The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет"  +/
Сообщение от opennews (?), 20-Авг-20, 12:06 
Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета,  работающего без управляющих узлов и не имеющего единой точки отказа...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53573

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от admgoat (?), 20-Авг-20, 12:06   +12 +/
задайте пароль с конской энтропией или юзайте ключи (меньше спама в логах)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #19, #93, #120

2. Сообщение от Аноним (144), 20-Авг-20, 12:12   +26 +/
Ну, кто там утверждал, что на go ничего не написано?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10, #29, #51

3. Сообщение от пох. (?), 20-Авг-20, 12:14   +1 +/
"что эта новость делает на опеннете?! Где исходники?!"

(ну или хотя бы где собранный-то скачать для некоммерческого использования исключительно в целях ознакомления, я ж тоже хочу из г0вна на курорт!)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #31

4. Сообщение от 79 (?), 20-Авг-20, 12:18   –9 +/
Юзайте ключи + TOTP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #103, #121

5. Сообщение от Аноним (5), 20-Авг-20, 12:18   +1 +/
> Все узлы ботнета поддерживают распределённую БД с информацией об атакуемых и скомпрометированных системах.

Ну норм. Получили доступ к одной машине — можно одновременно ребутнуть все зараженные или выполнить на них код для одновременного удаления червя.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #42

6. Сообщение от m.makhno (ok), 20-Авг-20, 12:21   +1 +/
подключение тупо по паролю - зло
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

7. Сообщение от TormoZilla (?), 20-Авг-20, 12:29   +/
Подключайся штекером.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #12

8. Сообщение от EuPhobos (ok), 20-Авг-20, 12:29   +4 +/
Брут идёт адский на сегменте IPv4, даже если сменить порт 22 на другой - боты всё равно находят и как стая собак накидываются.
На v6 однако тишь да гладь да админско благодать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #26, #53

9. Сообщение от Аноним (9), 20-Авг-20, 12:34   +3 +/
Попутал? Это на Расте ничего не написано. Но го полно годноты написано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #59

10. Сообщение от Аноним (10), 20-Авг-20, 12:34   +1 +/
Ну, кто там утверждал, что на go ничего не написано?

> Вот потому его и обнаружили. А был бы на Rust, то и не нашли бы

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

11. Сообщение от Аноним (9), 20-Авг-20, 12:35   +/
Ну все пора отменять IPv4
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #33

12. Сообщение от m.makhno (ok), 20-Авг-20, 12:38   –1 +/
о, я бы с радостью, чувак
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

13. Сообщение от Аноним (13), 20-Авг-20, 12:44   +6 +/
Естественно. Как можно найти вирус на rust, если на нём никто не пишет? Мозилла не в счёт, она делает вид что это кому-то надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #25, #63, #123

14. Сообщение от n00by (ok), 20-Авг-20, 12:56   +/
Это такой троллинг поверивших в руткит Дроволом https://www.opennet.ru/openforum/vsluhforumID3/121575.html#434
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #21

15. Сообщение от пох. (?), 20-Авг-20, 12:58   –2 +/
> Ну норм. Получили доступ к одной машине — можно одновременно ребутнуть все зараженные или
> выполнить на них код для одновременного удаления червя.

с чего ты взял? Судя по тому как аккуратненько, в лучших традициях курсовиков сделано - получив доступ к одной машине, ты можешь только зачистить ее. Данные червяка - в памяти, и как к ним добраться ты не в курсе, апи для таких умных тоже не предусмотрено, он для кого-то у кого есть ключи.

А если бы они у меня были - нахрена мне там выполнять какой-то код для удаления? Надо просто поменять номерок кошелька.

  

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #73

16. Сообщение от microsoft (?), 20-Авг-20, 12:59   +/
Я так понял если юзать fail2ban и подобное то все ок?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #20, #27, #54

17. Сообщение от Аноним (19), 20-Авг-20, 13:02   +/
Лучше отключить парольную авторизацию в конфиге и пользоваться ключами. Тогда переборы не страшны. Fail2ban сверху стоит тоже включить, для большей безопасности. Или sshguard.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от Аноним (19), 20-Авг-20, 13:03   +1 +/
>По данным исследователей ботнет уже насчитывает около 500 узлов

Fail2ban у меня за последний месяц за брутфорс забанил 1,8 тысячи ip.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #56

19. Сообщение от Аноним (19), 20-Авг-20, 13:04   +11 +/
>или юзайте ключи (меньше спама в логах)

Никуда спам в логах не денется. Попытки входа по паролю будут в логе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #38, #45, #100

20. Сообщение от Аноним (20), 20-Авг-20, 13:05   –8 +/
если не юзать linux то все ок
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22, #23, #32

21. Сообщение от пох. (?), 20-Авг-20, 13:05   –8 +/
Ну я поверил, чо - как обычно, русские делали - нахер ненужно, никому не видно, очередная подкованная блоха.

Вон, назови свой процесс php-fpm, и незачем его прятать. Похоже, тому червю даже рут необязательно получать.

Так что вот эту хрень - явно какой-то умный поляк писал. Не слишком умный, ровно настолько чтоб сделать все из обычных деталей (небось еще и 90% - готовые модули игогошечки), хорошо и надежно.

Но исходники, сволочь, зажал. А у меня, между прочим, даже список к кому подобрать пароль - готовый есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

22. Сообщение от Аноним (19), 20-Авг-20, 13:06   +/
Нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от пох. (?), 20-Авг-20, 13:07   +/
чего это только линукс? Игогошечные программы прекрасно и под виндой запускаются - главное, не забыть оставить открытым ssh'ный сервис.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от пох. (?), 20-Авг-20, 13:08   –10 +/
иппать ты лох!

Вон, учись у чуваков, ЧТО надо делать с теми ip!

(а, ну да, ты ж не умеешь кодить...)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #30

25. Сообщение от Рева RarogCmex Денисemail (?), 20-Авг-20, 13:08   +2 +/
На Haskell, может быть, кто-то бы и написал что-то, но всем лень, даже языку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

26. Сообщение от anonimous (?), 20-Авг-20, 13:11   +1 +/
У меня порт на ssh четырёх значный, вообще никто не лезет, уже 3 года.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #85

27. Сообщение от Аноним (27), 20-Авг-20, 13:14   +1 +/
У меня просто вход по ключу и ssh включается по крону на два часа в день
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #44, #87

28. Сообщение от аноним12345 (?), 20-Авг-20, 13:17   +/
Вот и пожалуйста - начали писать вирусы на го
А вы говорили - недоязык
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

29. Сообщение от Андрей (??), 20-Авг-20, 13:20   +/
ничего хорошего не написано) второй раз желания писать не возникает, корявый язык
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #39

30. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 13:22   +5 +/
Ну не у каждого же цель существования -- "нацарюваты сто рублыкив".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #36

31. Сообщение от Атон (?), 20-Авг-20, 13:23   +/
> Где исходники?!"

https://github.com/guardicore/labs_campaigns/tree/master/Fri...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #34

32. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 13:24   –2 +/
Скорее x86. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #37, #49

33. Сообщение от Атон (?), 20-Авг-20, 13:26   +14 +/
Пиши в личку.
Недорого продам 127.73.84.0/24.

быстрый пинг. доступ в любой точке мира.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

34. Сообщение от пох. (?), 20-Авг-20, 13:34   –1 +/
ну что за г-но ты нашел?
This repository contains a list of IoCs and a detection tool for the FritzFrog campaign.
Repository Contents

    Names and hashes of files dropped as part of the attack
    Source IP addresses from which attacks on Guardicore Global Sensors Network were seen
    IP addresses of connect-back machines, allegedly infected by the malware
    Public SSH key used by the attacker as a backdoor

От последнего еще есть какая-то польза, но реверсить компилированный игогошник будет совершенно унылым занятием.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #74

35. Сообщение от 1 (??), 20-Авг-20, 13:37   +/
А можно приватный ключик от того, что кладётся в authorized_keys ?

Лень мне самому брутфорсить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

36. Сообщение от пох. (?), 20-Авг-20, 13:39   –2 +/
> Ну не у каждого же цель существования -- "нацарюваты сто рублыкив".

конечно нет. Я полагаю, там чуваки уже пару десятков тыщ $$ намайнили в свою пользу, и это вовсе не цель существования, а так, на мелкие расходы.

У меня, если что, цель тоже не в этом. Это - средство.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #47

37. Сообщение от пох. (?), 20-Авг-20, 13:44   –1 +/
> Скорее x86. :)

неуловимый джо нахер никому не нужен, да.

И, кстати, сколько там у тебя xmrig показывает? (а, ну да, ну да, он же ж не собирается на попиломатериалах, ты в безопастносте)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #46

38. Сообщение от пох. (?), 20-Авг-20, 13:46   –6 +/
>>или юзайте ключи (меньше спама в логах)
> Никуда спам в логах не денется. Попытки входа по паролю будут в
> логе.

он имеет в виду, что когда ключ защищенный суперпаролем 213 утекет - в логах вообще ничего не будет (главное, интерактивную сессию не открывать)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

39. Сообщение от Аноним (39), 20-Авг-20, 13:48   +2 +/
Ты прав Раст еще та раскоряка. Один раз попробовав второй раз писать на Расте не захочется никому.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #41

40. Сообщение от Аноним (39), 20-Авг-20, 13:54   +4 +/
Вирус на Расте в процессе разработки. Пока из фич только выдает Хеллоу ворлд в консоль атакующему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #96

41. Сообщение от Аноним (144), 20-Авг-20, 14:12   +/
Ну почему, если выбирать между ним и крестами… Крестовикам захочется, вероятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #43

42. Сообщение от Аноним (144), 20-Авг-20, 14:25   +/
Автор, похоже, не дурак, и вполне мог предусмотреть подписывание команд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

43. Сообщение от Аноним (13), 20-Авг-20, 14:49   +1 +/
Удавиться, что бы не писать на ржавом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

44. Сообщение от Аноним (44), 20-Авг-20, 14:49   +3 +/
Очень удобно, а дальновидно-то как. Лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #79

45. Сообщение от Аноним (45), 20-Авг-20, 15:04   –6 +/
если вход по паролю запрещен - не будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

46. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 15:11   +/
А я и не пробовал хлам собирать, даром что в репозиторий кто-то засунул.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #67

47. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 15:12   –1 +/
Уже лучше, но и Вы, надеюсь, не менее толстый намёк поняли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

48. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 15:20   +/
> Лень мне самому

http://youtube.com/watch?v=vIZVWVJ4_9M&t=1m30s

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

49. Сообщение от Ordu (ok), 20-Авг-20, 15:33   +2 +/
Брутфорс работает не только на x86, но также на arm, mips, riscv, avr, power, amd64, и многих других. Если он не работает на эльбрусе, то прими мои сожаления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #61, #62

50. Сообщение от tolstushka.ru (ok), 20-Авг-20, 15:36   +5 +/
У меня готов антивирус:

chattr  +i  ~/.ssh/authorized_keys

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

51. Сообщение от user90 (?), 20-Авг-20, 15:41   +/
Пасибо, порадовал)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

52. Сообщение от Аноним (-), 20-Авг-20, 15:45   +/
Ух ты!
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от лютый жабби__ (?), 20-Авг-20, 15:48   –2 +/
>даже если сменить порт 22 на другой

Неправда, на всех серверах ssh на порту 65533 и НИКОГДА нет брутов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #60

54. Сообщение от лютый жабби__ (?), 20-Авг-20, 15:50   –3 +/
>fail2ban

Если пароль не 123qwerty то и fail2ban не нужен.

fail2ban ненужность, т.к. переборы распределенные.
А вот порт поменять это тру.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #105

55. Сообщение от Аноним (55), 20-Авг-20, 16:06   +2 +/
SkyNet, зародыш
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57

56. Сообщение от Аноним (56), 20-Авг-20, 16:15   –1 +/
У меня на нестандартный порт вообще никто не лазит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #113

57. Сообщение от ss (??), 20-Авг-20, 16:18   +1 +/
сколько уже таких было.. начиная с червя Морриса
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #64

58. Сообщение от swine (ok), 20-Авг-20, 16:24   +5 +/
Можно и проще.
PasswordAuthentication no
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

59. Сообщение от Аноним (59), 20-Авг-20, 16:26   –1 +/
О какой годноте речь, если сам Google отказался от Go в своей ОС? https://fuchsia.dev/fuchsia-src/contribute/governance/policy...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #66, #115

60. Сообщение от Аноним (60), 20-Авг-20, 16:31   +17 +/
Теперь будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

61. Сообщение от пох. (?), 20-Авг-20, 16:32   –2 +/
> Брутфорс работает не только на x86, но также на arm, mips, riscv,

да нахер он нужен, неуловимый джо-то, если на нем ДАЖЕ майнить нельзя?

Хакнут мишин ель-брус, понюхают - фу, бесполезные дрова, и пойдут искать цель пожырнее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #68

62. Сообщение от Аноним (119), 20-Авг-20, 16:35   +3 +/
А код под эльбрус скомпилирован?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #71

63. Сообщение от Аноним (59), 20-Авг-20, 16:38   +1 +/
А Amazon, Facebook, Microsoft в счёт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

64. Сообщение от Аноним (-), 20-Авг-20, 16:39   –1 +/
Нет этот особый. Это зародыш SkyNet-а из фильма Терминатор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #111

65. Сообщение от YetAnotherOnanym (ok), 20-Авг-20, 16:54   +/
Достаточно не иметь на сервере nginx и php-fpm - и зловред как на ладони.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

66. Сообщение от Аноним (66), 20-Авг-20, 17:06   +/
Не бредь, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #75

67. Сообщение от n80 (?), 20-Авг-20, 17:08   +/
Чому сразу хлам-то. Может, и не очень хороший, но и всё-таки не самый плохой бенчмарк для сравнения архитектур и компиляторов, уже ради этого можно собрать и запустить. Вдруг какие-то узкие места вылезут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #70

68. Сообщение от Аноним (66), 20-Авг-20, 17:13   +/
Вот научится Го под Эльбрус компилировать и безопасности конец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #76

69. Сообщение от Анонимemail (69), 20-Авг-20, 17:19   +2 +/
У аффтара новости AES стал АСсимметричным шифром. Браво.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78

70. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 17:24   +/
Есть и более полезные ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

71. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 17:26   +/
Во-от.

Собственно, потому и упомянул [!]x86, а не именно e2k.

И да, с неуловимостью вполне согласен -- причём я помню, как тот же человек, который нынче подписывается здесь "пох.", учил меня применять и этот метод (конкретно "редкая архитектура") как действенный для построения труднопрошибаемых систем.  Лет двадцать уж назад, наверное... тогда речь была про альфу в качестве примера.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #81

72. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 17:27   +1 +/
Да и ifconfigd порадовал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #83

73. Сообщение от Аноним (73), 20-Авг-20, 17:35   +4 +/
Если это классический червь, который распространяется сам, без взаимодействия с командным центром, то в каждой копии должена быть не только открытая часть ssh ключа, но и закрытая. Так что достаточно получить физический доступ к одной зараженной машине с рут доступом и, где бы там этот ключ не хранился, его можно выковырять, тем самым получив доступы ко вем остальным.

А уж что делать с этими машинами: менять номер кошелька или удалять с них червя, это уже на совести каждого человека.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #174

74. Сообщение от Атон (?), 20-Авг-20, 17:53   +6 +/
> ну что за г-но ты нашел?
> От последнего еще есть какая-то польза, но реверсить компилированный игогошник будет совершенно унылым занятием.

говна дай, ложку дай...

ты совсем обленился.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

75. Сообщение от Аноним (59), 20-Авг-20, 18:22   +4 +/
Это не я, это Google:

The Fuchsia Platform Source Tree has had negative implementation experience using Go. The system components the Fuchsia project has built in Go have used more memory and kernel resources than their counterparts (or replacements) the Fuchsia project has built using C++ or Rust. Decision: Go is not approved.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #89

76. Сообщение от пох. (?), 20-Авг-20, 18:25   +/
не. неуловимый джо по прежнему будет нахрен никому не нужон.
Там в том xmrig'е ажно промеряется глубина кэша, и задействуются не все подряд ядра, а так чтоб за этот кэш не вываливаться (то есть от лишних ядер толку по мнению автора много меньше чем от потерь на копировании из памяти - а аффтар, заметь, не лох, и 10% майнит в свой карман). Как ты ЭТО собрался портировать на проц с закрытой архитектурой?

А без кэша оно ничего тебе не намайнит, да еще на процессоре с на редкость неэффективной системой команд (опять же - пооптимизировать под нее может и было бы можно, но товарищмайор не велят), так  все твои монетки гораздо раньше откопают ломанувшие модные i9 где там... в образовательных учреждениях (все равно студни там только в танчики др-ат) банках и прочих местах.

/уходит пересобирать ведро для менее икс-клюзивной архитектуры. Вроде даже майнить можно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #80

77. Сообщение от Нанобот (ok), 20-Авг-20, 18:25   +2 +/
>Для коммуникации используется штатный SSH - вредоносное ПО дополнительно запускает локальный "netcat", привязывающийся к интерфейсу localhost и слушающий трафик на порту 1234, к которому внешние узлы обращаются через SSH-туннель, используя для подключения ключ из authorized_keys

иными словами, приватный ключ есть где-то в бинарнике червя...так вот...достать его оттуда, просканировать 0.0.0.0/0 на возможность подключения этим ключём и угнать/уничтожить весь ботнет (или бОльшую его часть)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82

78. Сообщение от Нанобот (ok), 20-Авг-20, 18:27   +/
в оригинале "AES for symmetric encryption"...просто переводчик лох
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

79. Сообщение от Аноним (144), 20-Авг-20, 18:28   +1 +/
Ну если сутки простоя не страшны, то почему нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

80. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 18:28   +/
> Как ты ЭТО собрался портировать на проц с закрытой архитектурой?

(терпеливо) Написал же -- я ЭТО даже на сборку не стал отправлять.

> А без кэша оно ничего тебе не намайнит, да еще на процессоре
> с на редкость неэффективной системой команд

Это когда трёхсотмегагерцовый камушек на вылизанном под него госте вздрючивает полуторагигагерцовый c2d?  Ну да, конечно, зелен виноград.

> так  все твои монетки гораздо раньше откопают

Мои -- нет: они вообще физические; а на поле чудес копайтесь сами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

81. Сообщение от пох. (?), 20-Авг-20, 18:33   +/
> как действенный для построения труднопрошибаемых систем.

да, но речь не шла о врагах в виде ЦРУ, NSA, и "друзьях" из КПК, а об обычных дол..ах, которые на самом деле обламываются уже на том что id_rsa у тебя называется id.rsa

Те-то, полагаю, давным-давно себе купили по три эльбруса, каждый. И консультации разработчиков тоже оплатили заранее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #84, #104

82. Сообщение от пох. (?), 20-Авг-20, 18:42   +/
> иными словами, приватный ключ есть где-то в бинарнике червя...так вот...достать его оттуда,

дык, давай! Только ботнет не поломай.
(от него есть небольшая польза - неудавшиеся авторизации по ключам не так явно палятся в логах, поэтому шухера будет меньше чем от попыток самому начать с нуля)

Но, кстати, если все правильно сделать - его не будет в бинарнике. Он в памяти будет. Передаваясь только уже запущенному инстансу, причем - шифрованным. И без механики для извлечения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #88

83. Сообщение от пох. (?), 20-Авг-20, 18:45   +2 +/
> Да и ifconfigd порадовал.

"опять этот поцтеринг какую-то новую хрень запилил, видать после последних автообновлений появилась", тоже мне, палево прям.

Но вообще, конечно, надо под [kworker/ниипать] маскироваться - его вообще никто не спалит, потому что никто не знает что это такое, зачем и от чего, но все давно привыкли что он есть и чем-то непонятным занят, причем в количестве миллионтыщ штук.
И приоритет себе -20, зачем выделяться из толпы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

84. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 18:48   +/
> Те-то, полагаю, давным-давно себе купили по три эльбруса, каждый.

Припоминая КОКОМ -- вполне вероятно.

> И консультации разработчиков тоже оплатили заранее.

А вот здесь -- максимум Бабаяна с Пентковским и иже с ними.  Бишь какой там уровень -- ~середины нулевых?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #152

85. Сообщение от Аноним (85), 20-Авг-20, 18:51   +1 +/
192.168.0.1:2222
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #127, #141

87. Сообщение от Карабьян (?), 20-Авг-20, 19:03   +/
Работаете с ним по графику?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

88. Сообщение от n00by (ok), 20-Авг-20, 19:07   –1 +/
> Но, кстати, если все правильно сделать - его не будет в бинарнике.
> Он в памяти будет. Передаваясь только уже запущенному инстансу, причем -
> шифрованным. И без механики для извлечения.

"Для коммуникации используется штатный SSH".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #97

89. Сообщение от funny.falcon (?), 20-Авг-20, 19:32   +4 +/
Да, Go не для resourse constrained приложений, это факт. Go - это компромис между удобством написания более-менее сложной логики и производительности. В fuschia его попытались применить в месте, где нужна была производительность без компромиссов, и получили негативный экспириенс.

Однако Dart у них заапрувлен. Т.е. то, что Go мог конкурировать с Dart, вместо Rust, им в голову не пришло.
Жаль.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #92

90. Сообщение от Анонннннннннн (?), 20-Авг-20, 20:34   +/
500 узлов, которые админят идиоты. Может теперь они наконец узнают, что подключаться к серверу по логину и паролю плохая идея. Про внезапно открытые новые порты я вообще молчу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101, #116

91. Сообщение от AntonAlekseevichemail (ok), 20-Авг-20, 21:26   +/
Да, в стоплист все IPv4/6 пытающиеся 22 и 1234. Ещё и Related connection заблочить в придачу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109, #145

92. Сообщение от Аноним (59), 20-Авг-20, 21:30   +/
>> то, что Go мог конкурировать с Dart, вместо Rust, им в голову не пришло

Не понимаю логики. Почему "вместо Rust", если Rust как раз подходит для resource constrained приложений? Dart и Rust здесь никак не конкурируют. Насколько я понимаю, Dart там на правах языка чтоб быстро окошки писать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #99

93. Сообщение от Аноним (93), 20-Авг-20, 21:38   +7 +/
одним ботнетом больше, одним меньше, как разница. у меня на всех мощности хватит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

96. Сообщение от _ (??), 20-Авг-20, 23:13   +/
>Вирус на Расте в процессе разработки.

Что угодно на расте - "в процессе разработки"(С).
Навечно, без шансов к завершению :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

97. Сообщение от пох. (?), 20-Авг-20, 23:31   +/
> "Для коммуникации используется штатный SSH".

для начала надо как-то попасть на твою машинку - и он это делает не ключом, а просто подобрав пароль. Дальше кладет туда открытый ключик, и, видимо, какую-то бутстрапалку бинарника, после чего заходит уже штатным образом (в бинарнике никаких ключей держать необязательно), и вот теперь, установив сессию и проверив что его слушает именно кто надо, а не васян пытающийся спереть данные - скармливают ему те самые динамические данные, включая закрытые ключи для возможности дальнейшего распространения, номер кошелочки для монерок и так далее. На диск они не пишутся, после ребута - спокойно подождет, пока заново запустят и заново зальют данные с другой ноды.

Если все сделать аккуратно - хрен подкопаешься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #107

98. Сообщение от Аноним (98), 21-Авг-20, 01:07   +6 +/
Это Drovorub на Go, расходимся
Ответить | Правка | Наверх | Cообщить модератору

99. Сообщение от funny.falcon (?), 21-Авг-20, 01:42   +1 +/
Я имел в виду, что Go не может конкурировать с C, C++ и Rust на поле максимальной производительности.

Go может конкурировать с Java и Dart, т.е. там, где нужно и относительно быстро, и относительно удобно.

Авторы же fuschia пытались его применить там, где нужна максимальная производительность. Закономерно поимели негативный опыт, и несправедливо забанили.

А может еще и подковерная борьба: известно, что Dart с самого начала предполагался прикладным языком в fuschia. Видимо, воспользовавшись негативным фидбэком от написания реализации сети на Go, команда, лоббирущая Dart решила придержать внутреннего конкурента.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

100. Сообщение от admgoat (?), 21-Авг-20, 02:09   +/
>>или юзайте ключи (меньше спама в логах)
> Никуда спам в логах не денется. Попытки входа по паролю будут в
> логе.

если отключена аутенфикация по паролю разве они пишет попытку соеденения?

чёт не помню я такого, надо проверить...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #119

101. Сообщение от Аноним (101), 21-Авг-20, 02:09   –1 +/
а что ждать от тех, кто пьёт смузи и пишет на расте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

102. Сообщение от kmeaw (?), 21-Авг-20, 03:22   +1 +/
sshd_config:

PasswordAuthentication no
AuthorizedKeysFile /etc/ssh/keys/%u
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

и большинство червей просто ломается от таких настроек, обычно ещё на этапе kex.

Ответить | Правка | Наверх | Cообщить модератору

103. Сообщение от Аноним (103), 21-Авг-20, 05:51   –2 +/
А толку от настройки авторизационного фактора владения два раза? Уж лучше тогда сделать полноценную двухфакторную аутентификацию пароль+otp или пароль+ключ вместо однофакторной ключ+otp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

104. Сообщение от Vkni (ok), 21-Авг-20, 06:43   +/
А для них отлично работает метод неуловимого Джо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #122

105. Сообщение от Анонимикофф (?), 21-Авг-20, 07:39   +/
У меня пароль: тёща собака жизни точка нет. Ещё никто не взломал)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #106

106. Сообщение от Анонимикофф (?), 21-Авг-20, 07:41   +/
А на Wi-Fi сосед с перфоратором собака дома жизни точка нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

107. Сообщение от n00by (ok), 21-Авг-20, 07:48   +/
>> "Для коммуникации используется штатный SSH".
> Если все сделать аккуратно

Это т.н. "white-box cryptography". Грубо говоря, алгоритм + ключ трансформируются в нечто другое с эквивалентным побочным эффектом.

> хрен подкопаешься.

Коммуникации -- это не "попасть на машину", а связь между пирами. Если "используется штатный SSH", значит работает имплементированный в SSH криптоалгоритм, соответственно есть и точка в потоке данных, где ключ собран в традиционное представление.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #110

109. Сообщение от 1 (??), 21-Авг-20, 09:07   +1 +/
1234 - он на локалхосте открывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #114

110. Сообщение от пох. (?), 21-Авг-20, 09:36   +/
> Коммуникации -- это не "попасть на машину", а связь между пирами.

думаешь, оно _клиента_ использует из /usr/bin, а не встроенного? (встроенный там обязан быть, не бесконечными ж перезапусками обычного ssh оно пароли подбирает)

Впрочем, и в этом случае достаточно ему подставить agent socket - и ключик никогда-никогда не окажется на диске.

> есть и точка в потоке данных, где ключ собран в традиционное представление.

Ну с добрым утречком, блин! В ssh-протоколе ключ не передается.

Я не верю что такой аккуратный (и теперь еще и богатый) польский студент в этом месте внезапно облажался.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #146

111. Сообщение от пох. (?), 21-Авг-20, 09:45   +1 +/
> Нет этот особый. Это зародыш SkyNet-а из фильма Терминатор.

Терминатор-сколькотам-9 ? Из будущего пачками прибывают терминаторы, которым нахрен не вcpaлась Саня Коннор, повсюду ищут и отжимают биткойн-кошелки, после чего быстро сваливают в туман, архивировать и ныкать в arctic vault под видом ценного кода с гитшлака - потому что в будущем биток стоит миллиард долларов, а новых намайнить нельзя уже всеми мощностями скайнета. Человечество будущего поробощено не оружием, а тем что скайнет просто скупил все подряд.

Главный герой - одноногая трансгендерная нигра, пытающаяся сныкать последние принадлежащие человечеству 0.00001btc.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #132

112. Сообщение от Аноним (112), 21-Авг-20, 09:58   +/
А закрыть доступ к порту с SSH из сетей хостеров и облаков.
Девопсам видать не судьба...

Странно, что только 500 набролось.

Ответить | Правка | Наверх | Cообщить модератору

113. Сообщение от Аноним (85), 21-Авг-20, 11:14   +/
А у меня на нетрадиционный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

114. Сообщение от Аноним (85), 21-Авг-20, 11:18   +/
Превентивно все входящие, кроме действительно нужных, заблочить нетфильтром. Авось, авторы червя не предусмотрели правку правил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

115. Сообщение от anonymous (??), 21-Авг-20, 11:34   +/
О куче годноты, которая не является операционной системой :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

116. Сообщение от pofigist (?), 21-Авг-20, 11:55   +2 +/
> Может теперь они наконец узнают, что подключаться к серверу удаленно по интернету плохая идея.

Пофиксил, не благодори

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #118

117. Сообщение от InuYasha (??), 21-Авг-20, 11:58   +1 +/
Вот этот рапорт уже похож на настоящий, в отличие от Дровогрепа.
Ответить | Правка | Наверх | Cообщить модератору

118. Сообщение от InuYasha (??), 21-Авг-20, 11:59   +/
Так не зря же гузпром вложился в квантовые сети и уже (вроде как) лет пять их насилует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #130

119. Сообщение от Аноним (119), 21-Авг-20, 12:18   +/
Пишут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #143

120. Сообщение от Z (??), 21-Авг-20, 13:00   +1 +/
fail2ban после его установки сразу решает массу проблем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #144

121. Сообщение от Z (??), 21-Авг-20, 13:01   +/
fail2ban решает массу проблем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #142, #148, #150

122. Сообщение от пох. (?), 21-Авг-20, 13:19   –1 +/
> А для них отлично работает метод неуловимого Джо.

к сожалению, даже мне в свое время немного удалось вляпаться в сферы, где этот метод от них не работает, поскольку выполняемые задачи представляли собой их прямой оплачиваемый интерес.

А уж специалистам по сделаноунасам, как Михаил, другие темы, в общем-то, и не светят (потому что выберут не их)

Разумеется, можно надеяться что метод неуловимого джо сработает глобально, и страна с экономикой чуть поменьше испанской вообще нафиг не уперлась, но вот насчот китайских друзей я как-то не уверен - ибо опять же сталкивался что им совсем не лень нагнуться за любой мелочью, если плохо лежит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #153, #166

123. Сообщение от Аноним (123), 21-Авг-20, 13:49   +/
> Мозилла не в счёт, она делает вид что это кому-то надо

Конечно надо, разработчикам KAV и Я.Бар

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #160

124. Сообщение от Аноним (124), 21-Авг-20, 14:25   +/
Настроил себе SSH на 48*** порт с логином по паролю, даже китайские боты перестали брутфорсить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #125, #126

125. Сообщение от Аноним (124), 21-Авг-20, 14:26   +/
Тьфу ты, очипятка. С логином по ключам, по паролю выключил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

126. Сообщение от Аноним (126), 21-Авг-20, 15:48   +1 +/
Еще правило nftables, если кому нужно:

tcp dport <порт> ct state new meter ssh-meter { ip saddr limit rate 3/hour } accept

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #129

127. Сообщение от Аноним (127), 21-Авг-20, 16:07   +4 +/
Почти, 5522, и не в локалке, как в твоих маняфантазиях, а на ovh-ном дедике. Впрочем твой скорее всего вообще будет в подсети 192.168.122.0/24
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #128

128. Сообщение от Аноним (128), 21-Авг-20, 16:40   –2 +/
Ты как тот Анон, который удалил антивирус и говорит что у него нет вирусов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #136, #137

129. Сообщение от Аноним (128), 21-Авг-20, 16:44   +/
Логи выключи, вообще ничего больше не надо будет настривать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #140

130. Сообщение от pofigist (?), 21-Авг-20, 17:01   +1 +/
> Так не зря же гузпром вложился в квантовые сети и уже (вроде
> как) лет пять их насилует.

Да ладно - это не панацея. Когда-то и замена telnet на ssh казалась панауей - все шифровано, пароли не убегут... И каков итог? Ну да - читаем выше :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

131. Сообщение от Аноним (132), 21-Авг-20, 17:24   +/
ооо последние коментарии от бывалых одминов, все как одно агрессивно умничающим тоном: "а вот я так умею и этот вирус меня не возьмёт... или, нехрен надо было так делать как дулают они... или, 500 одминов лохов". Читать аж тошно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #133, #135

132. Сообщение от Аноним (132), 21-Авг-20, 17:27   –2 +/
Барыга пох. кривит и ёрничает. Скатился он до плинтуса.  Дурачёк пох. ты прекрасно понял о чем написал, тот кому он съязвил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

133. Сообщение от пох. (?), 21-Авг-20, 17:30   –2 +/
> ооо последние коментарии от бывалых одминов

локалхостов.

Ну в принципе все примерно так и есть, неуловимые джо нахрен не сдались.
А даже если его и поимеют - он не заметит, так что и не расстроится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

134. Сообщение от Анонимчик (?), 21-Авг-20, 20:38   +1 +/
> ./detect_fritzfrog.sh
>FritzFrog Detection Script by Guardicore Labs
>./detect_fritzfrog.sh: 17: netstat: not found
>[*] The machine seems clean.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #151

135. Сообщение от onanim (?), 21-Авг-20, 21:46   –2 +/
а мне смешно

> новость - реклама ноунейм шарашки
> целых 500 admin:admin роутеров заражено! голактеко опасносте!
> 129 комментариев

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #138

136. Сообщение от пох. (?), 21-Авг-20, 22:19   –1 +/
а может и правда нет, кому он нахрен нужен? Там в новости внятно описано что в круг интересов этого трояна входят банки, дорогие компы подаренные вузам и прочее, где есть чем поживиться в плане ресурсов. А "дедики" из мусора в ovh его не интересуют, на каком бы порту там не слушало ненужно.

На них ничего не намайнишь, только лишняя ненужная засветка ботнета.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #139

137. Сообщение от Аноним (127), 21-Авг-20, 22:22   +/
Каким местом я на того анона похож? Смотрю логи sshd - только мои авторизации. Ты мне хочешь доказать что если ко мне никто не лезет, значит у меня через сервер пол китая уже ходит? Я просто твоей логики не вижу абсолютно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

138. Сообщение от пох. (?), 21-Авг-20, 22:24   +1 +/
вот, смотри - пальчик! Смейся.

> новость - реклама ноунейм шарашки

новость - о довольно занятном ботнете, но ты дальше названия шарашки не смог прочитать. Типикал контингент впопеннета, чо.

> целых 500 admin:admin роутеров заражено

вот-вот, новость дальше первой строчки ниасилена, но надо немедля написать свое ценное мнение.

(не интересуют этот ботнет роутеры и прочий хлам)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #147

139. Сообщение от Аноним (127), 21-Авг-20, 22:26   +1 +/
Лорчую этого адеквата. В нынешнее время крипту майнят только на взломанных супер-компьютерах. i9, amd epyc годятся только сайти на WP держать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

140. Сообщение от пох. (?), 21-Авг-20, 22:27   –2 +/
> Логи выключи, вообще ничего больше не надо будет настривать.

ssh пусть выключит, так быстрее и проще (все равно после третьего захода сам себя зобанит по ip)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #159

141. Сообщение от Аноним (127), 21-Авг-20, 22:28   +/
Кали хакер в треде. Все гасите свои вайфаи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

142. Сообщение от admgoat (?), 21-Авг-20, 22:32   +/
> fail2ban решает массу проблем

и добавляет пачку новых.. например начинаются тормоза

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #149

143. Сообщение от admgoat (?), 21-Авг-20, 22:34   +/
> Пишут.

но даже если это так, то хотя бы не пишется число неудачных соединений во время старта сеанса SSH

сообщение по идее все равно меньше

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

144. Сообщение от Аноним (144), 21-Авг-20, 23:20   +/
Кроме отсутствия мозга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

145. Сообщение от Anonimous (?), 22-Авг-20, 00:10   +1 +/
> Да, в стоплист

ахаха, стоплист! Ржу не могу. Заморозьте меня обратно, пожалуйста.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

146. Сообщение от n00by (ok), 22-Авг-20, 09:18   +/
>> Коммуникации -- это не "попасть на машину", а связь между пирами.
> думаешь, оно _клиента_ использует из /usr/bin, а не встроенного?

Написано же "штатный", значит который в системе имеется.

> (встроенный там обязан
> быть, не бесконечными ж перезапусками обычного ssh оно пароли подбирает)

Брут и коммуникацию осуществляют различные модули (Cracker и  CryptoComm + Parser).

> Впрочем, и в этом случае достаточно ему подставить agent socket - и
> ключик никогда-никогда не окажется на диске.

Угу, и по почте сам никуда не отправляется. Вот же редиски, заставляют в дампе поискать.

>> есть и точка в потоке данных, где ключ собран в традиционное представление.
> Ну с добрым утречком, блин! В ssh-протоколе ключ не передается.

На том уровне абстракции, поток команд (control flow) -- это последовательность инструкций, которую исполняет процессор. Поток данных (data flow) -- это то, что указанная последовательность команд обрабатывает. Это не те потоки, которые с каналами передачи данных связаны. Проще говоря, я и не утверждал, что ключ передаётся.

> Я не верю что такой аккуратный (и теперь еще и богатый) польский
> студент в этом месте внезапно облажался.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #162

147. Сообщение от onanim (?), 22-Авг-20, 09:49   –1 +/
а ты сам-то новость осилил?

> голактеко опасносте! не интересуют этот ботнет роутеры и прочий хлам!! заражаются университеты и промышленные корпорации!!! банки и государственные учреждения!!!!
> запускается майнинг Monero
> маскируясь под php-fpm, nginx

ничего не смущает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138 Ответы: #156

148. Сообщение от TheFotoMag (ok), 22-Авг-20, 14:20   +/
> fail2ban решает массу проблем

факт

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

149. Сообщение от n80 (?), 22-Авг-20, 15:08   +3 +/
> и добавляет пачку новых.. например начинаются тормоза

Эм, какие это он тормоза добавляет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #154

150. Сообщение от n80 (?), 22-Авг-20, 15:17   +/
> fail2ban решает массу проблем

Похоже сабж (или кого я уже несколько дней в логах попыток подключений по SSH вижу) на этот счёт продуман: пришло с одного IP соединение, после трёх неудачных попыток перебора было отключено, всё, больше с этого IP он в ближайшее время не ходит, но вскоре приходит пытаться со следующего (из совершенно другой подсети).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

151. Сообщение от InuYasha (??), 22-Авг-20, 15:19   +/
>> ./detect_fritzfrog.sh
>>FritzFrog Detection Script by Guardicore Labs
>>./detect_fritzfrog.sh: 17: netstat: not found
>>[*] The machine seems clean.

"обожаю" погромистов, которые не проверяют коды возврата (и вообще доступность функций) _:D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

152. Сообщение от Аноним (152), 23-Авг-20, 02:34   +1 +/
Ну а че б и не Бабаяна? Я, ещё будучи студентом МФТИ в самом начале нулевых, слушал в МЦСТ лекции о VLIW архитектурах как раз на примере тогдашнего (ещё бумажного) e2k. Судя по недавно опубликованным на сайте МЦСТ  материалам, принципиально ничего не изменилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #161

153. Сообщение от Vkni (ok), 23-Авг-20, 06:23   +1 +/
> А уж специалистам по сделаноунасам, как Михаил, другие темы, в общем-то, и не светят (потому что выберут не их)

Ну есть же административный метод, применяемый как родным, так и неродным правительством. Вот видите, как радостно Кетай сейчас переходит на свои процессоры.

> Разумеется, можно надеяться что метод неуловимого джо сработает глобально

Это точно нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #168

154. Сообщение от admgoat (?), 23-Авг-20, 06:34   +/
>> и добавляет пачку новых.. например начинаются тормоза
> Эм, какие это он тормоза добавляет?

огромная, как только разрастается таблица блокировок

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149 Ответы: #155

155. Сообщение от n80 (?), 23-Авг-20, 11:51   +/
Имей совесть, пожалуйста, открой для себя ipset.
Впрочем, даже с обычным iptables несколько тысяч правил не добавляли заметных тормозов (дело было совсем не на первопне, конечно, да и не на десятках гигабит трафика, но в тех случаях и решения другие нужны).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #157

156. Сообщение от Michael Shigorinemail (ok), 23-Авг-20, 13:07   +/
> а ты сам-то новость осилил?

Он о технологии, а Вы и впрямь вообще ничего не поняли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #163, #171

157. Сообщение от admgoat (?), 23-Авг-20, 13:22   +/
> Имей совесть, пожалуйста, открой для себя ipset.
> Впрочем, даже с обычным iptables несколько тысяч правил не добавляли заметных тормозов
> (дело было совсем не на первопне, конечно, да и не на
> десятках гигабит трафика, но в тех случаях и решения другие нужны).

причем тут ipset, если fail2ban сам контролирует правила...
я всего лишь указал блокировать перманентно при достижении определенных условий
CentOS 7, 400 MBit/s канал...

через месяц тормоза сетки огромнейшие уже после месяца работы сервера

дамп правил более 2MB

короче не надо трали вали..
fail2ban - это наколенная поделка, работающая как костыль для ограниченного набора случаев
и ни разу не панацея, как было озвучено


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #158

158. Сообщение от n80 (?), 23-Авг-20, 14:06   +/
> причем тут ipset, если fail2ban сам контролирует правила...

Какие правила (action rules) настроишь, так и будет контролировать, так что не так уж и сам. А одна проверка ipset с хеш-таблицей, очевидно, много быстрее линейного списка (который там в настройках по умолчанию используется).

> я всего лишь указал блокировать перманентно при достижении определенных условий
> CentOS 7, 400 MBit/s канал...

И какой при этом actionban прописал? Или даже не заглядывал в соответствующий конфиг, но оценочные суждения про наколенные поделки высказываешь? Такой подход — не дело.

> через месяц тормоза сетки огромнейшие уже после месяца работы сервера

«Сдуру можно и не только конечность сломать». Не говоря уж о том что такие вещи численно нужно приводить.

> и ни разу не панацея, как было озвучено

Панацеи вообще нет, решения приходится применять в комплексе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #170

159. Сообщение от Аноним (126), 23-Авг-20, 14:29   –1 +/
Если тебе нужно коннектится по ssh к VPS'ке каждую минуту - мне тебя жаль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

160. Сообщение от Аноним (59), 23-Авг-20, 16:24   +/
Если это ирония, то какая-то тонкая, раскрой чтоли? Если не ирония, то поделись инфой, а то по сабжу ничего не находится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

161. Сообщение от пох. (?), 23-Авг-20, 18:40   +/
> опубликованным на сайте МЦСТ  материалам, принципиально ничего не изменилось.

неисключено что потому, что и не очень получится.

Как оно там...

Расчёты-то от профессора остались, но без самого профессора лично я бы не рисковал ими воспользоваться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #165

162. Сообщение от пох. (?), 23-Авг-20, 18:48   +/
> Угу, и по почте сам никуда не отправляется. Вот же редиски, заставляют в дампе поискать.

ну ищи, чо - благо, публичный ключ у тебя есть, так что не придется терять время на опознание тот или не тот ботнет заглянул на огонек.

Я, увы, уже четыре года не имею возможности злоупотреблять адресным пространством "банков, промышленности и государственных учреждений" для исследовательско-некоммерческих целей в области блокчейнов и средств безопастности, а унылые виртуалки в ovh этого бота, похоже, не привлекают (зачем зря светиться ради ерунды), так что помочь тебе дампом не смогу.

Но, полагаю, ничего полезного найти бы все равно не вышло. Уж больно аккуратно все распланировано, хрена с два такой облажается на ерунде. Проще и быстрее самому написать по готовой спецификации ;-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

163. Сообщение от пох. (?), 23-Авг-20, 18:50   +/
> Он о технологии, а Вы и впрямь вообще ничего не поняли.

Да просто, похоже, товарищ искренне верует, что в перечисленных местах нет nginx и fpm. Ну пусть дальше верует, у нас за оскорбление чуйств верующих кизяки могут и нагайкой.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

165. Сообщение от Michael Shigorinemail (ok), 23-Авг-20, 20:06   +/
> Расчёты-то от профессора остались, но без самого профессора лично
> я бы не рисковал ими воспользоваться.

Профессор-то другой был, что характерно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

166. Сообщение от Michael Shigorinemail (ok), 23-Авг-20, 20:07   +/
> страна с экономикой чуть поменьше испанской

Каждый раз при таких сравнениях интересно: и чё же Вы лично не в Испании?  Или тогда бы долги на душу населения сравнивали? ;]

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #167

167. Сообщение от пох. (?), 23-Авг-20, 21:21   +/
> Каждый раз при таких сравнениях интересно: и чё же Вы лично не в Испании?

Я надеялся что мне дадут дожрать мою долю нефтяной ренты, и подохнуть спокойно (можно и в Испании), а проблемы потомков все промотавших отцов меня не колебут.

Но нет, восхотела ведьма старая быть владычицею морскою. Прое...ла все - уважение, место за мировым столом, хоть какое-то доверие, ну и все деньги, разумеется, тоже - почем там сегодня ржубль? А, ну да...

А я уже старый и здоровье не позволит жить пять лет в помойном бачке, зимой даже в любимом мной Сантъяго +3 по ночам. И бегаю от полиции плохо. Так что миграционной амнистии не дождаться, а других способов там легализоваться нету - я выяснял.

Кто помоложе и порезвее - бегите, глупцы!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166 Ответы: #177

168. Сообщение от пох. (?), 23-Авг-20, 21:24   +/
>> Разумеется, можно надеяться что метод неуловимого джо сработает глобально
> Это точно нет.

в моем случае вот вполне сработало, хотя там поинтереснее можно было сыграть чем какие-то фейки в пейсбуке через британских вчоных распространять.
Ну, правда, время было тогда послевоенное, а сейчас я очень рад что не связан с той лавочкой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153

170. Сообщение от admgoat (?), 23-Авг-20, 22:55   –1 +/
>[оверквотинг удален]
>> я всего лишь указал блокировать перманентно при достижении определенных условий
>> CentOS 7, 400 MBit/s канал...
> И какой при этом actionban прописал? Или даже не заглядывал в соответствующий
> конфиг, но оценочные суждения про наколенные поделки высказываешь? Такой подход —
> не дело.
>> через месяц тормоза сетки огромнейшие уже после месяца работы сервера
> «Сдуру можно и не только конечность сломать». Не говоря уж о том
> что такие вещи численно нужно приводить.
>> и ни разу не панацея, как было озвучено
> Панацеи вообще нет, решения приходится применять в комплексе.

в данном случае отключение логина по паролю как раз и является той самой панацеей.. быстро, просто, без флуда в логах, и никаких тормозов по дефолту.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158

171. Сообщение от onanim (?), 24-Авг-20, 07:51   –1 +/
>> а ты сам-то новость осилил?
> Он о технологии, а Вы и впрямь вообще ничего не поняли.

какой технологии? P2P ботнетам уже много лет, включая ботнеты под линукс, брутфорсящие SSH и майнящие крипту. единственная инновация тут - что в этот раз его написали на го.

майнинг крипты на "университетах, банках и правительственных учреждениях" - это самое тупое, что можно было придумать - выхлоп минимальный, палево максимальное. аккаунты на заводах-газетах-параходах используются для фишинга и кражи информации, и их банальная продажа приносит в десятки и сотни раз больше денег, чем майнинг.
последствия заражения - это тоже тихий ужас - слушающий порт 1234 и php-fpm.
масштаб заражения - просто лол, 500 серверов. скан одного только 22го порта с пятёркой самых популярных паролей даёт около 30 тысяч аккаунтов. конечно, в большинстве своём это роутеры, но суммарная мощность майнинга будет выше, чем с 500 аккаунтов на реальных серверах.
а есть ещё порт 222, 2222, и так далее.


учитывая вышесказанное, тут может быть только три варианта:
- бот был написан самой этой конторой для саморекламы и не существует вне лабораторных условий;
- бот существует, но был найден на каком-то богом забытом сервере с китайско-российским зоопарком, а про банки-госсайты было написано для громких заголовков новостей и для рекламы ноунейм конторы;
- бот существует, но был написан тупыми американцами, которые брутят подсети банков-заводов-газет-пароходов только для того, чтобы майнить на них крипту.

лично я склоняюсь к первому варианту.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #172

172. Сообщение от пох. (?), 24-Авг-20, 09:20   +/
> единственная инновация тут - что в этот раз его написали на го.

нет, это вообще совершенно неинтересно (и вряд ли ново), хоть на gwbasic, ново в нем именно повышенная беспалевность. Ты опять демонстрируешь и неумение читать, и невладение темой.

> крипты на "университетах, банках и правительственных учреждениях" - это самое тупое, что можно
> было придумать

ты не работал нигде из перечисленного (кроме может лаборанта в классе писюков в заборостроительном, тут верю, но он на таких не майнит).

> аккаунты на заводах-газетах-параходах используются для фишинга и кражи информации, и их

угу, фишинг студней в университете и кража свежайших разработок в области гендерных штудий. Вот это высокий полет!

> банальная продажа приносит в десятки и сотни раз больше денег, чем майнинг.

Их продажа приносит существенный шанс сесть за решетку и (даже не или) познакомиться с неигрушечным криминалом, который денег-то может и заплатит, но с тебя уже не слезет. Поскольку если и купят, то явно не для коллекции. А то бы я тебе свой продал, и не надо было бы никаких ботнетов. (Отдельный вопрос что продажа учетки test/test без всяких админских прав (а больше тому и не надо) на плохо админимой слишком мощной тачке (то есть где-то в дальнем углу инфраструктуры или вообще изолированной) сама по себе денег не принесет, потому что оттуда разьве что можно уже поискать более существенных и специфичных брешей, а это уже надо делать руками и специальными инструментами. Опять же с риском засветиться.

> масштаб заражения - просто лол, 500 серверов

для кого-то просто летная погода, а кому - 500000h/s (хммм... а ведь и вправду неплохо, время, затраченное на разработку точно окупилось) - и никаких ведущих к хозяину бота нитей, транзакции монеры плохо трассируемы, можно даже просто перевести на соседний кошелек без долгих волнительных процедур.

Причем ты опять не дочитал - 500 это тех, которые эта штука сочла подходящими - непалевными, достаточно мощными и т д. Их и не будет много, торчащих голым задом. С остальных она тихо смылась, и в этом и была задумка, а не в зомбонете на миллион бесполезных роутеров.

> лично я склоняюсь к первому варианту.

"Как понять что русский сейчас будет врать? Рот открыл - сейчас будет!" И всех других, разумеется, подозревают в том же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #173

173. Сообщение от onanim (?), 24-Авг-20, 22:13   +/
> ново в нем именно повышенная беспалевность

вот именно, что
> невладение темой.

если ты не встречал таких ботов, это не значит, что их нет.


> угу, фишинг студней в университете и кража свежайших разработок в области гендерных

фишингом отнюдь не студентов занимаются. опять у тебя
> невладение темой.
> Их продажа приносит существенный шанс сесть за решетку

а собирание ботнета такой шанс не приносит)


> оттуда разьве что можно уже поискать более существенных и специфичных
> брешей, а это уже надо делать руками и специальными инструментами.

именно этим люди и занимаются.

> с риском засветиться.

а 100% CPU от майнинга не даёт риска засветиться)

> миллион бесполезных роутеров.

это пятизначные суммы в месяц от продажи их в виде соксов. можно ещё дудосить, но это убивает роутеры и приносит намного меньше денег и намного больше гемора.

> И всех других, разумеется, подозревают в том же.

а ты чьих кровей будешь, раз в каждом
> невладение темой.

подозреваешь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172 Ответы: #175

174. Сообщение от Аноним (174), 24-Авг-20, 23:24   +/
У вас не хватает воображения предположить наличие фиксированного набора непривилегированных команд для заражения, и произвольных команд по подписи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

175. Сообщение от пох. (?), 24-Авг-20, 23:35   +/
> а собирание ботнета такой шанс не приносит)

конкретно этого - нет, не приносит, тем и прекрасен.
Тут нет никаких вообще концов. И в этом заметное отличие.
Его связывает с автором только кошелек, который может выкапываться из под йолки вообще раз в году.

Потому что автор нигде не светится, центра управления тут нет, данные он не ворует и соответственно ни с кем не имеет стремных дел по продаже, деньги не ворует - не попадется на обналичке и опять же связях с мутными ребятами, не продает даже сам ботнет, и тот сознательно крайне ограничен в распространении, чтоб его не спалили раньше времени.

> а 100% CPU от майнинга не даёт риска засветиться)

полагаю, столь аккуратный студент и тут проявил аккуратность, и не приближается к ста процентам, либо просто не использует машины, где обнаружены средства мониторинга или регулярная админская активность.
(на машине с забытым test/test маловероятные)

>> угу, фишинг студней в университете и кража свежайших разработок в области гендерных
> фишингом отнюдь не студентов занимаются. опять у тебя

опять ты не осилил прочитать новость? ЭТОТ интересуют универские компьютеры - фишить там нечего, а мощностей может оказаться избыток, и никого, кто помнит, зачем это вообще было поставлено.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173

176. Сообщение от Аноним (176), 25-Авг-20, 13:14   +/
> Antivir - модуль подавления конкурирующих вредоносных программ,

Ну хоть какая-то польза от вируса.

Ответить | Правка | Наверх | Cообщить модератору

177. Сообщение от Vkni (ok), 25-Авг-20, 20:32   +/
> Но нет, восхотела ведьма старая быть владычицею морскою.

Вы бы там раскопали старые марксистские учебники - в них вообще-то рассказывается, что капитализм приводит к глобальному кризису так или иначе. А кончается всё первой мировой или чем-то подобным.

И без всяких там восхотела - там довольно жёстко всё детерминировано.

> А я уже старый и здоровье не позволит жить пять лет в
> помойном бачке, зимой даже в любимом мной Сантъяго +3 по ночам.

С деньгами везде хорошо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167 Ответы: #178

178. Сообщение от пох. (?), 25-Авг-20, 22:36   +/
> старые марксистские учебники - в них вообще-то рассказывается

спасибо, но я помню этот бред и так.
Нет в современной экономике никаких "кризисов перепроизводства", последний кризис был в 30е годы прошлого века, да и тот не совсем соответствовал мраксовым теоретизированиям, а ни о каких других кризисах Мракс не писал. Это вы с Мальтусом перепутали. Вот его теории может и действуют - правда, тоже нуждаются в явной коррекции, темпы роста населения цивилизованной части мира - отрицательные, ему такое и присниться не могло. А в нецивилизованной - снижаются. Причем так, что рабовладельцы уже изпереживались все - вырисовываются явные проблемы.

> С деньгами везде хорошо.

хорошо, но недолго - купить испанское резидентство даже за очень большие деньги невозможно - наличие у тебя виноградников и домика уточки не позволяет даже национальной визой долгоиграющего действия разжиться, как в почти любой другой стране загнивающей гейропы. (Ну то есть теоретически можно, а практически получают гражданство любой другой европейской страны в десять раз быстрее и дешевле.)
То есть купить домик (взяв на него кредит в испанском же банчке - так можно) ты можешь. Но жить в нем можешь только 180 дней в году, с перерывом на пшелвон. И то в условиях до ковидлы - а теперь даже навестить его не получится, а вдруг там крыша протекла.

А вот лет пять в помойном баке - и попадешь под миграционную амнистию (их потому и объявляли регулярно, чтоб хоть как-то разрулить ситуацию). Если раньше пинком в зад, конечно, не отправят (вот тут ковидла очень пригодитсо).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

179. Сообщение от robot228email (?), 28-Авг-20, 07:28   +/
Дайте сорсы, на работе заинтересовались=)
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру