The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Linux-бэкдор, организующий скрытый канал связи в легитимном сетевом трафике

15.11.2013 23:58

Компания Symantec в результате разбора атаки на одного из крупных хостинг-провайдеров выявила новый вид бэкдора для GNU/Linux. Бэкдор выполнен в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов, таких как read, EVP_CipherInit, fork и ioctl. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

При работе бэкдор не сохраняет файлов, не создаёт сокетов и не инициирует сетевые соединения, прикрываясь в своей активности поражённым серверным процессом, что затрудняет его обнаружение. Управляющие команды передаются в составе штатного сетевого трафика, через интеграцию подставных блоков. Бэкдор отслеживает появление в нормальном, не вызывающем подозрение, трафике маску ":!;.", при обнаружении которой декодирует следующий за ней блок данных. Данные зашифрованы с использованием шифра Blowfish и следуют в формате Base64.

Через закодированные блоки, примешанные в обычный трафик, могут передаваться управляющие команды для выполнения произвольной shell-команды или отправки в ответ накопленных бэкдором данных. Основной функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и email-адреса. В частности, поддерживается перехват паролей и SSH-ключей пользователей, подсоединяющихся к поражённой системе.

В качестве методов выявления бэкдора может использоваться анализ наличия маски ":!;." в трафике. Но этот метод не эффективен, так как бэкдор может длительное время не проявлять себя. Более надёжным вариантом является сохранение дампа памяти работающего процесса sshd и поиск в нём специфичных для бэкдора строковых данных, таких как "key=", "dhost=", "hbt=3600", "sp=", "sk=" и "dip=". Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются. Как правило, проникновение в систему осуществляется через перехват пароля администратора или эксплуатацию неисправленных уязвимостей, например, в панелях управления хостингом.

  1. Главная ссылка к новости (http://www.symantec.com/connec...)
  2. OpenNews: В беспроводных маршрутизаторах Tenda и Medialink обнаружен бэкдор, активируемый UDP-пакетом
  3. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
  4. OpenNews: Оценка возможности создания аппаратных бэкдоров, работающих на транзисторном уровне
  5. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
  6. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38441-linux
Ключевые слова: linux, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (95) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Dcow (ok), 00:13, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Вау LD_PRELOAD.
     
     
  • 2.18, pavlinux (ok), 02:06, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    # cp /bin/bash /tmp/
    # cd /tmp
    # readelf -a  ./bash  | grep PATH
    0x000000000000000f (RPATH)              Library rpath: [/lib64/bash/4.2]
    0x000000000000001d (RUNPATH)            Library runpath: [/lib64/bash/4.2]

    # cp /tmp/libbackdoor.so /lib64/bash/4.2/
    # ln -s /lib64/bash/4.2/libbackdoor.so /lib64/bash/4.2/libreadline.so.6
    # ldd ./bash
    /bin/bash: symbol lookup error: /bin/bash: undefined symbol: emacs_meta_keymap

    Ну сами понимаете, надо сделать копию libreadline.so.6 со своими плюшками.

     
     
  • 3.56, fi (ok), 14:21, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > /bin/bash: symbol lookup error: /bin/bash: undefined symbol: emacs_meta_keymap
    > Ну сами понимаете, надо сделать копию libreadline.so.6 со своими плюшками.

    Идея интересная, но там нет вызовов  read, EVP_CipherInit, fork и ioctl, нужен механизм preload.

     
     
  • 4.86, Аноним (-), 19:47, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >libreadline
    >нет вызовов read

    Что еще расскажешь?

     
  • 2.63, burjui (ok), 16:02, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    При чём тут бухта?
     

  • 1.2, A.Stahl (?), 00:13, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Т.е. чтобы эта штука заработала, мне надо скачать что-то неведомое, а потом ещё и запустить это из-под рута? Да ещё и не выгружать эту дрянь из памяти?
    Думаю, я в безопасности.
     
     
  • 2.3, Аноним (-), 00:24, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Чем докажешь, что у тебя не Убунта на сервере да еще с иксами и софтом из ppa? :)
     
     
  • 3.4, Аноним (-), 00:38, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Чем Убунта не угодила? У Гугл и Википедии проблем с ней нет.
     
     
  • 4.12, Аноним (-), 01:35, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Откуда инфа, что проблем нет?
     
     
  • 5.32, Аноним (-), 06:38, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    libastral подсказывает
     
  • 5.48, рыапыапр (?), 11:47, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для пользователей по крайней мере не заметно
     
     
  • 6.69, Аноним (-), 17:54, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Для пользователей по крайней мере не заметно

    (ехдно) Успешный взлом и должен годами оставаться незаметным. Не только пользователям, но даже сисЯдмину. :)

     
     
  • 7.102, Аноним (-), 14:56, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > (ехдно) Успешный взлом и должен годами оставаться незаметным. Не только пользователям,
    > но даже сисЯдмину. :)

    При том обычно кульсисопов ломают чаще чем википедии и гугли. Потому что у тех есть персонал который может за машинами нормально следить, в отличие от.

     
  • 3.13, Antonim (ok), 01:38, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Софт из ppa, лично мне, даже на домашней машине в голову не прийдет под рутом запускать. А на рабочих либо основные сервера, либо самому пакеты собирать, ну или у меня кое где лицензионные PPA стояли.
     
     
  • 4.15, lucentcode (ok), 01:56, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Лицензионных PPA не бывает. Сама абревиатура как бы намекает, что это персональные архивы пакетов, то есть за их содержимое отвечает какой-то Вася Пупкин, а не Canonical или сообщество. Если на сайте разработчика того, или иного ПО прямо не указан адрес PPA-репозитория, вполне возможно, что автор приложения, и владелец PPA, который выдаёт себя за автора - абсолютно разные люди. Где гарантия, что Вася - это Вася? И что он не подмешал какую-то дрянь к сорцам собранного им приложения? Вы пишете, что не запускаете под рутом софт из PPA. Похвально. Но знаете ли вы, что во время установки любого пакета, пакетный менеджер(работающий с привилегиями суперпользователя) может выполнить скрипт произвольного содержания? Вот материал(http://www.debian.org/doc/debian-policy/ch-maintainerscripts.html), который стоит прочесть, перед тем, как вы надумаете в следующий раз устанавливать какую-то гадость из PPA.
     
     
  • 5.35, pocqnchik (?), 08:31, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а как без рута?
     
     
  • 6.89, lucentcode (ok), 19:54, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а как без рута?

    Никак. При установке пакета производятся действия, для которых необходимы повышенные привилегии. Вот поэтому ни в коем случае не стоит запускать пакет из неизвестного источника на установку. Я когда сомневаюсь - собираю пакетик ручками, и не имею потом проблем. Заодно можно собрать программу с нужными флагами сборки.

     
     
  • 7.103, Аноним (-), 14:57, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > неизвестного источника на установку. Я когда сомневаюсь - собираю пакетик ручками,
    > и не имею потом проблем. Заодно можно собрать программу с нужными
    > флагами сборки.

    Вопрос на засыпку: что помешает при этом подпихнуть в скрипты сборки/установки или просто сорец программы что-нибудь бонусное? Врядли ты вычитываешь все это от и до...

     
     
  • 8.105, lucentcode (ok), 18:03, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А тут уже всё держится на доверии к разработчикам программы, и на их репутации ... текст свёрнут, показать
     
  • 6.101, Аноним (-), 14:26, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    wheel
     
  • 5.59, Аноним (-), 14:48, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем так. Часть ППА ведется как раз таки разработчиками, в том числе и из Каноникл. А вот левые ставить это да - бред, лучше самому скомпилять.
     
     
  • 6.88, lucentcode (ok), 19:51, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не совсем так. Часть ППА ведется как раз таки разработчиками, в том
    > числе и из Каноникл. А вот левые ставить это да -
    > бред, лучше самому скомпилять.

    Верно. Но если об этом написано только на странице PPA, но об этом нет ни слова на сайте проекта, я бы усомнился, а точно ли разработчик создал ту, или иную PPA. Написать на страничке  PPA можно что угодно. Не нужно слепо этому верить. Доверяй, но проверяй:)


     
  • 5.91, Аноним (-), 21:41, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Где гарантия, что Вася - это Вася?

    В его ключах которыми подписываются пакеты, как и обычно. А вот доверять ли Васе или нет - это уже на вашей совести. Если в большом сообществе Васи более-менее прошли проверку временем и сотнями глаз, то с PPA уровень доверия Васям разумеется ниже. Тем не менее, у ряда Вась вполне нормальная репутация а подписи гарантируют что это именно тот Вася, а не какой-то самозванец.

     
     
  • 6.96, lucentcode (ok), 02:22, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно, что всё строится на доверии к тому, или иному персонажу... Проверил подпись, решил что доверяешь хозяину PPA - и понеслась установка пакетов. Но ведь не мало людей просто в бложике каком-то прочитали, что для установки пакета нужно добавить PPA и установить пакет, и больше их ничего не интересует...


     
     
  • 7.109, Аноним (-), 23:26, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > больше их ничего не интересует...

    А уж сколько людей купилось на увещевания наперсточников на улице...

     
  • 4.60, Mr. Cake (?), 15:00, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А ничего что при установке любого deb-пакета (в т. ч. из PPA) postinstall скрипт выполняется от рута? А ничего что пакет может содержать бинарник с флагом setuid?
     
  • 2.5, vitalif (ok), 00:52, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну с задачей "не выгружать это из памяти", видимо, отлично справится LD_PRELOAD )
     
  • 2.14, Пиу (ok), 01:50, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    не совсем
    что это заработало, нужно найти дырку в похапе, потом из-за кривых настроек поднять себе привилегии до рутовых, а потом спрятаться в процессе sshd
    вот это называется бэкдор. а то с чем вы спутали называется троян и к новости не относится
     
     
  • 3.22, Ordu (ok), 02:56, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не, это называется проникновение в систему. А бекдор -- это то, что проникнувшие оставляют на память о своём проникновении.
     
  • 2.21, XoRe (ok), 02:56, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Думаю, я в безопасности.

    Ога.
    http://www.opennet.me/opennews/art.shtml?num=36933

     
     
  • 3.26, arisu (ok), 04:05, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ога.

    ога. не надо запускать всякое непонятное говно, найденое на помойке.

     
     
  • 4.92, XoRe (ok), 00:18, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Ога.
    > ога. не надо запускать всякое непонятное говно, найденое на помойке.

    По ссылке эксплоит, который может запустить простой юзер.
    А у хостера таких простых юзеров с шеллами - тысячи.

     
     
  • 5.93, arisu (ok), 00:21, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для особо тупых повторяю ещё раз: «не надо запускать всякое непонятное говно, найденое на помойке».
     
     
  • 6.98, linux must __RIP__ (?), 12:05, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    для arisu повторяем - ты в своей песочнице на n900 можешь запускать что хочешь, а вот когда дело дойдет до хотера - они гады предоставляют шеловый доступ.. и далеко не каждый запускает юзера в отдельном контейнере. Вот же гады.. а выполнив код в ядре можно и selinux обойти..
     
     
  • 7.108, Crazy Alex (ok), 21:31, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну туда им и дорога. Когда уже эти тупые шареды передохнут...
     
  • 7.110, Аноним (-), 23:28, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > что хочешь, а вот когда дело дойдет до хотера - они
    > гады предоставляют шеловый доступ.. и далеко не каждый запускает юзера в
    > отдельном контейнере.

    Отлично, накоенец то поголовье извращенцев-пи...сов поубавится. Хотя-бы и при помощи невкусных пинков.

     
  • 6.114, XoRe (ok), 21:18, 20/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > для особо тупых повторяю ещё раз: «не надо запускать всякое непонятное говно,
    > найденое на помойке».

    Легко называть всех тупыми, когда админишь только localhost :)
    Когда начнете админить что-то публичное, поймете, о чем я.

     
  • 2.30, Аноним (-), 05:46, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  Стандартные вопросы: как давно это существует, и как много кто этим
    > смог воспользоваться? (А кто?) И зависит ли наличие уязвимости сей от
    > того, какая это версия ядра, дистрибутива, или ПО в нем? (а
    > если не на серверах, а в каком другом сетевом оборудовании, то
    > там это все может ли быть?)
    >  Может ли что подобное не выявленное где существовать еще?
    >  (а Сноуден ничего там случайно об этом не знает? А то,-
    > он же аж десятки тысяч црушных секретных документов тех тогда там
    > раздобыл).

    Это руткит, а не эксплоит. Он не эксплуатирует уязвимости, а позволяет атакующему закрпеться в успешно атакованной ранее системе.

     
     
  • 3.76, Пиу (ok), 18:33, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    но его наличие (и то что его нашли в дикой природе) указывает (как лакмусовая бумажка) на наличие дыры где-то. вопрос откуда он взялся - вот вопрос
     
     
  • 4.78, arisu (ok), 18:41, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в большинстве случаев это дыра в голове wannabe-админа.
     
     
  • 5.83, Пиу (ok), 19:19, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > в большинстве случаев это дыра в голове wannabe-админа.

    а в данном случае?

     
     
  • 6.85, arisu (ok), 19:24, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> в большинстве случаев это дыра в голове wannabe-админа.
    > а в данном случае?

    а вданном случае вообще бла-бла-бла. ни сэмпла, ни информации про пути распространения.

     
  • 2.112, Аноним (-), 11:11, 18/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Используется одна из туч уязвимостей, за тебя все успешно устанавливает злоумышленник, а потом ты ничего никогда не заметишь, т к уверен в собственной безопасности.
     

  • 1.7, fi (ok), 01:15, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Круто! хорошо задумали, все думал когда будут такое использовать.
     
     
  • 2.87, Аноним (-), 19:49, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Круто! хорошо задумали, все думал когда будут такое использовать.

    Руткиты появились в незапамятные времена. И, кстати, изначально под юникс-системы. И техника перехвата функций до сокрытия своей деятельности и передачи данных атакующему тоже с длинной бородой.

     

  • 1.10, ананим (?), 01:31, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самого главного нет — как распространяерся?
    Если "вручную", то не место сабжу в лучшем случае в мини-новостях.
     
     
  • 2.17, Lain_13 (ok), 02:06, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Распространяться оно может как угодно. Например, каким-нибудь пакетом автоматического поиска популярных дыр на серверах. Нашёл подходящие дыры — вкатил эту дрянь.
     
     
  • 3.19, Нанобот (ok), 02:27, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вопрос был "как распространяется", а не "как может распространяться"
     
     
  • 4.113, Аноним (-), 11:13, 18/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > вопрос был "как распространяется", а не "как может распространяться"

    Как может так и будет, при необходимости.
    Бэкдор найден в дикой природе, а не сделан в лаборатории. Пострадал лион клиентов и крупный хостинг. Щас вам все напишут после расследования.

     
  • 3.34, ананим (?), 07:30, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как угодно — это бред, а не ответ.
    Вот я придумал супер вредоносное ПО (rm -rf /). Распространите его плс.
     
     
  • 4.51, Аноним (-), 12:05, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Как угодно — это бред, а не ответ.
    > Вот я придумал супер вредоносное ПО (rm -rf /). Распространите его плс.

    Вы его как раз сейчас и распространили :)

     
     
  • 5.65, Anoybv (?), 17:00, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    "Карачун тебе, Церители"

    Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

    1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -
    наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
    2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
    наказываются лишением свободы на срок до семи лет.

     
  • 4.58, Evtomax (ok), 14:38, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не работает :(

    evtomax@debian ~> rm -rf /
    rm: опасно рекурсивно обрабатывать «/»
    rm: используйте --no-preserve-root, чтобы отменить предупреждение об опасности

     
     
  • 5.107, ананим (?), 18:10, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот именно.
    Вначале нужно как минимум стать рутом.

    Так что сабж — это не бэкдор в линухе, а шибко умный (возможно бывший), но не чистый на руку админ из одной (только лишь) конторы.

    В общем и не выиграл, и не в шахматы,... желтизна.

     

  • 1.11, tessel (?), 01:35, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Not bad. Отличная новость и очень здорово, что приведен быстровалидатор для проверки своих систем.
     
     
  • 2.23, pavlinux (ok), 03:15, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Нукась, покажьте как вы просканили память ssh процесса?
     
     
  • 3.24, Lain_13 (ok), 03:33, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Например, gcore pid, а потом грепать получившийся дамп.
     
     
  • 4.31, pavlinux (ok), 06:11, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    грепай Посигналу SIGUSR1 шлёт на сайт маздайя волшебную строку kill -USR1 pi... большой текст свёрнут, показать
     
     
  • 5.39, Аноним (-), 08:57, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > Там посаны блоуфишем балуются, думашь такие косяки оставят?! :D

    Блоуфиш, это когда к каждому символу по единичке прибавляют, чтобы никто такой грозный шифр не догадался прочитать? Да, это крутые робяты.

     
     
  • 6.70, Lain_13 (ok), 17:55, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сходи почитай и больше так не позорься: http://ru.wikipedia.org/wiki/Blowfish
    А то, что ты сказал, называется шифром Цезаря.
     
  • 6.71, Аноним (-), 17:59, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Там посаны блоуфишем балуются, думашь такие косяки оставят?! :D
    > Блоуфиш, это когда к каждому символу по единичке прибавляют, чтобы никто такой
    > грозный шифр не догадался прочитать? Да, это крутые робяты.

    Который ты путаешь с блоуджобом.

     
  • 5.52, Lain_13 (ok), 12:34, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В статье очень даже внятно сказано, что в дампе памяти процесса можно искать указанные строки, а вопрос был как получить дамп. Зашифровали б посоны код в памяти — фиг бы что грепать там было бы можно, а в данном случае значит не зашифровали.
     
     
  • 6.64, pavlinux (ok), 16:36, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    key=, dhost=, hbt=3600, sp=, sk=, dip=,... - это половые фантазии Симантека,
    эти токены, можно сказать стандарт для ботнетов. Кто-то давно написал, вот
    исходники и кочуют между хак-группами.

    А бинарники, в дистрибутивах, проверяют на контрольные суммы:

    # rpm -V  openssh
    openssh
    5S.T.....  c /etc/ssh/sshd_config
    missing     /lib/systemd/system/sshd.service

    # debsums openssh
    ...

     
     
  • 7.68, Lain_13 (ok), 17:34, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то «прелесть» данного бэкдора в том, что он цепляется к процессам в памяти и пользуется их соединениями и вклинивается в их трафик. Вставить же его в процесс автозагрузки можно уймой способов и без модификации бинарников. Так что проверка контрольных сумм файлов на винте тебе практически наверняка ничего не даст.

    И знаешь, если Симантек написали, что в данном бэкдоре такие строки есть, то твоё мнение о их половых фантазиях мягко говоря неуместно если только ты не докажешь обратное. Доверять им в этом вопросе поводов больше, нежели тебе.

     
     
  • 8.80, pavlinux (ok), 18:47, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Беги, покупай Symantec Специально для таких новости создают D Если рут есть ... текст свёрнут, показать
     
     
  • 9.81, Lain_13 (ok), 19:09, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Почему ты такой толстый ... текст свёрнут, показать
     
     
  • 10.82, pavlinux (ok), 19:13, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    14 ... текст свёрнут, показать
     
     
  • 11.84, Lain_13 (ok), 19:23, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ... текст свёрнут, показать
     
     
  • 12.95, pavlinux (ok), 02:15, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то добрый тебя проминусовал Эт ни я, чессово ... текст свёрнут, показать
     
     
  • 13.97, Lain_13 (ok), 06:24, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне как-то эти циферки безразличны ... текст свёрнут, показать
     
  • 7.99, linux must __RIP__ (?), 12:08, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > key=, dhost=, hbt=3600, sp=, sk=, dip=,... - это половые фантазии Симантека,
    > эти токены, можно сказать стандарт для ботнетов. Кто-то давно написал, вот
    > исходники и кочуют между хак-группами.
    > А бинарники, в дистрибутивах, проверяют на контрольные суммы:
    > # rpm -V  openssh
    > openssh
    > 5S.T.....  c /etc/ssh/sshd_config
    > missing     /lib/systemd/system/sshd.service
    > # debsums openssh
    > ...

    чукча не читатель.. Там же написано что бинарник они не модифицируют.. А вся хрень сидит в памяти..

     
     
  • 8.111, Аноним (-), 23:31, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Чукча, это вы с таким дурацким ником сидите ... текст свёрнут, показать
     

  • 1.25, arisu (ok), 03:38, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    я не понял, где пакет-то установочный скачать?
     
     
  • 2.46, Andrey Mitrofanov (?), 11:07, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > я не понял, где пакет-то установочный скачать?

    Анафема! Надо было GLPv3+ исходники требовать.

     
  • 2.72, Аноним (-), 18:14, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > я не понял, где пакет-то установочный скачать?

    Само приползет.

     
     
  • 3.77, arisu (ok), 18:36, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> я не понял, где пакет-то установочный скачать?
    > Само приползет.

    все авторы это обещают, а оно всё не ползёт и не ползёт. и куда багрепорты слать — а главное, какие — не ясно.

     

  • 1.27, Аноним (-), 04:52, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    На системе с SELinux + pax +SSP и pie прокатит?
     
     
  • 2.29, Аноним (-), 05:44, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Это руткит, а не эксплоит.
     
  • 2.37, Аноним (-), 08:37, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да.
     

  • 1.28, Аноним (-), 05:13, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    не плохо, придумано
     
     
  • 2.73, Аноним (-), 18:15, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > не плохо, придумано

    Два Розенталя этому господину. Неплохо пишется слитно, запятая вообще не нужна. Всосал?

     
     
  • 3.94, Crazy Alex (ok), 00:58, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Этому не поможет и три
     

  • 1.33, Омский линуксоид (ok), 07:26, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    где взять PPA с таким "бекдором"? Нужно очень.
     
  • 1.38, Аноним (-), 08:55, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Компания Symantec в результате разбора

    Это не та компашка, которая пихает свои поделия на диски с вендовыми драйверами к материнским платам? Домашние типа админы это ставят (по привычке ставить все, за что уплочено), а потом мучительно выпиливают эмэсконфигом, регэдитом и сисиклинером?

     
     
  • 2.41, Аноним (-), 09:11, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Последняя строка из оригинала новости

    Symantec protects customers by detecting this back door as Linux.Fokirtor.

    ЧТД

     
     
  • 3.90, Аноним (-), 21:07, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Symantec detects customers by protecting this backdoor.
     
  • 2.57, Куяврик (?), 14:34, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >  сисиклинером?

    какая завидная профессия.

    ах, да: софт называется сиклинер.

     

  • 1.40, Аноним (-), 09:09, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Во всей этой истории есть непонятое место А именно, что это На одном отечестве... большой текст свёрнут, показать
     
  • 1.47, Адекват (ok), 11:18, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    quote Библиотека связывается с работающими на системе сетевыми процессами, так... большой текст свёрнут, показать
     
     
  • 2.106, cmp (ok), 18:04, 17/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Елки-палки, оно модифицирует запущенный процесс sshd, а бинарник системный ему не интересен. анализ дампа памяти процесса нужен для отслеживания этих изменений, а поймать модификацию бинарника можно штатными командами практически любого пакетного менеджера.
     

  • 1.49, Аноним (-), 11:48, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Причём здесь ядро Linux?
     
     
  • 2.50, Andrey Mitrofanov (?), 11:52, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Причём здесь ядро Linux?

    Деситтна, GNU/Linux же!

    ...""a dynamic linker model where a portion of the executable includes a very simple linker stub which causes the operating system to load an external library into memory. [...] The source code for the GNU/Linux linker is part of the glibc [...] code is available under the GNU LGPL.

     
     
  • 3.66, Аноним (-), 17:07, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > is part of the glibc
    > glibc

    Причём здесь ведро Лёликс?

     
  • 2.53, Аноним (-), 13:28, 16/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Причём здесь ядро Linux?

    Потому что заказ на него.

     

  • 1.100, Аноним (-), 14:21, 17/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Надо просто издать закон, озвучить его на самом высоком уровне. Шалуны сами разбегутся ))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру