Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
Сообщение от opennews (??), 18-Дек-13, 11:52
Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать (http://sempersecurus.blogspot.com/2013/12/a-forensic-overvie... за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility (https://code.google.com/p/volatility/). После симуляции уязвимости в CGI-режиме PHP, исправленной (https://www.opennet.ru/opennews/art.shtml?num=33765) в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложений. За несколько дней в системе удалось наблюдать выполнение достаточно разнородного набора программ, отличающихся как по назначению (майнинг криптовалюты биткоин, осуществление DoS-атак, сканирование хостов на наличие уязвимостей, запуск ботов), так и по содержимому (исполняемые файлы в формате ELF, скрипты на perl и shell). Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников и администраторам следует не забывать о поддержании системы в актуальном состоянии и оперативно устранять уязвимости в web-приложениях. URL: http://sempersecurus.blogspot.com/2013/12/a-forensic-overvie... Новость: https://www.opennet.ru/opennews/art.shtml?num=38683
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 18-Дек-13, 11:52	+/–
PHP же, причем тут Линукс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #94

2. Сообщение от Аноним (-), 18-Дек-13, 11:59	+7 +/–
> Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников Т.е. если установить Apache + PHP на оффтопик, то всё будет пучком? Внатуре, причем тут Линукс то?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #25

3. Сообщение от IMHO (?), 18-Дек-13, 12:03	–5 +/–
Потому что *BSD пока нет программ для майнинга, а так сам в инете где то читал, как системный админ расспрашивал про майнинг на линуксе биткоинов, потому что сервера толком не нагружены, а их можно немного нагрузить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12, #77

4. Сообщение от Аноним (-), 18-Дек-13, 12:08	–14 +/–
При том, что кто-то уже 20 лет упорно кукарекает про какую-то "архитектуру", которая спасает от уязвимостей by design
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8, #10

5. Сообщение от Аноним (-), 18-Дек-13, 12:14	–6 +/–
При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. С тем же успехом сканируются типовые пароли по SSH, проверяются дыры в популярных web-приложениях на python, perl, ruby. После взлома загружаются не только скрипты, но и бинарники в сборках для Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13, #70

6. Сообщение от Аноним (-), 18-Дек-13, 12:22	+7 +/–
От уязвимостей спасает не дизайн а способ разработки Стыдно, юноша
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9, #56

7. Сообщение от jOKer (ok), 18-Дек-13, 12:25	+3 +/–
>и администраторам следует не забывать о поддержании системы в актуальном состоянии Спасибо, конечно, Кэп, но знаешь, для такого "гениального" вывода нужны не исследования веб серверов, а исследования должностной инструкции сис. админа. В ней, если ее по-исследовать, обязательно найдешь пункт о своевременном обновлении ПО.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

8. Сообщение от piteri (ok), 18-Дек-13, 12:26	+/–
Какие 20? Пхп только в 1995 появился. Да и про "архитектуру" его даже сам автор высказался скептически.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #57

9. Сообщение от клоун Стаканчик (?), 18-Дек-13, 12:34	–5 +/–
И каким же образом? В лицензию написали что нельзя пакостить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #14, #24

10. Сообщение от анонимен (?), 18-Дек-13, 12:38	+8 +/–
Вы понимаете разницу между прикладным ПО и системными компонентами ? Нет ? Тогда могу вас поздравить, вы сели в лужу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

11. Сообщение от Аноним (-), 18-Дек-13, 12:46	+/–
Нужно было wallet.dat сконифолить у кулхацкеров )
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #83

12. Сообщение от asavah (ok), 18-Дек-13, 12:54	–5 +/–
Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй. Спасибо за идею :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15

13. Сообщение от Аноним (-), 18-Дек-13, 12:54	+3 +/–
> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. Повторяю вопрос: при чем здесь Linux?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #17

14. Сообщение от Аноним (-), 18-Дек-13, 12:56	+5 +/–
> И каким же образом? Таким, как вы, объяснять бесполезно. Ваши хозяева и не подозревают, что написание кода можно отдавать не только индусам на аутсорс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (-), 18-Дек-13, 12:57	+4 +/–
> Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй. > Спасибо за идею :) Насколько мощные видеокарты на ваших серверах?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #19, #33, #85

16. Сообщение от Miha (??), 18-Дек-13, 13:00	–5 +/–
>> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. > Повторяю вопрос: при чем здесь Linux? Повторяю ответ: читай пост выше!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #21

17. Сообщение от Аноним (-), 18-Дек-13, 13:02	–4 +/–
> Повторяю вопрос: при чем здесь Linux? Данная ОС в свете своей популярности на серверах становится хорошей средой для обитания вирусов. Это и была цель исследования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22, #29

18. Сообщение от Аноним (-), 18-Дек-13, 13:22	+10 +/–
Обломал неудавшегося биткоинового магната :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #82

19. Сообщение от Аноним (-), 18-Дек-13, 13:31	+/–
Видеокарты уже прошлый век, сейчас в тренде использовать ASIC
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

20. Сообщение от Аноним (-), 18-Дек-13, 13:34	+/–
> Видеокарты уже прошлый век, сейчас в тренде использовать ASIC Я ему хотел про лайты сказать (если бы карты мощные были).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (-), 18-Дек-13, 13:35	+5 +/–
>  Повторяю ответ: читай пост выше! Там какой-то поток сознания, никак не относящийся к заданному вопросу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #41

22. Сообщение от Аноним (-), 18-Дек-13, 13:36	+1 +/–
> Данная ОС в свете своей популярности на серверах становится хорошей средой для > обитания вирусов. Это и была цель исследования. Хорошей средой для обитания вирусов ОС делает не популярность на серверах, а что-то другое. Домашнее задание: подумать, что именно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #45

24. Сообщение от arisu (ok), 18-Дек-13, 14:07	+1 +/–
> И каким же образом? В лицензию написали что нельзя пакостить? очень простым образом: удержанием подобных тебе подальше. нет вас — нет и дырок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

25. Сообщение от Организация Объединённых Тюленей (?), 18-Дек-13, 14:20	+1 +/–
> всё будет пучком Пучок вирусов в оффтопике будет, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

27. Сообщение от Пиу (ok), 18-Дек-13, 14:28	–1 +/–
для майнинга не обязателен кошелек - всё равно все сидят в пуле
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

29. Сообщение от Аноним (-), 18-Дек-13, 14:39	+/–
Средой для обитания чего?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #50

30. Сообщение от ip1981 (ok), 18-Дек-13, 14:40	+/–
Загрузил BOINC, и начал искать *своих*
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от IMHO (?), 18-Дек-13, 15:28	–1 +/–
майнить можно не только видео картой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #36, #37

36. Сообщение от Аноним (-), 18-Дек-13, 15:45	+/–
Да, есть еще азики и фпга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

37. Сообщение от anonymousZ (?), 18-Дек-13, 15:46	+/–
Можно еще ASIC-ками. А майнить на процессоре - все равно что копать котлован чайной ложкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #39, #81

39. Сообщение от Аноним (-), 18-Дек-13, 15:50	+1 +/–
> А майнить на процессоре - все равно что копать котлован чайной ложкой. Суть ботнетов - собрать миллион ботов с чайными ложками, авось чего выкопают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #58

40. Сообщение от Аноним (-), 18-Дек-13, 16:11	–4 +/–
> поддержании системы в актуальном состоянии Ну например с самыми энтерпрайзными промышленными стабильными дистрибутивами типа Debian или RH это невозможно в принципе.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #65, #90

41. Сообщение от wooz (ok), 18-Дек-13, 16:19	–3 +/–
>>  Повторяю ответ: читай пост выше! > Там какой-то поток сознания, никак не относящийся к заданному вопросу. Специально для упоротых до измененного восприятия: > бинарники в сборках для Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #47, #67

43. Сообщение от Аноним (-), 18-Дек-13, 16:51	+3 +/–
У них есть security updates вообще-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #46

45. Сообщение от linux must __RIP__ (?), 18-Дек-13, 17:17	–9 +/–
это мы уже слышали :) но как показывает практика - дыры в Linux не фиксятся годами. И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через которые можно получить админа. но да лана - можете верить с свой придуманный мир :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #48, #59, #78

46. Сообщение от linux must __RIP__ (?), 18-Дек-13, 17:19	–8 +/–
> У них есть security updates вообще-то. это где redhat бывает добавляет новые дыры ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #49, #84

47. Сообщение от Аноним (-), 18-Дек-13, 17:26	+4 +/–
> бинарники в сборках для Linux. А еще бывают в сборках для винды и фрибсд. Так чего сказать-то хотел?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #64, #69

48. Сообщение от Аноним (-), 18-Дек-13, 17:28	+1 +/–
> это мы уже слышали :) но как показывает практика - дыры в Linux не фиксятся годами. Скажу по секрету - срок надо считать не с момента появления, а с момента обнаружения. > И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через > которые можно получить админа. Куда уж им до великих спецов из мелкософта!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #92

49. Сообщение от Аноним (-), 18-Дек-13, 17:29	+1 +/–
> это где redhat бывает добавляет новые дыры ? Почему во множественном числе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

50. Сообщение от Аноним (-), 18-Дек-13, 17:30	+2 +/–
> Средой для обитания чего? Вирусов. Эта такая программа, которая встраивает свой код в EXE-файлы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #74

56. Сообщение от Аноним (-), 18-Дек-13, 18:08	+/–
От уязвимостей спасает дизайн.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

57. Сообщение от Аноним (-), 18-Дек-13, 18:09	–2 +/–
> Какие 20? Пхп только в 1995 появился. Да и про "архитектуру" его > даже сам автор высказался скептически. Можешь писать сервер на C? Пиши.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #71, #89

58. Сообщение от anonymousZ (?), 18-Дек-13, 18:52	–2 +/–
Не выкопают. Время когда ботнэты могли что-то выкопать закончилось где-то в конце 2011-го, сейчас они могут разве что паразитную нагрузку создавать. Знаю, потому как сам админил пул некоторое время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #80

59. Сообщение от Аноним (-), 18-Дек-13, 18:57	–2 +/–
> это мы уже слышали :) но как показывает практика - дыры в > Linux не фиксятся годами. > И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через > которые можно получить админа. > но да лана - можете верить с свой придуманный мир :) А что бы легче было разглядеть реальность можно просто посмотреть на то как исправляют многие ошибки. Например glibc который до сих пор содержит ошибки которые были исправлены в дистрибутивах но не исправлены в основной ветке. Я не говорю сейчас о каких то специфичных для дистрибутива исправлениях, я говорю об ошибках которые в основной ветке живут, даже после того как они были выявлены. Получается что вроде все трудятся над одним и тем же но песочница у всех своя. И так поступают не только разработчики glibc так что отвергать реальность не имеет смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #63

60. Сообщение от EuPhobos (ok), 18-Дек-13, 19:47	+1 +/–
Нужно понимать, где chroot-тить, где монтировать ro, где монтировать noexec, где следить rkhunter-ом, и вообще иметь голову и прямые руки, и всё будет хорошо даже на дырявой венде.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61

61. Сообщение от Аноним (-), 18-Дек-13, 20:33	+1 +/–
Как в дырявой винде чрутнуться? А как смонтировать раздел с noexec? А rkhunter там будет работать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #66, #72

63. Сообщение от arisu (ok), 18-Дек-13, 20:52	+1 +/–
такие слова в приличном обществе принято сопровождать пруфлинками. это, конечно, опеннет — но ты можешь поспособствовать тому, чтобы опеннет стал немного приличней. намёк ясен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #68

64. Сообщение от Аноним2 (?), 18-Дек-13, 21:01	–1 +/–
Ты это, братан, к чему клонишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #79

65. Сообщение от sirGrey (?), 18-Дек-13, 21:28	+2 +/–
Долбодятел? Обновления безопасности в Дебиане бывает и раньше апстрима появляются. http://www.debian.org/security по десятку-два фиксов в неделю. Ну иногда и SSH патчат, не без того :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

66. Сообщение от Аноним (-), 18-Дек-13, 21:29	+/–
> Как в дырявой винде чрутнуться? А как смонтировать раздел с noexec? А > rkhunter там будет работать? Мне понравился этот вопрос. Только одна поправка слово дырявая применимо не только к винде, не расценивайте это как троллинг. Это отражение суровой реальности. Но ваш вопрос действительно классный даже настроение подняли
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

67. Сообщение от Аноним (-), 18-Дек-13, 21:42	+/–
>бинарники в сборках для Linux Рация на бронепоезде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

68. Сообщение от Аноним (-), 18-Дек-13, 22:17	–1 +/–
> намёк ясен? Конечно ясен, Вам нужен пруф того о какой ошибке я говорил, но на данный момент я не говорил о какой то недавней ошибке, я говорил цикле и оперативности исправлений в целом. На оперативность так же влияют и сами разработчики которые иногда некоторым ошибкам или уязвимостям ставят низкий приоритет и вот только когда припрет, тогда и появляется патч. А некоторые ошибки живут годами, и выявляют их чаще всего не сами разработчики, а какие нить известные эксперты. Наличие исходного кода и повышение популярности, должно так же повышать чистоту кода и оперативность исправления ошибок. Ответственность растет по мере роста популярности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #87, #91

69. Сообщение от Аноним (-), 18-Дек-13, 22:39	–2 +/–
Что все вирусы используют уязвимости в софте и линукс тоже им подвержен т к умеет запускать софт. А вообще, смысл в прекращении глупой уверенности в собственной безопасности только по причине того, что установлен линукс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

70. Сообщение от Куяврик (?), 19-Дек-13, 00:01	–2 +/–
> дыра в PHP > С тем же успехом сканируются типовые пароли по SSH в голове админа должен быть набор каштанов десяти сортов, чтобы использовались пароли, да ещё типовые, да ещё с тем же успехом, что и дыры в PHP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

71. Сообщение от Куяврик (?), 19-Дек-13, 00:04	–1 +/–
> Можешь писать сервер на C? Пиши. кроме пыха есть ещё стопиццот способов что-то пожевать и выплюнуть контент. не очень умно приплетать сюда C.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

72. Сообщение от EuPhobos (ok), 19-Дек-13, 00:22	+/–
На виндузе свои приблуды, о которых мне увы не известно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

74. Сообщение от Аноним (-), 19-Дек-13, 01:47	+/–
В DLL тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

75. Сообщение от pavlinux (ok), 19-Дек-13, 02:17	–1 +/–
> В ней, если ее по-исследовать, обязательно найдешь пункт о своевременном обновлении ПО. Вот в демьяне, в своё время, обновилось ядро с 3.2.18 до 3.2.22 в котором есть дыра! Уверен, что нужно обновляться без мозга в голове? Все одмины вкуривают устройство ядра? Все могут проверить, создать эксплойт на основании описания?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #86

76. Сообщение от Аноним (-), 19-Дек-13, 04:40	+/–
Какое актуальное и свежее исследование. Еще немного поисследует парень и откроет миру руткиты.
Ответить | Правка | Наверх | Cообщить модератору

77. Сообщение от Аноним (-), 19-Дек-13, 06:07	+1 +/–
> Потому что *BSD пока нет программ для майнинга, Это примерно как "у меня нет штанов, поэтому их никто не сопрет, вау!".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

78. Сообщение от Аноним (-), 19-Дек-13, 06:07	+1 +/–
> дыры в Linux не фиксятся годами. Покажи мне дыры в текущем ядре Linux, которым уже годы? Очень интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #88

79. Сообщение от Аноним (-), 19-Дек-13, 06:09	+1 +/–
> Ты это, братан, к чему клонишь? Наверное намекает что у половины местных бсдшников "без вирусов" - винды в дуалбуте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

80. Сообщение от Аноним (-), 19-Дек-13, 06:10	+/–
> Не выкопают. Выкапывают. Было бы это не так - никто б не заморачивался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #93

81. Сообщение от Аноним (-), 19-Дек-13, 06:12	+/–
> А майнить на процессоре - все равно что копать котлован чайной ложкой. Поскольку этим занимаются тысячи железяк и они никуда не торопятся - нехай копают. Через недельку, глядишь, уже солидная яма образуется, а через месяц - вполне себе котлован.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

82. Сообщение от Аноним (-), 19-Дек-13, 06:14	+/–
> Обломал неудавшегося биткоинового магната :) Для лайткоинов в принципе и CPU не совсем плох: там скорость работы с RAM роялит. Правда, GPU все-равно эффективнее. Насколько эффективнее будут ASIC? В принципе сделать можно, но алгоритм таков что эффективность ASIC будет как минимум заметно ниже чем в bitcoin, т.к. алгоритму нужно много оперативки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

83. Сообщение от Аноним (-), 19-Дек-13, 06:15	+/–
> Нужно было wallet.dat сконифолить у кулхацкеров ) Чтобы майнить - не обязательно кошелек притаскивать. Можно к пулу прицепиться. Совсем кстати не факт что хацкерскому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

84. Сообщение от Аноним (-), 19-Дек-13, 06:17	+2 +/–
> это где redhat бывает добавляет новые дыры ? Не ошибается лишь тот кто ничего не делает. Пользуйся DOS 1.0, там уж точно новых дыр никто не добавит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

85. Сообщение от Хвост (?), 19-Дек-13, 11:05	+/–
Смотрим Праймкоин (Primecoin XPM) - криптовалюта, расчитанная на майнинг на процессорах. Если 64 разрядные сервачки с кучей ядрышек, то можно на приличное пиво накопать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

86. Сообщение от jOKer (ok), 19-Дек-13, 11:26	+/–
>уверен, что нужно обновляться без мозга в голове Без моска - не стоит даже пытаться за комп садиться. Но, вообще-то, вдумчивые да аккуратные админы не забывают смотреть в бюллетени безопасности. Например, сюда http://www.linuxsecurity.com
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #96

87. Сообщение от ПлюшевыйМишка (?), 19-Дек-13, 12:38	+/–
Сышишь, Анон, ты братишка часом не путаешь бекпорт патчи дистрибутивов когда какойнить glibc-2.12 по факту дотягивается патчами до 2.16.0 но при этом продолжает гордо реять версией 2.12-p100500, нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

88. Сообщение от slowpoke (?), 19-Дек-13, 13:11	+1 +/–
Просто ему дали венду и сказали что это Linux
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

89. Сообщение от slowpoke (?), 19-Дек-13, 13:15	+/–
И че? Какие-то проблемы писать на C web приложения?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

90. Сообщение от slowpoke (?), 19-Дек-13, 13:21	+/–
вообще то есть Debian unstable который стабильней всех остальных и при этом актуальный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

91. Сообщение от arisu (ok), 19-Дек-13, 15:28	+1 +/–
вместо этой портянки мог сразу написать: «я балабол».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

92. Сообщение от Аноним (-), 19-Дек-13, 16:23	–1 +/–
Момент обнаружения != момент обнародования. С уважением, ваш кэп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

93. Сообщение от anonymousZ (?), 19-Дек-13, 16:23	+/–
Вот за что я люблю школьных аналитиков с опеннет. Нихрена не умею, ничего никогда полезного не делали, но все знают, и на все у них свое экспертное мнение))). Мощность одного процессорного ядра ~1МХеш. То есть сеть из 10000 ядер будет равна по мощности одному асику за 350 баксов. А что по вашему сделает админ пула увидев 10000 подключений сжирающих канал и имеющих мощность ~0? Правильно - забанит их нахрен.) >Выкапывают. Было бы это не так - никто б не заморачивался. Сейчас этим никто и не заморачивается. Ботнеты с майнингом появились в конце 2010, начале 2011. В конце 2012 для майнинга их уже никто не использовал (пытались выбивать деньги с пулов через дос, но, насколько мне известно, успеха это не имело)). Сейчас это просто легаси софт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #99

94. Сообщение от Аноним (-), 19-Дек-13, 17:58	–2 +/–
> PHP же, причем тут Линукс. В данном случае php - это только способ распространения. Главное другое - под линукс написано столько вредоносных программ в формате ELF, а также скриптов на perl и shell, что они выполнялись аж несколько дней! А некоторые до сих пор продолжают утверждать, что под линукс вирусов нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #95

95. Сообщение от fi (ok), 19-Дек-13, 18:23	+1 +/–
> до сих пор продолжают утверждать, что под линукс вирусов нет. Ну и где они эти ваши вирусы? все что в статье - НЕ вирус.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #97

96. Сообщение от pavlinux (ok), 19-Дек-13, 23:31	–1 +/–
>>уверен, что нужно обновляться без мозга в голове > Без моска - не стоит даже пытаться за комп садиться. > Но, вообще-то, вдумчивые да аккуратные админы не забывают смотреть в бюллетени безопасности. > Например, сюда http://www.linuxsecurity.com Ну вот, чтоб долеко не ходить, лезем http://www.linuxsecurity.com/content/view/160621/ Засекаем время: 23:17 Package        : pixman Vulnerability  : integer underflow Problem type   : remote Debian-specific: no CVE ID         : CVE-2013-6425 23:18 - Ищем CVE-2013-6425: https://security-tracker.debian.org/tracker/CVE-2013-6425 ,     есть в stable 23:21 - Лезем в систему: # ldconfig -p | grep libpixman     libpixman-1.so.0 (libc6) => /usr/lib/i386-linux-gnu/libpixman-1.so.0     libpixman-1.so (libc6) => /usr/lib/i386-linux-gnu/libpixman-1.so есть такое... 23:25 # apt-get install apt-rdepends (пока вспомнишь, чем зависимости искать...) смотрим кому нужна эта либа 23:26 # apt-rdepends -r libpixman-1-0 23:30 Считаем и куеем. # apt-rdepends -r libpixman-1-0 | grep -v 'Reverse Depends' | sort -u | wc -l 5212 пакетов 23:31 Лезем искать патч. 23:32 Нашли http://patchwork.freedesktop.org/patch/14769/ 23:33 Ушли изучать http://cgit.freedesktop.org/pixman/commit/?id=5e14da97f16e42... http://cgit.freedesktop.org/pixman/commit/?id=2f876cf86718d3... Описалово Opening the attached file with LibreOffice with enabled anti-aliasing will crash the Intel Xorg driver (see launchpad bug for details). While a crashing driver is not our bug, it might still be worth a look to see if we are asking anything illegal from X or if we can workaround the driver bug easily. Уже легче, юзеры Nvidia спят спокойно. С отключённым AA, тоже .... 23:38 надо качать соурсы, искать кто юзает # define pixman_trapezoid_valid() 23:44 # cd /tmp/ /tmp # git clone http://anongit.freedesktop.org/git/pixman.git ... 23:45 # grep -r pixman_trapezoid_valid ./ ./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap)) ./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap)) ./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap)) ./pixman/pixman-trap.c:        if (!pixman_trapezoid_valid (trap)) ./pixman/pixman-trap.c:        if (!pixman_trapezoid_valid (trap)) ./pixman/pixman.h:#define pixman_trapezoid_valid(t)         23:47 ... ля-ля-ля pixman_add_trapezoids() Прекрасно... for (i = 0; i < ntraps; ++i)     {         const pixman_trapezoid_t *trap = &(traps[i]);         if (!pixman_trapezoid_valid (trap))             continue;         pixman_rasterize_trapezoid (image, trap, x_off, y_off);     } // *traps перед чтением никто не проверял на NULL !!! Отправляем репорт? Или пороем код, мож там все нормально? Хрен, мне за это не платят. А тем временем уже  23:50 23:50 роем дальше... pixman_rasterize_trapezoid() pixman_add_trapezoids() get_trap_extents() 23:54  Вот эти 4 нужно искать 23:56 pixman_rasterize_trapezoid()  юзается в cairo Сколько рыть софта, чтоб нарыть возможную багу от этого исправления?! Почти все на GTK ? 23:57 - 23:17 = 50 минут на поверхностный анализ ОДНОЙ баги! Ещё 6 баг + обед и рабочий день закончен! А в дверь ломятся юзера, начальники, посредники, баба Клава провод перегрызла шваброй, пинг тормозит, ддосят твари, спамботы шарются по сайам, почта оверхедется от спамассасина с кламавом....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

97. Сообщение от Аноним (-), 20-Дек-13, 09:52	–1 +/–
>> до сих пор продолжают утверждать, что под линукс вирусов нет. > Ну и где они эти ваши вирусы? все что в статье - > НЕ вирус. Почему же, это вполне себе вирус. Единственное, он работает на очень малом количестве систем, которые давно не обновлялись и при "правильной" настройке php. На сервер успешно загружается произвольный скрипт "a,pdf" и работает в /var/tmp/ (до ближайшей перезагрузки). Скрипт не получил root-права (это не обязательно), скрипт не остался в системе навечно (это тоже не обязательно). Скрипт смог загрузить стороннее ПО (в том числе и ELF) и выполнить его (а значит при желании он сможет получить и root-права и остаться навечно). Вполне себе сойдет за trojan-loader по классификации популярных антивирусных систем... Вопрос в другом - хороший способ защиты от таких уязвимостей не установка антивируса. Он вряд ли спасет в случае всяких bash- и perl-скриптов, которые легко может переписать до неузнаваемости программист уровня CodeMonkey. Ну и регулярные обновления всей системы и грамотный подход к организации безопасности системы более логичны, чем регулярное обновление только антивируса + дырявая система. P.S. Самое неприятное в этой статье - вредоносное ПО на сервак загружали(!), т.е. есть злоумышленники, которые заинтересованы в эксплуатации linux-серверов (им есть чем занять эти сервера). Значит вопрос только в наличии доступной "дырки" для распространения ну и в количестве таких злоумышленников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #98

98. Сообщение от Ordu (ok), 20-Дек-13, 10:21	+1 +/–
> Почему же, это вполне себе вирус. Нет. Давайте оставим хомячковую терминологию хомячкам. Это червь, бекдор, всё что угодно ещё, но не вирус. Вирусной активности сия малварь не проявляла. Хотя, в общем-то, могла бы. Но под линуксами это действительно гемор, поэтому под линуксом и нет вирусов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

99. Сообщение от Хвост (?), 20-Дек-13, 13:15	+/–
>Вот за что я люблю школьных аналитиков с опеннет...... В конце 2012 для майнинга их уже никто не использовал. Смотри 5.85 и думай кто на самом деле "аналитик".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #100

100. Сообщение от anonymousZ (?), 20-Дек-13, 16:59	+/–
>Смотри 5.85 и думай кто на самом деле "аналитик". Ты наверное?) На заре его существования и биткоин можно было спокойно майнить на проце. Это вопрос не используемой железки, а общей мощности сети, не важно по какому алгоритму ты майнишь. Валют-однодневок по мимо биткоина, было до хрена и больше, только лайткоин набрал какую-то популярность. Никто ради очередной такой валюты ботнеты разворачивать не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема