https://opennet.me/openforum/vsluhforumID3/97000.html Группа исследователей из компании Яндекс опубликовала (https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem) результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в web-приложениях. Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицироавнных вредоносным ПО узлов ботнета.<br><br><br> Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в web-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме исполняемого файла, обладающего достаточно богатой функциональностью. Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форм https://opennet.me/openforum/vsluhforumID3/97000.html#100 Mon, 04 Aug 2014 08:39:50 GMT ок. показывай этот самый 2.0. с интересом посмотрю.<br> https://opennet.me/openforum/vsluhforumID3/97000.html#99 Mon, 04 Aug 2014 08:36:23 GMT &gt; Вон там орлы с хабрашвабры фундаментальнее поступили - в ядерном модуле перехватили <br>&gt; execve и выпиливают там LD_PRELOAD из окружения, если он был :).<br><br>я ни секунды не сомневался, что хабра &#8212; сборище дегенератов.<br> https://opennet.me/openforum/vsluhforumID3/97000.html#98 Sun, 03 Aug 2014 20:43:50 GMT &gt; у веб-два-ноль нет никаких бед, потому что никакого веб-два-ноль тоже нет.<br><br>И промышленная революция - миф :). Слава робо^W ишакам!<br> https://opennet.me/openforum/vsluhforumID3/97000.html#97 Sun, 03 Aug 2014 20:42:21 GMT &gt; а работает до сих пор как гoвно и только с мегакостылями. потому <br>&gt; что аналога dlsym(name, RTLD_NEXT) тупо нет.<br><br>Ну ты же понимаешь, что хакеры не гордые - и так схавают. Это разработчики там всякие плюются. А хаксорам - бабло побеждает зло, сам понимаешь.<br> https://opennet.me/openforum/vsluhforumID3/97000.html#96 Sun, 03 Aug 2014 20:40:15 GMT &gt; как видишь по сплоету &#8212; большая.<br><br>Да хрен там. Спроси у гугли про azazel например. Милая такая вещичка, на гитхабе лежит. И врядли ты порадуешься если такую поюзают против тебя. Добра под LD_PRELOAD есть достаточно много и пути там не сильно роялят. Разве что если путь смонтирован с noexec, или типа того - там может и роялит, вот это не помню.<br><br>&gt; &#8212; можно пропатчить на предмет дополнительных проверок.<br><br>Блин, спасибо капитан. И как это я сам не догадался?!<br><br>&gt; вот такой вот сюрприз. <br><br>Вон там орлы с хабрашвабры фундаментальнее поступили - в ядерном модуле перехватили execve и выпиливают там LD_PRELOAD из окружения, если он был :).<br> https://opennet.me/openforum/vsluhforumID3/97000.html#95 Sun, 03 Aug 2014 20:35:21 GMT &gt; Любой запаковщик - это уже "подозрение".<br><br>ЧСХ, не так уж и необоснованно...<br> https://opennet.me/openforum/vsluhforumID3/97000.html#94 Sun, 03 Aug 2014 20:34:08 GMT &gt; Нет. Дефолтный Linux - дырявее венды <br><br>Да не звизди, в винде тоже прелоад есть, при том 99% админов даже не знает где.<br><br> https://opennet.me/openforum/vsluhforumID3/97000.html#93 Sun, 03 Aug 2014 20:33:23 GMT &gt; Да, ты прав, ты смешно - man mprotect <br><br>Не поможет: parent процесс полностью формирует child-у окружение, в том числе передавая блок переменных окружения. Внезапное западло, да? То-есть если parent отдаст child-у какое-то г@вно - вот так по простому, child придется это съесть.<br><br>Но кстати одно решение таки нашлось. Вот, любуйся: http://habrahabr.ru/post/212825/<br><br>Ядерный модуль перехватывает execve, сканит наличие при этом в окружении LD_PRELOAD и выпиливает оный КЕМ, если он найден :). Вот такой вот костылище. А ты - mprotect. Ага, щаззз. Что ты там протектить собрался и почему это будет работать? :)<br> https://opennet.me/openforum/vsluhforumID3/97000.html#92 Sat, 26 Jul 2014 04:45:24 GMT А че Линус дистрибутив собирает???<br>