https://www.opennet.ru/openforum/vsluhforumID3/70844.html Разработчики компании Ksplice, развивающей (http://www.opennet.ru/opennews/art.shtml?num=27811) технологию обновления Linux-ядра без перезагрузки, обнаружили (http://blog.ksplice.com/2010/09/cve-2010-3081/), что представленный (http://seclists.org/fulldisclosure/2010/Sep/268) в списке рассылки Full Disclosure "работающий" эксплоит Ac1db1tch3z (ABftw.c), предназначенный для проверки систем на наличие обнаруженной на прошлой неделе уязвимости (http://www.opennet.ru/opennews/art.shtml?num=27979), сочетал в себе функции троянского ПО. <br><br><br>Эксплоит действительно позволял получить root-доступ из-за ошибки в трансляции 32-разрядных вызовов на 64-разрядных Linux-ядрах, но дополнительно активировал "бэкдор", позволяющий злоумышленникам в дальнейшем получить права суперпользователя на данном компьютере, даже после установки обновлений Linux-ядра и перезагрузки. Для проверки активации бэкдора в системе подготовлена специальная утилита (https://www.ksplice.com/uptrack/cve-2010-3081.ssi.xhtml).<br><br><br>URL: http://blog.kspli https://www.opennet.ru/openforum/vsluhforumID3/70844.html#114 Wed, 22 Sep 2010 18:26:32 GMT &gt;Н-да, что-то вовремя подсказало не тащить ТАКОЕ на важные системы и проверять <br>&gt;от левого вдребезги непривилегированного пользователя (которого потом userdel -r и <br>&gt;процессов не осталось). Хотя если б сработало, толку от этой меры <br>&gt;было бы ноль. Слава Богу. <br><br>У меня он тоже не сработал. Разумеется у меня хватило ума не тащить это на сервера и прочая но на десктопе (который впрочем изрядно зафайрволен, так что удачи им ремотно порулить) - я из любопытства все-таки запустил. Правда вот сплойт от кислотных сук не сработал :) что как оказалось даже к лучшему.<br> https://www.opennet.ru/openforum/vsluhforumID3/70844.html#113 Wed, 22 Sep 2010 17:30:14 GMT Да почему же, обратили вот. И ... бакланы вообще не смогли бэкдор себе скомпилить, а те кто были в курсе про недефолтный ключ компилера уж наверное как-то смогут разобраться с тем что и как? :)<br> https://www.opennet.ru/openforum/vsluhforumID3/70844.html#112 Wed, 22 Sep 2010 16:41:58 GMT &gt;Йа. gens, doom III, heroes III, unreal tournament 2004, skype, utorrent, adobe reader.<br><br>Жесть какая. Настоящий виндузятник даже в линуксе умудряется оставаться стопроцентным виндузятником.<br> https://www.opennet.ru/openforum/vsluhforumID3/70844.html#111 Wed, 22 Sep 2010 16:35:32 GMT &gt;и что это должно означать для окружающих? ;): <br><br>Видимо это означает то что бэкдор был с защитой от дурака :))). У тех кто слишком туп чтобы знать про (недефолтный) ключ компилеру -m32 сплойт ессно не компилится, что логично. На их же счастье, кстати :). Такие вот под линух бэкдоры - дуракозащищенные :)))<br> https://www.opennet.ru/openforum/vsluhforumID3/70844.html#110 Wed, 22 Sep 2010 16:16:14 GMT &gt;А у меня не скомпилился. Даже с -D__i386__. <br><br>Чего это за левый кулхацкинг компилера? Жжоте блин! :) Думаете, этот ваш выкрутас убедит gcc сгенерить вам 32-битный код вместо 64-битного? А вот и фиг вам! Если уж так хочется бэкдор получить - надо gcc -m32 было юзать. Тогда гцц сам __i386__ задефайнит (для i386 кода то) :))). Нет, безусловно, #error от кислотных сцук вы этим фортелем видимо заворкэраундили, но вообще-то он там был чтобы послать олухов которые пытаются компилить это не как i386. При том идентификатор начинающийся с __ - это нечто заведомо служебное, если вы не знали. Переопределять такие сущности юзерам по стандарту вообще не полагается. Вы... вы... вы за счет своей некомпетентности не получили бэкдор! Бывает же такое! :))) Лол! :).<br><br>&gt;Опять вирус из серии "О, у меня он даже скомпилился!"? <br><br>Да, для его компила надо понимать как гцц работает в 64-битной системе и как его убедить там сгенерить 32-битный код. Что вы успешно ниасилили. <br><br>/me находит такое свойство бэкдора крайне оригинальным https://www.opennet.ru/openforum/vsluhforumID3/70844.html#109 Wed, 22 Sep 2010 15:23:44 GMT &gt;Вот она хваленая безопасность Linux. Несмотря на неоднократные, такого рода, инциденты многие <br>&gt;до сих пор считаю, что Linux безопасен ну очень безопасен. <br>&gt;Смешно. <br><br>Ой как толсто! Я думал, такая толстота в мой 22" монитор не влезет.<br> https://www.opennet.ru/openforum/vsluhforumID3/70844.html#108 Wed, 22 Sep 2010 01:54:42 GMT Вот и начинает сбываться то, о чём я говорил - как только Линукс начнёт чаще мелькать в новостях, софтостроители писать под него софт, а популярность расти, то непременно обрушится весь этот илюзорный миф о безопасности Линукса. Да, Линукс пусть и гораздо чище и продуманнее в плане защиты, чем Выньдось, но это не значит что он неуязвим - просто пока вирусописатели на него не обратили особого внимания, как г-рится: 1) ничего идеального на свете не бывает; 2) всему своё время. ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/70844.html#107 Tue, 21 Sep 2010 16:54:55 GMT &gt;стрейс вам в помощь <br><br>Скорее уж дизассемблер, для колупания шеллкода. А то может оно через полгода срабатывает, мне что - полгода на стрейс ффтыкать чтоли, ожидая подозрительных действий? В общем вывод простой - нехрен такую кислотню хрень с столь мутным кодом вообще запускать. Нормальные люди так сорцы не пишут...<br> https://www.opennet.ru/openforum/vsluhforumID3/70844.html#106 Tue, 21 Sep 2010 11:38:27 GMT а ситемного вызова сокет там не будет ????<br>