The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлен новый rootkit для Linux, осуществляющий подстановку ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от opennews (??) on 21-Ноя-12, 12:10 
На ряде web-серверов обнаружен (https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges...) новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением Debian Squeezy с ядром 2.6.32-5-amd64. После активации в ядро системы загружается специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.


В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются и скрытваются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. Наиболее важным выводом является то, что выявленный руткит является принципиально новой разработкой, не основанной ни на одном из ранее доступных руткитов или инструментов для их создания. При этом реализация и качество исполнение руткита свидетельствует о том, что он создавался не для проведения целевых атак, а для как начальная попытка создания ещё одного средства для распространения вредоносного ПО.


Первая информация о новом рутките была опубликована (http://seclists.org/fulldisclosure/2012/Nov/94) несколько дней назад в списке рассылки  Full Disclosure. Администратор одной из поражённых систем привёл первичный разбор странной активности на своём сервере, из-за которой во вне данные уходили с подстановкой вредоносного iframe, но локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый для отдачи контента nginx при проверке через strace отдавал в сетевой сокет корректные данные. В дальнейшем один из исследователей безопасности, получивший доступ к поражённой системе, проанализирован руткит и опубликовал (http://blog.crowdstrike.com/2012/11/http-iframe-injecting-li...) подробный отчёт о методах его работы.


После загрузки руткита он осуществляет перехват управления некоторых функций ядра Linux, скрывая необходимые для работы руткита файлы на диске. Перехват управления производится путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функций (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск руткита производится через загрузку модуля ядра Linux, команда для загрузки которого добавляется в конец файла /etc/rc.local. Но так как в Debian файл /etc/rc.local завершается командой exit 0, команда загрузки модуля размещается после вызова exit, т.е. после перезагрузки руткит не активируется.


Подстановка вредоносного кода в трафик осуществляется (https://www.securelist.com/en/blog/208193935/New_64_bit_Linu...) путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий команды от удалённого управляющего сервера. В частности, после обращение руткита к управляющему серверу, тот возвращает  блок данных, который следует внедрить в трафик, а также параметры подстановки. Напрмер, поддерживается установка правил для какого именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe).

URL: https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges...
Новость: https://www.opennet.ru/opennews/art.shtml?num=35392

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +3 +/
Сообщение от Darth Revan (ok) on 21-Ноя-12, 12:12 
Опять руткит, который сначала ещё поставить нужно.
> Squeezy

Хм...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +5 +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 12:27 
>> Squeezy
> Хм...

У RHEL _фрагментация_ [версий/таргетов] сильно выше. %))) Киддизы одобряе стабильность Debian-а.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

57. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +8 +/
Сообщение от pavlinux (ok) on 21-Ноя-12, 14:51 
> После активации в ядро системы загружается специальный модуль

СМС надо отправлять?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

68. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:16 
>> После активации в ядро системы загружается специальный модуль
> СМС надо отправлять?

Он сам отправит, если оставишь телефон подключенным к компу :)

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

87. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +12 +/
Сообщение от AlexYeCu (ok) on 21-Ноя-12, 16:12 
Я невнимательно читал, или в статье нет подробностей «заражения»?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

150. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –1 +/
Сообщение от Fyjybv on 22-Ноя-12, 07:41 
> и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.

Кстати, в наше-то время кто-то ещё без NoScript в Сеть ходит? Мдааа...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –4 +/
Сообщение от DannyBoy (ok) on 21-Ноя-12, 12:17 
>а для как начальная попытка создания ещё одного средства для распространения вредоносного ПО.

Поправьте, пожалуйста.

Было бы интересно узнать, подвержены ли более новые ядра и что можно сделать для противодействия?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +8 +/
Сообщение от Аноним (??) on 21-Ноя-12, 12:25 
Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают на уже взломанную систему.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –8 +/
Сообщение от Аноним (??) on 21-Ноя-12, 13:08 
да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

101. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +3 +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:57 
> да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))

Червяки например - самораспостраняются. На то и червяки.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

122. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от res2500 (ok) on 21-Ноя-12, 20:54 
>> да а остальные трояны и вирусы распространяются по протоколу TCP\IP сами ))))
> Червяки например - само распространяются. На то и червяки.

прочитайте пост с чего началась эта нить:

> руткит это не вирус, он сам не распространяется, его устанавливают на уже взломанную систему.

подчеркиваю: > его устанавливают на уже взломанную систему.

то есть если кто то ставит линукс и там сработал руткит через некоторое время, за незакрытой или неизвестной разрабам дистрибутива уязвимости, то админ установил уже взломанную систему как сервер ?


руткит может сам не размножатся, но ведь админу пришли жалобы от клиентов сервера, тут уже зависит от того, кто писал и для чего и что было дальше в том рутките, но как всегда луноходы все будут отрицать, на хакере даже пишут что ничего нету, новость обман, а Омские линуксоиды одобряют ?

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

126. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:27 
>> Червяки например - само распространяются. На то и червяки.
> прочитайте пост с чего началась эта нить:

Я ответил на конкретный тезис. А что там было 100500 сообщений назад - не мои проблемы.

> подчеркиваю: > его устанавливают на уже взломанную систему.

Спасибо, Капитан. Вот только врядли живой установщик был таким дeбилом что наэхал сам в файл строку которая ничего не делает. Потому и вспомнили про червяков.

> установил уже взломанную систему как сервер ?

Хороший в этом году урожай травы походу.

> но как всегда лyноходы все будут отрицать, на хакере даже пишут что ничего нету, новость
> обман, а Омские линуксоиды одобряют ?

Это уже становится интереснее. В деле уже появились лyноходы и омские линуксоиды. С нетерпением ждем новых действующих персонажей :). Ах да, судя по упоротости и странным претензиям, res2500 наверное BSDшник. Это же элементарно, Ватсон! :)

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

142. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –2 +/
Сообщение от res2500 (ok) on 21-Ноя-12, 23:49 
травой не увлекаюсь, зашел новость почитаь и упал от смеха с написанных слов

> его устанавливают на уже взломанную систему.

)))))))))))))

> Ах да, судя по упоротости и странным претензиям, res2500 наверное BSDшник.

и не только, использую что мне нравитс, еше в 2009 году, на одном из сайтов ру нета был участником холивара, где писали что под линукс вирусов и вредоносов нету и это супер защищенная система ))))

Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

149. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –2 +/
Сообщение от 1 (??) on 22-Ноя-12, 05:37 
Руткитов и червей полно, а вирусов нет.
Проблема в том, что если Вы скомпилируете бинарник на своей машине и пришлете мне, я его не смогу запустить. А вирусы размножаются путем заражения файлов, что при бинарной несовместимости и существующем либхелле крайне затруднительно. Если думаете иначе, то пишите и вперед за премией Майкрософта. 10000уе на дороге не валяются.

Все кричат, что на линуксе полно вирусов, только премию так никто и не забрал.

Но вот появление таких вещей как системд и обсуждение единого формата распространения по - первый шаг к созданию бинарной совместимости. А там и до обычных вирусов рукой подать.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

151. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +3 +/
Сообщение от коксюзер on 22-Ноя-12, 09:23 
> Руткитов и червей полно, а вирусов нет.

Есть: http://ru.wikipedia.org/wiki/Вредоносные_программы_для_Unix-подобных_систем

> Проблема в том, что если Вы скомпилируете бинарник на своей машине и
> пришлете мне, я его не смогу запустить. А вирусы размножаются путем

Бинарник может быть слинкован статически или не иметь нетривиальных зависимостей.

> заражения файлов, что при бинарной несовместимости и существующем либхелле крайне затруднительно.

Нет ничего затруднительного в том, чтобы вписать себя в ELF-файл - точно так же вирусы пишут себя в PE-файлы, несмотря на их разнообразие.

> Если думаете иначе, то пишите и вперед за премией Майкрософта. 10000уе
> на дороге не валяются.

http://linux.slashdot.org/story/01/10/13/1346243/10000-prize... - вы об этом? Там говорится о заражении правильно сконфигурированной машины с линуксом - то есть, системы, на которую в том числе установлены все актуальные обновления безопасности. Раз так, для заражения нужно сперва найти 0day уязвимости в установленном ПО и написать для них reliable эксплойты. При этом за одну только уявзимость с эксплойтом для браузера можно выручить в сумме 20000 плюс макбук, почитайте здесь:
http://en.wikipedia.org/wiki/Pwn2Own#Outcome_3

> Все кричат, что на линуксе полно вирусов, только премию так никто и
> не забрал.

Возможно, потому что стоимость работ по факту существенно выше 10000 фунтов.

> Но вот появление таких вещей как системд и обсуждение единого формата распространения
> по - первый шаг к созданию бинарной совместимости. А там и
> до обычных вирусов рукой подать.

Вирусам не нужна бинарная совместимость на уровне зависимостей, скриптов запуска служб и т.п.

Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

169. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от Аноним (??) on 22-Ноя-12, 15:35 
> Есть: http://ru.wikipedia.org/wiki/Вредоносные_программы_для_Unix-подобных_систем

Да все там есть. Только найти крайне сложно.

> Нет ничего затруднительного в том, чтобы вписать себя в ELF-файл - точно
> так же вирусы пишут себя в PE-файлы, несмотря на их разнообразие.

В принципе да, однако проблема в том что линуксоиды чаще всего апдейтят весь софт и либы системным апдейтером + качают оный только из доверяемых репов. А чтобы слитый файл запустился - его надо пометить исполняемым. Что делает нечаянный запуск или запуск дебилом за монитором менее вероятным сценарием. По поводу чего механизмов для самоходного распостранения как-то сильно меньше получается. Ну то-есть оно в принципе возможно но на практике - весьма редко и юзаются в основном методы "на дурака" - тыринг ключей или попытки подобрать слабые пароли.

>> Все кричат, что на линуксе полно вирусов, только премию так никто и не забрал.
> Возможно, потому что стоимость работ по факту существенно выше 10000 фунтов.

Ну так это выступает изрядной планкой против атакующих. Это хорошо.

> Вирусам не нужна бинарная совместимость на уровне зависимостей, скриптов запуска служб и т.п.

Все так. Просто для них нет какой-то особо благодатной почвы которая бы позволила им стать простыми и массовыми.

Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

172. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от коксюзер on 22-Ноя-12, 16:24 
> Да все там есть. Только найти крайне сложно.

На сложность написания вирусов это не влияет.

> В принципе да, однако проблема в том что линуксоиды чаще всего апдейтят
> весь софт и либы системным апдейтером + качают оный только из
> доверяемых репов. А чтобы слитый файл запустился - его надо пометить
> исполняемым. Что делает нечаянный запуск или запуск дебилом за монитором менее
> вероятным сценарием. По поводу чего механизмов для самоходного распостранения
> как-то сильно  меньше получается.

Для вируса, который распространяется через 0day-уязвимости, это не проблема. Поверхность атаки довольно широка: браузер и плагины к нему, почтовый клиент, офисный пакет, IM-клиенты, библиотеки для работы с файлами изображений и т.д.. Эксплуатация уязвимостей в этих компонентах даже под виндой - гораздо более частое и массовое явление, чем ручной запуск троянцев, даже несмотря на объёмы вареза и кряков/кейгенов, потребляемого массами.

Проблема (для вирусописателей) с репами кроется в другом: регулярные и довольно оперативные обновления софта, включая весь вышеперечисленный. Под виндой со сравнимой оперативностью обновляются разве что базы антивирусов. ;) На этом вся существенная "более безопасность" линукса по сравнению с виндой заканчивается: если написание свежего вируса или эксплойта для получения какой-нибудь премии ещё может иметь смысл, то рассчитывать на массовые заражения, используя один и тот же вектор - бесполезно. Большинство уязвимых пользователей с высокой вероятностью получат обновления уязвимого ПО до столкновения с вирусом. Именно это, если отбросить скромный процент присутствия линукса на десктопах, делает вирусописание под линукс невыгодным, а вовсе не преувеличенная неоднородность среды распространения.

>> Возможно, потому что стоимость работ по факту существенно выше 10000 фунтов.
> Ну так это выступает изрядной планкой против атакующих. Это хорошо.

Вы путаете сложность и стоимость. В данном случае атакующих просто прельщает бОльшая прибыльность других направлений, особенно, учитывая объёмы наработок по ним.

>> Вирусам не нужна бинарная совместимость на уровне зависимостей, скриптов запуска служб и т.п.
> Все так. Просто для них нет какой-то особо благодатной почвы которая бы
> позволила им стать простыми и массовыми.

Вот именно, что нет почвы для массового распространения. Со сложностью написания и внедрения 0day-вирусов проблем нет: она низкая.

Ответить | Правка | ^ к родителю #169 | Наверх | Cообщить модератору

168. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от Аноним (??) on 22-Ноя-12, 15:25 
> травой не увлекаюсь, зашел новость почитаь и упал от смеха с написанных слов

Судя по вашим постингам - у меня большие сомнения насчет вашей честности в этом вопросе.

>> его устанавливают на уже взломанную систему.
> )))))))))))))

Это вы теперь сами над собой смеетесь?

> под линукс вирусов и вредоносов нету и это супер защищенная система ))))

Супер, не супер, но в целом - достаточно неудобная для вредоносных сущностей система. А со всякими виртуалками, контейнерами, security подсистемами и прочая - оно может быть весьма невкусной для хакеров штукой. Просто техника в руках дикаря - груда металлолома.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

53. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:44 
> Подвержены чему? Руткит это не вирус, он сам не распространяется, его устанавливают
> на уже взломанную систему.

Вопрос в том, кто взламывает и устанавливает. Похоже на червие.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

35. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –2 +/
Сообщение от Сергей (??) on 21-Ноя-12, 13:56 
Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

37. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:05 
> Для противодействия достаточно монтировать на серверах /etc и /lib в read-only.

И после этого, никогда не обновляться.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

62. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от ZloySergant (ok) on 21-Ноя-12, 15:04 
>И после этого, никогда не обновляться.

Наркоман? man 8 mount на предмет remount'а.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

64. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +5 +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:08 
> Наркоман? man 8 mount на предмет remount'а.

То есть даже без аппаратной защиты от записи? LOL.
Что мешает сделать remount самому руткиту, если он уже работает на уровне ядра (т.е. с максимальными полномочиями)?

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

102. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:59 
> ядра (т.е. с максимальными полномочиями)?

Геморность реализации парирования всех заскоков админов :). Ушибленных админов много а автор руткита - один. Он задолбается AI разгребающий все подляны всех админов выписывать. Поэтому чем нестандартнее настройки - тем вероятнее что автоматизированная хренота словит былинный отказ и отползет сломав зубы.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

108. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от BratSinot on 21-Ноя-12, 17:48 
А кто вам сказал что автор руткита один?
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

115. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от Xasd (ok) on 21-Ноя-12, 18:46 
> Геморность реализации парирования всех заскоков админов :).

админы, у вас Чуство Собвственной Важности похоже что запредельно...

..вы хоть представляете себе какое огромное количество гемороя пришлось УЖЕ решить разработчиком этого руткита, для того чтобы руткит просто начал работать? решить ещё и чуть-чуть гемороя с тем чтобы просмотреть /etc/fstab и на основании него сделать remount -- это практически нет-ничего.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

127. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:39 
> ..вы хоть представляете себе какое огромное количество гемороя пришлось УЖЕ решить

Да никакого там особого геморроя. Гражданин исследующий этот экспонат пришел к выводу что это довольно хилая поделка, автор которой очень средне знает линуксный кернель и потому сработал довольно топорно. А былинный отказ с эханием после exit 0 :) явно подтверждает лишний раз что это создано явно не супер-про высшей квалификации.

> разработчиком этого руткита, для того чтобы руткит просто начал работать?

Судя по всему - автору просто пришла в бошку свежая идея и он ее влобешник реализовал. Оно даже работает. Не, идея с патчингом TCP/IP чтобы прямо там вклиниваться - свежо и нахально, не отнять. Но кроме этого - ничего такого особенного. Все руткиты ведут себя похоже в плане маскировки.

> решить ещё и чуть-чуть гемороя с тем чтобы просмотреть /etc/fstab и на основании
> него сделать remount -- это практически нет-ничего.

Проблемки только вот в чем:
1) Вариантов монтирования разделов - туева хуча. Писать полновесный парсер который осознает как и где монтируется желаемый путь и его правильный и однозначный ремоунт - не сильно тривиально.
2) Это утяжелит троян и потенциально повысит его паливность.
3) Это лишь один из over 9000 фокусов которые может отколоть админ. Вероятность что админ отколет именно этот фокус а не 9000 иных - очень небольшая.
4) А что если админ оказался чуть более козел и допустим squashfs юзанул? Если уж ему хотелось глухое readonly - это можно. А теперь попробуйте заремаунтить... :)

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

144. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Xasd (ok) on 22-Ноя-12, 00:48 
> 4) А что если админ оказался чуть более козел и допустим squashfs
> юзанул? Если уж ему хотелось глухое readonly - это можно. А
> теперь попробуйте заремаунтить... :)

ладно.. тогда предлагаю другой алгоритм (если вы так сопративляетесь!) -- если оказывается что файловая система readonly , то просто затираем /dev/md* /dev/sd* (и другие блочные устройства) из /dev/urandom ...

...в отместку!

так-то! :-) ..а теперь надеюсь что вы проклянёте-всё-на-свете что сделали read-only для защиты от автоматических вторжений. :-D :-D

# P.S.: и кстате да, именно автоматических! потомучто при вторжении вручную -- можно вручную (глазами, мозгом) отпарсить /etc/fstab. тоесть предполагается что вторгатель человек получил уже хоть какой-то доступ к системе, прежде чем внедрять rootkit . может украл SSH-ключ, может через PHP-инъекцию.

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

171. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от Аноним (??) on 22-Ноя-12, 15:42 
> ...в отместку!

И немедленно палим свою активность и обращаем внимание на проблемы. А зачем? Руткит пихается с ровно обратной целью.

> защиты от автоматических вторжений. :-D :-D

Я просто перераскатаю все из бэкапов и учиню лютейший аудит на предмет того "а как это вообще стало возможно". Не говоря уж о том что аверы специально начнут расставлять специально ослабленные приманки с такой конфигурацией. Разве плохо если автоматизированные дебилы будут сами себя сдавать как стеклотару? Аверы потом снапшот откатят и им похрен, а вот ценный экспонат поймать - можно :). А вот если некто бодался с написанием такого кастомного модуля, быстро спалиться - явно не в его интересах.

> # P.S.: и кстате да, именно автоматических! потомучто при вторжении вручную --
> можно вручную (глазами, мозгом) отпарсить /etc/fstab.

Ну вот в этом и есть отличие между человеком и роботом. На данный момент роботы не могут проявить полную автономность и принимать произвольные по сложности решения самостоятельно. В день когда AI это наконец смогут, у нас будут намного более важные проблемы чем какие-то вшивые вирусы.

> тоесть предполагается что вторгатель человек получил уже хоть какой-то доступ
> к системе, прежде чем внедрять rootkit . может украл SSH-ключ, может через PHP-инъекцию.

В данном случае вторгатель явно не был человеком, иначе бы он не зафэйлил с exit 0 :)

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

152. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от коксюзер on 22-Ноя-12, 09:43 
> Проблемки только вот в чем:
> 1) Вариантов монтирования разделов - туева хуча. Писать полновесный парсер который осознает
> как и где монтируется желаемый путь и его правильный и однозначный
> ремоунт - не сильно тривиально.

Посмотреть в /proc/mounts (или список разделов внутри ядра) и перемонтировать для записи раздел, путь до точки монтирования которого является наиболее длинной частью пути до интересного файла - это разве нетривиально?

> 2) Это утяжелит троян и потенциально повысит его паливность.

Не утяжелит и не повысит.

> 3) Это лишь один из over 9000 фокусов которые может отколоть админ.
> Вероятность что админ отколет именно этот фокус а не 9000 иных
> - очень небольшая.

На практике никто никаких фокусов не откалывает. Особенно таких, которые могут стать нетривиальной помехой для взломщика, но не для системных задач (обновление ПО на read-only разделе - пример такой задачи).

> 4) А что если админ оказался чуть более козел и допустим squashfs
> юзанул? Если уж ему хотелось глухое readonly - это можно. А
> теперь попробуйте заремаунтить... :)

Админ может оказаться ещё более хитрым перцем и выдернуть из розетки кабель питания сервера. Много лично вы настроили или хотя бы видели Debian-серверов с / на read-only разделе? Риторический вопрос.

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

174. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:36 
> до интересного файла - это разве нетривиально?

Да, ибо вариантов как и что может быть смонтировано - туева хуча. А если какой-то админ начнет ивзращаться - туева хуча в квадрате. Полный парсер который ничего не сломает даже в краевых ситуациях не совсем тривиален, а если что-то отвалится, админ тут же попрется смотреть - WTF. Что явно не в интересах руткитчиков.

>> 2) Это утяжелит троян и потенциально повысит его паливность.
> Не утяжелит и не повысит.

Всех вариантов что, откуда и как может быть замонтировано - довольно много. И все-равно на кравевых случаях проблемы будут.

> На практике никто никаких фокусов не откалывает.

Ну если рассчитывать на сферического админа в вакууме - да. Поэтому и упомянутый фокус никто не учитывает. Так что тем админам кто не хочет автоматизированные заразы - логично менять конфигурацию системы с дефолтов. Желательно наименее предсказуемым образом. И мониторить все это.

> Особенно таких, которые могут стать нетривиальной помехой для взломщика, но не
> для системных задач (обновление ПО на read-only разделе - пример такой задачи).

Обновление системы может делаться под чутким присмотром админа, опять же. Ну и вообще, лучший метод от козлов - неожиданность, как-то так: http://dihalt.ru/gazenvagen.html

>> теперь попробуйте заремаунтить... :)
> Админ может оказаться ещё более хитрым перцем и выдернуть из розетки кабель
> питания сервера. Много лично вы настроили или хотя бы видели Debian-серверов
> с / на read-only разделе? Риторический вопрос.

Именно дебиан на ридонли - ну да, редкая штука. А сам я больше предпочитаю виртуалки и контейнеры. Что тоже неплохо :)

Ответить | Правка | ^ к родителю #152 | Наверх | Cообщить модератору

184. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от коксюзер on 22-Ноя-12, 19:03 
>> до интересного файла - это разве нетривиально?
> Да, ибо вариантов как и что может быть смонтировано - туева хуча.

Определить точку монтирования раздела, на котором лежит нужный файл, очень просто. Перемонтировать с remount,rw - ещё проще. Нет тут никакой "туевой хучи" факторов. Нет. Точка. Попытайтесь уже сами представить алгоритм определения раздела и перемонтирования и попробуйте найти место, о котором можно сказать: вот здесь высока вероятность таких-то проблем. Нет там таких мест. А ваша уверенность в обратном только ставит ситуацию с головы на ноги и показывает, насколько легковерны админы, и чего на самом деле стоят их "извращения".

> А если какой-то админ начнет ивзращаться - туева хуча в квадрате.
> Полный парсер который ничего не сломает даже в краевых ситуациях не
> совсем тривиален, а если что-то отвалится, админ тут же попрется смотреть
> - WTF. Что явно не в интересах руткитчиков.

Не нужен там никакой "парсер". Что он там должен парсить? Список разделов и точек монтирования? Пути до файлов?

> Всех вариантов что, откуда и как может быть замонтировано - довольно много.
> И все-равно на кравевых случаях проблемы будут.

Вариантов очень много, но сложности в деплое руткита они не прибавляют. Перемонтировать раздел - это так же просто и очевидно, как снять атрибут immutable с конечного файла. И не многим проще, чем отключить LSM и любые MAC-системы на их базе, располагая подходящей уязвимостью в ядре.

Кроме того, руткит вполне может плакаться родителю о любых провалах. Хотите поставить на то, что папе лень будет зайти на сервер, убрать препятствия, задеплоить руткит и включить обход этих препятствий в следующей версии?

>> На практике никто никаких фокусов не откалывает.
> Ну если рассчитывать на сферического админа в вакууме - да. Поэтому и

Даже хитрые и несферические больше треплются, чем реально что-то делают. Потому что как истинные неуловимые джо привыкли мыслить на лучших случаях - надеяться на авось, иными словами. Тогда как общепринятые практики с сфере ИБ совершенно другие, и никакой тайны не составляют - было бы желание прочитать и понять.

> упомянутый фокус никто не учитывает. Так что тем админам кто не

Откуда вы знаете, учитывает или нет? Я видел rescue-скрипты от хостеров, которые учитывают подобные проблемы, а вы рассуждаете в глобальных категориях: "никто"... Авось никто, ага.

> хочет автоматизированные заразы - логично менять конфигурацию системы с дефолтов.
> Желательно наименее предсказуемым образом. И мониторить все это.

Менять надо целенаправленно и с пониманием того, зачем именно производится каждое изменение. А не просто в надежде на "авось как-то помешает".

> Обновление системы может делаться под чутким присмотром админа, опять же. Ну и
> вообще, лучший метод от козлов - неожиданность, как-то так: http://dihalt.ru/gazenvagen.html

А вы сами пробовали обновить ПО на корневом squashfs-разделе без перезагрузки системы? Этот метод создаёт гораздо больше проблем, чем решает.

> Именно дебиан на ридонли - ну да, редкая штука. А сам я

А знаете, почему? Система становится практически неюзабельной. А реальных результатов, помимо поводов для надежды на авось, это не даёт. Пока система работает - работает и руткит, даже если он неперсистентный, а после перезагрузки системы у взломщика есть хороший шанс проникнуть на неё повторно, до следующего перезапуска. Многие даже отдают предпочтение неперсистентным руткитам - чтобы не палить инструментарий в случае ухода машины на аудит.

> больше предпочитаю виртуалки и контейнеры. Что тоже неплохо :)

Без рассмотрения конкретной ситуации не ясно, плохо это или нет. Виртуалки и контейнеры широко известны в узких кругах как хороший способ положить все яйца в одну корзину.

Ответить | Правка | ^ к родителю #174 | Наверх | Cообщить модератору

188. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от away on 25-Ноя-12, 19:37 
>[оверквотинг удален]
>> Особенно таких, которые могут стать нетривиальной помехой для взломщика, но не
>> для системных задач (обновление ПО на read-only разделе - пример такой задачи).
> Обновление системы может делаться под чутким присмотром админа, опять же. Ну и
> вообще, лучший метод от козлов - неожиданность, как-то так: http://dihalt.ru/gazenvagen.html
>>> теперь попробуйте заремаунтить... :)
>> Админ может оказаться ещё более хитрым перцем и выдернуть из розетки кабель
>> питания сервера. Много лично вы настроили или хотя бы видели Debian-серверов
>> с / на read-only разделе? Риторический вопрос.
> Именно дебиан на ридонли - ну да, редкая штука. А сам я
> больше предпочитаю виртуалки и контейнеры. Что тоже неплохо :)

Не позорь имя онанима, теж сказали в ядре все пути есть что куда примонтированно, не нужен парсер, Прикрати слушать только себя, в этом мире куча людей  "over 9000" умнее и осведщомленние чем мы с тобой вместе, хорош флудить, как не понятно такие как ты убиваю желание почтить что-то дельное. peace

Ответить | Правка | ^ к родителю #174 | Наверх | Cообщить модератору

186. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Bvz on 23-Ноя-12, 09:39 
АГА! Вот так вот и будет изобретён ИИАА (искусственный интелект анти-админа) а там и до простого ИИ недалеко и здравствуй сингулярность
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

6. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –7 +/
Сообщение от Аноним (??) on 21-Ноя-12, 12:19 
У меня даже на роутере ядро собранное без возможности загружать модули. Кто ставит серверы с модулями?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +7 +/
Сообщение от DannyBoy (ok) on 21-Ноя-12, 12:20 
RHEL/CentOS/Ubuntu Server.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 12:26 
:-D этопять!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –6 +/
Сообщение от Аноним (??) on 21-Ноя-12, 12:30 
> RHEL/CentOS/Ubuntu Server.

Пффф, даже в этих дистрибутивах можно пересобрать ядро.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +3 +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 12:34 
>можно пересобрать ядро.

Тогда ты неправильно задал первый вопрос."Кто-то ещё здесь _так пересобирает ядро?"И тему надо было сменить на "Перепись"

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

44. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:23 
Разве на роутере есть смысл собирать ядро как-то по другому?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

47. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +4 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:38 
> Разве на роутере есть смысл собирать ядро как-то по другому?

Безмодульная сборка - дешевый выпендреж, не более. Ни на скорость, ни на потребление ресурсов это не влияет.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

56. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +3 +/
Сообщение от Michael Shigorin email(ok) on 21-Ноя-12, 14:50 
>> Разве на роутере есть смысл собирать ядро как-то по другому?
> Безмодульная сборка - дешевый выпендреж, не более. Ни на скорость, ни на
> потребление ресурсов это не влияет.

Да и /dev/kmem не отменяет, если уж начинать.

Помнится, когда-то иные любители на роутерах патчили обработчик помирания pid 1 и делали kernel-only router, на котором юзерспейс отрабатывает, конфигурирует ядро и самоуничтожается в памяти.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

63. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:05 
> Помнится, когда-то иные любители на роутерах патчили обработчик помирания pid 1 и
> делали kernel-only router, на котором юзерспейс отрабатывает, конфигурирует ядро и самоуничтожается
> в памяти.

На самом деле, красивая идея, только рулить этим во время работы немножко неудобно.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

103. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 17:00 
> делали kernel-only router, на котором юзерспейс отрабатывает, конфигурирует ядро и самоуничтожается
> в памяти.

Можно пойти чуть дальше и законфигурить все через ядро :)

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

88. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:16 
> Безмодульная сборка - дешевый выпендреж, не более. Ни на скорость, ни на
> потребление ресурсов это не влияет.

Мы говорим о безопасности. Руткит грузится как модуль, а в безмодульной сборке никуда он не загрузится. /dev/kmem естесвенно отключен.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

95. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:44 
Для решения этой задачи можно не выпендриваться с пересборкой https://www.opennet.ru/tips/2554_linux_kernel_module_limit_ca...
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

128. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:41 
Ну вот, пришел поручик Ржевский и все опошлил :). Теперь школьники научившиеся щелкать галочки в менюконфиге не смогут понтоваться скиллом. Ай-яй-яй :)
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

8. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –2 +/
Сообщение от Анонимный аноним on 21-Ноя-12, 12:23 
Какая интересная зверушка, работает хирО, это вам не винлоки. Конечно, самый интересный вопрос - распространение этой заразы. Слишком уж просто списать все на неграмотные действия админа.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 12:26 
> Какая интересная зверушка, работает хирО, это вам не винлоки.

Под DOS были и более хитрые штуки :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

46. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:28 
руткит сам себя никак не распространяет.

советую почитать http://ru.wikipedia.org/wiki/Руткит

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

51. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:42 
> руткит сам себя никак не распространяет.

Но кто-то же должен его распространять. И это больше похоже не на ручную работу, а на червячка, использующего незакрытую дыру в дебиане.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

80. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:49 
Как раз это похоже на ручную работу.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

83. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:57 
Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлением строчки в rc.local?

Примерно такая же "ручная", как виндовые ботнеты из сотен тысяч компов, ага.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

160. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от CyberDaemon on 22-Ноя-12, 10:29 
> Ручная работа, поражающая только конкретный софт, с ручным неправильным добавлением строчки
> в rc.local?
> Примерно такая же "ручная", как виндовые ботнеты из сотен тысяч компов, ага.

Думается что вместе с руткитом идет нагрузка в виде червяка. Иначе смысла просто нет.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

13. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Alukardd on 21-Ноя-12, 12:28 
Дык это же rootkit, а где sploit что его в систему внедрить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +4 +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 12:36 
> Дык это же rootkit, а где sploit что его в систему внедрить?

Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от Alukardd on 21-Ноя-12, 12:39 
DSA это хорошо, а готового sploit'а-то у меня нету :-(
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 12:51 
>а готового sploit'а-то у меня нету :-(

Большая Земля сказала, не быть тебе киддизом.

+++Преподаватель лопух. Ло-пух! Но аппаратура при ём. Повторяю, пр йём.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

113. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 18:31 
> +++Преподаватель лопух. Ло-пух! Но аппаратура при ём. Повторяю, пр йём.

Ч-т, "профессор" же:(

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

143. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –2 +/
Сообщение от ВовкаОсиист (ok) on 22-Ноя-12, 00:23 
> при Нём

?...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

38. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:07 
> Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.

А кто сказал, что там оно есть? Дебиан - не RHEL, к безопасности досаточно пофигистичен.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

65. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от myhand (ok) on 21-Ноя-12, 15:11 
> А кто сказал, что там оно есть?

А кто сказал, что нет?  До кучи - вот еще http://security-tracker.debian.org/tracker/

> Дебиан - не RHEL, к безопасности досаточно пофигистичен.

К счастью, в Debian прежде всего: пофигистичны к голословному "авторитетному" мнению разных анонимов...

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

66. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:14 
> А кто сказал, что нет?

Факт наличия инфицированных серваков. Если бы апдейты вышли своевременно - их бы не было.

> К счастью, в Debian прежде всего: пофигистичны к голословному "авторитетному" мнению разных анонимов...

Да, только тупые анонимы могут голословно утверждать, что нужно заботиться о безопасности.
Но настоящим разработчикам Debian пофиг на такие заявления - как не заботились, так и не будут.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

75. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от myhand (ok) on 21-Ноя-12, 15:29 
>> А кто сказал, что нет?
> Факт наличия инфицированных серваков. Если бы апдейты вышли своевременно - их бы не было.

Ну простите, что пока Debian не умеет заменять локального администратора.  Мы в процессе ;)

Так что необходимость устанавливать обновления безопасности и тем более ошибок конфигурации ПО у конкретного администратора - никто не отменял.  Чем, прежде всего, и объясняется ваш "факт".

>> К счастью, в Debian прежде всего: пофигистичны к голословному "авторитетному" мнению разных анонимов...
> Да, только тупые анонимы могут голословно утверждать, что нужно заботиться о безопасности.

"Тупые анонимы" (ваши слова) - утверждали, не утруждая себя доказательствами, нечто совсем иное.  Напомнить?

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

84. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:59 
> Так что необходимость устанавливать обновления безопасности и тем более ошибок конфигурации ПО у конкретного администратора - никто не отменял.  Чем, прежде всего, и объясняется ваш "факт".

Прежде всего, он объясняется тем, что обновления безопасности надо _выпускать_.

> "Тупые анонимы" (ваши слова) - утверждали, не утруждая себя доказательствами, нечто совсем иное.  Напомнить?

Это вы про свой пост?

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

85. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от myhand (ok) on 21-Ноя-12, 16:08 
>> Так что необходимость устанавливать обновления безопасности и тем более ошибок конфигурации ПО у конкретного администратора - никто не отменял.  Чем, прежде всего, и объясняется ваш "факт".
> Прежде всего, он объясняется тем, что обновления безопасности надо _выпускать_.

Обновления выпускаются, http://security.debian.org/.  Ваш КО.

>> "Тупые анонимы" (ваши слова) - утверждали, не утруждая себя доказательствами, нечто совсем иное.  Напомнить?
> Это вы про свой пост?

Про ваш.  Как будете постить - обратите внимание на подпись вашего поста: "отправлено Аноним".

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

91. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:35 
> Обновления выпускаются

Но не все и с большим опозданием. Возьмем, например, ядро http://security-tracker.debian.org/tracker/source-package/li...

> Про ваш.  Как будете постить - обратите внимание на подпись вашего поста: "отправлено Аноним".

В подписи вашего поста тоже паспортных данных нет :)

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

107. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от myhand (ok) on 21-Ноя-12, 17:27 
>> Обновления выпускаются
> Но не все и с большим опозданием. Возьмем, например, ядро http://security-tracker.debian.org/tracker/source-package/li...

Слыхал звон?  А теперь тыкаем (случайная выборка):
CVE-2012-3511 - статус NEW в RHEL
CVE-2011-4621 - аналогично
CVE-2012-4565 - NEW

>> Про ваш.  Как будете постить - обратите внимание на подпись вашего поста: "отправлено Аноним".
> В подписи вашего поста тоже паспортных данных нет :)

Его хоть идентифицировать можно другим участникам.  А вашу муть - даже не факт, что писал один человек...

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

187. "Новый rootkit для Linux, выполняющий подстановку..."  +/
Сообщение от arisu (ok) on 24-Ноя-12, 01:03 
> как не заботились, так и не будут.

как это «не заботились»?! вон, даже openssl патчили, чтобы секурность повысить!

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

114. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 18:35 
>> Начни с http://www.debian.org/security/2012/ и продолжай движение в сторону горизонта.
> А кто сказал, что там оно есть?

Кто "оно"-то?? Ядро?
Новость сказала мне - "под управлением Debian Squeezy с ядром 2.6.32-5-amd64".

> Дебиан - не RHEL, к

Новость не читай, сразу пиши.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:13 
А для убунты чтото подобное есть?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

121. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 20:53 
> А для убунты чтото подобное есть?

В $поисковик ubuntu security совсем не вбивается? ubuntu.com/usn

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

15. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от АнониМ on 21-Ноя-12, 12:33 
Прикольный зверёк. Проверили все /etc/rc.local нормальные.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Hugo Reyes email(ok) on 21-Ноя-12, 13:23 
Думаю, что после выкладки на секлисте, руткит уже пропатчился на предмет выдачи правильного /etc/rc.local, ну и корректного запуска после перезагрузки.
Нужно с заведомо исправной системы загрузить сервер, что ли...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Hugo Reyes email(ok) on 21-Ноя-12, 13:30 
А, там уже "правильный" rc.local отдается
http://4.bp.blogspot.com/-c6xVri0YRjo/UKaA7qP4O4I/AAAAAAAAAD...

Осталось пофиксить оплошность с загрузкой модуля при старте системы.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

17. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от klalafuda on 21-Ноя-12, 12:34 
Вы все ешё хостите сервисы на голом железе? Тогда мы идем к вам!
PS: Вроде как сто лет в обед тем же контейнерам ан нет - находятся умельцы..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от mee too on 21-Ноя-12, 12:52 
> Вы все ешё хостите сервисы на голом железе? Тогда мы идем к
> вам!
> PS: Вроде как сто лет в обед тем же контейнерам ан нет
> - находятся умельцы..

Те же контейнеры вроде как работают с тем же ядром.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от klalafuda on 21-Ноя-12, 13:00 
> Те же контейнеры вроде как работают с тем же ядром.

Вот только они не позволяют грузить модули ядра изнутри контейнера, в котором оказывается атакующий после пробоя сервиса. Как следствие, по своей сути древние как кал мамонта руткиты уровня модулей ядра нервно курят в сторонке.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Hugo Reyes email(ok) on 21-Ноя-12, 13:25 
Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от klalafuda on 21-Ноя-12, 13:33 
> Уверен, что нет 0-day сплойтов, позволяющих загрузку модулей изнутри контейнера?

Нарисовать указанный сплойт и его целевую нагрузку (перехватчик) тем более долгоиграющий куда сложнее, чем то, что описано в новости.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору
Часть нити удалена модератором

41. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от klalafuda on 21-Ноя-12, 14:14 
> в случае OpenVZ контейнеров - достаточно выставить capability bit - который не доступен простым смертным. после этого загрузка модулей из контейнера будет такой же как из hw node.

Отлично! Мы практически взломали Интернет. Дело за малым - как мы будем управлять capabilities контейнера находясь внутри контейнера? Было бы интересно услышать какие-то конкретные рекомендации и пути развития ситуации. Предположим, что рут в контейнере у нас уже есть.

Ответить | Правка | ^ к родителю #187 | Наверх | Cообщить модератору

52. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +4 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:43 
>> в случае OpenVZ контейнеров - достаточно выставить capability bit - который не доступен простым смертным. после этого загрузка модулей из контейнера будет такой же как из hw node.
> Отлично! Мы практически взломали Интернет. Дело за малым - как мы будем
> управлять capabilities контейнера находясь внутри контейнера? Было бы интересно услышать
> какие-то конкретные рекомендации и пути развития ситуации. Предположим, что рут в
> контейнере у нас уже есть.

Пойти к админу и попросить рута на хосте, очевидно же.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

73. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 21-Ноя-12, 15:28 
>> в случае OpenVZ контейнеров - достаточно выставить capability bit
> как мы будем управлять capabilities контейнера находясь внутри контейнера?

Дело даже не в том -- пусть сначала продемонстрирует хоть в каком виде загрузку модулей ядра _изнутри_ контейнера openvz.  Предположим, что рут есть и в VE, и на HN.  Ядро поставки ovz.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

81. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от klalafuda on 21-Ноя-12, 15:52 

Товарищ видимо имел ввиду sys_module container capability bit:

Parallels Virtuozzo Containers 4.7 for Linux User's Guide
* Configuring Capabilities
** Available Capabilities for Containers
*** Linux-Specific Capabilities
....
sys_module - Insert and remove kernel modules. Be very careful with setting
this capability on for a Container; if a user has the permission of
inserting kernel modules, this user has essentially full control over
the Node.

Лично я его не пробовал, но судя по описанию выставление этого бита на контейнере должно позволять прострелить себе не только ногу но и голову. Дойдут руки - попробую. Вопрос лишь в том, что управление capabilities доступно с хоста но никак не изнутри контейнера.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

98. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:50 
> capabilities доступно с хоста но никак не изнутри контейнера.

Да, и по дефолту в всех хостеров в здравом уме и всех остальных - никто не дает контейнерам модули грузить. Иначе первый же пупкин порутает нахрен весь хост.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

138. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 23:08 
> а что в ядре уже совсем нету багов?

В ядре бывают баги. Но они бывают и много где еще. Хотя тру параноик может распилить железку на KVM виртуалки, оную на LXC/OVZ контейнеры, а в них еще чрут сделать. Во хакерье будет радо :)

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

156. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Andrey Mitrofanov on 22-Ноя-12, 10:14 
> тру параноик может
> KVM виртуалки, оную на LXC/OVZ контейнеры, а в них еще чрут сделать

, а его прикрыть SELinux-ом. Рукописным!

>. Во хакерье будет радо :)

Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

137. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 23:02 
> PS. я помню стопку эксплойтов которые работали на OpenVZ ядре

Не, возможно конечно все, но чтобы конкретно взятый руткит прошибал вообще все и в любой позе - автор упухнет его такой выписывать. И если автор поделия не в курсах что эхать что-то после exit 0 неэффктивно - как вы думаете, какая вероятность того что он рассмотрел существование этой самой опенвзы вообще?

А так - для более параноидальных применений есть KVM тот же например. Изолирует лучше, но просадка по скорости больше. В общем, опять tradeoff. Особые параноики юзают Xen, но и в нем находят невкусные баги, если что. Тем не менее, прилично поднять планку для атакующего - вполне можно.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

141. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Michael Shigorin email(ok) on 21-Ноя-12, 23:29 
> Товарищ видимо имел ввиду sys_module container capability bit:

Товарищ, видимо, безнадёжен.  Продемонстрируем это на практике при помощи ALT Linux Sisyphus (x86_64), mkimage-profiles-0.9.0-alt1 и ядра 2.6.32-ovz-el-alt79:

n02:~/mkimage/mkimage-profiles> cat conf.d/ve.mk
# https://www.opennet.ru/openforum/vsluhforumID3/87401.html#81
ve/test: ve/generic
        @$(call add,BASE_PACKAGES,kernel-image-ovz-el kmod)
n02:~/mkimage/mkimage-profiles> make ve/test.tar.gz
** ARCH: x86_64
23:07:51 cleaning up
23:07:51 initializing BUILDDIR: build/
23:07:52 preparing distro config
23:07:52 starting image build (coffee time)
23:08:41 done (0:49)
** image: ~/out/test-20121121-x86_64.tar.gz [76M]
root@n02 ~ # mv ~mike/out/test-20121121-x86_64.tar.gz \
  /var/lib/vz/template/cache/altlinux-sisyphus-test-x86_64.tar.gz

root@n02 ~ # vzctl create 101 --ostemplate altlinux-sisyphus-test-x86_64
Creating container private area (altlinux-sisyphus-test-x86_64)
203MiB 0:00:00 [ 550MiB/s] [================================>] 100%            
Performing postcreate actions
CT configuration saved to /etc/vz/conf/101.conf
Container private area was created
root@n02 ~ # vzctl set 101 --capability sys_module:on --capability ve_admin:on --save
CT configuration saved to /etc/vz/conf/101.conf
root@n02 ~ # vzctl start 101
Starting container ...
Container is mounted
Setting CPU units: 1000
Container start in progress...
root@n02 ~ # lsmod | grep dummy
root@n02 ~ # vzctl exec 101 modprobe dummy
ERROR: could not insert 'dummy': Operation not permitted
root@n02 ~ # lsmod | grep dummy
root@n02 ~ # _

> Вопрос лишь в том, что управление capabilities доступно с хоста
> но никак не изнутри контейнера.

Товарищ ещё и не в курсе частоты появления дырок класса local kernel, пригодных для того, что он попытался языком наляпать.  Последняя из тех, что беспокоили, была несколько лет тому в коркомёте (который в альте и так давно отключен по умолчанию по схожим соображениям).

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

153. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от коксюзер on 22-Ноя-12, 10:01 
> Последняя из тех, что беспокоили, была несколько лет тому в коркомёте (который в
> альте и так давно отключен по умолчанию по схожим соображениям).

Всем и каждому известно, что в линуксе нет уязвимостей. "Security bugs are just bugs." Разве только редкие DoS-уязвимости случаются - но ведь они совершенно точно, достоверно не более, чем DoS-уязвимости.

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

175. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:41 
> "Security bugs are just bugs."

Пардон, Берштейн тоже так считает :). Хоть и по иному поводу.

> совершенно точно, достоверно не более, чем DoS-уязвимости.

Троллинг нормальный, засчитан :)

Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

31. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –5 +/
Сообщение от akamit email on 21-Ноя-12, 13:34 
Ставьте OpenBSD и спите спокойно.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Анонище on 21-Ноя-12, 13:39 
Почему?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +9 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:09 
> Почему?

Потому что Неуловимый Джо.
Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов, чтобы тру-хакеры начали с ней заморачиваться.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

43. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –5 +/
Сообщение от Анонище on 21-Ноя-12, 14:23 
А что, linux уже mainstream?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +3 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:39 
> А что, linux уже mainstream?

На серверах - да.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

54. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –6 +/
Сообщение от akamit email(ok) on 21-Ноя-12, 14:45 
> А что, linux уже mainstream?

Есть корпорации, которые заинтересованы в том, чтоб оси на базе ядра Linux™ стали мейнстримом, т.к. они бабло на этом рубят. А то что оно всё дярывое как решето, это им даже на руку, лишний повод поднять цену на саппорт.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

60. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +4 +/
Сообщение от Аноним (??) on 21-Ноя-12, 15:03 
У вас в голове каша. Как связаны дырявость и цена на саппорт? Дырявость - лишь повод к оттоку клиентов на конкурирующие продукты.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

136. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:58 
> оно всё дярывое как рeшето,

Хотите я вас расстрою? С точки зрения простейшей логики несложно понять что чем больше код тем больше в нем багов. С другой стороны, чем меньше код, тем меньше полезного для пользователя он умеет. Отсюда вытекает несколько простых вещей.
1) Любая достаточно сложная система содержит баги. В том числе затрагивающие безопасность.
2) Система которая заведомо без багов примитивна и ценности для пользователя не представляет.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

154. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от коксюзер on 22-Ноя-12, 10:08 
> 1) Любая достаточно сложная система содержит баги. В том числе затрагивающие безопасность.

Вот только количество этих багов и последствия их эксплуатации могут серьёзно варьироваться в зависимости от приоритетов и квалификации разработчиков.

Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

76. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 21-Ноя-12, 15:30 
> А что, linux уже mainstream?

Давно.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

129. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:44 
> А что, linux уже mainstream?

С разморозкой вас. Хорошо видать криокамера морозила. Да, в 2012 году - он уже вполне себе майнстрим, особенно на серверах.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

69. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от Анонище on 21-Ноя-12, 15:22 
>> Почему?
> Потому что Неуловимый Джо.
> Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов,
> чтобы тру-хакеры начали с ней заморачиваться.

Так почему openbsd, а не haiku, QNX, etc?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

135. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:56 
> Так почему openbsd, а не haiku, QNX, etc?

Лучше Minix. Не знаю правда, умеет ли он TCP/IP, но как минимум модули грузить он точно не умеет. Он даже просто шаред либы то не могет пока. Во хакер обломается! :)

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

74. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 21-Ноя-12, 15:29 
> Любая экзотическая ось хороша тем, что под ней работает слишком мало хостов,
> чтобы тру-хакеры начали с ней заморачиваться.

А потом спрашивают, зачем пилить своё, когда есть дебиан...

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

117. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 19:46 
> А потом спрашивают, зачем пилить своё, когда есть дебиан...

Фрагментация дистрибутивов линукса создает проблемы авторам любого софта: и малвари, и добропорядочного прикладного софта. А потом спрашивают, почему автокада, крайзиса и фотошопа под линукс нет...

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

130. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:45 
> почему автокада, крайзиса и фотошопа под линукс нет...

Это были примеры малвари? А то адоба вон рассылает уже спам с угрозами, например :)

Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

89. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от ainanim on 21-Ноя-12, 16:29 
лучше уж сразу полуось (ecomstation) :)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

104. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 17:14 
> лучше уж сразу полуось (ecomstation) :)

DOS тогда уж сразу. Если среди хакеров не попадется некрофила, вы в безопасности.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

45. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –4 +/
Сообщение от akamit email on 21-Ноя-12, 14:24 
> Почему?

там по дефолту в работающей системе нельзя засунуть посторонний код в ядро

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

50. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 14:40 
> там по дефолту в работающей системе нельзя засунуть посторонний код в ядро

На самом деле, можно.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

97. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:48 
> там по дефолту в работающей системе нельзя засунуть посторонний код в ядро

А в лине мало того что сто лет есть опция запрета вгрузки модулей, для тех кто маньяк, так еще и с ядра 3.7 можно засунуть в ядро ключ и вклчить опцию форсированной проверки подпией - тогда ядро будет грузить только то что подписано правильным привкеем парным к этому ключу. Хоть это и делалось для секурбута, но кроме всего прочего это при желании можно поюзать и просто в пику хакерам.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

155. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от коксюзер on 22-Ноя-12, 10:12 
> - тогда ядро будет грузить только то что подписано правильным привкеем
> парным к этому ключу. Хоть это и делалось для секурбута, но
> кроме всего прочего это при желании можно поюзать и просто в
> пику хакерам.

В пику хакерам это поюзать не удастся, потому что инфраструктура модулей в ядре есть, а все запреты на её использование можно отключить посредством эксплуатации уязвимостей в ядре, которая в mainline-ядре почти ничем не затруднена.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

176. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:45 
> ядре есть, а все запреты на её использование можно отключить посредством
> эксплуатации уязвимостей в ядре, которая в mainline-ядре почти ничем не затруднена.

Если ты проэксплуатировал уязвимость в ядре и можешь переколбашивать режим ядра как угодно, накукуй тебе тогда какие-то модули вообще? Из эстетических соображений чтоли? :)

Вон там рядом есть пример как заставить ядро вгрузить предсказуемый хлам в ядерную область памяти. В этом случае - через jit. Но есть и over 9000 иных способов.

Ответить | Правка | ^ к родителю #155 | Наверх | Cообщить модератору

183. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от коксюзер on 22-Ноя-12, 18:48 
> Если ты проэксплуатировал уязвимость в ядре и можешь переколбашивать режим ядра как
> угодно, накукуй тебе тогда какие-то модули вообще? Из эстетических соображений чтоли?
> :)

Для упрощения разработки и деплоя руткита.

Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору

93. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +2 +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:38 
> Ставьте OpenBSD и спите спокойно.

Угу. В мавзолее. Все-равно она железа с гулькин нос не поддерживает.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

157. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  –1 +/
Сообщение от коксюзер on 22-Ноя-12, 10:14 
> Угу. В мавзолее. Все-равно она железа с гулькин нос не поддерживает.

Это миф. Было даже время, когда OpenBSD поддерживала наибольшее количество WiFi-чипов среди всех свободных ОС - причём, в открытых драйверах, не проприетарных.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

177. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +1 +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:51 
> Это миф. Было даже время, когда OpenBSD поддерживала наибольшее количество
> WiFi-чипов среди всех свободных ОС - причём, в открытых драйверах, не проприетарных.

Это время было. Но давно прошло. В пингвине нынче разработка беспроводных сетей - явно активнее. И usb 3.0 пингвин вообще самым первым из осей поддержал, и прочая.

А еще мы умеем отцеплять девайс от физического хоста и отавать его гуесту. С IOMMU это даже прокатывает. Так что виртуальные машины могут почти все что и реальные, обеспечивая более хорошую изоляцию. А в опенке так можно?

Ответить | Правка | ^ к родителю #157 | Наверх | Cообщить модератору

58. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Michael Shigorin email(ok) on 21-Ноя-12, 14:53 
> Те же контейнеры вроде как работают с тем же ядром.

Вот только модули из контейнеров в то ядро не грузятся.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

94. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:44 
> Вот только модули из контейнеров в то ядро не грузятся.

Да, обламается, проверено :). А в ядре 3.7 нынче стало можно еще и зафорсить цифровые подписи модулей ядра до кучи к тому же. Федористы это конечно по поводу секурбута пилили, но можно же вражескую технологию и на благо пустить. Если уж пушка есть - нехай палит по неприятелю!

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

96. "Новый rootkit для Linux, выполняющий подстановку вредоносног..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:45 
> Те же контейнеры вроде как работают с тем же ядром.

Только через них не получается модули ядра грузить. Мелочи какие :)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –1 +/
Сообщение от Анонище on 21-Ноя-12, 13:32 
Ничего страшного. Просто человеческий фактор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от 1 (??) on 21-Ноя-12, 13:50 
Классный курсовик.

Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

А то что ашипка вылезла - так это к релизу подправят.

Я так думаю, что это в ожидании геймеров разработка.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 21-Ноя-12, 15:30 
> Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.

Предположительно российских.  Досадно то, что какой-никакой талант идёт на вредное.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

78. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от myhand (ok) on 21-Ноя-12, 15:32 
>> Наконец-то показали что не перевелись ещё "ядрёные" программеры в инетах.
> Предположительно российских.  Досадно то, что какой-никакой талант идёт на вредное.

Не ругайте кузнеца, чей топор Раскольников на старушке опробовал ;)

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

119. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 19:51 
Видел этот (ну или похожий по действию) руткит в продаже около года назад.
Автор действительно русскоязычный, и просил за него совершенно неадекватные деньги - $11к. Но видно спустя год всё-таки нашел покупателя, или же поставил нормальный ценник.
Вот насчёт поддерживаемых ядер не помню конкретно, но точно было не одно. Хотя год прошел, кто знает, что сделал автор со своей разработкой.
Ещё по-моему он предоставлял какое-то громадное 200-метровое видео с описанием своего продукта, но мне было впадлу скачивать :)

А насчёт твоего утверждения - в русскоговорящих странах не так уж много возможностей реализоваться (и зарабатывать на жизнь) специалисту по компьютерной безопасности. А коммерсанты с "тёмной стороны силы" всегда ценили по достоинству и платили хорошие деньги толковым людям. Так что имеем то, что имеем - у всех самых злых руткитов и банковских троянов ноги растут из стран бывшего СССР.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

124. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Crazy Alex (ok) on 21-Ноя-12, 21:21 
Судя по тому, что эта игрушка делает - эти "неадекватные деньги" отобьются ифреймом за сутки-другие, если я правильно помню цены на сии "услуги". Достаточно одного хостера найти...
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

36. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  –1 +/
Сообщение от Сергей (??) on 21-Ноя-12, 13:59 
Где можно скачать и как устанавливать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от 3cky email on 21-Ноя-12, 14:22 
Что характерно, автор, судя по содержимому модуля - наш соотечественник.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от pavlinux (ok) on 21-Ноя-12, 14:46 
> Что характерно, автор, судя по содержимому модуля - наш соотечественник.

Касперский

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

59. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –2 +/
Сообщение от klalafuda on 21-Ноя-12, 14:55 
> Касперский

Может все-таки Касперски?
PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

70. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –2 +/
Сообщение от Анонище on 21-Ноя-12, 15:25 
>> Касперский
> Может все-таки Касперски?
> PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

+1

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

72. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от pavlinux (ok) on 21-Ноя-12, 15:28 
>> Касперский
> Может все-таки Касперски?
> PS: Мягко говоря сложно представить себе Каспера, занимающегося подобной херней.

Этот бобик дезертировал в пиндосию, пущай там и сдохнет.


А у Касперского и Ко, уже  во всю идёт разбор полётов на ассмеблере.
http://www.securelist.com/en/blog/208193935/New_64_bit_Linux...

Kaspersky Lab already detects this rootkit as: Rootkit.Linux.Snakso.a.

Ключевое слово ALREADY :)

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

86. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +3 +/
Сообщение от klalafuda on 21-Ноя-12, 16:11 
> Kaspersky Lab already detects this rootkit as: Rootkit.Linux.Snakso.a. Ключевое слово ALREADY :)

Так и не понял всей важности этого ALREADY и почему это столь ключевое слово в заметке на секлисте. Обычная раздача сэмпла всем заинтересованным парти для анализа с последующей публикацией и своей долей PRа.

С технической точки зрения описываемому в новости руткиту сто лет в обед. Подобные зверьки могли быть интересны да и были в реальном ходу лет 5-8 назад. В том же phrack-е описание схожих или куда более интересных технологий датируется 10ти летней давностью. Сегодня совершенно не интересны в силу массового перехода сервисов на рельсы виртуализации и как следствие отчечения оконечных систем от прямого доступа в ядро. Если же кто-то хостится на железе или разрешает, скажем, загрузку модулей из контейнеров - ну он Сам Себе Злобный Буратино.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

48. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –3 +/
Сообщение от pavlinux (ok) on 21-Ноя-12, 14:39 
Лекарство одно - не оставляйте сервак с дефолтными настройками.

# chattr +i /etc/rc.local
Пущай трахаеццо, главное самим не забыть :)  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +2 +/
Сообщение от ololo on 21-Ноя-12, 15:04 
он не сделает chattr -i по религиозным соображением?
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

71. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от pavlinux (ok) on 21-Ноя-12, 15:26 
Обычно это делают роботы, которым естественно нужно это заложить в алгоритм.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

161. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –1 +/
Сообщение от sdf on 22-Ноя-12, 10:31 
> Обычно это делают роботы, которым естественно нужно это заложить в алгоритм.

Ну так боты нам багрепорты на мыло шлют.
Мы ценим пользователей наших продуктов  и  оперативно обновляем ошибки в коде.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

79. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –1 +/
Сообщение от Anonim (??) on 21-Ноя-12, 15:33 
Шанс этого раз в 100 ниже при автоматическом взломе, т е такую фигню юзают менее 1% админов. А если еще и монтировать с ro, то шанс еще возводим в квадрат.
У самого просто ведро из бекпортов. Должно быть чуть более безопасно. Дебиан - известное реше то. Обновления приходят чуть ли не пару раз в год, хотя дыры латаются ежедневно.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

92. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:35 
Лучше сделай rc.local директорией. Во руткит лулзов словит когда файл как бы есть, но ни разу не пишется, хоть там что. Ибо что есть "запись" в директорию? Олдскульно-классический метод создания лулзов всевозможному софту :)
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

99. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от старыйвиндузятник on 21-Ноя-12, 16:56 
каталог autorun.inf
Вирусы в панике и часть антивирусов тоже :)
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

100. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от klalafuda on 21-Ноя-12, 16:56 

Директория autorun.inf на флеше в корне
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

105. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 17:16 
> Директория autorun.inf на флеше в корне

Ну да, знатное западло самоходным экспонатам :)

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

146. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Xasd (ok) on 22-Ноя-12, 00:54 
>> Директория autorun.inf на флеше в корне
> Ну да, знатное западло самоходным экспонатам :)

ничего подобного! последние flash-вирусы (которые были на заре заката WinXP) -- при заражении переименовывали autorun.inf в случайное имя!

...но это делали они не для того чтобы избавиться от директории, а для того чтобы убить другой флэш-вирус. а получилось как раз то что надо! :-)

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

178. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:54 
> заражении переименовывали autorun.inf в случайное имя!

Ну поставить ему readonly-hidden-system. Интересно, бывает ли зараза которая допирает и это разминировать?

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

147. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Xasd (ok) on 22-Ноя-12, 01:03 
> Лекарство одно - не оставляйте сервак с дефолтными настройками.
> # chattr +i /etc/rc.local
> Пущай трахаеццо, главное самим не забыть :)

отлично! задавайте! следующая версия руткита будет использовать crontab@reboot , а на ваш файл /etc/rc.local будет просто плевать (слешиком гемороя много парсить его (rc.local) всевозможный синтаксис) :)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

90. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от Аноним (??) on 21-Ноя-12, 16:33 
> завершается вызовом exit 0, команда загрузки модуля размещается после вызова
> exit, т.е. после перезагрузки руткит не активируется.

FAIL :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –5 +/
Сообщение от Аноним (??) on 21-Ноя-12, 17:17 
тем не менее фигня такая есть и кавота заразила )
с этого момента можно считать, что как и венда, линух не обижен "вирусами"

и кстате кроме /etc/rc.local никаких признаков отлова не описано

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

133. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:51 
> кавота
> линух
> "вирусами"

А вас походу неграмотость заразила :P.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

148. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Xasd (ok) on 22-Ноя-12, 01:05 
> и кстате кроме /etc/rc.local никаких признаков отлова не описано

а какже -- открыть http://localhost ?

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

116. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –2 +/
Сообщение от modal email on 21-Ноя-12, 19:04 
Весь трёп не читал, но стоит отметить факт работы web-сервера с UID 0 и GID 0.
ТОВАРИЩИ,ГОСПОДА,ДАМЫ,ЛЮДИ, СЕРВЕР НЕ ДОЛЖЕН УСПЕШНО ЗАПУСТИТЬ INSMOD.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

118. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 19:48 
> Весь трёп не читал, но стоит отметить факт работы web-сервера с UID
> 0 и GID 0.
> ТОВАРИЩИ,ГОСПОДА,ДАМЫ,ЛЮДИ, СЕРВЕР НЕ ДОЛЖЕН УСПЕШНО ЗАПУСТИТЬ INSMOD.

Савсем глупый, да? Нигда там не написано про полномочия сервера. А insmod запускается sysvinitом, который естественно от рута.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

123. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от ram_scan on 21-Ноя-12, 20:56 
Пионеры заново открывают для себя stealth технологии начала 90-х годов... Не вижу даже повода для новости. Ну сплайсингом перехват сделали, молодцы, похвально. Ну вставляют в traffic flow свое что-то, так це не отнюдь не ново, для TSR вирусов в свое время это было штатным механизмом внедрения, если приравнять хэндл файла к хэндлу сокета разницы принципиальной вообще никакой. Сигнатуру выловил, нужный код в нужное место вставил.

Мода какая-то странная взялась, драйвер грузить. Буткит видать ниасилили или формат elf файлов. Хотя в свете наличия сорцов ядра и заточености под конкретное ядро и конкретную сборку буткит - как 2 пальца.

Двоечники. Хоть бы историю вопроса учили. 20 лет ничего нового.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

125. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Crazy Alex (ok) on 21-Ноя-12, 21:25 
Всё по кругу идёт... Вот интересно, как с этим бороться (распознавать хотя бы) на живой системе. Сервер не писишка - не отправишь с вребут с ровного места. Действительно только виртуалки, получается. А если живешь на VDS что делать?
Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

131. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:48 
> на VDS что делать?

Надеяться что хостер не полный дебил :). Хотя в ответственных случаях лучше быть сам себе хостером. Ну там например арендовать дедик и распилить самолично хотя-бы. Так ты по крайней мере будешь в случае чего шпынять сам себя. Целесообразность зависит от соотношения твоей квалификации с хостерскими админами.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

132. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:50 
> вставляют в traffic flow свое что-то, так це не отнюдь не ново, для TSR вирусов в свое
> время это было штатным механизмом внедрения,

Справедливости ради, я не видел вирусов вклинивающихся в TCP/IP стек и дописывающих вредительство именно догрузкой пакетов к легитимным страницам :)

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

162. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +1 +/
Сообщение от ram_scan on 22-Ноя-12, 10:31 
Почему-то такие вещи как резалка баннеров на прозрачном прокси и наличие ip_conntrack_ftp на рутере никого не удивляют (хотя первый из траффик флу вычеррыживает контент а второй траффик флу модифицирует).

А вставка данных в траффик флу - уже ппц достижение =)

Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

179. "Выявлен новый rootkit для Linux, осуществляющий подстановку ..."  +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:55 
> А вставка данных в траффик флу - уже ппц достижение =)

Ну не ппц достижение, но достаточно оригинально.

Ответить | Правка | ^ к родителю #162 | Наверх | Cообщить модератору

134. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Аноним (??) on 21-Ноя-12, 22:55 
> Based on the Tools, Techniques, and Procedures employed and some background information we cannot publicly disclose, a Russia-based attacker is likely.

Мдя... Интересно, какие такие Tools, Techniques, and Procedures выдали что он русский..? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

140. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от pavlinux (ok) on 21-Ноя-12, 23:22 
> Интересно, какие такие Tools, Techniques, and Procedures выдали что он русский..?

1. Наши комменты не пишут.
2. Функции, переменные и константы вида: void set_jopa(int s, char *d), pox(), nax(), my_huina(), get_pizdec()
int aa =1234, char *mysss = "ОПА",....  ну и классика - int my_buff[] :)

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

163. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от EXTRAMISsionisT on 22-Ноя-12, 12:30 
За каждым таким вредоносом, особенно с такими далеко идущими целями, как в этом случае, виднеются уши Microsoft. А за Microsoft-ом торчат уши спецслужб, которые до скрежета в зубах думают только об одном: тотальном контроле за пользователями, но для этого нужно чтоб на веб-серверах "трудились" оси с закрытым исходным кодом (например, microsoft), чтоб даже админы не знали ответа на вопрос "а чем же на самом деле занимается операционная система и её веб-сервер?". Но свободное программное обеспечение - это главное препятствие к этому аду. Вот бесы и нанимают умных, но продажных спецов, которые придумывают спецсредства для компрометации свободного программного обеспечения. Не дай Бог покачнётся доверие к СПО, - и "1984" Джорджа Оруэла нам покажется раем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

170. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от Reinar (ok) on 22-Ноя-12, 15:41 
да ты поехавший
Ответить | Правка | ^ к родителю #163 | Наверх | Cообщить модератору

164. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –2 +/
Сообщение от A_n_D (ok) on 22-Ноя-12, 13:10 
Следующее поколение ядра Linux будет с изоляцией модулей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

165. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  –1 +/
Сообщение от peering email(ok) on 22-Ноя-12, 14:17 
А какая тогда ось считается безопасной  для web серверов, на текущее время ????
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

166. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Анонист on 22-Ноя-12, 14:24 
IIS
Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

180. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:57 
> IIS

Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающий до кернелмода через закрытые (!!!) udp-порты. Настолько масштабного абзаца в *никсообразных за последние годы просто не припоминается совсем.

Ответить | Правка | ^ к родителю #166 | Наверх | Cообщить модератору

189. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от Анонист on 01-Дек-12, 19:26 
>> IIS
> Особенно безопасно смотрелся недавний эксплойт гулявший в диком виде и прошибающий до
> кернелмода через закрытые (!!!) udp-порты. Настолько масштабного абзаца в *никсообразных
> за последние годы просто не припоминается совсем.

SCTP hack protocol ?

Ответить | Правка | ^ к родителю #180 | Наверх | Cообщить модератору

167. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +2 +/
Сообщение от myhand (ok) on 22-Ноя-12, 14:56 
> А какая тогда ось считается безопасной  для web серверов, на текущее
> время ????

Та, вместе с которой наняли администратора.  Как и было всегда.

Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

181. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +1 +/
Сообщение от Аноним (??) on 22-Ноя-12, 16:59 
> Та, вместе с которой наняли администратора.  

Администраторы разные бывают. Вон тут у нас несколько экспонатов по форуму ходит, которые сискол от компилера не отличат. Как вы думаете, насколько секурна система с таким админом?


Ответить | Правка | ^ к родителю #167 | Наверх | Cообщить модератору

182. "Новый rootkit для Linux, осуществляющий подстановку вредонос..."  +/
Сообщение от myhand (ok) on 22-Ноя-12, 17:52 
>> Та, вместе с которой наняли администратора.
> Администраторы разные бывают.

Здравствуй, Кэптен!  Каким еще откровением ты жаждешь поделиться?

Ответить | Правка | ^ к родителю #181 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру