апача. а есть подозрение, что это робот, потому что в измененном httpd.conf появлялись ^M. и пока живу так, отслеживая изменение файлов в tripwire.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от Адекват (ok) on 19-Мрт-14, 17:09
К слову о скриптах - скрипты они такие, что каждый админ пишет под себя, и велика доля вероятности что другой админ их  сделает, а другой не разберет, тем более что кто-то предпочитает bash, кто-то perl, а кто-то питон. А вот "специально придуманные для этого инструменты, не велосипеды", типа веб-морд-управлялок на php+*sql - тут да, один админ настроит и все остальные админы разберутся. Это было мое большое ИМХО, спасибо за внимание :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от SergMarkov (ok) on 19-Мрт-14, 17:30
"против лома нет приема" © - можно иметь теоретически безупречную ось и кривую систему идентификации и q-q
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	86. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Сергей (??) on 19-Мрт-14, 20:26
	> можно иметь теоретически безупречную ось и кривой маздай у админа
	Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

73. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
Сообщение от Аноним (??) on 19-Мрт-14, 18:09
достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор при компиляции бинарника и выложить этот бинарник в репозиторий. через пару дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте найти иголку в стоге сена ^^
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	85. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Аноним (??) on 19-Мрт-14, 20:01
	> достаточно написать востребованное приложение, через некоторое время всунуть туда бэкдор > при компиляции бинарника и выложить этот бинарник в репозиторий. через пару > дней выложить новую версию бинарника без бэкдора... версии-то постоянно меняются, попробуйте > найти иголку в стоге сена ^^ самая подстава в том что хозяин репа может и не знать что в его датацентр приходили компетентные люди.
	Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

83. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от anonymous (??) on 19-Мрт-14, 19:35
>модуль рассылки спама был написан на Perl На самом деле это обычный почтовый клиент - там просто в 14 строчке один символ похерился.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от EuPhobos (ok) on 19-Мрт-14, 19:53
Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде ненадёжных паролей и проё**ных ключей! Когда же хомячки вирус-ОС ..эмм виндус-ОС наконец перестанут клепать жёлтые новости про Unixоподобные)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	100. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
	Сообщение от Чепукот on 20-Мрт-14, 07:37
	>>Эхх, всё таки придётся признать уязвимости в Linux и FreeBSD.. Эти системы оказываются всё таки имеют критическую уязвимость...  в виде пользователей...
	Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

	109. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	–1 +/–
	Сообщение от клоун Стаканчик on 20-Мрт-14, 17:49
	Падение меньше, чем на 50% считаем ростом. 25 тысяч заражённых серверов считаем незаражёнными, т.к. метод заражения не утверждён синодом как каноничный. Что дальше?
	Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

98. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от Пушистик (ok) on 20-Мрт-14, 06:45
Ну и параноики же работают в этой компании ESET. Надо же слепить в кучу тысячи несвязанных между собой атак и взломов. Да ещё и кернел.орг и линукс фоундейшен сюда же прилепили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

101. "В результате атаки Windigo вредоносным ПО поражены более..."	+/–
Сообщение от arisu (ok) on 20-Мрт-14, 08:37
учишь эникейщиков не вводить никакие пароли в винду, учишь — а толку…
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

102. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от lucentcode (ok) on 20-Мрт-14, 08:45
Что-то та часть, что касается подмены одной из либ SSH очень мне напоминает Linux/Ebury, с которым у всех сейчас головняка хватает. Хорошо хоть, что факт заражения несложно обнаружить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "В результате атаки Windigo вредоносным ПО поражены более 25 ..."	+/–
Сообщение от Аноним (??) on 20-Мрт-14, 11:41
25000 серверов. А сколько это от общего количества? Капля в море или ощутимое количество?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема