The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет

20.08.2020 11:16

Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа.

Для построения ботнета применяется собственный P2P-протокол, в котором узлы взаимодействуют между собой, координируют организацию атак, поддерживают работу сети и контролируют состояние друг друга. Новые жертвы находятся путём проведения bruteforce-атаки на серверы, принимающие запросы по SSH. При обнаружении нового сервера выполняется перебор по словарю типовых сочетаний из логинов и паролей. Управление может производиться через любой узел, что усложняет выявление и блокирование операторов ботнета.

По данным исследователей ботнет уже насчитывает около 500 узлов, в числе которых оказались серверы нескольких университетов и крупной железнодорожной компании. Отмечается, что основной целью атаки являются сети образовательных учреждений, медицинских центров, государственных учреждений, банков и телекоммуникационных компаний. После компрометации сервера на нём организуется процесс майнинга криптовалюты Monero. Активность рассматриваемого вредоносного ПО прослеживается с января 2020 года.

Особенностью FritzFrog является то, что он держит все данные и исполняемый код только в памяти. Изменения на диске сводятся только к добавлению нового SSH-ключа в файл authorized_keys, который в дальнейшем используется для доступа к серверу. Системные файлы не изменяются, что делает червь незаметным для систем проверяющих целостность по контрольным суммам. В памяти в том числе держатся словари для перебора паролей и данные для майнинга, которые синхронизируются между узлами при помощи P2P-протокола.

Вредоносные компоненты камуфлируются под процессы "ifconfig", "libexec", "php-fpm" и "nginx". Узлы ботнета отслеживают состояние соседей и в случае перезагрузки сервера или даже переустановки ОС (если в новую систему был перенесён изменённый файл authorized_keys) повторно активируют вредоносные компоненты на хосте. Для коммуникации используется штатный SSH - вредоносное ПО дополнительно запускает локальный "netcat", привязывающийся к интерфейсу localhost и слушающий трафик на порту 1234, к которому внешние узлы обращаются через SSH-туннель, используя для подключения ключ из authorized_keys.

Код компонентов FritzFrog написан на языке Go и работает в многопоточном режиме. Вредоносное ПО включает несколько модулей, запускаемых в разных потоках:

  • Cracker - выполняет подбор паролей на атакуемых серверах.
  • CryptoComm + Parser - организует шифрованное P2P-соединение.
  • CastVotes - механизм совместного выбора целевых хостов для атаки.
  • TargetFeed - получает список узлов для атаки от соседних узлов.
  • DeployMgmt - реализация червя, распространяющего вредоносный код на взломанный сервер.
  • Owned - отвечает за соединение к серверам, на которых уже запущен вредоносный код.
  • Assemble - собирает файл в памяти из отдельно передаваемых блоков.
  • Antivir - модуль подавления конкурирующих вредоносных программ, определяет и завершает процессы со строкой "xmr", потребляющие ресурсы CPU.
  • Libexec - модуль для майнинга криптовалюты Monero.

Применяемый в FritzFrog P2P-протокол поддерживает около 30 команд, отвечающих за передачу данных между узлами, запуск скриптов, передачу компонентов вредоносного ПО, опрос состояния, обмен логами, запуск прокси и т.п. Информация передаётся по отдельному шифрованному каналу с сериализацией в формат JSON. Для шифрования применяется ассиметричный шифр AES и кодирование Base64. Для обмена ключами используется протокол DH (Diffie-Hellman). Для определения состояния узлы постоянно обмениваются ping-запросами.

Все узлы ботнета поддерживают распределённую БД с информацией об атакуемых и скомпрометированных системах. Цели для атаки синхронизируются по всему ботнету - каждый узел атакует отдельную цель, т.е. два разных узла ботнета не будут атаковать один и тот же хост. Узлы также собирают и передают соседям локальную статистику, такую как размер свободной памяти, uptime, нагрузка на CPU и активность входов по SSH. Данная информация используется для решения о запуске процесса майнинга или использования узла только для атаки других систем (например, майнинг не запускается на нагруженных системах или системах с частым подключением администратора).

Для выявления FritzFrog исследователями предложен простой shell-скрипт. Для определения поражения системы могут использоваться такие признаки как наличие слушающего соединения на порту 1234, присутствие вредоносного ключа в authorized_keys (на всех узлах устанавливается одинаковый SSH-ключ) и присутствие в памяти запущенных процессов "ifconfig", "libexec", "php-fpm" и "nginx", не имеющих связанных исполняемых файлов ("/proc/<PID>/exe" указывает на удалённый файл). Признаком также может служить наличие трафика на сетевой порт 5555, возникающего при обращении вредоносного ПО к типовому пулу web.xmrpool.eu в процессе майнинга криптовалюты Monero.

  1. Главная ссылка к новости (https://www.guardicore.com/202...)
  2. OpenNews: Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD
  3. OpenNews: Около 4.3% имеющихся монет Monero получены в результате майнинга вредоносным ПО
  4. OpenNews: Выявлен 21 вид вредоносных программ, подменяющих OpenSSH
  5. OpenNews: Новые сведения о вредоносном ПО VPNFilter, поражающем домашние маршрутизаторы
  6. OpenNews: Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53573-fritzfrog
Ключевые слова: fritzfrog, botnet, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (174) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, admgoat (?), 12:06, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    задайте пароль с конской энтропией или юзайте ключи (меньше спама в логах)
     
     
  • 2.4, 79 (?), 12:18, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Юзайте ключи + TOTP
     
     
  • 3.103, Аноним (103), 05:51, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А толку от настройки авторизационного фактора владения два раза? Уж лучше тогда сделать полноценную двухфакторную аутентификацию пароль+otp или пароль+ключ вместо однофакторной ключ+otp.
     
  • 3.121, Z (??), 13:01, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    fail2ban решает массу проблем
     
     
  • 4.142, admgoat (?), 22:32, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > fail2ban решает массу проблем

    и добавляет пачку новых.. например начинаются тормоза

     
     
  • 5.149, n80 (?), 15:08, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > и добавляет пачку новых.. например начинаются тормоза

    Эм, какие это он тормоза добавляет?

     
     
  • 6.154, admgoat (?), 06:34, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> и добавляет пачку новых.. например начинаются тормоза
    > Эм, какие это он тормоза добавляет?

    огромная, как только разрастается таблица блокировок

     
     
  • 7.155, n80 (?), 11:51, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Имей совесть, пожалуйста, открой для себя ipset.
    Впрочем, даже с обычным iptables несколько тысяч правил не добавляли заметных тормозов (дело было совсем не на первопне, конечно, да и не на десятках гигабит трафика, но в тех случаях и решения другие нужны).
     
     
  • 8.157, admgoat (?), 13:22, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    причем тут ipset, если fail2ban сам контролирует правила я всего лишь указал ... текст свёрнут, показать
     
     
  • 9.158, n80 (?), 14:06, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какие правила action rules настроишь, так и будет контролировать, так что не т... большой текст свёрнут, показать
     
     
  • 10.170, admgoat (?), 22:55, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gt оверквотинг удален в данном случае отключение логина по паролю как раз и яв... текст свёрнут, показать
     
  • 4.148, TheFotoMag (ok), 14:20, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > fail2ban решает массу проблем

    факт

     
  • 4.150, n80 (?), 15:17, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > fail2ban решает массу проблем

    Похоже сабж (или кого я уже несколько дней в логах попыток подключений по SSH вижу) на этот счёт продуман: пришло с одного IP соединение, после трёх неудачных попыток перебора было отключено, всё, больше с этого IP он в ближайшее время не ходит, но вскоре приходит пытаться со следующего (из совершенно другой подсети).

     
  • 2.19, Аноним (19), 13:04, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    >или юзайте ключи (меньше спама в логах)

    Никуда спам в логах не денется. Попытки входа по паролю будут в логе.

     
     
  • 3.38, пох. (?), 13:46, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >>или юзайте ключи (меньше спама в логах)
    > Никуда спам в логах не денется. Попытки входа по паролю будут в
    > логе.

    он имеет в виду, что когда ключ защищенный суперпаролем 213 утекет - в логах вообще ничего не будет (главное, интерактивную сессию не открывать)

     
  • 3.45, Аноним (45), 15:04, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    если вход по паролю запрещен - не будет
     
  • 3.100, admgoat (?), 02:09, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>или юзайте ключи (меньше спама в логах)
    > Никуда спам в логах не денется. Попытки входа по паролю будут в
    > логе.

    если отключена аутенфикация по паролю разве они пишет попытку соеденения?

    чёт не помню я такого, надо проверить...

     
     
  • 4.119, Аноним (119), 12:18, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пишут.
     
     
  • 5.143, admgoat (?), 22:34, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Пишут.

    но даже если это так, то хотя бы не пишется число неудачных соединений во время старта сеанса SSH

    сообщение по идее все равно меньше

     
  • 2.93, Аноним (93), 21:38, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    одним ботнетом больше, одним меньше, как разница. у меня на всех мощности хватит.
     
  • 2.120, Z (??), 13:00, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    fail2ban после его установки сразу решает массу проблем
     
     
  • 3.144, Аноним (144), 23:20, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме отсутствия мозга.
     

  • 1.2, Аноним (144), 12:12, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +27 +/
    Ну, кто там утверждал, что на go ничего не написано?
     
     
  • 2.9, Аноним (9), 12:34, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Попутал? Это на Расте ничего не написано. Но го полно годноты написано.
     
     
  • 3.59, Аноним (59), 16:26, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    О какой годноте речь, если сам Google отказался от Go в своей ОС? https://fuchsia.dev/fuchsia-src/contribute/governance/policy/programming_langu
     
     
  • 4.66, Аноним (66), 17:06, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не бредь, пожалуйста.
     
     
  • 5.75, Аноним (59), 18:22, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это не я, это Google:

    The Fuchsia Platform Source Tree has had negative implementation experience using Go. The system components the Fuchsia project has built in Go have used more memory and kernel resources than their counterparts (or replacements) the Fuchsia project has built using C++ or Rust. Decision: Go is not approved.

     
     
  • 6.89, funny.falcon (?), 19:32, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, Go не для resourse constrained приложений, это факт. Go - это компромис между удобством написания более-менее сложной логики и производительности. В fuschia его попытались применить в месте, где нужна была производительность без компромиссов, и получили негативный экспириенс.

    Однако Dart у них заапрувлен. Т.е. то, что Go мог конкурировать с Dart, вместо Rust, им в голову не пришло.
    Жаль.

     
     
  • 7.92, Аноним (59), 21:30, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> то, что Go мог конкурировать с Dart, вместо Rust, им в голову не пришло

    Не понимаю логики. Почему "вместо Rust", если Rust как раз подходит для resource constrained приложений? Dart и Rust здесь никак не конкурируют. Насколько я понимаю, Dart там на правах языка чтоб быстро окошки писать.

     
     
  • 8.99, funny.falcon (?), 01:42, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я имел в виду, что Go не может конкурировать с C, C и Rust на поле максимально... текст свёрнут, показать
     
  • 4.115, anonymous (??), 11:34, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    О куче годноты, которая не является операционной системой :)
     
  • 2.10, Аноним (10), 12:34, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, кто там утверждал, что на go ничего не написано?

    > Вот потому его и обнаружили. А был бы на Rust, то и не нашли бы

     
     
  • 3.13, Аноним (13), 12:44, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Естественно. Как можно найти вирус на rust, если на нём никто не пишет? Мозилла не в счёт, она делает вид что это кому-то надо.
     
     
  • 4.25, Рева RarogCmex Денис (?), 13:08, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На Haskell, может быть, кто-то бы и написал что-то, но всем лень, даже языку.
     
  • 4.63, Аноним (59), 16:38, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А Amazon, Facebook, Microsoft в счёт?
     
  • 4.123, Аноним (123), 13:49, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Мозилла не в счёт, она делает вид что это кому-то надо

    Конечно надо, разработчикам KAV и Я.Бар

     
     
  • 5.160, Аноним (59), 16:24, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если это ирония, то какая-то тонкая, раскрой чтоли? Если не ирония, то поделись инфой, а то по сабжу ничего не находится
     
  • 2.29, Андрей (??), 13:20, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ничего хорошего не написано) второй раз желания писать не возникает, корявый язык
     
     
  • 3.39, Аноним (39), 13:48, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты прав Раст еще та раскоряка. Один раз попробовав второй раз писать на Расте не захочется никому.  
     
     
  • 4.41, Аноним (144), 14:12, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему, если выбирать между ним и крестами… Крестовикам захочется, вероятно.
     
     
  • 5.43, Аноним (13), 14:49, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удавиться, что бы не писать на ржавом
     
  • 2.51, user90 (?), 15:41, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пасибо, порадовал)
     

  • 1.3, пох. (?), 12:14, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "что эта новость делает на опеннете?! Где исходники?!"

    (ну или хотя бы где собранный-то скачать для некоммерческого использования исключительно в целях ознакомления, я ж тоже хочу из г0вна на курорт!)

     
     
  • 2.14, n00by (ok), 12:56, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это такой троллинг поверивших в руткит Дроволом https://www.opennet.ru/openforum/vsluhforumID3/121575.html#434
     
     
  • 3.21, пох. (?), 13:05, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Ну я поверил, чо - как обычно, русские делали - нахер ненужно, никому не видно, очередная подкованная блоха.

    Вон, назови свой процесс php-fpm, и незачем его прятать. Похоже, тому червю даже рут необязательно получать.

    Так что вот эту хрень - явно какой-то умный поляк писал. Не слишком умный, ровно настолько чтоб сделать все из обычных деталей (небось еще и 90% - готовые модули игогошечки), хорошо и надежно.

    Но исходники, сволочь, зажал. А у меня, между прочим, даже список к кому подобрать пароль - готовый есть.

     
  • 2.31, Атон (?), 13:23, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Где исходники?!"

    https://github.com/guardicore/labs_campaigns/tree/master/FritzFrog

     
     
  • 3.34, пох. (?), 13:34, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну что за г-но ты нашел?
    This repository contains a list of IoCs and a detection tool for the FritzFrog campaign.
    Repository Contents

        Names and hashes of files dropped as part of the attack
        Source IP addresses from which attacks on Guardicore Global Sensors Network were seen
        IP addresses of connect-back machines, allegedly infected by the malware
        Public SSH key used by the attacker as a backdoor

    От последнего еще есть какая-то польза, но реверсить компилированный игогошник будет совершенно унылым занятием.

     
     
  • 4.74, Атон (?), 17:53, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > ну что за г-но ты нашел?
    > От последнего еще есть какая-то польза, но реверсить компилированный игогошник будет совершенно унылым занятием.

    говна дай, ложку дай...

    ты совсем обленился.

     

  • 1.5, Аноним (5), 12:18, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Все узлы ботнета поддерживают распределённую БД с информацией об атакуемых и скомпрометированных системах.

    Ну норм. Получили доступ к одной машине — можно одновременно ребутнуть все зараженные или выполнить на них код для одновременного удаления червя.

     
     
  • 2.15, пох. (?), 12:58, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну норм. Получили доступ к одной машине — можно одновременно ребутнуть все зараженные или
    > выполнить на них код для одновременного удаления червя.

    с чего ты взял? Судя по тому как аккуратненько, в лучших традициях курсовиков сделано - получив доступ к одной машине, ты можешь только зачистить ее. Данные червяка - в памяти, и как к ним добраться ты не в курсе, апи для таких умных тоже не предусмотрено, он для кого-то у кого есть ключи.

    А если бы они у меня были - нахрена мне там выполнять какой-то код для удаления? Надо просто поменять номерок кошелька.

      

     
     
  • 3.73, Аноним (73), 17:35, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если это классический червь, который распространяется сам, без взаимодействия с командным центром, то в каждой копии должена быть не только открытая часть ssh ключа, но и закрытая. Так что достаточно получить физический доступ к одной зараженной машине с рут доступом и, где бы там этот ключ не хранился, его можно выковырять, тем самым получив доступы ко вем остальным.

    А уж что делать с этими машинами: менять номер кошелька или удалять с них червя, это уже на совести каждого человека.

     
     
  • 4.174, Аноним (174), 23:24, 24/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У вас не хватает воображения предположить наличие фиксированного набора непривилегированных команд для заражения, и произвольных команд по подписи?
     
  • 2.42, Аноним (144), 14:25, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Автор, похоже, не дурак, и вполне мог предусмотреть подписывание команд.
     

  • 1.6, m.makhno (ok), 12:21, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    подключение тупо по паролю - зло
     
     
  • 2.7, TormoZilla (?), 12:29, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Подключайся штекером.
     
     
  • 3.12, m.makhno (ok), 12:38, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    о, я бы с радостью, чувак
     

  • 1.8, EuPhobos (ok), 12:29, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Брут идёт адский на сегменте IPv4, даже если сменить порт 22 на другой - боты всё равно находят и как стая собак накидываются.
    На v6 однако тишь да гладь да админско благодать.
     
     
  • 2.11, Аноним (9), 12:35, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну все пора отменять IPv4
     
     
  • 3.33, Атон (?), 13:26, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Пиши в личку.
    Недорого продам 127.73.84.0/24.

    быстрый пинг. доступ в любой точке мира.

     
  • 2.26, anonimous (?), 13:11, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня порт на ssh четырёх значный, вообще никто не лезет, уже 3 года.
     
     
  • 3.85, Аноним (85), 18:51, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    192.168.0.1:2222
     
     
  • 4.127, Аноним (127), 16:07, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Почти, 5522, и не в локалке, как в твоих маняфантазиях, а на ovh-ном дедике. Впрочем твой скорее всего вообще будет в подсети 192.168.122.0/24
     
     
  • 5.128, Аноним (128), 16:40, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты как тот Анон, который удалил антивирус и говорит что у него нет вирусов.
     
     
  • 6.136, пох. (?), 22:19, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а может и правда нет, кому он нахрен нужен? Там в новости внятно описано что в круг интересов этого трояна входят банки, дорогие компы подаренные вузам и прочее, где есть чем поживиться в плане ресурсов. А "дедики" из мусора в ovh его не интересуют, на каком бы порту там не слушало ненужно.

    На них ничего не намайнишь, только лишняя ненужная засветка ботнета.

     
     
  • 7.139, Аноним (127), 22:26, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лорчую этого адеквата. В нынешнее время крипту майнят только на взломанных супер-компьютерах. i9, amd epyc годятся только сайти на WP держать.
     
  • 6.137, Аноним (127), 22:22, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Каким местом я на того анона похож? Смотрю логи sshd - только мои авторизации. Ты мне хочешь доказать что если ко мне никто не лезет, значит у меня через сервер пол китая уже ходит? Я просто твоей логики не вижу абсолютно.
     
  • 4.141, Аноним (127), 22:28, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кали хакер в треде. Все гасите свои вайфаи
     
  • 2.53, лютый жабби__ (?), 15:48, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >даже если сменить порт 22 на другой

    Неправда, на всех серверах ssh на порту 65533 и НИКОГДА нет брутов.

     
     
  • 3.60, Аноним (60), 16:31, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Теперь будет.
     

  • 1.16, microsoft (?), 12:59, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понял если юзать fail2ban и подобное то все ок?
     
     
  • 2.17, Аноним (19), 13:02, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше отключить парольную авторизацию в конфиге и пользоваться ключами. Тогда переборы не страшны. Fail2ban сверху стоит тоже включить, для большей безопасности. Или sshguard.
     
  • 2.20, Аноним (20), 13:05, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –8 +/
    если не юзать linux то все ок
     
     
  • 3.22, Аноним (19), 13:06, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет.
     
  • 3.23, пох. (?), 13:07, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    чего это только линукс? Игогошечные программы прекрасно и под виндой запускаются - главное, не забыть оставить открытым ssh'ный сервис.

     
  • 3.32, Michael Shigorin (ok), 13:24, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Скорее x86. :)
     
     
  • 4.37, пох. (?), 13:44, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Скорее x86. :)

    неуловимый джо нахер никому не нужен, да.

    И, кстати, сколько там у тебя xmrig показывает? (а, ну да, ну да, он же ж не собирается на попиломатериалах, ты в безопастносте)

     
     
  • 5.46, Michael Shigorin (ok), 15:11, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А я и не пробовал хлам собирать, даром что в репозиторий кто-то засунул.
     
     
  • 6.67, n80 (?), 17:08, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чому сразу хлам-то. Может, и не очень хороший, но и всё-таки не самый плохой бенчмарк для сравнения архитектур и компиляторов, уже ради этого можно собрать и запустить. Вдруг какие-то узкие места вылезут.
     
     
  • 7.70, Michael Shigorin (ok), 17:24, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть и более полезные ;-)
     
  • 4.49, Ordu (ok), 15:33, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Брутфорс работает не только на x86, но также на arm, mips, riscv, avr, power, amd64, и многих других. Если он не работает на эльбрусе, то прими мои сожаления.
     
     
  • 5.61, пох. (?), 16:32, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Брутфорс работает не только на x86, но также на arm, mips, riscv,

    да нахер он нужен, неуловимый джо-то, если на нем ДАЖЕ майнить нельзя?

    Хакнут мишин ель-брус, понюхают - фу, бесполезные дрова, и пойдут искать цель пожырнее.

     
     
  • 6.68, Аноним (66), 17:13, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот научится Го под Эльбрус компилировать и безопасности конец.
     
     
  • 7.76, пох. (?), 18:25, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не неуловимый джо по прежнему будет нахрен никому не нужон Там в том xmrig е а... большой текст свёрнут, показать
     
     
  • 8.80, Michael Shigorin (ok), 18:28, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    терпеливо Написал же -- я ЭТО даже на сборку не стал отправлять Это когда трё... текст свёрнут, показать
     
  • 5.62, Аноним (119), 16:35, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А код под эльбрус скомпилирован?
     
     
  • 6.71, Michael Shigorin (ok), 17:26, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Во-от.

    Собственно, потому и упомянул [!]x86, а не именно e2k.

    И да, с неуловимостью вполне согласен -- причём я помню, как тот же человек, который нынче подписывается здесь "пох.", учил меня применять и этот метод (конкретно "редкая архитектура") как действенный для построения труднопрошибаемых систем.  Лет двадцать уж назад, наверное... тогда речь была про альфу в качестве примера.

     
     
  • 7.81, пох. (?), 18:33, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > как действенный для построения труднопрошибаемых систем.

    да, но речь не шла о врагах в виде ЦРУ, NSA, и "друзьях" из КПК, а об обычных дол..ах, которые на самом деле обламываются уже на том что id_rsa у тебя называется id.rsa

    Те-то, полагаю, давным-давно себе купили по три эльбруса, каждый. И консультации разработчиков тоже оплатили заранее.

     
     
  • 8.84, Michael Shigorin (ok), 18:48, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Припоминая КОКОМ -- вполне вероятно А вот здесь -- максимум Бабаяна с Пентковск... текст свёрнут, показать
     
     
  • 9.152, Аноним (152), 02:34, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну а че б и не Бабаяна Я, ещё будучи студентом МФТИ в самом начале нулевых, слу... текст свёрнут, показать
     
     
  • 10.161, пох. (?), 18:40, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    неисключено что потому, что и не очень получится Как оно там Расчёты-то от п... текст свёрнут, показать
     
     
  • 11.165, Michael Shigorin (ok), 20:06, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Профессор-то другой был, что характерно ... текст свёрнут, показать
     
  • 8.104, Vkni (ok), 06:43, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А для них отлично работает метод неуловимого Джо ... текст свёрнут, показать
     
     
  • 9.122, пох. (?), 13:19, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    к сожалению, даже мне в свое время немного удалось вляпаться в сферы, где этот м... текст свёрнут, показать
     
     
  • 10.153, Vkni (ok), 06:23, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну есть же административный метод, применяемый как родным, так и неродным правит... текст свёрнут, показать
     
     
  • 11.168, пох. (?), 21:24, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в моем случае вот вполне сработало, хотя там поинтереснее можно было сыграть чем... текст свёрнут, показать
     
  • 10.166, Michael Shigorin (ok), 20:07, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый раз при таких сравнениях интересно и чё же Вы лично не в Испании Или т... текст свёрнут, показать
     
     
  • 11.167, пох. (?), 21:21, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я надеялся что мне дадут дожрать мою долю нефтяной ренты, и подохнуть спокойно ... текст свёрнут, показать
     
     
  • 12.177, Vkni (ok), 20:32, 25/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы бы там раскопали старые марксистские учебники - в них вообще-то рассказываетс... текст свёрнут, показать
     
     
  • 13.178, пох. (?), 22:36, 25/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо, но я помню этот бред и так Нет в современной экономике никаких кризи... большой текст свёрнут, показать
     
     
  • 14.180, nuclight (??), 01:12, 23/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ничо-ничо, то-то вот сейчас затяжной кризис на несколько лет начнется, превосход... текст свёрнут, показать
     
  • 2.27, Аноним (27), 13:14, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня просто вход по ключу и ssh включается по крону на два часа в день
     
     
  • 3.44, Аноним (44), 14:49, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Очень удобно, а дальновидно-то как. Лол.
     
     
  • 4.79, Аноним (144), 18:28, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну если сутки простоя не страшны, то почему нет.
     
  • 3.87, Карабьян (?), 19:03, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Работаете с ним по графику?
     
  • 2.54, лютый жабби__ (?), 15:50, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >fail2ban

    Если пароль не 123qwerty то и fail2ban не нужен.

    fail2ban ненужность, т.к. переборы распределенные.
    А вот порт поменять это тру.

     
     
  • 3.105, Анонимикофф (?), 07:39, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня пароль: тёща собака жизни точка нет. Ещё никто не взломал)
     
     
  • 4.106, Анонимикофф (?), 07:41, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А на Wi-Fi сосед с перфоратором собака дома жизни точка нет.
     

     ....большая нить свёрнута, показать (37)

  • 1.18, Аноним (19), 13:03, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >По данным исследователей ботнет уже насчитывает около 500 узлов

    Fail2ban у меня за последний месяц за брутфорс забанил 1,8 тысячи ip.

     
     
  • 2.24, пох. (?), 13:08, 20/08/2020 Скрыто модератором
  • –10 +/
     
     
  • 3.30, Michael Shigorin (ok), 13:22, 20/08/2020 Скрыто модератором
  • +5 +/
     
     
  • 4.36, пох. (?), 13:39, 20/08/2020 Скрыто модератором
  • –2 +/
     
     
  • 5.47, Michael Shigorin (ok), 15:12, 20/08/2020 Скрыто модератором
  • –1 +/
     
  • 2.56, Аноним (56), 16:15, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня на нестандартный порт вообще никто не лазит
     
     
  • 3.113, Аноним (85), 11:14, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня на нетрадиционный.
     

  • 1.28, аноним12345 (?), 13:17, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот и пожалуйста - начали писать вирусы на го
    А вы говорили - недоязык
     
     
  • 2.40, Аноним (39), 13:54, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вирус на Расте в процессе разработки. Пока из фич только выдает Хеллоу ворлд в консоль атакующему.
     
     
  • 3.96, _ (??), 23:13, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Вирус на Расте в процессе разработки.

    Что угодно на расте - "в процессе разработки"(С).
    Навечно, без шансов к завершению :)

     

  • 1.35, 1 (??), 13:37, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А можно приватный ключик от того, что кладётся в authorized_keys ?

    Лень мне самому брутфорсить.

     
     
  • 2.48, Michael Shigorin (ok), 15:20, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Лень мне самому

    http://youtube.com/watch?v=vIZVWVJ4_9M&t=1m30s

     

  • 1.50, tolstushka.ru (ok), 15:36, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    У меня готов антивирус:

    chattr  +i  ~/.ssh/authorized_keys

     
     
  • 2.58, swine (ok), 16:24, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Можно и проще.
    PasswordAuthentication no
     

  • 1.52, Аноним (-), 15:45, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ух ты!
     
  • 1.55, Аноним (55), 16:06, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    SkyNet, зародыш
     
     
  • 2.57, ss (??), 16:18, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сколько уже таких было.. начиная с червя Морриса
     
     
  • 3.64, Аноним (-), 16:39, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет этот особый. Это зародыш SkyNet-а из фильма Терминатор.
     
     
  • 4.111, пох. (?), 09:45, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет этот особый. Это зародыш SkyNet-а из фильма Терминатор.

    Терминатор-сколькотам-9 ? Из будущего пачками прибывают терминаторы, которым нахрен не вcpaлась Саня Коннор, повсюду ищут и отжимают биткойн-кошелки, после чего быстро сваливают в туман, архивировать и ныкать в arctic vault под видом ценного кода с гитшлака - потому что в будущем биток стоит миллиард долларов, а новых намайнить нельзя уже всеми мощностями скайнета. Человечество будущего поробощено не оружием, а тем что скайнет просто скупил все подряд.

    Главный герой - одноногая трансгендерная нигра, пытающаяся сныкать последние принадлежащие человечеству 0.00001btc.

     
     
  • 5.132, Аноним (132), 17:27, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Барыга пох. кривит и ёрничает. Скатился он до плинтуса.  Дурачёк пох. ты прекрасно понял о чем написал, тот кому он съязвил.
     

  • 1.65, YetAnotherOnanym (ok), 16:54, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Достаточно не иметь на сервере nginx и php-fpm - и зловред как на ладони.
     
     
  • 2.72, Michael Shigorin (ok), 17:27, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да и ifconfigd порадовал.
     
     
  • 3.83, пох. (?), 18:45, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Да и ifconfigd порадовал.

    "опять этот поцтеринг какую-то новую хрень запилил, видать после последних автообновлений появилась", тоже мне, палево прям.

    Но вообще, конечно, надо под [kworker/ниипать] маскироваться - его вообще никто не спалит, потому что никто не знает что это такое, зачем и от чего, но все давно привыкли что он есть и чем-то непонятным занят, причем в количестве миллионтыщ штук.
    И приоритет себе -20, зачем выделяться из толпы.

     

  • 1.69, Аноним (69), 17:19, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    У аффтара новости AES стал АСсимметричным шифром. Браво.
     
     
  • 2.78, Нанобот (ok), 18:27, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в оригинале "AES for symmetric encryption"...просто переводчик лох
     

  • 1.77, Нанобот (ok), 18:25, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Для коммуникации используется штатный SSH - вредоносное ПО дополнительно запускает локальный "netcat", привязывающийся к интерфейсу localhost и слушающий трафик на порту 1234, к которому внешние узлы обращаются через SSH-туннель, используя для подключения ключ из authorized_keys

    иными словами, приватный ключ есть где-то в бинарнике червя...так вот...достать его оттуда, просканировать 0.0.0.0/0 на возможность подключения этим ключём и угнать/уничтожить весь ботнет (или бОльшую его часть)

     
     
  • 2.82, пох. (?), 18:42, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > иными словами, приватный ключ есть где-то в бинарнике червя...так вот...достать его оттуда,

    дык, давай! Только ботнет не поломай.
    (от него есть небольшая польза - неудавшиеся авторизации по ключам не так явно палятся в логах, поэтому шухера будет меньше чем от попыток самому начать с нуля)

    Но, кстати, если все правильно сделать - его не будет в бинарнике. Он в памяти будет. Передаваясь только уже запущенному инстансу, причем - шифрованным. И без механики для извлечения.

     
     
  • 3.88, n00by (ok), 19:07, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но, кстати, если все правильно сделать - его не будет в бинарнике.
    > Он в памяти будет. Передаваясь только уже запущенному инстансу, причем -
    > шифрованным. И без механики для извлечения.

    "Для коммуникации используется штатный SSH".

     
     
  • 4.97, пох. (?), 23:31, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "Для коммуникации используется штатный SSH".

    для начала надо как-то попасть на твою машинку - и он это делает не ключом, а просто подобрав пароль. Дальше кладет туда открытый ключик, и, видимо, какую-то бутстрапалку бинарника, после чего заходит уже штатным образом (в бинарнике никаких ключей держать необязательно), и вот теперь, установив сессию и проверив что его слушает именно кто надо, а не васян пытающийся спереть данные - скармливают ему те самые динамические данные, включая закрытые ключи для возможности дальнейшего распространения, номер кошелочки для монерок и так далее. На диск они не пишутся, после ребута - спокойно подождет, пока заново запустят и заново зальют данные с другой ноды.

    Если все сделать аккуратно - хрен подкопаешься.

     
     
  • 5.107, n00by (ok), 07:48, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> "Для коммуникации используется штатный SSH".
    > Если все сделать аккуратно

    Это т.н. "white-box cryptography". Грубо говоря, алгоритм + ключ трансформируются в нечто другое с эквивалентным побочным эффектом.

    > хрен подкопаешься.

    Коммуникации -- это не "попасть на машину", а связь между пирами. Если "используется штатный SSH", значит работает имплементированный в SSH криптоалгоритм, соответственно есть и точка в потоке данных, где ключ собран в традиционное представление.

     
     
  • 6.110, пох. (?), 09:36, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Коммуникации -- это не "попасть на машину", а связь между пирами.

    думаешь, оно _клиента_ использует из /usr/bin, а не встроенного? (встроенный там обязан быть, не бесконечными ж перезапусками обычного ssh оно пароли подбирает)

    Впрочем, и в этом случае достаточно ему подставить agent socket - и ключик никогда-никогда не окажется на диске.

    > есть и точка в потоке данных, где ключ собран в традиционное представление.

    Ну с добрым утречком, блин! В ssh-протоколе ключ не передается.

    Я не верю что такой аккуратный (и теперь еще и богатый) польский студент в этом месте внезапно облажался.

     
     
  • 7.146, n00by (ok), 09:18, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Коммуникации -- это не "попасть на машину", а связь между пирами.
    > думаешь, оно _клиента_ использует из /usr/bin, а не встроенного?

    Написано же "штатный", значит который в системе имеется.

    > (встроенный там обязан
    > быть, не бесконечными ж перезапусками обычного ssh оно пароли подбирает)

    Брут и коммуникацию осуществляют различные модули (Cracker и  CryptoComm + Parser).

    > Впрочем, и в этом случае достаточно ему подставить agent socket - и
    > ключик никогда-никогда не окажется на диске.

    Угу, и по почте сам никуда не отправляется. Вот же редиски, заставляют в дампе поискать.

    >> есть и точка в потоке данных, где ключ собран в традиционное представление.
    > Ну с добрым утречком, блин! В ssh-протоколе ключ не передается.

    На том уровне абстракции, поток команд (control flow) -- это последовательность инструкций, которую исполняет процессор. Поток данных (data flow) -- это то, что указанная последовательность команд обрабатывает. Это не те потоки, которые с каналами передачи данных связаны. Проще говоря, я и не утверждал, что ключ передаётся.

    > Я не верю что такой аккуратный (и теперь еще и богатый) польский
    > студент в этом месте внезапно облажался.

     
     
  • 8.162, пох. (?), 18:48, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну ищи, чо - благо, публичный ключ у тебя есть, так что не придется терять время... текст свёрнут, показать
     

  • 1.90, Анонннннннннн (?), 20:34, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    500 узлов, которые админят идиоты. Может теперь они наконец узнают, что подключаться к серверу по логину и паролю плохая идея. Про внезапно открытые новые порты я вообще молчу.
     
     
  • 2.101, Аноним (101), 02:09, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а что ждать от тех, кто пьёт смузи и пишет на расте?
     
  • 2.116, pofigist (?), 11:55, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Может теперь они наконец узнают, что подключаться к серверу удаленно по интернету плохая идея.

    Пофиксил, не благодори

     
     
  • 3.118, InuYasha (??), 11:59, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так не зря же гузпром вложился в квантовые сети и уже (вроде как) лет пять их насилует.
     
     
  • 4.130, pofigist (?), 17:01, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так не зря же гузпром вложился в квантовые сети и уже (вроде
    > как) лет пять их насилует.

    Да ладно - это не панацея. Когда-то и замена telnet на ssh казалась панауей - все шифровано, пароли не убегут... И каков итог? Ну да - читаем выше :)

     

  • 1.91, AntonAlekseevich (ok), 21:26, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, в стоплист все IPv4/6 пытающиеся 22 и 1234. Ещё и Related connection заблочить в придачу.
     
     
  • 2.109, 1 (??), 09:07, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1234 - он на локалхосте открывает.
     
     
  • 3.114, Аноним (85), 11:18, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Превентивно все входящие, кроме действительно нужных, заблочить нетфильтром. Авось, авторы червя не предусмотрели правку правил.
     
  • 2.145, Anonimous (?), 00:10, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да, в стоплист

    ахаха, стоплист! Ржу не могу. Заморозьте меня обратно, пожалуйста.

     

  • 1.98, Аноним (98), 01:07, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Это Drovorub на Go, расходимся
     
  • 1.102, kmeaw (?), 03:22, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    sshd_config:

    PasswordAuthentication no
    AuthorizedKeysFile /etc/ssh/keys/%u
    KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
    Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

    и большинство червей просто ломается от таких настроек, обычно ещё на этапе kex.

     
  • 1.112, Аноним (112), 09:58, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А закрыть доступ к порту с SSH из сетей хостеров и облаков.
    Девопсам видать не судьба...

    Странно, что только 500 набролось.

     
  • 1.117, InuYasha (??), 11:58, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот этот рапорт уже похож на настоящий, в отличие от Дровогрепа.
     
  • 1.124, Аноним (124), 14:25, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Настроил себе SSH на 48*** порт с логином по паролю, даже китайские боты перестали брутфорсить.
     
     
  • 2.125, Аноним (124), 14:26, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тьфу ты, очипятка. С логином по ключам, по паролю выключил.
     
  • 2.126, Аноним (126), 15:48, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще правило nftables, если кому нужно:

    tcp dport <порт> ct state new meter ssh-meter { ip saddr limit rate 3/hour } accept

     
     
  • 3.129, Аноним (128), 16:44, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Логи выключи, вообще ничего больше не надо будет настривать.
     
     
  • 4.140, пох. (?), 22:27, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Логи выключи, вообще ничего больше не надо будет настривать.

    ssh пусть выключит, так быстрее и проще (все равно после третьего захода сам себя зобанит по ip)

     
     
  • 5.159, Аноним (126), 14:29, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если тебе нужно коннектится по ssh к VPS'ке каждую минуту - мне тебя жаль.
     

  • 1.131, Аноним (132), 17:24, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ооо последние коментарии от бывалых одминов, все как одно агрессивно умничающим тоном: "а вот я так умею и этот вирус меня не возьмёт... или, нехрен надо было так делать как дулают они... или, 500 одминов лохов". Читать аж тошно.
     
     
  • 2.133, пох. (?), 17:30, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ооо последние коментарии от бывалых одминов

    локалхостов.

    Ну в принципе все примерно так и есть, неуловимые джо нахрен не сдались.
    А даже если его и поимеют - он не заметит, так что и не расстроится.

     
  • 2.135, onanim (?), 21:46, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а мне смешно

    > новость - реклама ноунейм шарашки
    > целых 500 admin:admin роутеров заражено! голактеко опасносте!
    > 129 комментариев

     
     
  • 3.138, пох. (?), 22:24, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот, смотри - пальчик! Смейся.

    > новость - реклама ноунейм шарашки

    новость - о довольно занятном ботнете, но ты дальше названия шарашки не смог прочитать. Типикал контингент впопеннета, чо.

    > целых 500 admin:admin роутеров заражено

    вот-вот, новость дальше первой строчки ниасилена, но надо немедля написать свое ценное мнение.

    (не интересуют этот ботнет роутеры и прочий хлам)

     
     
  • 4.147, onanim (?), 09:49, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а ты сам-то новость осилил?

    > голактеко опасносте! не интересуют этот ботнет роутеры и прочий хлам!! заражаются университеты и промышленные корпорации!!! банки и государственные учреждения!!!!
    > запускается майнинг Monero
    > маскируясь под php-fpm, nginx

    ничего не смущает?

     
     
  • 5.156, Michael Shigorin (ok), 13:07, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > а ты сам-то новость осилил?

    Он о технологии, а Вы и впрямь вообще ничего не поняли.

     
     
  • 6.163, пох. (?), 18:50, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Он о технологии, а Вы и впрямь вообще ничего не поняли.

    Да просто, похоже, товарищ искренне верует, что в перечисленных местах нет nginx и fpm. Ну пусть дальше верует, у нас за оскорбление чуйств верующих кизяки могут и нагайкой.


     
  • 6.171, onanim (?), 07:51, 24/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> а ты сам-то новость осилил?
    > Он о технологии, а Вы и впрямь вообще ничего не поняли.

    какой технологии? P2P ботнетам уже много лет, включая ботнеты под линукс, брутфорсящие SSH и майнящие крипту. единственная инновация тут - что в этот раз его написали на го.

    майнинг крипты на "университетах, банках и правительственных учреждениях" - это самое тупое, что можно было придумать - выхлоп минимальный, палево максимальное. аккаунты на заводах-газетах-параходах используются для фишинга и кражи информации, и их банальная продажа приносит в десятки и сотни раз больше денег, чем майнинг.
    последствия заражения - это тоже тихий ужас - слушающий порт 1234 и php-fpm.
    масштаб заражения - просто лол, 500 серверов. скан одного только 22го порта с пятёркой самых популярных паролей даёт около 30 тысяч аккаунтов. конечно, в большинстве своём это роутеры, но суммарная мощность майнинга будет выше, чем с 500 аккаунтов на реальных серверах.
    а есть ещё порт 222, 2222, и так далее.


    учитывая вышесказанное, тут может быть только три варианта:
    - бот был написан самой этой конторой для саморекламы и не существует вне лабораторных условий;
    - бот существует, но был найден на каком-то богом забытом сервере с китайско-российским зоопарком, а про банки-госсайты было написано для громких заголовков новостей и для рекламы ноунейм конторы;
    - бот существует, но был написан тупыми американцами, которые брутят подсети банков-заводов-газет-пароходов только для того, чтобы майнить на них крипту.

    лично я склоняюсь к первому варианту.

     
     
  • 7.172, пох. (?), 09:20, 24/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    нет, это вообще совершенно неинтересно и вряд ли ново , хоть на gwbasic, ново в... большой текст свёрнут, показать
     
     
  • 8.173, onanim (?), 22:13, 24/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вот именно, что если ты не встречал таких ботов, это не значит, что их нет фиш... текст свёрнут, показать
     
     
  • 9.175, пох. (?), 23:35, 24/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    конкретно этого - нет, не приносит, тем и прекрасен Тут нет никаких вообще конц... текст свёрнут, показать
     

  • 1.134, Анонимчик (?), 20:38, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ./detect_fritzfrog.sh
    >FritzFrog Detection Script by Guardicore Labs
    >./detect_fritzfrog.sh: 17: netstat: not found
    >[*] The machine seems clean.
     
     
  • 2.151, InuYasha (??), 15:19, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> ./detect_fritzfrog.sh
    >>FritzFrog Detection Script by Guardicore Labs
    >>./detect_fritzfrog.sh: 17: netstat: not found
    >>[*] The machine seems clean.

    "обожаю" погромистов, которые не проверяют коды возврата (и вообще доступность функций) _:D

     

  • 1.176, Аноним (176), 13:14, 25/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Antivir - модуль подавления конкурирующих вредоносных программ,

    Ну хоть какая-то польза от вируса.

     
  • 1.179, robot228 (?), 07:28, 28/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дайте сорсы, на работе заинтересовались=)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру