| |
| 2.26, User294 (ok), 12:50, 20/09/2010 [^] [^^] [^^^] [ответить]
| +7 +/– |
 А, так вот зачем у него такой кислотный код был - чтобы народ мозг при попытках анализа сломал. То-то я и смотрю - сплойт от Роберта прост как топор и понятен, а это чуть ли не обфусцировано. Судя по всему мну не заPWNили :) сплойт от кислотных сук в отличие от робертовского для начала ниасилил почему-то рут получить... :). А на будущее наука - не запускать такой мутный код как от кислотных сук вообще.
| | |
| |
| 3.97, Michael Shigorin (ok), 01:16, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
 > А на будущее наука - не запускать такой мутный код как от кислотных сук вообще.
Н-да, что-то вовремя подсказало не тащить ТАКОЕ на важные системы и проверять от левого вдребезги непривилегированного пользователя (которого потом userdel -r и процессов не осталось). Хотя если б сработало, толку от этой меры было бы ноль. Слава Богу.
| | |
| |
| 4.114, User294 (ok), 22:26, 22/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Н-да, что-то вовремя подсказало не тащить ТАКОЕ на важные системы и проверять
>от левого вдребезги непривилегированного пользователя (которого потом userdel -r и
>процессов не осталось). Хотя если б сработало, толку от этой меры
>было бы ноль. Слава Богу.
У меня он тоже не сработал. Разумеется у меня хватило ума не тащить это на сервера и прочая но на десктопе (который впрочем изрядно зафайрволен, так что удачи им ремотно порулить) - я из любопытства все-таки запустил. Правда вот сплойт от кислотных сук не сработал :) что как оказалось даже к лучшему.
| | |
|
|
| 2.70, zzz (??), 16:43, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
Можно для тупых объяснить, это тот файл который robert_you_suck.c либо что то другое?
robert_you_suck.c я запускал, но кода для оставления бекдора на мой взгляд там маловато как-то... Как залечить то что они оставили?
| | |
| |
| 3.88, User294 (ok), 22:10, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
Это что-то другое ;). В оригинале новости на опеннете и не только была ссыль на эксплойт ABftw.c от неких Ac1db1tch3z (Acid Bitches) - он, конечно, эксплойт, но заодно еще и бэкдор довешивает. Отличается весьма мутно написанным кодом с дебильными названиями функций и прочая. В общем Ac1db1tch3z полностью оправдали свое название ;). Роберт тут не при чем, насколько я понимаю. У него и сплойт куда менее мутный, там названия нормальные и прочая.
| | |
| 3.98, Michael Shigorin (ok), 01:18, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Как залечить то что они оставили?
Бэкапом данных и установкой начисто. Больно, но спать спокойней.
Один раз пришлось проходить (при подозрениях на пролом openssh в 2003).
| | |
|
|
| |
| 2.10, Andrey Mitrofanov (?), 12:19, 20/09/2010 [^] [^^] [^^^] [ответить]
| –7 +/– | |
>Замечательный результат социальной инженерии.
Угумс, теперь админы x86_64 (и мы все, им сочувствующие!) могут почувствовать себя на месте олух^WHappy Winner-ов, щелкающих по "этот ссылка" для увеличения своего ... и переводящих $nn для получения выигрыша в "1BLN GBP".
| | |
| |
| 3.35, anonymous (??), 13:16, 20/09/2010 [^] [^^] [^^^] [ответить]
| +17 +/– |
Если ты на своем же боевом сервере пускаешь эксплоиты сомнительного происхождения - то ты заслуживаешь такой участи.
| | |
| 3.95, Sw00p aka Jerom (?), 00:18, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
 редхетовцы отдыхают ибо они поленились запустить херсплоит услышав тока то что он на их системе не работоспособен ))))))))
| | |
|
|
| 1.6, white_raven (?), 12:11, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Надо обмотать каждый комп бинтами в три слоя, залить йодом, потом ещё три слоя полиэтилена и самое главное никаких контактов с интернетом.
| | |
| 1.7, Анонимуз (?), 12:12, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
"Для проверки активации бэкдора в системе подготовлена специальная утилита" - более усовершенствованная версия трояна?
| | |
| 1.8, nazgul (?), 12:15, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хм. Выдаёт "!!! Error in setting cred shellcodes". ABftw.c выдаёт такую же ошибку. Что бы это значило?
| | |
| |
| 2.89, User294 (ok), 22:14, 20/09/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Судя по всему в утилитке используются некоторые куски кода взятые из ABftw.c. Ну, как и обещали - усовершенствованная версия бэкдора :)))
| | |
|
| |
| 2.11, анон (?), 12:19, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> ABftw.c
>> ABwtf.c
>
>fix
ftw - for the win.Тоже акроним tho
| | |
| |
| 3.13, Andrey Mitrofanov (?), 12:23, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
КО кагбэ намекает: wtf -- тоже, а фикс -- является игрой... гм! :) букв. И кстати, обновоите ваш пакет чувства юмора, да.
| | |
|
|
| 1.15, Sylvia (ok), 12:26, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 кто ж запускает то бинарные эксплойты? )
для проверки был и robert_you_suck.c
| | |
| |
| |
| 3.19, Sylvia (ok), 12:35, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
да , я уже посмотрела, просто загружать предлагают ABwtf.c.bin
тем не менее там в исходниках частично обфусцированно все, чтобы запутать...
| | |
| 3.20, Имени нету (?), 12:38, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
Сорец - сорец. Только если вы загляните внутрь, то обнаружите там всякие невнятные блобы, неизвестного содержания.
| | |
| |
| 4.96, Sw00p aka Jerom (?), 00:20, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Сорец - сорец. Только если вы загляните внутрь, то обнаружите там всякие
>невнятные блобы, неизвестного содержания.
стрейс вам в помощь
| | |
| |
| 5.99, Michael Shigorin (ok), 01:22, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>Сорец - сорец. Только если вы загляните внутрь, то обнаружите там всякие
>>невнятные блобы, неизвестного содержания.
>стрейс вам в помощь
По шеллкоду? А можно для чайников -- там сисколлов достаточно дёргается для опознания или хоть подозрений-то на характер кода?
| | |
| 5.107, User294 (ok), 20:54, 21/09/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>стрейс вам в помощь
Скорее уж дизассемблер, для колупания шеллкода. А то может оно через полгода срабатывает, мне что - полгода на стрейс ффтыкать чтоли, ожидая подозрительных действий? В общем вывод простой - нехрен такую кислотню хрень с столь мутным кодом вообще запускать. Нормальные люди так сорцы не пишут...
| | |
|
|
|
| 2.18, Lain_13 (?), 12:34, 20/09/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Удивительно но то, что это полноценный варез с обходом ещё вороха слоёв защиты было известно с самого начала, но нет же, идиоты неизлечимы и теперь им придётся лечить себе систему от оставленного этой байдой бэкдора. Ну может хоть это их чему-то научит.
| | |
| 2.90, User294 (ok), 22:17, 20/09/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>кто ж запускает то бинарные эксплойты? )
Он вполне себе исходник, только полуобфускированный. Код весьма мутный. Такое просто не следует запускать вообще.
| | |
|
| |
| 2.75, none (??), 18:06, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
ну ежели суметь понять.... - на что материлась - то можно заметить в коде ifdef
и либу, для кот. может понадобиться опред. девпакедж
ну ежили не удосужились пройти этот квест - хорошо, что не собралось ;)
| | |
|
| 1.22, Вова (?), 12:39, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
Что ж делать-то?
| | |
| |
| 2.23, аноним (?), 12:44, 20/09/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
>Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?
Переставь вен^Wубунту
| | |
| |
| 3.61, Вова (?), 15:44, 20/09/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
я так хочу ещё одну новость "утилита по удалению эксплойта, оказавшегося трояном, оказалась трояном"
| | |
| |
| 4.63, Andrey Mitrofanov (?), 15:59, 20/09/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
"Лаборатория Касперского отрыла платный сервис обновления антивируса для обновления трояна, проверяющего факт установки торяна, выпущенного на позапрошлой неделе разработчиками Ksplice в виде утилиты удаления трояна КислыхТёлок от поза-поза-прошлой недели."
| | |
| |
| 5.68, Вова (?), 16:35, 20/09/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
тред был бы эпичен как древний перловый однострочник на лоре, там где каментили что-то типа "я тебя найду сучонок"
| | |
|
|
|
| 2.44, Аноним (-), 14:09, 20/09/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?
Отправь СМС.
| | |
| 2.91, User294 (ok), 22:19, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?
Показывать это всем желающим. Брать по 100 рублей за билет, разумеется. Потому что если вы не врете - у вас первый в мире графический троянец для *никсов. Крайне редкая и уникальная штука которую можно показывать как экспонат :)
| | |
| 2.102, the joker (ok), 07:30, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
 >Воспользовался этой утилитой, теперь при перезагрузке система просит отправить смс!
>Что ж делать-то?
Сделайте скриншот и покажите почтенной публике. Очень интересно.
| | |
|
| 1.24, XoRe (ok), 12:45, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +27 +/– |
 Забавно.
Помнится, шутка такая была: чтобы на компе с *nix появился вирус, нужно скачать его исходники, скомпилить и запустить.
Именно это и произошло - все сами скачали, сами скомпилили, сами запустили!
Так вот она какая - вирусная эпидемия на *nix =)
| | |
| |
| 2.27, rfcr (ok), 12:50, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Пока существует слабое звено в виде человека - о безопасность можно забыть. Хоть под виндой хоть под досом.
| | |
| 2.39, gegMOPO4 (ok), 13:47, 20/09/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Это не шутка, а классика. Первый знаменитый вирус (червь Моррисона) именно так и распространялся (вернее это был один из путей распространения) — приходил email с исходниками вроде как новогодней открытки. Предлагалось откомпилировать и запустить.
| | |
| 2.92, User294 (ok), 22:20, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Именно это и произошло - все сами скачали, сами скомпилили, сами запустили!
Только это не вирус :). Но бэкдор - тоже неплохо доставляет, особенно если его обнаружить у себя в системе :)
| | |
|
| 1.25, rfcr (ok), 12:48, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –21 +/– |
Вот она хваленая безопасность Linux. Несмотря на неоднократные, такого рода, инциденты многие до сих пор считаю, что Linux безопасен ну очень безопасен.
Смешно.
| | |
| |
| 2.31, XoRe (ok), 12:53, 20/09/2010 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>Вот она хваленая безопасность Linux. Несмотря на неоднократные, такого рода, инциденты
Какие инциденты, если не секрет?
Когда админ сам скомпилил и запустил вирус?)
Против этого никакая безопасность не поможет.
>Linux безопасен ну очень безопасен.
>Смешно.
Все познается в сравнении.
По сравнению с какой системой linux - дырявый?
Зато мы все занем, какая система дырявая по сравнению с linux)
| | |
| |
| 3.37, 2Nike (ok), 13:37, 20/09/2010 [^] [^^] [^^^] [ответить]
| –11 +/– |
 > Когда админ сам скомпилил и запустил вирус?)
80% вирусов на Windows именно так и заражают систему. А остальные это IE.
>Зато мы все занем, какая система дырявая по сравнению с linux)
DOS?
| | |
| |
| 4.50, greenman (ok), 14:25, 20/09/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > > Когда админ сам скомпилил и запустил вирус?)
>
> 80% вирусов на Windows именно так и заражают систему. А остальные это IE.
У 80% компьютеров с виндой есть компилятор???
| | |
| |
| 5.66, umbr (ok), 16:10, 20/09/2010 [^] [^^] [^^^] [ответить]
| –3 +/– |
 95% компьютеров с виндой компилятор не нужен - там юзеры имеют права админов.
| | |
|
|
| 3.65, umbr (ok), 16:06, 20/09/2010 [^] [^^] [^^^] [ответить]
| –5 +/– |
Действительно безопасной системе никакой админ не страшен :)
| | |
| 3.80, аноним (?), 19:38, 20/09/2010 [^] [^^] [^^^] [ответить]
| –4 +/– |
>Какие инциденты, если не секрет?
>Когда админ сам скомпилил и запустил вирус?)
Но запустил-то в песочнице от простого юзера, а поимел проблем от рута.
>Против этого никакая безопасность не поможет.
Вот именно. Такая ширпотребная "безопасность" никому не поможет.
| | |
|
| 2.93, User294 (ok), 22:27, 20/09/2010 [^] [^^] [^^^] [ответить] | +2 +/– | Чувак, чтобы поюзать этот сплойт, надо уже иметь аккаунт на машине или эквивален... большой текст свёрнут, показать | | |
| 2.103, Michael Shigorin (ok), 10:00, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Вот она хваленая безопасность Linux.
Меня единственный раз сломали (по ощущениям, прямых доказательсв найти не удалось и отложенный для forensics analysis диск этому самому анализу уже никогда не был подвергнут) через хвалёный openssh не менее хвалёной openbsd team.
Я не стал из этого делать настолько всеобъемлющие выводы, т.к. человеку свойственно ошибаться и рассчитывать на обратное -- уже ошибка.
| | |
| 2.109, zazik (ok), 19:23, 22/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
 >Вот она хваленая безопасность Linux. Несмотря на неоднократные, такого рода, инциденты многие
>до сих пор считаю, что Linux безопасен ну очень безопасен.
>Смешно.
Ой как толсто! Я думал, такая толстота в мой 22" монитор не влезет.
| | |
|
| 1.30, Аноним (-), 12:52, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
А у меня не скомпилился. Даже с -D__i386__. Опять вирус из серии "О, у меня он даже скомпилился!"?
| | |
| |
| 2.110, User294 (ok), 20:16, 22/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>А у меня не скомпилился. Даже с -D__i386__.
Чего это за левый кулхацкинг компилера? Жжоте блин! :) Думаете, этот ваш выкрутас убедит gcc сгенерить вам 32-битный код вместо 64-битного? А вот и фиг вам! Если уж так хочется бэкдор получить - надо gcc -m32 было юзать. Тогда гцц сам __i386__ задефайнит (для i386 кода то) :))). Нет, безусловно, #error от кислотных сцук вы этим фортелем видимо заворкэраундили, но вообще-то он там был чтобы послать олухов которые пытаются компилить это не как i386. При том идентификатор начинающийся с __ - это нечто заведомо служебное, если вы не знали. Переопределять такие сущности юзерам по стандарту вообще не полагается. Вы... вы... вы за счет своей некомпетентности не получили бэкдор! Бывает же такое! :))) Лол! :).
>Опять вирус из серии "О, у меня он даже скомпилился!"?
Да, для его компила надо понимать как гцц работает в 64-битной системе и как его убедить там сгенерить 32-битный код. Что вы успешно ниасилили.
/me находит такое свойство бэкдора крайне оригинальным - он у олухов не разбирающихся в системе не запускается принципиально т.к. требует компилеру недефолтный ключ -m32 скормить :). Fool proof бэкдор - новое слово в технике! :D
| | |
|
| 1.33, lhoi (?), 13:09, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Запускал вирус на убунте и на CentOS (последние). Ни там ни там утилита ничего не находит.
| | |
| 1.34, lapti (?), 13:12, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 мануал напишите, как вирус собрать, а то сегфолтится зараза, может зависимостей каких не хватает? )))
| | |
| |
| 2.54, GameForLinux (?), 14:41, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
За что минусуют, а вроде все верно говорит? Работа админа как бы в этом и состоит! Админы которые тестируют софт и запускают непонятные эксплоиты на серверах не компетентны и их нужно выгонять палками! %(
| | |
|
| |
| 2.82, none (??), 20:28, 20/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
и что это должно означать для окружающих? ;):
- вам озвучили пожелание, в ваш адрес, в письменном виде, от создателей кода
- вы хотите перевода
- вы предлагаете вариант вашего восприятия, словами из кода, обращаясь к форумчанам
| | |
| |
| 3.111, User294 (ok), 20:35, 22/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>и что это должно означать для окружающих? ;):
Видимо это означает то что бэкдор был с защитой от дурака :))). У тех кто слишком туп чтобы знать про (недефолтный) ключ компилеру -m32 сплойт ессно не компилится, что логично. На их же счастье, кстати :). Такие вот под линух бэкдоры - дуракозащищенные :)))
| | |
|
|
| 1.46, Аноним (-), 14:16, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Лучшее враг хорошего.
А если руки шаловливые играться надо в песочнице.
з.ы. Нефиг гайки крутить в механизме когда он едет :)
| | |
| |
| 2.57, pavlinux (ok), 15:16, 20/09/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
 >Лучшее враг хорошего.
>А если руки шаловливые играться надо в песочнице.
>
>з.ы. Нефиг гайки крутить в механизме когда он едет :)
Анек напомнило, про автослесаря и хирурга.
Мастер, вытирая руки, сдает машину клиенту и попутно с ним болтает:
- А вот вы кем работаете?
- Хирург, операции на сердце провожу...
- И много платят?
- 20 000$ за операцию...
- Вот блин... ведь по сути одно и то же делаем, ты движки перебираешь и
я тоже... а мне всего 300 баксов платят...
- Хочешь так же как я получать?
- Конечно!!!!
Хирург достает из кармана пачку баксов, ЗАВОДИТ ДВИЖОК...
- Перебирай.....
| | |
|
| 1.49, angel_il (ok), 14:23, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 подготовленная специальная утилита для проверки активации бэкдора Ac1db1tch3z, предназначенного для проверки систем на наличие обнаруженной на прошлой неделе уязвимости оказалась трояном...
| | |
| 1.51, Аноним (-), 14:30, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А разве ещё кто-то пользуется не _pure_ 64bit ядрами? Только не говорите про wine, что ему требуются 32bit либы - он не нужен, если не умеет работать в pure 64 режиме. Таким образом 4 года назад отказался от флеша - просто не было 64bit плагина, и я про него забыл.
| | |
| |
| 2.64, Zenitur (?), 16:00, 20/09/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
Йа. gens, doom III, heroes III, unreal tournament 2004, skype, utorrent, adobe reader. Gens при этом свободен, а ещё свободен PCSX2, только в 2008 году там сменились разработчики. Они сделали поистине огромное количество коммитов (за 2 года их почти 4000, а до их прихода было только 400, плюс 1000 коммитов перед их приходом из форка). При этом 64-битны: все игры iD Software, даже не их Heretic. Кроме DooM III и Quake IV, и играх, основанных на их движках. Quake Live, Unreal Tournament 2004. Кроме этих программ я не вспомню других 32-битных, у которых нет 64-битной версии.
| | |
| |
| 3.112, User294 (ok), 20:41, 22/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Йа. gens, doom III, heroes III, unreal tournament 2004, skype, utorrent, adobe reader.
Жесть какая. Настоящий виндузятник даже в линуксе умудряется оставаться стопроцентным виндузятником.
| | |
|
|
| 1.55, pavlinux (ok), 15:11, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Я лучше закрыл этот бэкдор
$ zcat /proc/config.gz | grep -E 'X86_32|IA32'
# CONFIG_X86_32 is not set
# CONFIG_IA32_EMULATION is not set
# CONFIG_IA32_AOUT is not set
За одно и появился повод, наконец снести все 32 разрядные пакеты и приложения!!!
| | |
| 1.58, pavlinux (ok), 15:29, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Ну РедХэтовцы тоже отморозки...
static void p4tch_sel1nux_codztegfaddczda(struct LSM_rhel *table)
{
*((__yyrhdgdtfs66ytgetrfd *)(dis4blens4sel1nuxhayettgdr64545 + CJE_4554TFFDTRMAJHD_OFF)) = table->selinux_enforcing;
*((__yyrhdgdtfs66ytgetrfd *)(dis4blens4sel1nuxhayettgdr64545 + RJMPDDTGR_AYYYDGTREFCCV7761_OF)) = table->audit_enabled;
__dhdyetgdfstreg__(ttrfd0 + RJMPDDTGR_GDTDGTSFRDFT, dis4blens4sel1nuxhayettgdr64545, sizeof(dis4blens4sel1nuxhayettgdr64545)-1);
__dhdyetgdfstreg__(ruujhdbgatrfe345 + RJMPDDTGR_DHDYSGTSFDRTAC_SE, dis4blens4sel1nuxhayettgdr64545, sizeof(dis4blens4sel1nuxhayettgdr64545)-1);
}
Типа рефакторинг ниасилили.
| | |
| 1.59, pavlinux (ok), 15:33, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
gcc diagnose-2010-3081.c -W -Wall -Wextra
....
diagnose-2010-3081.c: На верхнем уровне:
diagnose-2010-3081.c:606:12: предупреждение: ‘rey0y0code’ определена, но нигде не используется
:-/
| | |
| 1.60, ZigmunD (??), 15:39, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Для проверки активации бэкдора в системе подготовлена специальная утилита.
А это, наверное, еще один троян? :)
| | |
| 1.62, pavlinux (ok), 15:59, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Самое интересное окажется, что цель атаки ни троян, ни найденное лекарство, а дырень,
которая появится тогда, когда появится лекарство от неё. К примеру, как выше у меня :)
Я отключил CONFIG_X86_32, CONFIG_IA32_EMULATION, CONFIG_IA32_AOUT
Может это и есть цель хацкеров :)
Или, тоже легко предсказуемая, реакция РедХэта:
# echo -1 > /proc/sys/fs/binfmt_misc/32bits
---
Теперь надо изучать поведение glibc64, когда ему подсовывают 32 битный бинарь.
и косяки в новой compat_alloc_user_space() http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=c41d68a5#patch10
| | |
| 1.67, 82500 (?), 16:26, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Теперь смотрим прошлую тему, и на доску почета тех, кто хвастался работоспособностью/вылетом :)
| | |
| |
| 2.104, Michael Shigorin (ok), 10:08, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Теперь смотрим прошлую тему, и на доску почета тех, кто хвастался
>работоспособностью/вылетом :)
Я хвастался, но из песочницы :) (хотя выводы тоже освежены, давно bugtraq@ не читал)
| | |
|
| 1.74, utilitytrack (?), 18:06, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 да... как видно, наивных дураков как с windows, так и с linux полно.
PS
uname -a
Linux lenovo-laptop 2.6.35.4-custom #1 SMP PREEMPT Mon Sep 6 03:36:21 GMT 2010 i686 GNU/Linux
| | |
| |
| 2.81, pavlinux (ok), 19:56, 20/09/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
>да... как видно, наивных дураков как с windows, так и с linux полно.
>
>PS
>uname -a
>Linux lenovo-laptop 2.6.35.4-custom #1 SMP PREEMPT Mon Sep 6 03:36:21 GMT 2010
>i686 GNU/Linux
Самое смешное это i686. Так что сиди, радуйся, что ты не лох, потому что не x64.
В вашем 32-х разрядном плеш-плеере дыреней еще на 5 поколений админов хватит. =)
| | |
| |
| 3.83, utilitytrack (?), 21:04, 20/09/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
sorry, but I don't use adobe flash.
$ dpkg -l *flash\*
un adobe-flashplugin <none> (no description available)
un flashplayer-mozilla <none> (no description available)
un flashplugin <none> (no description available)
un flashplugin-installer <none> (no description available)
un flashplugin-nonfree <none> (no description available)
un libflashsupport <none> (no description available)
I use gnash instead:
ii browser-plugin-gnash 0.8.8-5 GNU Shockwave Flash (SWF) player - Plugin for Mozilla and derivatives
ii gnash 0.8.8-5 GNU Shockwave Flash (SWF) player
ii gnash-common 0.8.8-5 GNU Shockwave Flash (SWF) player - Common files/libraries
ii gnash-common-opengl 0.8.8-5 dummy package for gnash-common-opengl removal
ii gnash-opengl 0.8.8-5 dummy package for gnash-opengl removal
un gnash-tools <none> (no description available)
un libgnash0 <none> (no description available)
ii mozilla-plugin-gnash 0.8.8-5 dummy package for renaming to browser-plugin-gnash
Cheers
| | |
|
|
| 1.85, аноним (?), 21:14, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Че-то не пойму, где они там "бэкдор" нашли? Ну да, несколько модулей ядра пропатчены, selinux отключен, но где бэкдор?
| | |
| |
| 2.100, pavlinux (ok), 02:04, 21/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Че-то не пойму, где они там "бэкдор" нашли? Ну да, несколько модулей
>ядра пропатчены, selinux отключен, но где бэкдор?
# echo ':32bits:M::\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register
Формат записи в этот register такой - :name:type:offset:magic:mask:interpreter:flags
32bits - просто идентификатор.
M - тип распознавания, М - это значит распознавать по MAGIC строке.
далее идет смещение, но в у них оно пустое - ::
\x7fELF\x01 - этот самый MAGIC, \x7fELF - это Эксхуйтэйбл Линкин Формат , 0x01 - 32 бита, (64 битный 0x02)
далее идет маска, она тоже пустая - :: ,точнее, по умолчанию 0xff
/bin/echo - интерпретатор
ну и флаги - пустые.
Чё имеем: при запуске любого 32-разрядного бинарника, будет запускаться /bin/echo binarnic.
Кто знает по каким UID будет запускаться /bin/echo ???
Вроде если запускать не от рута, ниче страшного, только выведет на экран своё имя.
А если от рута, то это ж......а.
Нету у меня 32 битов больше, проверил бы. :)
| | |
|
| 1.86, pkunk (ok), 21:18, 20/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Если бэкдор живёт только до перезагрузки, то проблемы только у тех кто умеет обновлять ядро без перезагрузки, т.е. у пользователей Ksplice?
| | |
| 1.108, yet another anonim (?), 05:54, 22/09/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Вот и начинает сбываться то, о чём я говорил - как только Линукс начнёт чаще мелькать в новостях, софтостроители писать под него софт, а популярность расти, то непременно обрушится весь этот илюзорный миф о безопасности Линукса. Да, Линукс пусть и гораздо чище и продуманнее в плане защиты, чем Выньдось, но это не значит что он неуязвим - просто пока вирусописатели на него не обратили особого внимания, как г-рится: 1) ничего идеального на свете не бывает; 2) всему своё время. ;)
| | |
| |
| 2.113, User294 (ok), 21:30, 22/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
Да почему же, обратили вот. И ... бакланы вообще не смогли бэкдор себе скомпилить, а те кто были в курсе про недефолтный ключ компилера уж наверное как-то смогут разобраться с тем что и как? :)
| | |
|
|
