The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от opennews (??) on 20-Июл-14, 00:27 
Группа исследователей из компании Яндекс опубликовала (https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201...) результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в web-приложениях. Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицироавнных вредоносным ПО узлов ботнета.


Mayhem примечателен сложной и гибко расширяемой архитектурой.  После успешной эксплуатации уязвимости в web-приложении, на  сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме исполняемого файла, обладающего достаточно богатой функциональностью. Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форме разделяемых библиотек. Например, доступны плагины для выполнения таких действий, как сканирование сайтов на наличие уязвимостей, сбор данных о сайтах под управлением WordPress, подбор паролей методом перебора для сайтов под управлением популярных систем управления контентом и панелей управления,  подбор параметров FTP-аккаунтов, извлечение различной информации со страниц сайтов.


В статье также приводятся некоторые выводы, обобщающие текущие тенденции:

-  Ботнеты, создаваемые на основе web-серверов, нашли собственную нишу монетизации, связанную с перебросом трафика, применением  грязных методов поисковой оптимизации и использованием загрузок для организации атак.

-  Web-серверы более интересны для атаки, чем обычные пользовательские ПК, так как они очень редко перезагружаются, имеют более качественное сетевое соединение и обладают более высокой вычислительной мощностью.
-  На серверах хостинга часто не используются средства автоматической установки обновлений, многие web-мастеры и системные администраторы устанавливают обновления вручную с последующей проверкой корректности  работы инфраструктуры.

-  Для типового сайта качественное сопровождение является дорогим удовольствием и web-мастеры не всегда уделяют внимание отслеживанию появления новых выпусков с устранением уязвимостей. Подобная практика приводит к существованию в Сети большого числа уязвимых web-серверов, которые легко атаковать и использовать в ботнете.

-  В *nix-системах не распространено использование антивирусов. Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.


URL: http://www.theregister.co.uk/2014/07/18/malware_linux_freebs.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40231

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +2 +/
Сообщение от Аноним (??) on 20-Июл-14, 00:27 
Endgame: Singularity is a simulation of a true AI. Go from computer to computer, pursued by the entire world. Keep hidden, and you might have a chance.
:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 20-Июл-14, 21:20 
О да :)
Ждём apotheosis? ;)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +4 +/
Сообщение от metallica (ok) on 20-Июл-14, 00:38 
Молодцы яндексоиды. Ждём инфу о хотя бы одной молвари, реализованной
как kernel thread. (в наличии таковых не сомневаемся)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +5 +/
Сообщение от pavlinux (ok) on 20-Июл-14, 23:47 
Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они разрешают юзерам LD_PRELOAD!!!

---
~$ LD_PRELOAD=/usr/lib/libtcmalloc.so
bash: LD_PRELOAD: доступная только на чтение переменная


~$ grep LD_PRELOAD /etc/profile
LD_PRELOAD=""
declare  -r LD_PRELOAD;
export LD_PRELOAD

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

60. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +2 +/
Сообщение от Andrey Mitrofanov on 21-Июл-14, 09:32 
> Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они
> разрешают юзерам LD_PRELOAD!!!

--Да, внучёк, таких только могила исправит. Ишь ты, "declare -r"?! Они b man-bash-то не читывали про --noprofile, и про субшелы не рубят. Охохо...

> ~$ grep LD_PRELOAD /etc/profile
> LD_PRELOAD=""
> declare  -r LD_PRELOAD;
> export LD_PRELOAD

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

78. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –2 +/
Сообщение от pavlinux (ok) on 21-Июл-14, 20:21 
>> Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они
>> разрешают юзерам LD_PRELOAD!!!
> --Да, внучёк, таких только могила исправит. Ишь ты, "declare -r"?! Они b
> man-bash-то не читывали про --noprofile,

$ bash --noprofile
$ unset LD_PRELOAD
bash: unset: LD_PRELOAD: не могу сбросить: доступно только для чтения variable

> и про субшелы не рубят.

в субшелах тоже запрещать.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

83. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +1 +/
Сообщение от Andrey Mitrofanov on 21-Июл-14, 20:55 
>> и про субшелы не рубят.
> в субшелах тоже запрещать.

Тогда забыл ещё bashrc прогрепить, ага.

$ bash --login --noprofile_

Начинай баши патчить. И ld.so.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

86. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –1 +/
Сообщение от pavlinux (ok) on 21-Июл-14, 23:16 
>>> и про субшелы не рубят.
>> в субшелах тоже запрещать.
> Тогда забыл ещё bashrc прогрепить, ага.
> $ bash --login --noprofile_
> Начинай баши патчить. И ld.so.

Хрен вам!
~$ alias bash='_bash() { bash --;}; _bash'; # куда всунуть глобальный алиас, сам знаешь
~$ bash --login --noprofile
~$ unset LD_PRELOAD
bash: unset: LD_PRELOAD: не могу сбросить: доступно только для чтения variable

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

89. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Andrey Mitrofanov on 22-Июл-14, 09:54 
> Хрен вам!

$ bash --version
$ exit
$ /bin/bash --version
GNU bash, version 4.2.37(1)-release (i486-pc-linux-gnu)
Copyright (C) 2011 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
$ _

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

90. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –2 +/
Сообщение от pavlinux (ok) on 23-Июл-14, 22:44 
>> Хрен вам!
> $ bash --version
> $ exit
> $ /bin/bash --version

Это что было? После exit у тя logout должен случиться!

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

65. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 21-Июл-14, 10:53 
> разрешают юзерам LD_PRELOAD!!!

Я не понял, а как ты это запретить можешь? Технически, переменные окружения - некий кусок данных в памяти. Процесс может перефигачивать окружение отдаваемое child как захочет. Как ты представляешь себе выборочное readonly на один из "key=value" в едином блоке памяти? Мне интересно, право :)

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

79. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –2 +/
Сообщение от pavlinux (ok) on 21-Июл-14, 20:29 
> Мне интересно, право :)

Да, ты прав, ты смешно - man mprotect

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

93. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 00:33 
> Да, ты прав, ты смешно - man mprotect

Не поможет: parent процесс полностью формирует child-у окружение, в том числе передавая блок переменных окружения. Внезапное западло, да? То-есть если parent отдаст child-у какое-то г@вно - вот так по простому, child придется это съесть.

Но кстати одно решение таки нашлось. Вот, любуйся: http://habrahabr.ru/post/212825/

Ядерный модуль перехватывает execve, сканит наличие при этом в окружении LD_PRELOAD и выпиливает оный КЕМ, если он найден :). Вот такой вот костылище. А ты - mprotect. Ага, щаззз. Что ты там протектить собрался и почему это будет работать? :)

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

71. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –2 +/
Сообщение от Аноним (??) on 21-Июл-14, 11:05 
Если это дефолтное поведение, то называл дiбилами создаталей всех дистрибутивов и Линуса лично.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

80. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от pavlinux (ok) on 21-Июл-14, 20:37 
> Если это дефолтное поведение,

Нет. Дефолтный Linux - дырявее венды

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

94. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 00:34 
> Нет. Дефолтный Linux - дырявее венды

Да не звизди, в винде тоже прелоад есть, при том 99% админов даже не знает где.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

92. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –1 +/
Сообщение от bOOster email on 26-Июл-14, 08:45 
А че Линус дистрибутив собирает???
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

91. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от XoRe (ok) on 25-Июл-14, 11:42 
> Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они
> разрешают юзерам LD_PRELOAD!!!

Уважаемый, вы сами придумали, что зловред запускает bash, а потом набросились на небезопасность bash :)

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

3. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –4 +/
Сообщение от lucentcode (ok) on 20-Июл-14, 01:07 
Встречал файлы .sd0, и подозрительные процессы host, запущенные от имени пользователя, от имени которого запускались крипты. Похоже, эта зараза стала довольно распространённой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору
Часть нити удалена модератором

36. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Адекват (ok) on 20-Июл-14, 14:59 
> Это лучше чем не увидеть и думать, что какие-то предпринятые тобой общие
> меры могут тебя хоть как-то защитить от атаки на конкретную уязвимость.
> Дурь о неуязвимости линукса еще не выветрилась из некоторых голов?

Ну почему же дурь, если его архитектура изначально предполагает защиту в виде разделения прав пользователей ?
В линуксах что пользовательские процессы, что серверные работают со своими id и друг на друга повлиять не могут, если конечно админ сам не сделает особые разрешения.
А архитектура винды предполагает что и пользователь и все серверные процессы будут работать от админа.
Был ли за всю историю линуксов эксплоит дающи ремоте рут, ну или хотя бы ремоте шел с привилегиями простого пользователя ?
Как у вас там в вашей голубоватой недооси run as уже умеет запускать процессы от имени других пользователей без ручного ввода паролей ? Сколько там процентов до уровня sudo линуксового ?

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

50. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –3 +/
Сообщение от Аноним (??) on 20-Июл-14, 22:18 
>[оверквотинг удален]
> В линуксах что пользовательские процессы, что серверные работают со своими id и
> друг на друга повлиять не могут, если конечно админ сам не
> сделает особые разрешения.
> А архитектура винды предполагает что и пользователь и все серверные процессы будут
> работать от админа.
> Был ли за всю историю линуксов эксплоит дающи ремоте рут, ну или
> хотя бы ремоте шел с привилегиями простого пользователя ?
> Как у вас там в вашей голубоватой недооси run as уже умеет
> запускать процессы от имени других пользователей без ручного ввода паролей ?
> Сколько там процентов до уровня sudo линуксового ?

Sudo это окаменевшее гогно мамонта. Мсье слыхал о RBAC?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

61. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 21-Июл-14, 10:31 
> Мсье слыхал о RBAC?

Слыхали, как же. Много кластерфака на ровном месте. Энтерпрайзно и все такое. И мало какой админ в результате понимает эффективный набор прав, действующий в системе.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

64. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +1 +/
Сообщение от arisu (ok) on 21-Июл-14, 10:52 
> Sudo это окаменевшее гогно мамонта. Мсье слыхал о RBAC?

а мсье в курсе, что чем сложнее системы защиты, тем больше потенциальная площадь атаки? система ugo, конечно, не идеальна, но при правильном применении весьма эффективна. надо только избавиться от винды в голове.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

66. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Аноним (??) on 21-Июл-14, 10:55 
В системе ugo по крайней мере можно без поллитры понять кому и что можно.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

85. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –1 +/
Сообщение от Аноним (??) on 21-Июл-14, 22:52 
Был ли за всю историю линуксов эксплоит дающи ремоте рут, ну или хотя бы ремоте шел с привилегиями простого пользователя ?
был и не один для proftpd
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

4. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –6 +/
Сообщение от lucentcode (ok) on 20-Июл-14, 01:10 
Не правда, в *nix-системах народ использует свободное антивирусное ПО для поиска вирусов и малвари. К сожалению, оно способно обнаружить не более 70 процентов вредоносов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +7 +/
Сообщение от maestromony (ok) on 20-Июл-14, 03:17 
Имхо антивирь в линуксе нужен только на серверах с файлопомойкой. Да и то, чтобы не распространять заразу, загруженную туда другими пользователями, а не для самозащиты...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от YetAnotherOnanym (ok) on 20-Июл-14, 09:14 
Свободное антивирусное ПО - это Clam? Увы, там тоже не всё радужно. Несколько раз отправлял им скринлокеры, снятые с хомячьих машин, и файлы, скачанные по ссылкам из СМС - могла пройти неделя, пока оно окажется в сигнатурах, причём даже после перехода под крыло Цыски.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

42. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от 123 (??) on 20-Июл-14, 17:20 
Да уж, Clam почти на все exe-шники ругается. При том, что остальные антивири ничего не находят.
Любой запаковщик - это уже "подозрение".
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

44. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +4 +/
Сообщение от arisu (ok) on 20-Июл-14, 17:38 
> Да уж, Clam почти на все exe-шники ругается.

правильно делает. всё равно софт под винду — это или троян, или такой быдлокод, что лучше бы уж был троян.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

51. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +2 +/
Сообщение от Аноним (??) on 20-Июл-14, 22:18 
> Да уж, Clam почти на все exe-шники ругается. При том, что остальные
> антивири ничего не находят.
> Любой запаковщик - это уже "подозрение".

Как настроишь.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

95. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 00:35 
> Любой запаковщик - это уже "подозрение".

ЧСХ, не так уж и необоснованно...

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

5. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от arisu (ok) on 20-Июл-14, 01:56 
LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера. те, у кого это работает, должны пойти на удобрения.

p.s. «на софтину, принадлежащую руту», само собой, а не на suid.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Аноним (??) on 20-Июл-14, 02:55 
Да вы батенька наркоман. Еще suid-бит с passwd снимите, дабы безопасней было.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +3 +/
Сообщение от arisu (ok) on 20-Июл-14, 10:48 
> Да вы батенька наркоман.

а, ну да: те, у кого эксплойт не работает — те наркоманы. и вообще — не хотят со всеми в ногу идти, сволочи! прогрессивный мир давно предоставляет базу для прогрессивных эксплойтов, а эти ретрограды… и поцтеринга вдобавок не любят!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +5 +/
Сообщение от arisu (ok) on 20-Июл-14, 10:53 
а теперь, если тебе не сложно, будь любезен, поясни: зачем пользователю www права на использование LD_PRELOAD? тем более на бинари, которые принадлежат не ему? ну и да, чтобы два раза не вставать: права на запуск бинарей не с системного раздела ему тоже не нужны.

впрочем, судя по твоему удивлению, ты считаешь, что Реальные Пацаны всегда сидят под рутом. иначе какие же они Реальные Пацаны — ежели позволяют дурацкой системе ограничения ставить!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

27. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  –1 +/
Сообщение от Нанобот (ok) on 20-Июл-14, 13:07 
btw: а разве есть способ отключить LD_PRELOAD? (а то гугл что-то мне ничего толком не выдаёт...)
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

28. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +1 +/
Сообщение от arisu (ok) on 20-Июл-14, 13:16 
> btw: а разве есть способ отключить LD_PRELOAD? (а то гугл что-то мне
> ничего толком не выдаёт...)

для setcap'нутых бинарей отключается; при помощи патча к ld.so ограничивается. запрещение похапэ-скриптам запускать бинари убивает проблему на корню (или ограничение при помощи safe_mode_exec_dir, в exec_dir вместо бинарей — скрипты, которые делают unset LD_PRELOAD).

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  –1 +/
Сообщение от Адекват (ok) on 20-Июл-14, 15:07 
> btw: а разве есть способ отключить LD_PRELOAD? (а то гугл что-то мне
> ничего толком не выдаёт...)

если я не ошибасюь, то LD_PRELOAD это пререгатива чиста шеллов, типа bash, sh, вызов которых в PHP делается через shell_exec, exec Что есть функции которые можно отключить.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

45. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Нанобот (ok) on 20-Июл-14, 18:33 
Да нет, LD_PRELOAD - фича откуда-то из недр libc
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

46. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +1 +/
Сообщение от arisu (ok) on 20-Июл-14, 18:36 
> Да нет, LD_PRELOAD - фича откуда-то из недр libc

а если конкретно — из ld.so, он же «dynamic linker», он же «interpreter».

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

62. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Аноним (??) on 21-Июл-14, 10:39 
> если я не ошибасюь, то LD_PRELOAD это пререгатива чиста шеллов

Щаззззз! Это фича загрузчика shared libs и переменные ВНЕЗАПНО можно выставлять не только через сpaные скриптики, но и например запустив программу и отдав чайлду ДРУГОЕ окружение. Улыбайтесь, вас скрывают снятой камерой.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

67. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Аноним (??) on 21-Июл-14, 11:00 
> LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера.

А какая разница какая софтина и каталог? Переменные - блок памяти с всяким гэ, отдаваемый процессу по execve и тому подобным. И или уж тебе можно процесс запускать (и ты можешь ему впарить окружение), или уж нельзя (тогда впаривание окружения не состоится за отсутствием процесса).

> p.s. «на софтину, принадлежащую руту», само собой, а не на suid.

Как максимум юзера можно совсем обуть на запуск таких софтин. Правда не понятен пойнт обувания юзера на host. От чего это защищает? Сам по себе фокус с LD_PRELOAD и таким странным перехватом управления достаточно индифферентен к тому какую программу использовать.

Я что-то где-то упускаю или не понял какую-то мысль?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

70. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от arisu (ok) on 21-Июл-14, 11:05 
>> LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера.
> А какая разница какая софтина и каталог?

как видишь по сплоету — большая.

> уж тебе можно процесс запускать (и ты можешь ему впарить окружение),
> или уж нельзя (тогда впаривание окружения не состоится за отсутствием процесса).

прикинь, а процесс таки проходит стадию динамического связывания. и эта стадия делается отдельной юзермодной софтиной. которая и обрабатывает LD_PRELOAD. и которую — внезапно! — можно пропатчить на предмет дополнительных проверок. вот такой вот сюрприз.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

96. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 00:40 
> как видишь по сплоету — большая.

Да хрен там. Спроси у гугли про azazel например. Милая такая вещичка, на гитхабе лежит. И врядли ты порадуешься если такую поюзают против тебя. Добра под LD_PRELOAD есть достаточно много и пути там не сильно роялят. Разве что если путь смонтирован с noexec, или типа того - там может и роялит, вот это не помню.

> — можно пропатчить на предмет дополнительных проверок.

Блин, спасибо капитан. И как это я сам не догадался?!

> вот такой вот сюрприз.

Вон там орлы с хабрашвабры фундаментальнее поступили - в ядерном модуле перехватили execve и выпиливают там LD_PRELOAD из окружения, если он был :).

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

99. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от arisu (ok) on 04-Авг-14, 12:36 
> Вон там орлы с хабрашвабры фундаментальнее поступили - в ядерном модуле перехватили
> execve и выпиливают там LD_PRELOAD из окружения, если он был :).

я ни секунды не сомневался, что хабра — сборище дегенератов.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

10. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –3 +/
Сообщение от ano (??) on 20-Июл-14, 03:11 
Я такое года 3-4 назад разбирал. У них руки только сейчас дошли что ли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –3 +/
Сообщение от Аноним (??) on 20-Июл-14, 22:19 
> Я такое года 3-4 назад разбирал. У них руки только сейчас дошли
> что ли?

Пингвин - крупная нелетающая птица-тормозок.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

63. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +1 +/
Сообщение от Аноним (??) on 21-Июл-14, 10:40 
> Пингвин - крупная нелетающая птица-тормозок.

А мальчику Билли форточку разбили.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

12. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +1 +/
Сообщение от cmp (ok) on 20-Июл-14, 05:34 
> В *nix-системах не распространено использование антивирусов. Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.

если ( Web-мастеры != админы сервера ), то это логично, иначе если (использование различных систем упреждающей защиты и проверки систем == true), то имеем геморой, когда что-то не работает и выяснение "почему" сводится к проверке не одного (/var/log/httpd/error.log), а множества логов, что для Web-мастера превращается в ад из десятков окон с отладчиками сайта, сайтом в разных браузерах, кучей консолей с отладочной инфой системы, окна с мануалами системы и тд, ну бред же.

Если студент взял подработку и за 3000р в месяц нарисовал и админит сайт для конторы которой больше и не надо, то вирусня на сайте - урок и студенту, и конторе.

Если контора держит штатного админа за 25000 в месяц, который и 50 машин админит, и принтеры, и антивирь на хостах, и все-все-все, то вирусня на сайте, опять же звоночек, который в общем-то никак не характеризует админа.

Т. е. всех все устраивает.

/*****************/

Лет 10 уже смотрю на атаки ботнетов в логах, режутся элементарно - по критерию частого попадания на 404 ошибку - ip в черный список, или запросы страниц без запросов связанны css файлов. Если боимся распределенных атак, то вместо ip используем ASку, но это уже для взрослых дяденек с ресурсами и своими распределенными сетями, пару лет назад Корея лютовала, сейчас как дела не в курсе, но было бы желание, а возможности найдутся.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –2 +/
Сообщение от Аноним (??) on 20-Июл-14, 05:58 
Где можно скачать? Или опять на*издеть нап*здели, а попользоваться не дадут?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +4 +/
Сообщение от гость on 20-Июл-14, 07:31 
> Где можно скачать? Или опять на*издеть нап*здели, а попользоваться не дадут?!

Выставь в интернет уязвимую систему - само закачаться должно.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

39. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 20-Июл-14, 15:44 
Ок, а есть туториал как сделать уязвимую систему? И через сколько времени она закачается? А то больно уж попахивает пиаром антивирусов......
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

47. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от freehck email(ok) on 20-Июл-14, 18:38 
> Ок, а есть туториал как сделать уязвимую систему?

О, к сожалению, этого-то у нас лопатой грузить можно... :(

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

59. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним email(??) on 21-Июл-14, 09:20 
пароль для root/admin из словаря распространённых слов длиной до 4-6 букв
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

72. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от тазовод on 21-Июл-14, 11:17 
эээ
это и есть используемый этим софтом способ "поражения вредоносным ПО серверов под линукс"??
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

20. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –1 +/
Сообщение от trdm (ok) on 20-Июл-14, 11:47 
> Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.

Можно парочку руководств на русском?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 20-Июл-14, 22:19 
>> Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.
> Можно парочку руководств на русском?

Учи английский. Пригодится.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –1 +/
Сообщение от bOOster email on 20-Июл-14, 11:55 
securelevel+JAIL и Linux остается со зловредом один на один.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –3 +/
Сообщение от Адекват (ok) on 20-Июл-14, 14:50 
Ну и причем тут линукс ? тут "при чем" PHP и идиоты админы.
Эта зараза еще более опасна чем все думают. так как она порожает ВООБЩЕ все ос, на основе которых крутятся сайты на PHP.
Оно умеет делать shell_exec или что-то вроде того ? Так как вроде почти во всех веб-серверах, в их настройках как раз такие функции запрещены.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +2 +/
Сообщение от anonymous (??) on 20-Июл-14, 17:32 
> Ну и причем тут линукс ?

А что, на винде можно сделать LD_PRELOAD=libworker.so /usr/bin/host ? Это пускается на линуксе и гадит, а значит линукс более чем причём.

И вообще, линукс != голактеко безопасносте.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

56. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +2 +/
Сообщение от pavlinux (ok) on 20-Июл-14, 23:54 
>> Ну и причем тут линукс ?
> А что, на винде можно сделать LD_PRELOAD=libworker.so /usr/bin/host ?

Как два байта об асфальт
http://en.wikipedia.org/wiki/DLL_Injection
http://support.microsoft.com/kb/197571

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

69. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –1 +/
Сообщение от Аноним (??) on 21-Июл-14, 11:05 
> А что, на винде можно сделать LD_PRELOAD=libworker.so /usr/bin/host ?

На винде техника подгрузки либ используется уже наверное лет 15...

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

74. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +1 +/
Сообщение от arisu (ok) on 21-Июл-14, 11:29 
> На винде техника подгрузки либ используется уже наверное лет 15...

а работает до сих пор как говно и только с мегакостылями. потому что аналога dlsym(name, RTLD_NEXT) тупо нет.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

97. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 00:42 
> а работает до сих пор как гoвно и только с мегакостылями. потому
> что аналога dlsym(name, RTLD_NEXT) тупо нет.

Ну ты же понимаешь, что хакеры не гордые - и так схавают. Это разработчики там всякие плюются. А хаксорам - бабло побеждает зло, сам понимаешь.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

73. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  –2 +/
Сообщение от Аноним (??) on 21-Июл-14, 11:28 
На винде другие методы. У меня штатно программа пишет и в системную папку любой версии винды, и в реестр, затем из "оффисных" приложений вызывает код из DLL на Си (местами со вставками на ассемблере), который в принципе может с пользовательским компьютером делать что угодно (в приложении без вреда, естественно), и ни одна система безопасности даже не пикнула (в том числе при установке программы) при любом уровне безопасности винды и оффиса.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

54. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 20-Июл-14, 22:59 
SELinux помогает против него?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от anonymous (??) on 21-Июл-14, 08:13 
Да.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

57. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +3 +/
Сообщение от Какаянахренразница (ok) on 21-Июл-14, 07:27 
Дайте скачать! А то один трёп во всех новостях...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +2 +/
Сообщение от Аноним (??) on 21-Июл-14, 11:32 
> Дайте скачать! А то один трёп во всех новостях...

Потому что треп и есть ... типа секретных патентов Микрософта. И профинансирован теми же, очевидно. Только зачем?? Неужели кто-то побежит от Linux с денюжкой за Виндоуз после этих публичных рыданий?

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

77. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +1 +/
Сообщение от arisu (ok) on 21-Июл-14, 11:38 
нет, просто говноэникейщики ломанутся «антивирусы под линукс» покупать, безуспешно пытаясь компенсировать этим отсутствие мозгов.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

81. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 21-Июл-14, 20:48 
> а сервер загружается PHP-скрипт

Ну вы понели.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Выявлено вредоносное ПО Mayhem, поражающее серверы под управ..."  +/
Сообщение от Аноним (??) on 22-Июл-14, 07:17 
У Web 2.0 две беды - PHP и JavaScript.
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

88. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +1 +/
Сообщение от arisu (ok) on 22-Июл-14, 09:50 
у веб-два-ноль нет никаких бед, потому что никакого веб-два-ноль тоже нет.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

98. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 00:43 
> у веб-два-ноль нет никаких бед, потому что никакого веб-два-ноль тоже нет.

И промышленная революция - миф :). Слава робо^W ишакам!

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

100. "Выявлено вредоносное ПО Mayhem, поражающее серверы под..."  +/
Сообщение от arisu (ok) on 04-Авг-14, 12:39 
ок. показывай этот самый 2.0. с интересом посмотрю.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру