The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd

27.04.2013 21:42

На Linux-серверах, использующих панель управления хостингом Cpanel, выявлен новый бэкдор, поражающий компоненты http-сервера Apache. В отличие от ранее встречающихся способов внедрения в Apache, основанных на загрузке отдельного троянского модуля, новое вредоносное ПО отличается прямой интеграцией в исполняемый файл httpd. Вредоносная вставка добавляется непосредственно в исполняемый файл и перенаправляет на свой код несколько обработчиков, вызываемых в процессе обслуживания внешних запросов к http-серверу.

Вся связанная с бэкдором информация сохраняется в разделяемой памяти. Команды управления бэкдором передаются через специальные HTTP GET-запросы, которые обрабатываются вредоносной вставкой молча, без отображения каких-либо данных в логе (при использовании вредоносного apache-модуля активность злоумышленников отслеживалась по логу). В рамках подобного HTTP GET-запроса передаётся IP и номер порта, по которому бэкдор осуществляет ответное соединение. Таким образом информация, связанная с работой бэкдора, не оседает в логах на сервере, а поражённый хост продолжает выглядеть как обычный web-сервер.

Цели внедрения нового вредоносного ПО схожи с целями ранее выявленных атак, манипулирующих руткитом для ядра Linux или троянским модулем для Apache, используемых для незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. Способ работы нового бэкдора отличается тем, что вместо добавления вредоносных JavaScript или iframe-блоков в процессе передачи контента клиенту, используется другая схема: в определённые случайные моменты времени (примерно раз в день для каждого IP) вместо отдачи запрошенной страницы осуществляется редирект на внешний сайт с кодом эксплуатации известных уязвимостей в web-браузерах и плагинах к ним. Вредоносный редирект выполняется для каждого клиента только один раз (дубликаты исключаются через установку cookie) и не выполняется для запросов, которые могут исходить от владельцев сайтов и администраторов системы.

В качестве аргумента при редиректе указывается изначально запрошенный URL, который используется для возвращения пользователя на запрошенную страницу после активации кода эксплуатации уязвимости в браузере. В дальнейшем, при успешной эксплуатации уязвимости на стороне клиента на его систему устанавливается вредоносное ПО, используемое для перехвата конфиденциальных данных или для участия в ботнете, который может привлекаться для осуществления DDoS-атак или рассылки спама.

Интересно, что при редиректе фигурируют поддомены легитимных доменов (например, dcb84fc82e1f7b01.alarm-gsm.be). При этом имена меняются достаточно интенсивно: всего было зафиксировано около 30 тысяч вариантов доменов для проброса на вредоносный код. Пока непонятно, каким образом злоумышленники создают подобные поддомены - большинство из DNS-записей фигурирующих в них хостов связаны с DNS-сервисом dothost.co.kr, не исключается компрометация аккаунтов клиентов данной системы или взлом инфраструктуры данного сервиса.

Также не ясно каким способом атакующие получили root-доступ для размещения бэкдора. В качестве предположения упоминается проведение атаки по подбору типовых паролей доступа к SSH. Бэкдором поражаются только системы с Apache, установленным вместе с Cpanel. Так как компоненты установленного таким образом apache не охватываются пакетными менеджерами дистрибутивов, остаются только обходные способы выявления фактов модификации файла httpd. В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.

  1. Главная ссылка к новости (http://blog.sucuri.net/2013/04...)
  2. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
  3. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  4. OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
  5. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
  6. OpenNews: Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/36810-cpanel
Ключевые слова: cpanel, apache, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (119) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:21, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    красота
     
  • 1.2, фыва (?), 00:26, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    начинается?
     
     
  • 2.15, Аноним (-), 01:32, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > начинается?

    Продолжается.
    Joomla, Wordpress, Drupal, cPanel, Plesk и другие дуршлаги прочно обосновались на веб-хостингах. Как и винды - на юзерских компах. Так что в обозримой перспективе ботнетчики без площадок не останутся.

     
     
  • 3.26, Урсадон (?), 06:20, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернативы?
     
     
  • 4.28, Аноним (-), 06:22, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Альтернативы?

    Есть, но всем не по кармасу

    ;)

     
     
  • 5.40, Okarin (ok), 12:18, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Битрикс, штоле? Он разве что для распила пригоден.
     
  • 4.35, YetAnotherOnanym (ok), 11:49, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    <trollmode>Bricolage+Mason</trollmode>
     
     
  • 5.128, ACCA (ok), 18:53, 06/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > <trollmode>Bricolage+Mason</trollmode>

    Кстати, да.

    Портанут на Mason 2, обязательно посмотрю.
    Сам сижу на Mason 2 больше года, очень доволен.

     
  • 4.84, XoRe (ok), 22:31, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Альтернативы?

    Вовремя обновлять апач и не запускать cpanel под рутом.

     
  • 3.27, Аноним (-), 06:20, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зато ботнетчики хотя бы от родителей отстанут и перестанут стрелять мелочь на сигареты.
     
     
  • 4.49, Crazy Alex (ok), 12:46, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Там деньги "чуток" побольше крутятся. Эдак с шестью нуликами в баксах, если не с семью.
     
  • 4.89, Аноним (-), 08:12, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, они родителям смогут уже сами деньги давать.
     
     
  • 5.114, Аноним (-), 16:01, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, они родителям смогут уже сами деньги давать.

    За такие деньги можно поплавать в тазике с цементом, чувак. Там и люди другие совсем рулят. Это тебе не мелочь по карманам тырить.

     

  • 1.3, Аноним (-), 00:30, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > grep -r open_tty /usr/local/apache/
    > /usr/local/

    FreeBSD-specific?

     
     
  • 2.5, Аноним (-), 00:40, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > FreeBSD-specific?

    Там же не /usr/local/bin, а /usr/local/apache.
    PS. Поди через http://secunia.com/advisories/49363/ или http://secunia.com/advisories/51494/ сломали.

    PPS. Году в 2002 был дан приказ внедрить это чуду на нашем хостинге. Еле отбились, показав, что за считанные минуты там можно выкопать проблемы с безопасностью. Как была на коленке собранная свалка, так и остаётся.

     
     
  • 3.10, FreeTiger (?), 01:00, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> FreeBSD-specific?
    > Там же не /usr/local/bin, а /usr/local/apache.
    > PS. Поди через http://secunia.com/advisories/49363/ или http://secunia.com/advisories/51494/
    > сломали.
    > PPS. Году в 2002 был дан приказ внедрить это чуду на нашем
    > хостинге. Еле отбились, показав, что за считанные минуты там можно выкопать
    > проблемы с безопасностью. Как была на коленке собранная свалка, так и
    > остаётся.

    Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное или нет)? Я сам не вижу в этом необходимости, но клиентам бывает нужно. Интересует самое безопасное по вашему мнению на настоящий момент, разумеется (условности и обсуждение, что безопасного не бывает, можем опустить :)

     
     
  • 4.32, Andrey Mitrofanov (?), 10:38, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное
    > или нет)? Я сам не вижу в этом необходимости, но клиентам
    > бывает нужно. Интересует самое безопасное по вашему мнению на настоящий момент,
    > разумеется (условности и обсуждение, что безопасного не бывает, можем опустить :)

    Я рекомендую работать. Улицы мести.

     
     
  • 5.64, Например (?), 18:01, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +12 +/
    плохо вы работаете - все улицы засраны
     
     
  • 6.101, arisu (ok), 17:35, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > плохо вы работаете — все улицы засраны

    так да: пока одного типа тебя на работу вернёшь — десять сбегут. вопрос о том, чтобы после второго побега расстреливать, лоббируется.

     
  • 6.129, Andrey Mitrofanov (?), 23:36, 06/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > плохо вы работаете - все улицы засраны

    Отож. Все подметальщики ушли в админы, и бесплатных рекомендаций, как работать, по опеннетам побирают.

     
  • 4.36, Aceler (ok), 11:50, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное или нет)?

    Грамотного админа.

    Если нет грамотного админа — никакая панель не поможет.

    > Интересует самое безопасное

    А в чём измерять безопасность — в микронюках? Вот порекомендовать тебе софтину XYZ, завтра в ней найдут дыру, и что ты будешь делать?

     
  • 4.46, бедный буратино (ok), 12:33, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Что Вы можете порекомендовать из того что, есть на рынке

    google app engine

     
  • 4.52, Rodegast (??), 13:22, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное или нет)?

    ssh

     
  • 4.59, потреблять (?), 16:26, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ISPmanager юзайте, там весь софт из репозитория системы и обновлять будете через yum update
     
     
  • 5.108, universite (ok), 00:52, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А найдется дыра в бинарнике панели? Что делать будем?
     

  • 1.4, Аноним (-), 00:31, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кстати, по поводу старого бэкдора с libkeyutils. Так и не нашли, через какую дыру он распространялся?
     
     
  • 2.9, Аноним (-), 00:57, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Через дыры в CPANEL поди и распостранялся. Энтерпрайзятина, что вы хотите?
     
     
  • 3.13, Аноним (-), 01:28, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Afaik, он обнаруживался даже на системах без cpanel. "Дотянулся проклятый Сталин"?
     
     
  • 4.17, Аноним (-), 01:40, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Afaik, он обнаруживался даже на системах без cpanel.

    Как вы понимаете, могут быть средства доставки и то что они собственно доставляют. Это могут быть два вообще разных "продукта" доставивших один и тот же "payload". Ну то-есть наблюдается некая специализация малвари. Одни желают ракеты для доставки, вторые термоядерный заряд собирают. Обычное такое разделение труда.

     
     
  • 5.33, linux must _RIP_ (?), 11:21, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –5 +/
    может стоит признать что linux не такой уж и защищенный? и как только стал хоть сколько нить популярным - сразу стал источником заразы?
     
     
  • 6.41, DeadLoco (ok), 12:20, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так ведь уязвимость не в оси, а в стороннем софте, да еще и проприетарном.
     
     
  • 7.53, stalker37 (?), 13:38, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    аха..только  как они сломал апач смогли модуль положить? я про keyutils. апач же не от рута работает. ТО биш дело не только в дырках апача/веб-поделок
     
     
  • 8.54, Аноним (-), 15:14, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    cpanel тоже не от рута работает ... текст свёрнут, показать
     
  • 8.71, Аноним (-), 18:15, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дело в том, что cpanel использует easyapache - собственную специальную систему д... текст свёрнут, показать
     
     
  • 9.116, Аноним (-), 16:02, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А пакетный менеджер сорцы читает и - страшно подумать - анализирует ... текст свёрнут, показать
     
  • 6.42, kai3341 (ok), 12:22, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Может стоит признать, что не так уж и внимательно вы читали новость. И как только разберётесь, что есть источник проблемы- сразу продолжим дискуссию.
     
  • 6.43, тоже Аноним (ok), 12:29, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > может стоит признать что linux не такой уж и защищенный

    Линукс не такой защищенный, как винды. Он защищен куда лучше.
    Линукс не такой защищенный, как сейф с заваренной дверцей. Таких защит вообще не бывает.

    Может, стоит признать, что примитивные суждения и передергивания не к лицу технически грамотным людям?

     
  • 6.58, AlexAT (ok), 16:18, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > может стоит признать что linux не такой уж и защищенный? и как
    > только стал хоть сколько нить популярным - сразу стал источником заразы?

    "Как тольку" уже лет 20, десятки тысяч боевых серверов. "Популярность" - это не обилие хомячковых машин у домохозяек...

     
     
  • 7.94, linux must _RIP_ (?), 10:23, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    именно это оно :-) Вам не нравится?
     
     
  • 8.99, Аноним (-), 10:56, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Новость о серверах - На серверах с Cpanel Повторю, если Вам для понимани... текст свёрнут, показать
     
     
  • 9.104, linux must _RIP_ (?), 19:22, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ну да только что-то с безопасностью не то За последние 2 месяца - пережили 3... текст свёрнут, показать
     
     
  • 10.109, Meta11er (?), 01:43, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хватит кормить этого тугого троля ... текст свёрнут, показать
     
  • 2.37, anonymous (??), 12:07, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Через перехваченные пароли к ssh. Нет там бэкдоров.
     

  • 1.6, noize (ok), 00:40, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хитрО однако
     
  • 1.11, AnonuS (?), 01:01, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это очень элегантные шорты ! Однако очень даже не глупые люди эти вредители. Интересно можно ли направить эту "творческую энергию" в мирное, так сказать, русло ?
     
     
  • 2.14, Аноним (-), 01:29, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это очень элегантные шорты ! Однако очень даже не глупые люди эти
    > вредители. Интересно можно ли направить эту "творческую энергию" в мирное, так
    > сказать, русло ?

    Конечно можно. Мани-мани гони только :)

     
     
  • 3.39, Int (?), 12:16, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Конечно можно. Мани-мани гони только :)

    Ну ну, это примерно как перевоспитать карманника заставив его работать на хорошо оплачиваемой работе.

     
     
  • 4.51, Crazy Alex (ok), 12:51, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то народ, которые эти штуки пишет, в большинстве своем абсолютно прагматичен. Только привык к несколько большим суммам за час работы, чем в "честном" программировании, и начальтсва/заказчиков над собой не любит - это две основные причины
     
     
  • 5.95, linux must _RIP_ (?), 10:24, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то народ, которые эти штуки пишет, в большинстве своем абсолютно прагматичен. Только
    > привык к несколько большим суммам за час работы, чем в "честном"
    > программировании, и начальтсва/заказчиков над собой не любит - это две основные
    > причины

    только эти суммы весьма не регулярны.. а "большим" - это еще вопрос..

     
  • 2.50, Crazy Alex (ok), 12:49, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Дороговато обойдётся. Прибыль автора от продаж более-менее нового зловреда - это минимум несколько десятков тысяч баксов.
     

  • 1.19, Аноним (-), 01:55, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Собственно панели управления хостингом, которые устанавливают софт не из репозитория дистрибутива, вызывают ряд неприятностей, тут описана одна из них. Панели, которые строят свой огород, обходя пакетную базу дистрибутива, не контролируют процесс обновления ПО в своём огороде. Поэтому ПО со временем стареет, а обновлять вручную сложнее, так как этот процесс обычно либо плохо описан, либо не описан вообще. За симпатичной и красочной веб оболочкой часто прячется такой лес кода, который может удивить даже бывалого разработчика.

    P.S.  Работая с cpanel, лично у меня она, никаких приятных эмоций не вызвала. Никого не хочу обидеть это только мое мнение.

     
     
  • 2.31, Аноним (-), 10:32, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вы такой не один
     
  • 2.34, Анонище (?), 11:23, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это все проблема головного мозка админа.
     
     
  • 3.45, DeadLoco (ok), 12:33, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Это все проблема головного мозка админа.

    Вовсе нет. Разрабы панелей никогда не делают оптимальной конфигурации софтов. Они строят "универсальный" конфиг, который так-сяк реализует некий функционал, и не более. Конфиги эти, разумеется, "панельно-ориентированы" под скриптовую модификацию, что сильно добавляет перчику в администрирование хостов с панелями.

    Самое гнусное, с чем приходилось сталкиваться - феерический гемор при скрещивании спанели с вайлдкардными сертификатами, и ее же монструозный "все в одном" конфиг  экзима.

    Нафиг-нафиг. Пусть эти панели покупают себе те, кому не по карману нанять админа. А бонусом получат бэкдоры и ограниченность настройки.

     
     
  • 4.96, linux must _RIP_ (?), 10:28, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это все проблема головного мозка админа.
    > Нафиг-нафиг. Пусть эти панели покупают себе те, кому не по карману нанять
    > админа. А бонусом получат бэкдоры и ограниченность настройки.

    Так и покупают. Зачем платить админу 100 баксов час, когда можно купить поддержку за 200 уе в год и время от времени донимать сапорт панели?

    давай посмотрим с другой стороны - тебе что бы оттюнить сервак - надо заплатить за 8 часов работы (и то не факт что успеешь справиться) - эта цена - оплатить на год стоимость еще одного сервера. Только арендавав еще один сервер - результат получишь прям вот сейчас, а твоя работа - не обязательно удводит пропускную способность. А значит экономически не обоснована..

    Или это просто крик души, что никто не хочет нанимать?

     
     
  • 5.100, DeadLoco (ok), 11:15, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да А если арендовать два дырявых сервера, то надежность увеличится вд... большой текст свёрнут, показать
     
     
  • 6.103, Аноним (-), 18:20, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    да причем тут твоя клиентура? есть миллионы людей которым нужен гогнохостинг за 3 бакса в месяц для сайта-визитки. и именно эти люди -- основные потребители гогнопанелей.
     

  • 1.21, Исай (?), 02:22, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа!
    Прошу перечислить кому следует волноваться. Только пользователям шаред-хостингов? Если у меня свой сервер - это не про меня? Я_ничего_не_понял.jpg
     
     
  • 2.23, Аноним (-), 04:04, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Скрипт (dump_cdorked_config.py), поиска зловреды в ОЗУ
    http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.
     
  • 2.24, anonymous (??), 04:06, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя свой сервер с Apache и Cpanel.
     
     
  • 3.47, DeadLoco (ok), 12:34, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если у тебя свой сервер с Apache и Cpanel.

    Если у тебя ЛЮБОЙ сервер с Apache и Cpanel...

     

  • 1.29, Аноним22 (?), 06:33, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Доооо. При nginx'e такого небыло, ага.
     
  • 1.30, AlexAT (ok), 10:12, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Упс. Опять быдлопанельку сломали.
     
  • 1.38, Int (?), 12:13, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.

    В Линуксе что ? До сих пор не научились подписывать бинарники ? ... от жеж вундерфафе

     
     
  • 2.44, тоже Аноним (ok), 12:32, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В Линуксе что ? До сих пор не научились подписывать бинарники ?

    Подписывать у Майкрософта? Нет, до этого еще далеко, делаются только первые робкие шаги.


     
     
  • 3.62, Int (?), 17:50, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Подписывать у Майкрософта?

    Конкретно вы можете у Микрософта. Кто ж вам запретит то ?

     
  • 2.48, anonymous (??), 12:46, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >До сих пор не научились подписывать бинарники ? ... от жеж вундерфафе

    Читайте новость внимательнее, речь идёт о бинарниках, установленных в обход пакетного менеджера.

     
     
  • 3.63, Int (?), 17:52, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Читайте новость внимательнее, речь идёт о бинарниках, установленных в обход пакетного менеджера.

    А подписывать и проверять подписи умеет только пакетный менеджер ? Воистину вундерфафе


     
  • 2.76, Аноним (-), 19:00, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.
    > В Линуксе что ? До сих пор не научились подписывать бинарники ?
    > ... от жеж вундерфафе

    А нафига? Есть же md5.

    И кстати, а кто его будет подписывать? Если самосбор - тут способов немало, начиная с тех же хэшей. А в случае пакетного менеджера - там подписи давно есть.

     
     
  • 3.79, Int (?), 20:26, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >А нафига?

    Что бы не искать в теле бинарника некую строчку в надежде таким образом вычислить факт хака - не ?

    >Есть же md5.

    Где то есть наверняка есть, но в новости отчего то предлагают open_tty искать

     
  • 3.80, Int (?), 20:32, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > И кстати, а кто его будет подписывать? Если самосбор - тут способов
    > немало, начиная с тех же хэшей. А в случае пакетного менеджера
    > - там подписи давно есть.

    Немало способов - тут скорее всего означает отсутствие хотя бы одного толкового, и,или инфраструктуры где самосборный софт легко и просто
    1 - подписывается ключом админа с паролем (настройка сервера)
    2 - легко и и планово проверяется на соответствие (штатный аудит сервера)

    Что до пакетных менеджеров да, подписи есть, на увы только пакеты ...

     
  • 3.92, анон (?), 09:11, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А как быть с коллизиями в md5?
     
     
  • 4.93, anonimous (?), 10:20, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >А как быть с коллизиями в md5?

    Теоретически допустимо, практически нет мотивации на подмену. Либо размер резко отличается и потому заметен, либо неработоспособный экземпляр получается. Легче подменить md5 на сайте разработчика, если разработчик вообще md5 удосужился нормально поставить.

     
     
  • 5.110, Аноним (-), 07:14, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    FreeBSD-10 использует SHA-512
     
  • 4.118, Аноним (-), 16:07, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А как быть с коллизиями в md5?

    Дистроклёп? Сорцы в твоем долбаном распоряжении. Используй SHA, Люк.

     
  • 2.112, KT315 (ok), 13:21, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для этого создавался и есть РЕПОЗИТОРИЙ, школо-ло-ололо-шенька...
    Помимо быстрой установки и обновления ПО (читай - исправления безопасости), есть еще и контрольная сумма (MD5,SHA) которая вычислена сразу по нескольким алгоритмам. А за целостность сборки отвечает мейнтейнер и админ репозитория, за осходный код - разработчик.
    Плюс ко всему - применяется цифровая подпись GnuPG/PGP.

    А в данном инциденте, мы имеем Windows-way soft install со всеми букетами, жаль что не цветов...

     

  • 1.55, demimurych (ok), 15:22, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это какой то детский сад.
    Если у меня есть рут, никакие пакетные менеджеры и прочие системы контроля _на этой машине_ не помогут узнать администратору что я сделал с сервером.


     
     
  • 2.56, Аноним (-), 15:48, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В общем случае это не так, есть системы с немодифицируемым аудитом.
     
     
  • 3.119, Аноним (-), 16:07, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В общем случае это не так, есть системы с немодифицируемым аудитом.

    Ага, проприетарь клятая.

     

  • 1.57, demo (??), 16:14, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Выдающиеся пункты пятого шага установки cPanel ( http://docs.cpanel.net/twiki/bin/view/11_30/InstallationGuide/ConfiguringOs ):

    "Removing YUM groups" - в т.ч. удалите штатный апач и почтовый сервер

    "Disabling SELinux security features" - типа система нипочём не позволила-бы себя так изнасиловать, как мы собираемся это сделать.

    "Deactivating default firewall" - не знаю как в rhel, а в centos 4 и 5 фаервол по умолчанию разрешает только ssh. Возможно, что firewall потом настраивается; но в этом случае нет необходомости удалять дефолтный.

    Так что всякий устанавливающий cPanel ССЗБ.

     
     
  • 2.66, Аноним (-), 18:06, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    И что же иных так тянет вляпываться в дерьмо-то типа cpanel. Ну на кой? Того же плана вопрос, что при установке, к примеру, Windows Server и Windows вообще, Joomla, WordPress и т.д., и т.п. Ведь есть же хорошие вещи.
     
  • 2.77, Аноним (-), 19:05, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "Disabling SELinux security features" - типа система нипочём не позволила-бы себя так
    > изнасиловать, как мы собираемся это сделать.

    Они что, неосилили профиль SELinux для своей панельки? Мда...

    Нет, я с SELinux не работал, но думаю что это не так сложно - есть опыт использования AppArmor и написания профилей. А в случае таких критичных для безопасности вещей - это просто необходимо.

    P.S.: долбаный глючный постинг комментов с мобильной версии!

     
     
  • 3.81, Int (?), 20:36, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет, я с SELinux не работал, но думаю что это не так сложно - есть опыт использования AppArmor и написания профилей.

    Смотря что для тебя сложно.
    Вот если погуглить настройку каких либо сервисов - так в туче мануалов и хаутушек рекомендуются отключать SELinux к чертовой матери.

    Есть мнение что если бы написание профилей было бы простым и хорошо задокументированным, то такого стереотипа не сложилось бы.

     
     
  • 4.88, Andrew Kolchoogin (?), 07:57, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Меня всегда поражали люди, которые вместо того, чтобы прочитать документацию на программное обеспечение, пытаются настроить боевой сервер по найденным в Интернете "хаутушкам".

    А что касается написания профилей для _любой_ MAC-системы (хоть SELinux, хоть AppArmor, хоть ещё чёрт-те что) -- оно никогда простым не будет. А задокументирован SELinux достаточно. Кончая тем, что можно загрузиться в пермиссивном режиме, покурить логи и написать профиль, перезагрузившись потом в режим с энфорсингом.

     
     
  • 5.90, Int (?), 08:59, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А задокументирован SELinux достаточно.

    Вы настраивали ? Сколько раз успешно ?

    >Кончая тем, что можно загрузиться в пермиссивном режиме, покурить логи и написать профиль, перезагрузившись потом в режим с энфорсингом.

    Понимаешь ли в чем дело, это итерационный процесс.
    Вот включили ты строгий режим, софт бац и отвалился на каком либо этапе, покурил логи (кстати какие, и кто вам гарантировал что они будут), предположим нашел, написал правило, перегрузился в энфорсинг, а софт все равно не пашет, потому что теперь он валиться на следующем этапе, до которого в пермисивном режиме тупо не доходил.

    И так до бесконечности, а людям знаете ли работать нужно.

     
     
  • 6.122, zero (??), 16:04, 02/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    да нормально SELinux настраивается, сколько уж их настроил. страхи тут не уместны
     
  • 5.91, Int (?), 09:03, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Меня всегда поражали люди, которые вместо того, чтобы прочитать документацию на программное
    > обеспечение, пытаются настроить боевой сервер по найденным в Интернете "хаутушкам".

    В документации к программному обеспечению написано :

    rpm -ivh soft-xxxx.x.x.xxx.x-x.platform.rpm

    что успешно и без ошибок выполняется, вот только софт не работает.
    Не подскажите какое именно место в документации читать ?

     
     
  • 6.123, zero (??), 16:05, 02/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > что успешно и без ошибок выполняется, вот только софт не работает.
    > Не подскажите какое именно место в документации читать ?

    что ж вы такой не везучий??

     

  • 1.60, Аноним (-), 17:20, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Надо сделать все, чтобы не мешать cpanel работать, даже если это идет в ущерб всей системе. Подобное ПО должно учитывать все факторы включая особенности дистрибутива, на котором данное ПО будет работать.

    Панель управления хостингом не заменяет администратора, она только разгружает его от части банальных действий и делает их выполнение проще. А то комментарии типа не ставь панель управления найми администратора звучит настолько глупо, что смешно читать. Но у столь умных людей хочется спросить, сколько надо нанять администраторов, что бы можно было обслуживать серверный парк хостинговой компании?!

    Задачи стандартные: добавить домен, поменять пароль, создать почту и так далее, и это десяткам людей.

     
     
  • 2.67, Аноним (-), 18:08, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > хостинговой компании?!
    > Задачи стандартные: добавить домен, поменять пароль, создать почту и так далее, и
    > это десяткам людей.

    Почту-то уж имей у себя в конторе (судя по десяткам - контора немаленькая), а не у хостера.

     
     
  • 3.73, Аноним (-), 18:24, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Почту-то уж имей у себя в конторе (судя по десяткам - контора
    > немаленькая), а не у хостера.

    Речь идет о массовом хостинге, а не ободном домене компании. Как я уже говорил ранее, панель частично избавляет администратора от однообразной работы. Эту работу клиент может выполнить и сам через панель управления хостингом.

     
  • 2.70, Аноним (-), 18:15, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Надо сделать все, чтобы не мешать cpanel внедрять бэкдоры. // Fixed.
     
  • 2.72, Аноним (-), 18:18, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но у столь умных людей хочется спросить, сколько надо нанять
    > администраторов, что бы можно было обслуживать серверный парк хостинговой компании?!
    > Задачи стандартные: добавить домен, поменять пароль, создать почту и так далее, и
    > это десяткам людей.

    Ну или виндюзятников-сипанелистов по числу хостов, или одного, умеющего скриптик коротенький написать. Еще его заместителя на случай если первый в декрет или под трамвай угодит.

     
     
  • 3.74, Аноним (-), 18:42, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну или виндюзятников-сипанелистов по числу хостов, или одного, умеющего скриптик коротенький
    > написать. Еще его заместителя на случай если первый в декрет или
    > под трамвай угодит.

    Да некоторые хостеры пошли по такому пути и у них есть свои панели управления. Но они применяются только на площадках компании и соответствуют их задачам, по принципу ничего лишнего. Эти панели не избавляют от администратора, они сделаны для облегчения работы клиентов компании, и не более. В таких панелях прослеживается индивидуальность, вместо принципа пусть будет может кому то пригодится.

     
  • 3.83, Аноним (-), 22:02, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    какой, блеать, скриптик написать панель используется для того чтобы твой клиент... большой текст свёрнут, показать
     
     
  • 4.85, Аноним (-), 22:32, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >вручную

    Вручную виндюзятники только все делают.

     
     
  • 5.102, arisu (ok), 17:41, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>вручную
    > Вручную виндюзятники только все делают.

    так не могут же, потому им и дают говнопанели.

     

  • 1.61, Клим (?), 17:38, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    secure by design
     
  • 1.65, Вася (??), 18:03, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Друзья предлагаю ОДНУ аксиому - Второй программист ни чем не хуже Первого

    Главное следствия - если Первый сделает, то Второй сможет повторить
    Главное последствие - не обижай Художника

     
     
  • 2.68, Аноним (-), 18:10, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Друзья предлагаю ОДНУ аксиому - Второй программист ни чем не хуже Первого
    > Главное следствия - если Первый сделает, то Второй сможет повторить
    > Главное последствие - не обижай Художника

    Знал одного такого ... художника ... а, может, как сказал персонаж Шукшина в "Калине красной" - "чудака ... на букву М".

     

  • 1.69, Аноним (-), 18:12, 28/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проект Cpanel должен быть закрыт.
     
     
  • 2.75, Аноним (-), 18:49, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Проект Cpanel должен быть закрыт.

    Любой проект время от времени, должен поглядывать на свой список приоритетов, для того чтобы убедится в том что они не сбились с курса, более того иногда нужно пересматривать свои приоритеты, чтобы не приплыть в никуда.

     
  • 2.78, kerneliq (ok), 20:05, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Проект Cpanel должен быть закрыт.

    cPanel является достаточно популярным ПО, возможно, даже самой популярной из всех коммерческих панелей управления для хостинга, особенно хостинг-провайдеров Европы и Северной Америки. Не последняя причина в том, что cPanel имеет расширенную функциональность для перепродажи хостинга.

     
     
  • 3.82, Аноним (-), 21:54, 28/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    и не последняя причина также в том что многие конкурирующие панели, например, вторая по популярности Parallels Plesk, гораздо более кривые и сложные как в администрировании так и с точки зрения UX.
     
     
  • 4.106, linux must _RIP_ (?), 19:25, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > и не последняя причина также в том что многие конкурирующие панели, например,
    > вторая по популярности Parallels Plesk, гораздо более кривые и сложные как
    > в администрировании так и с точки зрения UX.

    или купили более интересную PSoft H-Sphere, если не смогли ее задавить качеством..

     
  • 4.124, zero (??), 16:11, 02/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > и не последняя причина также в том что многие конкурирующие панели, например,
    > вторая по популярности Parallels Plesk, гораздо более кривые и сложные как
    > в администрировании так и с точки зрения UX.

    а с учетом того что Cpanel и Plesk разливаются из одной бочки ... :)))

     

  • 1.86, sHaggY_caT (ok), 02:07, 29/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а в plesk собирают rpm или deb со своим, модифицированным апачем. Так и надо делать...
     
     
  • 2.87, потреблять (?), 04:32, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    из реп системы должно все ставиться
     
     
  • 3.97, linux must _RIP_ (?), 10:33, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > из реп системы должно все ставиться

    да да, потом федоре захочется что-то поменять в пакете - а в панельке все отватился.. вот не собирал RH postfix с поддеркой MySQL а панельке он нужен. И удобно так - что делать то будем?

     
  • 3.98, Аноним (-), 10:55, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В случае с cPanel имеем выбор нескольких версий апача и пхп плюс кастомизацию -- так исторически сложилось что apache и php компилировался прямо на текущем сервере с выбранными модулями. Изначально поддерживали целый зоопарк ОС -- в том числе FreeBSD, Gentoo, SuSe и так было проще, чем пакетировать под каждую систему. В последних версиях они, правда, уже дропнули всё кроме RedHat клонов и переходят к rpm пакетированию всего-всего.
     
     
  • 4.105, linux must _RIP_ (?), 19:24, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В случае с cPanel имеем выбор нескольких версий апача и пхп плюс
    > кастомизацию -- так исторически сложилось что apache и php компилировался прямо
    > на текущем сервере с выбранными модулями. Изначально поддерживали целый зоопарк ОС
    > -- в том числе FreeBSD, Gentoo, SuSe и так было проще,
    > чем пакетировать под каждую систему. В последних версиях они, правда, уже
    > дропнули всё кроме RedHat клонов и переходят к rpm пакетированию всего-всего.

    Да в курсе.. Только вот куча горе админов которые гнут пальцы - слабо представляют что возможна кастомизация, и вдруг где-то могут поменять в репе.. или чего-то там не хватает..

     
     
  • 5.107, Аноним (-), 23:53, 29/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не на правах рекламы, а для просветления заблудившихся Например ISPsystem имеет... большой текст свёрнут, показать
     
     
  • 6.111, sHaggY_caT (ok), 10:19, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >> репе.. или чего-то там не хватает..
    > Не на правах рекламы, а для просветления заблудившихся. Например ISPsystem имеет продукты
    > которые работают используя репозиторий дистрибутивов, при этом они ничего не патчат
    > ради того чтобы их продукт заработал. Все ПО стандартное и работает
    > исключительно в том окружении, которое предоставляется дистрибутивом. В конце концов,
    > у всех дистрибутивов столько разнообразных репозиториев что почти не осталось ПО
    > которого нет в дистрибутиве. Например, cpanel ничего не мешает создать свои
    > репозиторий, если их потребности столь специфичны.
    > P.S. Так что не стоит гнуть пальцы, крича про то о чем
    > вы не знаете. Попросту не стоит троллить

    В ISPmanager все как раз неправильно в этом отношении: Plesk свои файлы пакетирует, а ISPmanager сваливает в /usr/local
    Хотя все панели есть кривое зло :) Лучше без них. Они решение для продвинутых пользователей-вебмастеров, решивших сделать свой небольшой хостинг.

     
     
  • 7.113, Аноним (-), 13:42, 30/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Любое ПО должно делать то для чего его сделали, но не менее важно то, как это ПО... большой текст свёрнут, показать
     
     
  • 8.121, sHaggY_caT (ok), 01:22, 01/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Я рваботаю в крупном хостере, и у нас Cpanel используетс... текст свёрнут, показать
     
     
  • 9.126, linux must _RIP_ (?), 13:13, 05/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    резюме - котенок опять решил погнуть пальцы Уже поднялись с должности младшего ... текст свёрнут, показать
     
     
  • 10.127, AlexAT (ok), 18:25, 05/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Панелька в РФ не может решать вопрос выставления счетов по потребленным услу... текст свёрнут, показать
     
  • 10.130, sHaggY_caT (ok), 00:38, 28/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Года три как уже, а Вы Гон Панель биллингу Кажется, Вы понятия не имеете о ... текст свёрнут, показать
     
  • 6.125, linux must _RIP_ (?), 13:04, 05/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В конце концов, у всех дистрибутивов столько разнообразных репозиториев что почти не осталось ПО которого нет в дистрибутиве.

    Да ну? пример с СenOS - postfix & mysql backend - мало?

    > Например, cpanel ничего не мешает создать свои репозиторий, если их потребности столь специфичны.

    и чем это отличается от сборки пакетов?:) или услышали слово "репозиторий" и повторяете везде - не задумываясь? :)

    лана - лень пинать маленького..

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру