The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлены два ботнета, созданные из серверов на базе Linux

03.09.2014 23:01

Компания Akamai Technologies опубликовала сведения о обнаружении двух ботнетов - IptabLes и IptabLex, сформированных из Linux-серверов и используемых преимущественно для организации DDoS-атак. В состав ботнетов попадают своевременно не обновляемые серверы, на которых используются уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch. После эксплуатации уязвимостей и получения доступа к системе, на серверах запускается вредоносное ПО, оформленное в виде собранного для Linux исполняемого файла, позволяющего принимать удалённые команды от центра управления ботнетом.

Число входящих в ботнеты Linux-серверов не приводится, но уже зафиксированы проведённые с использованием данных ботнетов DDoS-атаки, в результате которых на системы жертвы удалось направить трафик пропускной способностью в 119 гигабит/сек и интенсивностью 110 млн пакетов в секунду. Отмечается, что это одна из крупнейших DDoS-атак в этом году, которая также примечательна сдвигом в сторону применения для построения ботнета уязвимых серверных Linux-систем, вместо ранее используемых в этой области клиентских машин с Windows в сочетании с усилителями трафика в виде открытых DNS- или NTP-серверов.

Определить поражение системы вредоносным ПО можно по наличию исполняемых файлов .IptabLes или .IptabLex в директории /boot, а также следов их запуска в скриптах инициализации системы. Так как вредоносный код поддерживает функции загрузки и установки обновлений, его следы в системе могут измениться. Администраторам рекомендуется проверить защищённость своих систем и своевременность установки обновлений.

  1. Главная ссылка к новости (http://www.net-security.org/se...)
  2. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
  3. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
  4. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с
  5. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
  6. OpenNews: Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40513-ddos
Ключевые слова: ddos, botnet, linux
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (164) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, IMHO (?), 23:33, 03/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    ага, как всегда, ничего не работает у локалхоста, ботнета нет
     
     
  • 2.82, ананим (?), 13:35, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    неа, не так.
    как всегда, всё работает у крютого ытырпраса, включая ботнеты.
    и щёчки в этом месте надуть. обновления то придумал трус. с локалхоста он или нет.
     

  • 1.2, бедный буратино (ok), 23:55, 03/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    один серый
    другой белый
    два весёлых ботнета
     
  • 1.3, lsd (??), 00:05, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    elasticsearch ? торчащий наружу ? этопять!
     
     
  • 2.42, Аноним (-), 10:28, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если посмотреть по ссылке, то там не Elasticsearch, а logstash.
     

  • 1.4, Аноним (-), 00:06, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эээ. Как проверить сервера если зловреда не поленятся спрятать?
    Когда код открыт можно написать любую функциональность любому компоненту системы и заменить его прозрачно. Всякие top и netstat злоумышленник заменил, узнать кто грузит и качает не так просто.
    Проверка контрольных сумм всех файликов есть? И где гарантия, что проверялку уже не пропатчили?
     
     
  • 2.5, lsd (??), 00:16, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    cd /
    md5sum -c /var/lib/dpkg/info/*.md5sums

    ?

     
     
  • 3.10, xakru (?), 01:18, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    rpm -Va
     
     
  • 4.19, none7 (ok), 06:09, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А rpm по вашему нельзя пропатчить? Руткиты всегда стараются отгородить админа от реального положения дел, огромная куча административных утилит заменяется. Тут только проверка при помощи внешнего по поможет. Да ещё и чексумму ядра в памяти посчитать надо драйвером и сравнить с сохранённым результатом на другой машине. Хотя могут быть и супер-руткиты которые держат ядро системы в виртуалке на аппаратной виртуализации, этих выследить нереально. Только сканированием диска на другой системе.
     
     
  • 5.34, zamir (??), 09:56, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А rpm по вашему нельзя пропатчить?

    А ты видел хоть один вирус который патчил rpm для того что бы верификация не отобразила изменение каких-то конкретных файлов?
    Для rpm дистрибютива rpm -Va отличная команда для первичного анализа.

    Что касаемо ботнет для Linux - то они уже давно есть и успешно ломают apache.
    Получив доступ к apache как правило к root они не прорываются - соответственно системые файлы не подменяют. Подключение к botnet можно увидеть по netstat -nap (левый процесс с правами apache)

     
     
  • 6.49, Аноним (-), 11:04, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Для rpm дистрибютива rpm -Va отличная команда для первичного анализа.

    А с чего вы взяли что зловред правильные данные не подсунет? Техника стара как мир и использовалась еще DOSовым вирьем, а уж в многозадачках и подавно.

     
     
  • 7.73, Аноним (-), 12:19, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Для rpm дистрибютива rpm -Va отличная команда для первичного анализа.
    > А с чего вы взяли что зловред правильные данные не подсунет? Техника
    > стара как мир и использовалась еще DOSовым вирьем, а уж в
    > многозадачках и подавно.

    Учитывая разнообразие используемых в разных дистрах версий RPM (в отличие от DEB/dpkg), не совместимых между собой, есть достаточно большая вероятность того, что реализовать нетривиальную замену с поддержкой ВСЕХ ВОЗМОЖНЫХ вариантов RPM никто не будет. Но, как говорится, чем черт не шутит...

     
     
  • 8.89, Аноним (-), 15:29, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем заменять RPM Достаточно врать на предмет отсутствия скрываемых файлов и... текст свёрнут, показать
     
  • 8.113, arisu (ok), 17:05, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тю ежели оно рут 8212 засунуть свою библиотеку в etc ld so preload нет ника... текст свёрнут, показать
     
  • 8.121, freehck (ok), 18:34, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А не наплевать ли взломщику на версии чего бы там ни было, если он всё равно обё... текст свёрнут, показать
     
  • 6.53, Аноним (-), 11:29, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сабж прорвался к рут правам, например. Следовательно, вытаскиваем диск и сравниваем суммы на другой машине и ищем файлы не из репозиториев.
     
  • 5.35, flvby1 (?), 09:57, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    tripwire.
     
     
  • 6.52, Анооооним (?), 11:26, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > tripwire.

    Закрытая проприетарь.

    И не панацея. Ты ее видел?

     
     
  • 7.74, Аноним (-), 12:33, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    aide. Видел, пользуюсь.
     
  • 7.168, Аноним (-), 21:59, 09/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> tripwire.
    > Закрытая проприетарь.

    http://sourceforge.net/projects/tripwire/
    GPL v2

    > И не панацея. Ты ее видел?

    использую. работает.

     
  • 2.6, pavlinux (ok), 00:18, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Когда код открыт можно написать любую функциональность любому компоненту системы и заменить его прозрачно.

    Welcome to OpenSource World! За "заменить его прозрачно", Google платит до $3.1415 лямов. Так что, у тя есть шанс!

     
  • 2.8, rshadow (ok), 01:04, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Всякие top и netstat

    1. Ломали явно веб сервера. До рута дело не дошло.
    2. apt-cache show debsums

    Description-ru: инструмент для проверки контрольных сумм MD5 у установленных файлов пакетов
    debsums может проверять целостность установленных файлов пакетов путем
    сравнения контрольных сумм MD5 установленных пакетом или
    сгенерированных из архива .deb.

     
     
  • 3.11, Аноним (-), 01:23, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > 1. Ломали явно веб сервера. [b]До рута дело не дошло.[/b]

    Конечно не дошло, теперь ведь каждый может писать в "/boot".

     
     
  • 4.14, rshadow (ok), 02:37, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Пардон. Действительно, не заметил про файлы. По ссылке не написано как рут получали.
     
     
  • 5.22, тигар (ok), 07:36, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > По ссылке не написано как рут получали.

    а это очень важно? когда там крайняя новость была об очередном патче закрывающем возможность поднятия до рута? а перед ней, а перед той?;-) выбери себе любой из описаных там методов и реши что именно так и получали.

     
     
  • 6.62, Аноним (-), 12:01, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > выбери себе любой из описаных там методов и реши что именно
    > так и получали.

    Да в твоей фряхе тоже ассортимент уязвимостей имеется. И не ты ли хвастался что у тебя там целый зоопарк вирья проломился, а запуститься не может? :)

     
     
  • 7.99, тигар (ok), 16:02, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> выбери себе любой из описаных там методов и реши что именно
    >> так и получали.
    > Да в твоей фряхе тоже ассортимент уязвимостей имеется. И не ты ли
    > хвастался что у тебя там целый зоопарк вирья проломился, а запуститься
    > не может? :)

    если бы ты читал внимательно (или тренировал память заранее) то помнил бы, что речь шла не о "в твоей фряхе" а о дырявом jboss, через который оно приползло. это "раз"
    два: в директории /boot (да и любом другом, за пределами "хомяка" jboss) не было ничего лишнего ;-)
    три: я понимаю, что у тебя там некое жжение наблюдается в области задницы, но ты попробуй собраться с силами и выдать ответ на вопрос: а причем тут я и "моя" фряха к комменту на который ты отвечал.

     
     
  • 8.124, Аноним (-), 19:47, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я про подъем прав - такого и в твоей любимой фряхе недавно пролетало А судя по ... текст свёрнут, показать
     
  • 2.27, Аноним (-), 09:12, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И где гарантия, что проверялку уже не пропатчили?

    ЧСХ, руткиты и тому подобные фокусы работают и в закрытых системах. Если систему хакнули, только дypaк будет из нее что-то проверять. А какие гарантии что система не врет?

     
     
  • 3.56, Аноним (-), 11:32, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> И где гарантия, что проверялку уже не пропатчили?
    > ЧСХ, руткиты и тому подобные фокусы работают и в закрытых системах. Если
    > систему хакнули, только дypaк будет из нее что-то проверять. А какие
    > гарантии что система не врет?

    Ну да, надо гасить сервак и проверять на другой системе. Собственно, в открытых системах у хакеров возможностей даже больше чем в закрытых.

     
     
  • 4.66, Аноним (-), 12:07, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну да, надо гасить сервак и проверять на другой системе.

    Перераскатать систему с нуля. Или откат на заведомо исправный снапшот, если у вас был рояль в кустах. А исследование - или с наглухо RO флехи/ливцд, или на другой системе.

    > Собственно, в открытых системах у хакеров возможностей даже больше чем в закрытых.

    Да примерно однофигственно - принципы работы операционок везде более-менее одинаковые. Поимение системы через буткиты, руткиты и прелоад либ были обкатаны в основном на всяких там виндах. А то что так можно и в пингвине и иных системах - ну да, можно. А почему нет?

     
  • 2.104, XoRe (ok), 16:06, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эээ. Как проверить сервера если зловреда не поленятся спрятать?

    на все 100% - да никак.
    Обычно просто выводят сервер из боя, сливают данные и переустанавливают.
    Если есть желание поискать причины, сделал образ и ковыряешься.
    А на сервер быстро накатывается система и снова в бой.
    Если уже знаешь, откуда ломали, то с прикрытой дырой.

     
  • 2.122, EuPhobos (ok), 19:12, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Эээ. Как проверить сервера если зловреда не поленятся спрятать?
    > Когда код открыт можно написать любую функциональность любому компоненту системы и заменить его прозрачно. Всякие top и netstat злоумышленник заменил, узнать кто грузит и качает не так просто.
    > Проверка контрольных сумм всех файликов есть? И где гарантия, что проверялку уже не пропатчили?

    После настройки чистой системы сразу ставь rkhunter, и отслеживай любые изменения.

     

  • 1.7, Celcion (ok), 00:56, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –13 +/
    А мне говорили, что вирусов на линуксе нет...
    Видимо, наврали...
     
     
  • 2.9, Зевака (?), 01:09, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так ведь дураков для запуска албанских вирусов хватает везде. :)
     
  • 2.12, Аноним (-), 01:35, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не вирус. Это хакерская атака. Когда миллионы компов заражаются автоматически, и когда сидит человек и вручную пишет команды для взлома - разные вещи.
     
     
  • 3.17, Аноним (-), 05:22, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хакерские атаки давно уже автоматизируются. man metasploit
     
     
  • 4.50, Аноним (-), 11:06, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > man metasploit

    Глюкавая cpaнь на руби. Работает через раз даже на заведомо дырявых системах.

     
  • 3.114, Celcion (ok), 17:07, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не вирус. Это хакерская атака.

    А, ну тогда, конечно, все в порядке.

     
  • 2.13, _KUL (ok), 02:23, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вы пробовали рабочее/домашнее ПК место спиртовой салфеткой протирать?
     
  • 2.15, Аноним (-), 03:05, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Видимо, наврали...

    Это заговор! Всё пропало! ))

     
  • 2.25, Нанобот (ok), 08:18, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Не то чтобы наврали. Просто линупсные фанатики искренне верят во всякие глупости... так что технически это не ложь, а информация, не соответствующая действительности
     
     
  • 3.26, тоже Аноним (ok), 08:51, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Чтобы ваша информация соответствовала действительности, неплохо бы напомнить, что вышеупомянутые фанатики существуют в основном в виртуальном пространстве пропаганды MS.
    Идиоты, конечно, встречаются везде, но пропагандисты, конечно, выставляют ими всех своих идейных противников. "По причине - козлы".
     
     
  • 4.57, Аноним (-), 11:37, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Чтобы ваша информация соответствовала действительности, неплохо бы напомнить, что вышеупомянутые
    > фанатики существуют в основном в виртуальном пространстве пропаганды MS.
    > Идиоты, конечно, встречаются везде, но пропагандисты, конечно, выставляют ими всех своих
    > идейных противников. "По причине - козлы".

    Кое-кто счтитае всех, кто видит какие-то недостатки в линуксах пропагандистами МС. О чем тут говорить? В коварную пропаганду так приятно верить, примерно как в заговор англосаксов против русского народа.

     
     
  • 5.61, тоже Аноним (ok), 12:00, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А где это бот говорил про недостатки линуксов?
    Речь была о недостатках линуксоидов. Точнее, тех идиотов, которыми изображают линуксоидов в пропаганде.
     
     
  • 6.68, Celcion (ok), 12:09, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Рекомендую почитать ответы на мой изначальный пост и задуматься - а надо ли "изображать"? Они и так с этим отлично справляются самостоятельно. :-)
     
     
  • 7.90, Аноним (-), 15:30, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ли "изображать"? Они и так с этим отлично справляются самостоятельно. :-)

    Вы из себя старательно изображаете титана мысли, не иначе.


     
     
  • 8.112, Celcion (ok), 16:27, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зачем С учетом местной детворы, старательно пишущей изобличительные отповеди в ... текст свёрнут, показать
     
     
  • 9.116, тоже Аноним (ok), 17:13, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто от шутливых подколок из репертуара хорошо известной здесь труппы клоун... текст свёрнут, показать
     
     
  • 10.118, Celcion (ok), 17:32, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я просто всегда с усмешкой относился к людям, которые себя слишком всерьез воспр... текст свёрнут, показать
     
     
  • 11.127, тоже Аноним (ok), 19:56, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы, конечно, можете хоть ухохотаться от окружающих, но если люди не улыбаются ва... текст свёрнут, показать
     
     
  • 12.139, Celcion (ok), 23:10, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Самоирония - хорошее качество Ухохатываться над окружающими можно лишь если они... текст свёрнут, показать
     
     
  • 13.144, тоже Аноним (ok), 08:42, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И тут мне почему-то вспомнилась карикатурка страус с бейджиком Инструктор по п... текст свёрнут, показать
     
  • 9.125, Аноним (-), 19:50, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О, круто Теперь я и ваш возраст знаю примерно Шкoлoлo на марше Только такие м... текст свёрнут, показать
     
     
  • 10.138, Celcion (ok), 23:06, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты раскрыл меня - ... текст свёрнут, показать
     
  • 5.67, Аноним (-), 12:08, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кое-кто счтитае всех, кто видит какие-то недостатки в линуксах пропагандистами МС.

    Наверное, потому что в сабжевой новости - про недостатки вебни и админов. А в чем недостаток линукса? В том что он программы умеет запускать? Охренеть недостаток у системы - система работает и даже запускает программы! :)

     
     
  • 6.72, Celcion (ok), 12:18, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Наверное, потому что в сабжевой новости - про недостатки вебни и админов. А в чем недостаток линукса?

    Вопрос в прикольных двойных стандартах. Если на непатченной проприетарной системе произойдет подобное - будет "кривая дырявая проприетарщина", а если на линуксе - "кривая вебня и админы".

     
     
  • 7.78, ызусефещк (?), 13:04, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Всё верно, если мс не прислал патч — виноват мс, а если админ не накатил существующий патч — виноват админ.
     
  • 7.79, тоже Аноним (ok), 13:07, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Комментаторы справедливо указывают на реальные причины проблем - кривые (возможно) админы, кривая (возможно) вебня, непредсказуемо (из-за закрытости) кривая система.
    Будут проблемы с кривизной именно Линукса - будет разговор и о них. Пока говорить не о чем, и заявление о двойных стандартах - просто пропагандистское передергивание.
     
     
  • 8.81, Celcion (ok), 13:22, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, исходя из предположений, тут уже ставятся справедливые диагнозы чему-... текст свёрнут, показать
     
     
  • 9.83, тоже Аноним (ok), 13:35, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В закрытых системах тоже удары мочи нередки, но при этом поддерживается и легаси... текст свёрнут, показать
     
     
  • 10.92, Аноним (-), 15:39, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    напомните - как debian сопротивлялся новому systemd, и как это пропихивали подта... текст свёрнут, показать
     
     
  • 11.95, Аноним (-), 15:46, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну что значит - подтасовывая Каких представителей выбрали - такое голосование и... текст свёрнут, показать
     
     
  • 12.110, Celcion (ok), 16:23, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сначала думал тебе предложить обосновать высказывание про виндузоида, либо объяв... текст свёрнут, показать
     
     
  • 13.119, клоун (?), 18:07, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http wiki opennet ru title MSSP ... текст свёрнут, показать
     
     
  • 14.126, Аноним (-), 19:52, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ого, наш пиар-бот стал самодокументирующимся Нифига себе Может, Шигорин был п... текст свёрнут, показать
     
  • 13.129, Аноним (-), 20:09, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чего обосновывать то Я достаточно долго тебя тут вижу и запомнил фрукта котор... большой текст свёрнут, показать
     
     
  • 14.137, Celcion (ok), 23:02, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, то, что над глупой детворой я тут периодически потешаюсь - это правда, не ст... большой текст свёрнут, показать
     
  • 9.93, Аноним (-), 15:39, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот смотри, нвидия в очередной версии драйвера отпилила лишние мониторы Ос... большой текст свёрнут, показать
     
     
  • 10.109, Celcion (ok), 16:19, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет, вам просто пора избавиться от излишне ассоциативного мышления и делить все ... текст свёрнут, показать
     
     
  • 11.130, Аноним (-), 20:14, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не говорите мне что делать - и я не скажу куда вам пойти Я могу грубо прикинуть... большой текст свёрнут, показать
     
     
  • 12.135, Celcion (ok), 22:33, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Анонимные прикидывания моего IQ - это сильно Кто ты, о великий анонимный мудрец... текст свёрнут, показать
     
     
  • 13.162, Аноним (-), 16:15, 06/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А какая разница, анонимные они или нет На величину IQ это не влияет Если тебе ... текст свёрнут, показать
     
  • 7.91, Аноним (-), 15:32, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вопрос в прикольных двойных стандартах. Если на непатченной проприетарной системе
    > произойдет подобное - будет "кривая дырявая проприетарщина", а если на линуксе -
    > "кривая вебня и админы".

    А где проприетарным системам предъявляют за кривой софт? Им предъявляли за то что юзеры по дефолту админ, так что даже права грейдить не надо. MS учел, блин, сделав UAC. Так учел, что лучше бы молотый перец всем офисом нюхали.

     
  • 4.141, Аноним (-), 03:24, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтобы ваша информация соответствовала действительности, неплохо бы напомнить, что вышеупомянутые
    > фанатики существуют в основном в виртуальном пространстве пропаганды MS.

    И в моём реальном тоже. :( Заберите их в виртуальный мир пропаганды MS, ну пожа-а-алуйста!..

     
  • 2.28, Аноним (-), 09:16, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А мне говорили, что вирусов на линуксе нет...

    Если вирусяка прорубается через дырявую вебню - там в общем все-равно какая система. При условии что малварина вообще там может запускаться.

    Хотя да, реактосу эти вирусы не грозят - он упадет в бсод еще на старте дырявой версии томкэта, поэтому до взлома оного дело дойти просто не успеет. Вот так реактос защищает ваши системы от вирусов.

    p.s. напоминает мантры бсдшников, хвалившихся что к ним пролезают толпы вирусов но потом дескать не срабатывают, потому что половины программ нет :)

     
     
  • 3.142, Аноним (-), 03:35, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> А мне говорили, что вирусов на линуксе нет...
    > Если вирусяка прорубается через дырявую вебню - там в общем все-равно какая
    > система. При условии что малварина вообще там может запускаться.
    > Хотя да, реактосу эти вирусы не грозят - он упадет в бсод
    > еще на старте дырявой версии томкэта, поэтому до взлома оного дело
    > дойти просто не успеет. Вот так реактос защищает ваши системы от
    > вирусов.
    > p.s. напоминает мантры бсдшников, хвалившихся что к ним пролезают толпы вирусов но
    > потом дескать не срабатывают, потому что половины программ нет :)

    Всё-таки смотреть на то, что пишут люди без чувства юмора (которое с лихвой компенсируется апломбом), быстро надоедает и в целом довольно грустно.

     
  • 2.65, Celcion (ok), 12:06, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как всегда, приятно смотреть на полное отсутствие самоиронии и чувства юмора у линуксовых фанатиков.
    Отдельно подчеркну - у линуксовых фанатиков, а не пользователей линукс.
    Жгите дальше! :-)
     
     
  • 3.80, тоже Аноним (ok), 13:09, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Самые блестящие победы мы всегда одерживаем над воображаемым противником".
    Главное, чтобы вам было приятно. Не напрягайтесь.
     
  • 2.108, XoRe (ok), 16:13, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А мне говорили, что вирусов на линуксе нет...
    > Видимо, наврали...

    Да их и на винде уже давно не видно.
    Давно уже не натыкался на настоящий вирус.
    Так, чтоб искал исполняемые файлы и заражал, дописывая себя в них.
    А в сабже "зловредное ПО".

    Если насчет вашего вопроса, в линуксе "вирусов нет" в том смысле, что нет ситуаций "у пользователя что-то запустилось и заразило/снесло всю систему".
    Максимум - хомяк опустеет.

    А вообще мир вирусов эволюционирует.
    Сейчас никому не интересно "заразить и удалить".
    Сейчас актуально "проникнуть и на этом заработать".

     
     
  • 3.115, тоже Аноним (ok), 17:11, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В частности, поэтому свежекупленные ноутбуки обычно до такой степени "заряжены" всяким *ware мусором, как будто на них полгода просидел школьник под админом.
    Принесут такой - дескать, месяц назад купили, а он что-то тормозит и какие-то сообщения выскакивают. Заглядываешь в программы - а там кони не валяются, брезгуют...
     
     
  • 4.117, Celcion (ok), 17:26, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В частности, поэтому свежекупленные ноутбуки обычно до такой степени "заряжены" всяким
    > *ware мусором, как будто на них полгода просидел школьник под админом.

    Ну, вы же хотите ноутбук за приемлемые деньги? Приходится изыскивать дополнительные источники финансирования, типа такой вот рекламной требухи. Да и конкуренты на пятки наступают...
    Такова вот она, рыночная экономика. И вам грех жаловаться, иначе до сих пор для вас пределом мечтаний в качестве "ноутбука" был бы МК-85.

     
     
  • 5.128, тоже Аноним (ok), 20:01, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чтобы понять всю бредовость этой гипотезы, достаточно посмотреть на цену того же ноутбука без рекламной шушеры и системы, в которой она предустановлена. Оказывается, дополнительных источников финансирования для железки с такой маржой, как фирменный ноутбук, отнюдь не требуется.
     
  • 5.131, Аноним (-), 20:18, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > финансирования, типа такой вот рекламной требухи.

    Да, конечно. Накрутить 200% маржи - слишком мало. Вот 220% - это да, если насовать всякое адваре.

    > Такова вот она, рыночная экономика. И вам грех жаловаться,

    Почему-то вы считаете что интересы могут быть только у производителя, а покупатель с какого-то рожна обязан жpaть что дали. Хотя, на секундочку, именно покупатель и платит деньги. И платить деньги за кучу адвари - ну... гoвнoеды и лохи конечно бывают, но как вы можете заметить - такое нравится не всем.

    > в качестве "ноутбука" был бы МК-85.

    Да, конечно...

     
     
  • 6.136, Celcion (ok), 22:45, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    200 маржи Вы уверены, что вообще понимаете о чем говорите Последние годы марж... большой текст свёрнут, показать
     
     
  • 7.145, Аноним (145), 09:28, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да, конечно. Накрутить 200% маржи - слишком мало. Вот 220% - это
    >> да, если насовать всякое адваре.
    > 200% маржи? Вы уверены, что вообще понимаете о чем говорите? Последние годы
    > маржа на PC и ноутбуки так низка, что некоторые вендоры уже
    > начинают выходить из этого бизнеса. На тех же ноутбуках маржа уже
    > - максимум - на уровне 5-6%, и постепенно снижается.

    Небольшое уточнение, вы маржу по конечному сборщику считаете или по цепочке целиком?
    А то
    материалы - 5%, электроника/механика - 5%, сборка компонентов - 5%, ... коенчный сборщик 5%, поставщик - 5%, магазин 5%
    уже не уверен что в устройстве 5% в итоге будет :)

     
     
  • 8.147, тоже Аноним (ok), 09:32, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подозреваю, что она считается по жалобам какого-нибудь Асера дескать, и прилавк... текст свёрнут, показать
     
  • 8.158, Celcion (ok), 17:02, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы, хотя бы ради приличия, почитайте хоть что-нибудь по теме Скажем, первое, чт... текст свёрнут, показать
     
  • 7.149, Аноним (145), 09:42, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, не покупайте ноутбук с кучей адваре. Выбор-то всегда есть. Берите NoOS
    > версию, ставьте все сами с нуля.

    Выбора особо нет, т.к. большая часть более-менее нормального железа не продаётся в варианте NoOS и даже в вариантах NoWindows

     
     
  • 8.152, arisu (ok), 13:59, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    возвращаешь винду, забираешь деньги тем, кто деньги за винду возвращать не хотя... текст свёрнут, показать
     
     
  • 9.154, Аноним (145), 14:19, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Прописные истины Только под NoWindows я понимал ещё и работает под NoWindows ... текст свёрнут, показать
     
     
  • 10.155, arisu (ok), 14:28, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пожимает плечами извини, рекомендации по тому, какой именно ложкой жрать говно... текст свёрнут, показать
     
  • 7.163, Аноним (-), 16:31, 06/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скорее, они нашли рынок с более высокой маржой - смарты и планшеты Странно, чег... большой текст свёрнут, показать
     
     
  • 8.166, Celcion (ok), 19:20, 06/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Она там уже давно не такая уж и большая Просто рынок пока еще на подъеме Потом... большой текст свёрнут, показать
     
  • 2.151, 888 (?), 09:56, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А мне говорили, что вирусов на линуксе нет...
    > Видимо, наврали...

    А мне говорили наоборот. Только ни одного не показали, чтобы 1) скомпилировался, 2) запустился, 3) заразил систему, 4) самомодифицировался, 5) заразил по сети другие компы с разными дистрибутивами линукс.

    Может покажете такой? Тогда у вас будут хоть какие-то аргументы. И посмотрите хотя бы в википедии различия вируса и ботнета.

     
     
  • 3.160, Celcion (ok), 17:16, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И посмотрите хотя бы в википедии различия вируса и ботнета.

    Предлагаю вам в той же википедии посмотреть что такое "сарказм". Ну, так, на всякий случай. Не уверен, что вы знаете, просто.

     
     
  • 4.165, 888 (?), 19:15, 06/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В вашем высказывании только насмешка, а не сарказм. Из-за непонимания этого вы и собираете минусы.

    > Не уверен, ...

    Судя по вашим высказываниям в треде, вы ни в чём не уверены, кроме собственной значимости для человечества, но всем что-то рекомендуете и предлагаете.

     
     
  • 5.167, Celcion (ok), 19:26, 06/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Неужели вы правда считаете, что я вообще на это обращаю внимание Представьте, ч... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (64)

  • 1.16, Антоним (ok), 04:09, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Где взять антивирус?
     
     
  • 2.18, greenman (ok), 05:40, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ждём следующий вопрос - "Где взять голову с работающими мозгами?"
     
  • 2.20, Аноним (-), 06:18, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В цивилизованном мире это называется своевременные обновления. В новости как раз о них напоминают.
     
     
  • 3.29, Аноним (145), 09:18, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    С другой стороны обновления по безопасности обычно выходят уже после того как дыру нашли ( и возможно пострадали ), а после получения рута, на обновления уже не помогают, нужно искать концы в системе.
     
     
  • 4.33, Аноним (-), 09:30, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С другой стороны обновления по безопасности обычно выходят уже после того как
    > дыру нашли

    А от момента как ее нашли до момента массового появления боевых самоходных тулзей зачастую проходит более чем дофига времени.

    > ( и возможно пострадали ), а после получения рута,
    > на обновления уже не помогают, нужно искать концы в системе.

    Если вас хакнули и тем более получили рута - систему стоит перераскатать с ноля. Потому что если вас так по детски поимели - квалификация атакующих заведомо на порядок выше вашей. Да и даже крутой гуру далеко не всегда сможет стопроцентно порубать головы особо хитрым руткитам. А если что-то где-то осталось - оно потом может тихой сапой восстановить отрубленые головы, когда все уже забыли про бяку.

     
  • 2.30, Аноним (-), 09:24, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Где взять антивирус?

    Уволить админа и нанять нормального. Эффективнее в 100 раз, ибо если у вас непатченые сетевые программы в сеть висят - антивирус что мертвому припарки.

     

  • 1.21, Адекват (ok), 07:21, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Определить поражение системы вредоносным ПО можно по наличию исполняемых файлов .IptabLes
    > или .IptabLex в директории /boot, а также следов из запуска в
    > скриптах инициализации системы.

    Что ? опять ?? ну до каких пор это х*ня будет твориться ? в линуксе же открытый исхолдный код - даже бинарные файлы не нужно патчить, с*ука, что за ламеры вообще - когда уже эти придурки научаться грамотно внедрятся в систему, модифицируя исполняемые файлы ?
    Ведь для этого не нужно патчить исполняемый файл, а достаточно модифцировать исходники, заменить используемый файл в системе, тем что у них получился и потереть все логи какие только можно.
    Когда научатся скрывать не только следы в виде файлов но и скрывать процессы перехватывая системные вызовы от всяких top, netstat, who и прочего ?
    Что твориться с этим миром ?
    Дети через гугленье узнали о дырке в php залили свои скрипты и все, п*здц - уже ХАКЕРЫ.
    скоро пинг на сервер будут рассматривать как серъезную угрозу.
    Уроды....

     
     
  • 2.24, Аноним (-), 08:17, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смысла нет, можно проверить контрольные суммы бинарей. Трудозатрат больше, результат тот же. Почему вы недооцениваете писателей вредоносного ПО? Они очень хорошо умеют считать свое время и соотносить его с доходами.
     
     
  • 3.39, Аноним (-), 10:14, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > можно проверить контрольные суммы бинарей.

    А кто сказал что читаться будет именно тот файл что вы поппросили? Где гарантии что вызов не завернули через либу или того хуже ядерный модуль?

     
     
  • 4.60, Аноним (-), 11:57, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так и это грамотный сисадмин сможет проверить, просто средствами сторонней машины.А если и так работает, то зачем тратить времени больше при тех же доходах?
     
     
  • 5.69, Аноним (-), 12:15, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так и это грамотный сисадмин сможет проверить, просто средствами сторонней машины.

    Можно и той же. С readonly носителя типа ливфлехи/ливцд.

    > А если и так работает, то зачем тратить времени больше при тех же доходах?

    Поэтому энтерпрайзники нынче обычно используют метод 7 бед - один reset^W перераскатка образа или откат на снапшот. Последнее предпочтительнее, ибо заканчивается за считанные секунды.

     
     
  • 6.76, Аноним (-), 12:50, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Поэтому энтерпрайзники нынче обычно используют метод 7 бед - один reset^W перераскатка образа или откат на снапшот. Последнее предпочтительнее, ибо заканчивается за считанные секунды.

    Ну я, вообще, имел в виду писателей вредоносов - раз у них и без создания руткитов ботнеты поднимаются, то зачем заморачиваться? Но энтерпрайзники тоже, да.

     
     
  • 7.96, Аноним (-), 15:49, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > и без создания руткитов ботнеты поднимаются, то зачем заморачиваться?

    Ну так поэтому половина дряни и являет собой весьма примитивные экспонаты. Смысл в рутките - в том что может снизить процент обнаружения. Хотя тут бабушка надвое сказала: качественно на...ть сисколы всегда и везде - сложно, а нестыковки могут вызвать чудесатые глюки, которые привлекут внимание админа.

     
  • 2.38, Аноним (-), 10:13, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальный подход для эффективного перехвата вызовов - LD_PRELOAD или ядерный мо... большой текст свёрнут, показать
     
     
  • 3.75, Аноним (-), 12:35, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вон тебе пример с LD_PRELOAD. Любой школьник за 15 минут такую
    > либу может написать, если не совсем тyпой. Почему эти "мегахакиpы" так
    > не могут - не знаю. Тyпые наверное.

    Могут, почему же. Но ведь LD_PRELOAD кто-то же должен PRELOAD. А как это сделать для root не получив права root? А если уж получили права root, то проще нужную либу прямо подменить, без всяких LD_PRELOAD. Т.о. нет особого смысла в использовании LD_PRELOAD.

     
     
  • 4.97, Аноним (-), 15:57, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Его делает загрузчик динамических библиотек LD_PRELOAD не требует рута Оно пре... большой текст свёрнут, показать
     
  • 3.77, Нанобот (ok), 12:54, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вообще-то запуск процессов с LD_PRELOAD - палевно (типа так: ps -axewww|grep LD_PRELOAD=)
     
  • 2.44, Anonymous528 (?), 10:36, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> даже бинарные файлы не нужно патчить, с*ука, что за ламеры вообще - когда уже эти >>придурки научаться грамотно внедрятся в систему, модифицируя исполняемые файлы ?

    Ke?

     
  • 2.45, Аноним (-), 10:39, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Работает? Вот и не трогай.
     

  • 1.31, Адекват (ok), 09:25, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а повод для проверки какой будет ?
    Для того, чтобы сделать то что описано в стаье, и о чем буйно фантазировал я - нужен root-доступ, а если есть root то можно и перехватывать системные вызовы от утилит что проверяют контрольные суммы бинарей, но это лишнее, так визуально никаких изменений не будет, а значит не будет повода считать что на сервере есть вредоносное ПО.
    И да, можно даже незаметно будет сделать так, чтобы при обновлении сервер подключался к левым "репозитариям".
     
     
  • 2.41, Andrey Mitrofanov (?), 10:17, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а повод для проверки какой будет ?

    cron же. //И aide, tiger, tripwire, chkrootkit и пр.писатели писем админу в нём.

     

  • 1.32, Аноним (-), 09:26, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    т.е. во всем виновата JAVA - т.к. Apache Struts, Apache Tomcat и Elasticsearch это джава-бейсед продукты.
     
     
  • 2.36, Andrey Mitrofanov (?), 10:04, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Elasticsearch это джава-бейсед продукты.

    [Из чащи раздавались истошные рыдания ай3ЕНа.]

     
     
  • 3.70, Аноним (-), 12:17, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > [Из чащи раздавались истошные рыдания ай3ЕНа.]

    Logstash на руби. Хотя тоже скрипткидизы по типу тызена.

     

  • 1.37, Некто (??), 10:08, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Угу, где-то в начале лета ловил я .IptabLes. Брутфорсили ssh по юзерам root, adm, и т.п.
    Зверь вроде особо не прятался, точки в начале имен - не в счет.
    Много интересного было в /.lib (или /lib/.lib, уже не помню).
     
     
  • 2.40, Аноним (-), 10:16, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу, где-то в начале лета ловил я .IptabLes. Брутфорсили ssh по юзерам root, adm, и т.п.

    Ну то-есть ты хочешь сказать, что у тебя были словарные пароли? Ай-яй-яй, палишься, админ :).

     
     
  • 3.43, Некто (??), 10:36, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну то-есть ты хочешь сказать, что у тебя были словарные пароли? Ай-яй-яй, палишься, админ :).

    Ну не совсем словарные... В /.lib была куча файлов с опробованными IP, логинами и паролями. Да, там были и варианты типа "1234", но было и много достаточно "хаотичных" наборов символов. Во всяком случае они не были похожи на слова из европейских языков. /* За суахили и древнемарсианский не поручусь. */ Так что скорее все-таки настоящий брутфорс.

    Вот рутовый вход оторвать забыл, каюсь. Ну так напомнили, злыдни.

     
     
  • 4.47, Anonymous528 (?), 10:50, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Вот рутовый вход оторвать забыл, каюсь. Ну так напомнили, злыдни.

    За это обожми 16 патч-кордов и перенастрой коммутатор 2 раза.

     
     
  • 5.51, Аноним (-), 11:12, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > За это обожми 16 патч-кордов и перенастрой коммутатор 2 раза.

    Да вы пацифист прямо. Если у админа рутовый пароль брутом подбирают - ему надо 5 лет штрафных работ в виде протирки мышек и вытрясания пыли из системников прописывать.

     
     
  • 6.94, Некто (??), 15:44, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Если у админа рутовый пароль брутом подбирают -

    Хм... Брутом подбирают всё. Пусть долго и нудно, но тупейший перебор рано или поздно даст нужную комбинацию. Да, можно регулярно менять пароли. Да, можно воздвигать Огненные Стены. Можно даже отказаться от авторизации по паролю и оставить дырочку для единственного IP, причем на порту, который вычисляется по какому-нибудь замысловатому алгоритму. Но и это все - лишь "дополнительные сложности".

    В конце концов, можно оторвать все провода (и "беспровода" тоже), залить машину килотонной бетона, выставить по периметру боевых роботов с Церберами, но даже в этом случае нельзя быть до конца уверенным...

     
     
  • 7.107, Гентушник (ok), 16:11, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вы правда не знаете про аутентификацию по ключу?
    Подобрать там конечно тоже можно, но на пару порядков сложнее чем пароль.
     
  • 7.132, Аноним (-), 20:31, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    При достаточно длинном пароле, которого нет в словаре - солнце погаснет раньше ч... большой текст свёрнут, показать
     
  • 4.48, Аноним (-), 10:56, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот рутовый вход оторвать забыл, каюсь. Ну так напомнили, злыдни.

    У меня на одном серваке висел рутовый логин по ssh на стандартном порту 8 лет. Так никто и не сбрутил, хотя долбились истошно. А потом мне надоел спам в логах, auth log на 100+ мегов в день - не рулит, а брутеры стали наглые, многопоточные: кладут проц в полку при нашествии. Так что я замаскировал сервис, перевесив на нестандартный порт и настроив порткнок. Но это дополнительная мера. А прежде всего - качественный пароль.

    Рутовый пароль - минимум 10+ символов, не словарный и желательно с спецсимволами/отсебятиной. Если атакующий может упереть shadow и побрутить хэши "оффлайн" - лучше больше: крякеры на GPU быстрые, а если еще и для параллельного брута соберут распределенную сетку, то и подавно.

     
     
  • 5.63, Аноним (-), 12:01, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > рутовый логин по ssh на стандартном порту 8 лет
    > 8 лет
    > замаскировал сервис, перевесив на нестандартный порт

    ад

     
     
  • 6.101, Аноним (-), 16:04, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ад

    Да ладно, logrotate все стерпит. Вот жрач процессора в полку при многопоточной атаке - это плохо, да.

     
  • 4.58, Andrey Mitrofanov (?), 11:44, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну не совсем словарные...
    > было и много достаточно "хаотичных" наборов символов. Во всяком случае они

    Человеки предсказуемые.
    http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-
    <- https://www.schneier.com/blog/archives/2013/06/a_really_good_a.html

     
  • 2.46, IMHO (?), 10:42, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    побойся Торвальдса такое писать
     
     
  • 3.54, Анооооним (?), 11:30, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > побойся Торвальдса такое писать

    "Не сотвори кумира", как сказано в ТВОЕМ писании.

     
     
  • 4.64, IMHO (?), 12:02, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    согласен, сгрешил
     

  • 1.55, Аноним (-), 11:32, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > .IptabLes или .IptabLex в директории /boot

    /dev/sda3 on /boot type ext2 (ro,nodev,nosuid,noexec) всегда и везде.

     
     
  • 2.59, Аноним (-), 11:56, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > type ext2

    Мсье знает толк в некромансии.

     
     
  • 3.86, Stellarwind (?), 14:05, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По идее можно хоть FAT, особенно если вам надо UEFI и вы симлинки не используете...
    Обычно ext2 там просто потому что всегда так было, а журнал там нафиг не нужен.
     
     
  • 4.102, Аноним (-), 16:05, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > По идее можно хоть FAT,

    Нет слов, одни междометия.

     
     
  • 5.156, Stellarwind (?), 14:51, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> По идее можно хоть FAT,
    > Нет слов, одни междометия.

    Я сам не сталкивался еще, но я так понимаю EFI System partition должно быть в FAT12/FAT16/FAT32, хотя оно все же /boot/efi обычно.
    Но в целом grub грубоко фиолетово откуда ядро брать.

     
     
  • 6.159, Andrey Mitrofanov (?), 17:15, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >хотя оно все же /boot/efi обычно.

    А зачем _оно_ вообще смонтированное в [загруженной] ОС??

     
  • 2.84, Нанобот (ok), 13:35, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    эт только в твоём маленьком розовом мирке. у Людей же обычно ext3(rw)
     
     
  • 3.103, Аноним (-), 16:06, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > эт только в твоём маленьком розовом мирке. у Людей же обычно ext3(rw)

    Ext4. Ибо намного шустрее за счет экстентов, а в остальном те же яйца, вид в профиль.

     
     
  • 4.143, Аноним (-), 03:48, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> эт только в твоём маленьком розовом мирке. у Людей же обычно ext3(rw)
    > Ext4. Ибо намного шустрее за счет экстентов, а в остальном те же
    > яйца, вид в профиль.

    Экстенты особенно актуальны для содержимого /boot, угу.

     
  • 4.150, Аноним (145), 09:45, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> эт только в твоём маленьком розовом мирке. у Людей же обычно ext3(rw)
    > Ext4. Ибо намного шустрее за счет экстентов, а в остальном те же
    > яйца, вид в профиль.

    на чтение вроде быстрее ext2 не было? они же банально совместимы все, т.е. при чтении читается одно и тоже?

     
  • 2.85, anonymouzz (?), 13:40, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ах вот ты где, . Я давно тебя искал.
     
  • 2.111, Гентушник (ok), 16:24, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ext2

    Если будет внезапное отключение электричества или не дай б-г kernel panic, то после ребута фс может уже не восстановиться, т.к. нет журнала.

    У меня такая проблема была с /tmp на ext2. Хотя на /boot конечно файлы постоянно не пишутся и вероятность такого исхода стремится к нулю.

    Вообще, если /boot у меня на отдельной партиции, то я вообще не монтирую её, т.к. это просто не нужно. Загрузчику на момент загрузки ядра ничего не известно о "монтировании", а после запуска ядра, ему эти файлы больше не нужны.
    При установке нового ядра монтирую с rw. Монтировать ro вообще особого смысла не вижу.

     
     
  • 3.134, Аноним (-), 20:37, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если будет внезапное отключение электричества или не дай б-г kernel panic, то
    > после ребута фс может уже не восстановиться, т.к. нет журнала.

    А еще - fsck на томе размером терабайт-другой - занимает довольно много времени, однако.

    > У меня такая проблема была с /tmp на ext2.

    EXT2 сейчас вообще нет смысла использовать. Тормозной и ненадежный - одновременно.

    > При установке нового ядра монтирую с rw. Монтировать ro вообще особого смысла
    > не вижу.

    Мне еще интересно - любители RO на /boot что с модулями делают? Вкрячивают все в ядро и отключают совсем? А потом, воткнув в usb девайсину - хлопают себя по лбу и идут пересобирать ядро? Ну или как это культурно обтяпывается? :)

     
     
  • 4.140, Гентушник (ok), 00:43, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще - fsck на томе размером терабайт-другой - занимает довольно много
    > времени, однако.

    Ну /boot вряд ли кто будет делать на пару терабайт :)

    > Мне еще интересно - любители RO на /boot что с модулями делают?
    > Вкрячивают все в ядро и отключают совсем? А потом, воткнув в
    > usb девайсину - хлопают себя по лбу и идут пересобирать ядро?
    > Ну или как это культурно обтяпывается? :)

    Модули устанавливаются в /lib/modules/ , с /boot никакой связи нет.
    В любом случае, дрова на большинство USB-шных устройств можно дособрать и тут же подгрузить без всяких ребутов.
    Типа того:

    cd /usr/src/linux
    make nconfig
    # включаем нужное устройство модулем
    make
    make modules_install
    modprobe something

     
     
  • 5.157, Stellarwind (?), 15:08, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Он наверно про модули, которые нужны при загрузке, их надо в initrd запаковать, который рядом лежит.

    А что касается fsck, так если у вас /boot похерился, то вам ext4 не поможет.
    Чтобы запустить fsck надо загрузится, а вы ядро прочитать не можете - один хрен придется загрузится с флешки, chroot и инсталл ядра.

     
     
  • 6.161, Гентушник (ok), 10:32, 06/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Он наверно про модули, которые нужны при загрузке, их надо в initrd
    > запаковать, который рядом лежит.

    Ну и пусть лежит. Для ядра разницы никакой, ему смотнированная /boot вообще не нужна даже для поиска initrd.

    > А что касается fsck, так если у вас /boot похерился, то вам
    > ext4 не поможет.
    > Чтобы запустить fsck надо загрузится, а вы ядро прочитать не можете -
    > один хрен придется загрузится с флешки, chroot и инсталл ядра.

    Да, логично.

     

  • 1.71, V (??), 12:17, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    наверное, оба ботнета уже на системды
     
     
  • 2.123, EuPhobos (ok), 19:21, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > наверное, оба ботнета уже на системды

    Тоже заметил, что сканер безопасности "chkrootkit" стал ругаться "Warning: /sbin/init INFECTED", после установки systemd ? =))

     

  • 1.87, Аноним (-), 15:08, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не, ждёшь такой новостей о линь ботнете который бодро чпокает хомечковые убунточки, который неотвратимо так прокачивает свой ИИ и становясь непобидимым скайнетом и ничего.. эх..
     
     
  • 2.105, Аноним (-), 16:07, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, ждёшь такой новостей о линь ботнете который бодро чпокает хомечковые убунточки,

    А с чего вы взяли что он будет только убунточки? В убунточке как раз по дефолту гайки относительно неплохо затянуты, как раз.

     
     
  • 3.120, AlexYeCu_not_logged (?), 18:11, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >А с чего вы взяли что он будет только убунточки? В убунточке как раз по дефолту гайки относительно неплохо затянуты, как раз.

    Это вы про беспарольное sudo со всеми правами?

     
     
  • 4.133, Аноним (-), 20:34, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это вы про беспарольное sudo со всеми правами?

    Оно беспарольное только на ливцд. А при установке с юзера требуют достаточно сложный пароль и потом чтобы получить sudo - его еще и вводить придется, так что как раз там все на удивление цивильно в этом плане :). Там еще и AppArmor вкорячен, половине системных программ типа всяких смотрелок PDF - основательно обрублен доступ.

     
     
  • 5.148, Аноним (145), 09:39, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это вы про беспарольное sudo со всеми правами?
    > Оно беспарольное только на ливцд. А при установке с юзера требуют достаточно
    > сложный пароль и потом чтобы получить sudo - его еще и
    > вводить придется, так что как раз там все на удивление цивильно
    > в этом плане :). Там еще и AppArmor вкорячен, половине системных
    > программ типа всяких смотрелок PDF - основательно обрублен доступ.

    "требуют достаточно сложный пароль" может что-то поменялось за пол года, но во всех виртуалках для различных развлечений стоит не больше пары букв...

     
     
  • 6.153, arisu (ok), 14:05, 05/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вообще, если система имеет наглость кобениться при виде пароля «1», например, и требовать что-то сложнее, а то «ты не пройдёшь установщик!», то место такой системы в мусорке.

    пользуясь случаем, приношу благодарности разработчикам кучи дистрибутивов, где сделали такую фичу. спасибо за сэкономленое время! если бы ваш установщик прошёл «парольный тест», мне бы пришлось всё-таки ковыряться в ваших системах, чтобы понять, идиоты делали или нет. а если установщик «парольный тест» заваливает, то больше ничего не надо: делали идиоты для идиотов.

     
  • 6.164, Аноним (-), 16:35, 06/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "требуют достаточно сложный пароль" может что-то поменялось за пол года, но во

    Инсталлер при установке желает достаточно сложный пароль. Потом его можно при желании сделать простым, но...

    > всех виртуалках для различных развлечений стоит не больше пары букв...

    А, так вот за счет кого ботнеты пополняются. Достаточно вывесить ssh в сеть и ... ну боты быстро угадают 2-буквенные пароли, сами понимаете.

     

  • 1.88, lucentcode (ok), 15:26, 04/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Разве это новость? Файлы .IptabLes и .IptabLex периодически встречаются на протяжении последних месяцев 6 или даже более...
     
     
  • 2.106, Аноним (-), 16:08, 04/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Разве это новость? Файлы .IptabLes и .IptabLex периодически встречаются на протяжении
    > последних месяцев 6 или даже более...

    В воздухе пахло распи....ством админов :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру