https://www.opennet.ru/openforum/vsluhforumID3/90266.html В Сети зафиксирована (http://jarmoc.com/blog/2013/05/28/ror-cve-2013-0156-in-the-wild/) массовая атака на сайты, использующие устаревшие выпуски фреймворка Ruby on Rails, содержащие неисправленную уязвимость CVE-2013-0156 (http://www.opennet.ru/opennews/art.shtml?num=35792). Несмотря на то, что обновление Ruby on Rails с исправлением уязвимости было представлено ещё в январе, остаётся достаточно много систем не установивших обновление и остающихся уязвимыми. Этим и воспользовались злоумышленники, намеренные сформировать новый ботнет на базе таких систем. <br><br>После эксплуатации уязвимости на сервер устанавливается специальная вредоносная программа, принимающая управляющие команды через IRC (используется канал #rails на сервере cvv4you.ru). В списке процессов вредоносная программа выглядит как "-- bash". <br><br><br><br>Загрузка вредоносного ПО активируется через Cron. После получения доступа к атакованной системе, на ней выполняется следующий код (загрузка и сборка приложения k.c):<br><br>&lt;font color="#461b7e"&gt;<br>crontab - https://www.opennet.ru/openforum/vsluhforumID3/90266.html#28 Sat, 01 Jun 2013 12:58:00 GMT https://jira.mongodb.org/browse/PYTHON-532<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#27 Sat, 01 Jun 2013 10:47:49 GMT &gt; отсутствие компилятора на сервере... как элемент защиты. виндовсятник?<br><br>скорее убунтоид, если разница кого-то волнует<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#26 Sat, 01 Jun 2013 05:53:00 GMT &gt;&gt;Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены <br>&gt; gcc <br><br>Прикинь, если выставленные наружу виндовые сервера (нам пытались такую технологию впарить). Такому серверу ничто не угрожает ... минут 15. Потом пипец.<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#25 Sat, 01 Jun 2013 05:51:27 GMT &gt; Как и всё, что админы поставили и оставили без внимания на длительное <br>&gt; время.<br><br>А если админа контрора берет только для внедрения, а потом фактически засылает его?<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#24 Sat, 01 Jun 2013 05:49:53 GMT Определение вируса (заодним и других зловредов) хоть в Википедии прочитай и заучи наизусть как устав караульной службы, если суть запомнить не можешь. Может, тебе это поможет не позориться на компьютерных форумах.<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#23 Fri, 31 May 2013 17:19:16 GMT отсутствие компилятора на сервере... как элемент защиты. виндовсятник?<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#21 Fri, 31 May 2013 14:06:53 GMT &gt; Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD <br>&gt; и правда нету.<br><br>Вообще есть)<br>Но они очень редки, в пересчете на количество пользователей/серверов.<br>И чаще это руткиты.<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#20 Fri, 31 May 2013 13:34:05 GMT Он не знает что такое руби.<br>Да похоже и рельсы не знает что такое.<br> https://www.opennet.ru/openforum/vsluhforumID3/90266.html#19 Fri, 31 May 2013 13:17:44 GMT "сесуриту" ? А это в куда?<br>