РУС |
ENG
18 мая, 2009
Теги: Linux, Unix, троян, Лаборатория Касперского
Мифы о полной защищенности *nix-систем постепенно уходят в прошлое. Недавним примером уязвимости *nix-систем стали обнаруженные Лабораторией Касперского трояны Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.
Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения:
Perl-скрипт рассылающий спам
Второй троян является исполняемым файлом для Linux и FreeBSD. Файл расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт:
Расшифровка и запуск Perl-скрипта
Эти вредоносные программы были обнаружены на серверах, зараженных трояном Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ.
На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом not-a-virus:FraudTool.Win32.MalwareDoctor.e, который предлагает «вылечить» компьютер посетителя за $60.
Сайт поддельного антивируса
Лаборатория Касперского сообщает о примерно тысяче случаев заражения сайтов программой Trojan-Downloader.JS.Iframe.auy и нескольких сотнях серверов с Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. "Времена безопасности *nix-систем давно прошли. Эти сервера постоянно рассылают почтовый спам.
Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно", - констатирует специалист компании Сергей Голованов. Возможно, опубликованная заметка заставит некоторых администраторов изменить свою точку зрения.
(Голосов: 98, Рейтинг: 1.95) |
Интересно было бы знать, каким образом оно распространяется... сс=78602
blablabla long message
фуфелокс ?????
а какой дятел фуфелокс держит на сервере ???
у меня даже лункса там нету - чистая консоль а больше для сервера и ненадо
Вот поэтому BSD и Gentoo более безопасны в этом плане - установить поминимуму на сервер а излишества уже фтопку
У меня на серверах под бздей pkg_info показывает максимум сотню пакетов - ну как туда какойто вирь залезет ??? - по SSH чтоли самостоятельно обойдя несколько паролей и запустится еще от рута
НАСТРАИВАТЬ СЕРВЕРА НЕУМЕЮТ А ПОТОМ ОРУТ ЧТО ПОД НИКСАМИ ТРОЯНЫ САМИ ЗАПУСКАЮТСЯ
незавидуюсерверам под бубунтой всякой
а че так? зассал что-ли?
залезет
да лан. нормальный сервант "искаропки"
хочется большего - велкам на генту, фрю и т.д.
Механизм?
Вообще-то количество установленного софта - не показатель, как вирус пролезет через софт, который не используется?
Так её же любая домохозяйка настроить может, разве нет?
вас все раздражает ?
купите нашу валерьянку
Валерьнка "Розовые очкки" поможет вам
Спешите - число предложений ограничено !!!!
Это самый мудрый коммент на секлабе!!
+1!!
взгляните, капча тоже умеет это делать- 86803
убунту сервер иксы даж не ставит )) не говоря уже об ФФ и далее ))
\\generated by usa, do not modify
Не зашифрует
Сложно, очень и очень сложно. config-файлы в домашней директории врятли позволят вам это сделать.
Нужен, деточка, нужен. Или рассказываешь как этого избежать, или идешь лесом.
просто и очень просто
подумай над таким вопросом: нафиг боту нужен рут?
Скрипту выполняющий рассылку почты root не нужен.
НО есть одно но, скрипт должен запускаться все равно под определенным пользователем, а тут несколько вариантов - нужен root, пользователь сам запустил конфигуратор скрипта, возможно выполнив браузером по ссылке приложение. НО сама система не пострадает, однозначно!!!
Такое можно только в Windows. Или ты не знал?
хренасе. кто это такое сказал?
Далпаёп! Чтобы, сделать что-то с системой именно и нужен пасс рута!
а это, походу, не тот самый клоун, который в ФФ не умеет картинки сохранять?
MWA-HA-HA!!! Эти дети до сих пор не поняли, что настоящей ценностью обладают лишь пользовательские данные, а системные файлы нафиг ни кому не нужны. Потому и продолжают тупо твердить, что для нанесения вреда обязательно нужен пароль рута.
Для рассылки спама нужны пользовательские данные, я в акуе....
Виндузятники как обычно п*зд*т о том чего не знают.
где он сказал, "для рассылки спама"?
Для рассылки спама нужны пользовательские данные, я в акуе....
Виндузятники как обычно п*зд*т о том чего не знают.
Ты дурак?
(этот комент ооооооооооочень длинный, задолбал уже этот фильтр)
В комплекте к исходному скрипту "вируса" идет мануал по его запуску и список зависимостей.
Вот поэтому нефиг ставить всякие непонятные вещи. А ставить тока то, что есть в официальном репозитарие дебиана. И скачивать тока отуда, а не с сервака за углом.
Систему, по возможности почаще обновлять.
/lib/ld-linux.so.2 спасє от
noexec - миф
обходится элементарно
А еще как обойти параметр запрещающий в принципе исполнение umask=111
-rw-r--r-- 1 user0 user0 3 Май 20 15:21 ./ls.sh
[user0@asu_szn ~]$ cat ./ls.sh
ls
[user0@asu_szn ~]$ cat ./ls.sh | bash
? что-то вроде этого ?
если в директории noexe запускать скриптец как
./script.pl
то он естественно не запустится
но если сделать так:
/usr/bin/perl script.pl
то noexeс отправится лесом
если в директории noexe запускать скриптец как
./script.pl
то он естественно не запустится
но если сделать так:
/usr/bin/perl script.pl
то noexeс отправится лесом
А если еще и запретить запускать интерпритаторы
Да еще бы поставить gentoo harned =)
И ваще есть присказка такая - не работай под рутом козленочком станешь %))
Когда она перестала быть POSIX-совместимой?
Учим матчасть.
В таком случае юниксов сейчас уже почти не существует.
если QNX в конторе использовать как роутер или фронтальный шлюз это будет считаться нарушением авторских прав или всеравно надо покупать эту систему ???
Боже мой, Стив, какая неграмотность. QNX - коммерческая POSIX-совместимая операционная система реального времени, предназначенная преимущественно для встраиваемых систем. Начерта она на серверах?
Дык кто его запускать будет то? и как он в систему попадет-то? Ладно. Далее:
>Эти вредоносные программы были обнаружены на серверах, зараженных трояном Trojan-Downloader.JS.Iframe.auy
Вот это мне более конкретно объясните, как троян заразил сервер?
1. есть такая штука, как сплоит. сплоиты или как их еще называют эксплоиты бывают для всех систем. и хакеры активно их юзают.
2. юзер-баран - это тот, что запускает все, что запускается. и если на работе от этого спасет админ (если он есть и он умный), то дома комп в миг превратится в часть ботнета.
Учитывая распространенность заблуждения, что линукс/мак/*bsd неподвержены вирусам, стоит ждать беды
Все равно на сабж это не отвечает, откуда в таком случае появился троян на серваке? На шаред-хостинге такое случается, но по вине клиентов, у которых на Windows-машинах появляются вирусы, и воруют пароли от FTP, и затем подменяют индексные странички или все странички. Но это тоже самое, что арендовать целый сервер и разрешить root-логин по ssh с паролем 123, понятно, что будет с таким севером через пару дней.
Ну вы и линупсятники ТУПЫЕ!! А ещё что-то на виндовс пользователей гоните. Ниче, скоро и вы на своей жопе испытаете что такое трояны. Может и в компах больше понямать станите!
уже предвижу заголовок типа "ощибка в проигрывателе kaffeine позволяет злоумышленнику захватить контроль над компьютером под управлением linux и freebsd и всех подобных систем, использующих KDE"
и описание "для устранения нужно наложить патч #124584757 и обновить и скомпилировать ядро и KDE до версию xx.xx.xx"
Под windows проблема решается заплаткой. вот пусть после этого и говорят, что Next-next-finish - зло
Только ждать заплатку до очередного вторника))))
next-next - действительно зло.
sudo apt-get update && sudo apt-get upgrade и всёёёё :-p
yum update
urpmi --auto-select
Жалко продвинутых сисадминов которые будут потом жить на этой работе для исправления всех этих косяков что понаделали школьники
Да и пусть ломают сервера под никсами - мне больше будут платить для исправления косяков
в репозиториях дебиана конь не валялся. че-т неторопяца они чистить оттуда старый хлам.
Пожалуйста, пример для стабильной версии (lenny или etch). В testing или unstable вполне возможно, но на то они не не stable.
не пример уже не приведу - это было когда еще 4-ка тока-тока вышла
помню только что лечил правкой симлинка в /уср/либ/
Да и пусть ломают сервера под никсами - мне больше будут платить для исправления косяков
arkan это тот тип что не смог стартануть самбу на FreeBSD 7.2 и бредил тут что релизы FreeBSD недостаточно стабильны? Уймись професар!
сначало самбу запустить или сначало net ads join -U и потом запускать самбу
Попробуй и ты очень будешь удивлен увиденным в консоле
Но как в моей любимой винде найти и скачать нужные заплатки? Автообновление сжерает весь трафик и работу проца.
Ну это ты уже слишком перехвалил - четыре.
<=========================== Это длинный коментарий =============================================<
sudo pacman -Suy
---------------------------------------------------
А то меня уже двое послали тебе передать, что чти долбоврёш!
Ну так ты при обновлении ядра, обнови к нему и модули.
У меня VMWare вапсще перестала запускаться после установке третьего SP. Пришлось переставлять.
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Это длинный комент
////////////////////////////////////////////////////////////
Родной, ты видимо не знаешь, что софт правильно ставить только из доверенного (репозитория). В этом и основная причина троянов. Для того, чтобы уберегаться от троянов достаточно всего лишь не ставить софт, неизвестно откуда взятый.
Нафик миру ваши костыли?
Я хочу скачивать любимую программу из ближайшего мне источника.
Сначала нужно софт найти и скачать по одному, затем кряки/кейгены/серийники искать тоже по одному. Потом уже с вируксами/троянами/червями бороться и проиграть в конце-концов. Затем приходиться винт форматировать и заново весь софт и регистраторы к нему качать. Вот только на это время и хватает.
Даже с девушкой толком не пообщаешься. Это вы линупсойды-ленивы, до того, что вам даже лень качать кучу платных прог и их взламывать по одной - все одной строкой ставите.
я хочу трахаться с любой подвернувшейся женщиной
а ЗППП - проблема врачей
о том что линукс перешагнул некий порог популярности и теперь он интересен хакерам. Понятно, что perl - это не все. если популярность линукс будет расти - появятся очень извращенные вирусы и эксплоиты два в одном так сказать ну типа kido для windows
А если по делу то все сети делятся на взломанные и те что не успели взломать по разным причинам и насрать глубоко на каких осях они построены ибо оси настраивает человек а человек никогда не сможет предусмотреть все и те кому сильно приспичит лазейку найдут всегда.
#!/bin/sh
/usr/bin/wget -O $HOME/spambase.txt http://myhost.ru/spambase.txt
for ADDRESS in `cat $HOME/spambase.txt`; do
/usr/bin/mail -s 'Its SPAM' ADDRESS
done
Писано без проверки, но смысл такой.
Только не все так просто
да и вопрос: Как этот Касперский обнаружил эти вирусы? Он что Линукс систему проверял?
да и самое главное: здесь говориться про Перл, а не про операционки.
Он же возмеот свои любимые файн, грип и кат и выведет все подозрительные строки.
Я неделю пытался уломать компутер соседа-линупсойда, но этот гад использует везде где можно nouexec, umask=122.
Как на таком компе запустить эти трояны?
Это у меня глюк или виндовые программы теперь без вайна работают в никсах?
На первой картинке ссылку не по вычистили:
malware-safe.com/cgi-bin/ - этого каталога не существует на сервере.
Нашел я этот срипт.
Странный троян какой-то, логи ведет... зараженные сайты блокирует...
Дядя Женя, перловский срипт-то поправте, а то он ошибку выдаст!!!
Или ваше спецы в перле разбираются также как в инопланетной археологии?
-------ыыыыы-----
Или у тебя на /usr/bin тоже noexec?
капча детектед