| |
| 2.18, pavlinux (ok), 02:06, 16/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 # cp /bin/bash /tmp/
# cd /tmp
# readelf -a ./bash | grep PATH
0x000000000000000f (RPATH) Library rpath: [/lib64/bash/4.2]
0x000000000000001d (RUNPATH) Library runpath: [/lib64/bash/4.2]
# cp /tmp/libbackdoor.so /lib64/bash/4.2/
# ln -s /lib64/bash/4.2/libbackdoor.so /lib64/bash/4.2/libreadline.so.6
# ldd ./bash
/bin/bash: symbol lookup error: /bin/bash: undefined symbol: emacs_meta_keymap
Ну сами понимаете, надо сделать копию libreadline.so.6 со своими плюшками.
| | |
| |
| 3.56, fi (ok), 14:21, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > /bin/bash: symbol lookup error: /bin/bash: undefined symbol: emacs_meta_keymap
> Ну сами понимаете, надо сделать копию libreadline.so.6 со своими плюшками.
Идея интересная, но там нет вызовов read, EVP_CipherInit, fork и ioctl, нужен механизм preload.
| | |
|
|
| 1.2, A.Stahl (?), 00:13, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Т.е. чтобы эта штука заработала, мне надо скачать что-то неведомое, а потом ещё и запустить это из-под рута? Да ещё и не выгружать эту дрянь из памяти?
Думаю, я в безопасности.
| | |
| |
| 2.3, Аноним (-), 00:24, 16/11/2013 [^] [^^] [^^^] [ответить]
| –9 +/– |
Чем докажешь, что у тебя не Убунта на сервере да еще с иксами и софтом из ppa? :)
| | |
| |
| 3.4, Аноним (-), 00:38, 16/11/2013 [^] [^^] [^^^] [ответить]
| +6 +/– |
Чем Убунта не угодила? У Гугл и Википедии проблем с ней нет.
| | |
| |
| |
| |
| 6.69, Аноним (-), 17:54, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Для пользователей по крайней мере не заметно
(ехдно) Успешный взлом и должен годами оставаться незаметным. Не только пользователям, но даже сисЯдмину. :)
| | |
| |
| 7.102, Аноним (-), 14:56, 17/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> (ехдно) Успешный взлом и должен годами оставаться незаметным. Не только пользователям,
> но даже сисЯдмину. :)
При том обычно кульсисопов ломают чаще чем википедии и гугли. Потому что у тех есть персонал который может за машинами нормально следить, в отличие от.
| | |
|
|
|
|
| 3.13, Antonim (ok), 01:38, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Софт из ppa, лично мне, даже на домашней машине в голову не прийдет под рутом запускать. А на рабочих либо основные сервера, либо самому пакеты собирать, ну или у меня кое где лицензионные PPA стояли.
| | |
| |
| 4.15, lucentcode (ok), 01:56, 16/11/2013 [^] [^^] [^^^] [ответить]
| +11 +/– |
 Лицензионных PPA не бывает. Сама абревиатура как бы намекает, что это персональные архивы пакетов, то есть за их содержимое отвечает какой-то Вася Пупкин, а не Canonical или сообщество. Если на сайте разработчика того, или иного ПО прямо не указан адрес PPA-репозитория, вполне возможно, что автор приложения, и владелец PPA, который выдаёт себя за автора - абсолютно разные люди. Где гарантия, что Вася - это Вася? И что он не подмешал какую-то дрянь к сорцам собранного им приложения? Вы пишете, что не запускаете под рутом софт из PPA. Похвально. Но знаете ли вы, что во время установки любого пакета, пакетный менеджер(работающий с привилегиями суперпользователя) может выполнить скрипт произвольного содержания? Вот материал(http://www.debian.org/doc/debian-policy/ch-maintainerscripts.html), который стоит прочесть, перед тем, как вы надумаете в следующий раз устанавливать какую-то гадость из PPA.
| | |
| |
| |
| 6.89, lucentcode (ok), 19:54, 16/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> а как без рута?
Никак. При установке пакета производятся действия, для которых необходимы повышенные привилегии. Вот поэтому ни в коем случае не стоит запускать пакет из неизвестного источника на установку. Я когда сомневаюсь - собираю пакетик ручками, и не имею потом проблем. Заодно можно собрать программу с нужными флагами сборки.
| | |
| |
| 7.103, Аноним (-), 14:57, 17/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> неизвестного источника на установку. Я когда сомневаюсь - собираю пакетик ручками,
> и не имею потом проблем. Заодно можно собрать программу с нужными
> флагами сборки.
Вопрос на засыпку: что помешает при этом подпихнуть в скрипты сборки/установки или просто сорец программы что-нибудь бонусное? Врядли ты вычитываешь все это от и до...
| | |
|
|
| 5.59, Аноним (-), 14:48, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Не совсем так. Часть ППА ведется как раз таки разработчиками, в том числе и из Каноникл. А вот левые ставить это да - бред, лучше самому скомпилять.
| | |
| |
| 6.88, lucentcode (ok), 19:51, 16/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Не совсем так. Часть ППА ведется как раз таки разработчиками, в том
> числе и из Каноникл. А вот левые ставить это да -
> бред, лучше самому скомпилять.
Верно. Но если об этом написано только на странице PPA, но об этом нет ни слова на сайте проекта, я бы усомнился, а точно ли разработчик создал ту, или иную PPA. Написать на страничке PPA можно что угодно. Не нужно слепо этому верить. Доверяй, но проверяй:)
| | |
|
| 5.91, Аноним (-), 21:41, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Где гарантия, что Вася - это Вася?
В его ключах которыми подписываются пакеты, как и обычно. А вот доверять ли Васе или нет - это уже на вашей совести. Если в большом сообществе Васи более-менее прошли проверку временем и сотнями глаз, то с PPA уровень доверия Васям разумеется ниже. Тем не менее, у ряда Вась вполне нормальная репутация а подписи гарантируют что это именно тот Вася, а не какой-то самозванец.
| | |
| |
| 6.96, lucentcode (ok), 02:22, 17/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Вот именно, что всё строится на доверии к тому, или иному персонажу... Проверил подпись, решил что доверяешь хозяину PPA - и понеслась установка пакетов. Но ведь не мало людей просто в бложике каком-то прочитали, что для установки пакета нужно добавить PPA и установить пакет, и больше их ничего не интересует...
| | |
| |
| 7.109, Аноним (-), 23:26, 17/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> больше их ничего не интересует...
А уж сколько людей купилось на увещевания наперсточников на улице...
| | |
|
|
|
| 4.60, Mr. Cake (?), 15:00, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
А ничего что при установке любого deb-пакета (в т. ч. из PPA) postinstall скрипт выполняется от рута? А ничего что пакет может содержать бинарник с флагом setuid?
| | |
|
|
| 2.5, vitalif (ok), 00:52, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Ну с задачей "не выгружать это из памяти", видимо, отлично справится LD_PRELOAD )
| | |
| 2.14, Пиу (ok), 01:50, 16/11/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
 не совсем
что это заработало, нужно найти дырку в похапе, потом из-за кривых настроек поднять себе привилегии до рутовых, а потом спрятаться в процессе sshd
вот это называется бэкдор. а то с чем вы спутали называется троян и к новости не относится
| | |
| |
| 3.22, Ordu (ok), 02:56, 16/11/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Не, это называется проникновение в систему. А бекдор -- это то, что проникнувшие оставляют на память о своём проникновении.
| | |
|
| |
| 3.26, arisu (ok), 04:05, 16/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Ога.
ога. не надо запускать всякое непонятное говно, найденое на помойке.
| | |
| |
| 4.92, XoRe (ok), 00:18, 17/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> Ога.
> ога. не надо запускать всякое непонятное говно, найденое на помойке.
По ссылке эксплоит, который может запустить простой юзер.
А у хостера таких простых юзеров с шеллами - тысячи.
| | |
| |
| 5.93, arisu (ok), 00:21, 17/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
для особо тупых повторяю ещё раз: «не надо запускать всякое непонятное говно, найденое на помойке».
| | |
| |
| 6.98, linux must __RIP__ (?), 12:05, 17/11/2013 [^] [^^] [^^^] [ответить]
| –4 +/– |
для arisu повторяем - ты в своей песочнице на n900 можешь запускать что хочешь, а вот когда дело дойдет до хотера - они гады предоставляют шеловый доступ.. и далеко не каждый запускает юзера в отдельном контейнере. Вот же гады.. а выполнив код в ядре можно и selinux обойти..
| | |
| |
| 7.110, Аноним (-), 23:28, 17/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> что хочешь, а вот когда дело дойдет до хотера - они
> гады предоставляют шеловый доступ.. и далеко не каждый запускает юзера в
> отдельном контейнере.
Отлично, накоенец то поголовье извращенцев-пи...сов поубавится. Хотя-бы и при помощи невкусных пинков.
| | |
|
| 6.114, XoRe (ok), 21:18, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> для особо тупых повторяю ещё раз: «не надо запускать всякое непонятное говно,
> найденое на помойке».
Легко называть всех тупыми, когда админишь только localhost :)
Когда начнете админить что-то публичное, поймете, о чем я.
| | |
|
|
|
|
| 2.30, Аноним (-), 05:46, 16/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Стандартные вопросы: как давно это существует, и как много кто этим
> смог воспользоваться? (А кто?) И зависит ли наличие уязвимости сей от
> того, какая это версия ядра, дистрибутива, или ПО в нем? (а
> если не на серверах, а в каком другом сетевом оборудовании, то
> там это все может ли быть?)
> Может ли что подобное не выявленное где существовать еще?
> (а Сноуден ничего там случайно об этом не знает? А то,-
> он же аж десятки тысяч црушных секретных документов тех тогда там
> раздобыл).
Это руткит, а не эксплоит. Он не эксплуатирует уязвимости, а позволяет атакующему закрпеться в успешно атакованной ранее системе.
| | |
| |
| 3.76, Пиу (ok), 18:33, 16/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
но его наличие (и то что его нашли в дикой природе) указывает (как лакмусовая бумажка) на наличие дыры где-то. вопрос откуда он взялся - вот вопрос
| | |
| |
| |
| 5.83, Пиу (ok), 19:19, 16/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в большинстве случаев это дыра в голове wannabe-админа.
а в данном случае?
| | |
| |
| 6.85, arisu (ok), 19:24, 16/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> в большинстве случаев это дыра в голове wannabe-админа.
> а в данном случае?
а вданном случае вообще бла-бла-бла. ни сэмпла, ни информации про пути распространения.
| | |
|
|
|
|
| 2.112, Аноним (-), 11:11, 18/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Используется одна из туч уязвимостей, за тебя все успешно устанавливает злоумышленник, а потом ты ничего никогда не заметишь, т к уверен в собственной безопасности.
| | |
|
| 1.7, fi (ok), 01:15, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Круто! хорошо задумали, все думал когда будут такое использовать.
| | |
| |
| 2.87, Аноним (-), 19:49, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Круто! хорошо задумали, все думал когда будут такое использовать.
Руткиты появились в незапамятные времена. И, кстати, изначально под юникс-системы. И техника перехвата функций до сокрытия своей деятельности и передачи данных атакующему тоже с длинной бородой.
| | |
|
| 1.10, ананим (?), 01:31, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Самого главного нет — как распространяерся?
Если "вручную", то не место сабжу в лучшем случае в мини-новостях.
| | |
| |
| 2.17, Lain_13 (ok), 02:06, 16/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Распространяться оно может как угодно. Например, каким-нибудь пакетом автоматического поиска популярных дыр на серверах. Нашёл подходящие дыры — вкатил эту дрянь.
| | |
| |
| 3.19, Нанобот (ok), 02:27, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 вопрос был "как распространяется", а не "как может распространяться"
| | |
| |
| 4.113, Аноним (-), 11:13, 18/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> вопрос был "как распространяется", а не "как может распространяться"
Как может так и будет, при необходимости.
Бэкдор найден в дикой природе, а не сделан в лаборатории. Пострадал лион клиентов и крупный хостинг. Щас вам все напишут после расследования.
| | |
|
| 3.34, ананим (?), 07:30, 16/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как угодно — это бред, а не ответ.
Вот я придумал супер вредоносное ПО (rm -rf /). Распространите его плс.
| | |
| |
| 4.51, Аноним (-), 12:05, 16/11/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Как угодно — это бред, а не ответ.
> Вот я придумал супер вредоносное ПО (rm -rf /). Распространите его плс.
Вы его как раз сейчас и распространили :)
| | |
| |
| 5.65, Anoybv (?), 17:00, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
"Карачун тебе, Церители"
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -
наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок до семи лет.
| | |
|
| 4.58, Evtomax (ok), 14:38, 16/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Не работает :(
evtomax@debian ~> rm -rf /
rm: опасно рекурсивно обрабатывать «/»
rm: используйте --no-preserve-root, чтобы отменить предупреждение об опасности
| | |
| |
| 5.107, ананим (?), 18:10, 17/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот именно.
Вначале нужно как минимум стать рутом.
Так что сабж — это не бэкдор в линухе, а шибко умный (возможно бывший), но не чистый на руку админ из одной (только лишь) конторы.
В общем и не выиграл, и не в шахматы,... желтизна.
| | |
|
|
|
|
| 1.11, tessel (?), 01:35, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Not bad. Отличная новость и очень здорово, что приведен быстровалидатор для проверки своих систем.
| | |
| |
| |
| |
| |
| 5.39, Аноним (-), 08:57, 16/11/2013 [^] [^^] [^^^] [ответить]
| –9 +/– | |
> Там посаны блоуфишем балуются, думашь такие косяки оставят?! :D
Блоуфиш, это когда к каждому символу по единичке прибавляют, чтобы никто такой грозный шифр не догадался прочитать? Да, это крутые робяты.
| | |
| |
| 6.71, Аноним (-), 17:59, 16/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Там посаны блоуфишем балуются, думашь такие косяки оставят?! :D
> Блоуфиш, это когда к каждому символу по единичке прибавляют, чтобы никто такой
> грозный шифр не догадался прочитать? Да, это крутые робяты.
Который ты путаешь с блоуджобом.
| | |
|
| 5.52, Lain_13 (ok), 12:34, 16/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
В статье очень даже внятно сказано, что в дампе памяти процесса можно искать указанные строки, а вопрос был как получить дамп. Зашифровали б посоны код в памяти — фиг бы что грепать там было бы можно, а в данном случае значит не зашифровали.
| | |
| |
| 6.64, pavlinux (ok), 16:36, 16/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
key=, dhost=, hbt=3600, sp=, sk=, dip=,... - это половые фантазии Симантека,
эти токены, можно сказать стандарт для ботнетов. Кто-то давно написал, вот
исходники и кочуют между хак-группами.
А бинарники, в дистрибутивах, проверяют на контрольные суммы:
# rpm -V openssh
openssh
5S.T..... c /etc/ssh/sshd_config
missing /lib/systemd/system/sshd.service
# debsums openssh
...
| | |
| |
| 7.68, Lain_13 (ok), 17:34, 16/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Вообще-то «прелесть» данного бэкдора в том, что он цепляется к процессам в памяти и пользуется их соединениями и вклинивается в их трафик. Вставить же его в процесс автозагрузки можно уймой способов и без модификации бинарников. Так что проверка контрольных сумм файлов на винте тебе практически наверняка ничего не даст.
И знаешь, если Симантек написали, что в данном бэкдоре такие строки есть, то твоё мнение о их половых фантазиях мягко говоря неуместно если только ты не докажешь обратное. Доверять им в этом вопросе поводов больше, нежели тебе.
| | |
| 7.99, linux must __RIP__ (?), 12:08, 17/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> key=, dhost=, hbt=3600, sp=, sk=, dip=,... - это половые фантазии Симантека,
> эти токены, можно сказать стандарт для ботнетов. Кто-то давно написал, вот
> исходники и кочуют между хак-группами.
> А бинарники, в дистрибутивах, проверяют на контрольные суммы:
> # rpm -V openssh
> openssh
> 5S.T..... c /etc/ssh/sshd_config
> missing /lib/systemd/system/sshd.service
> # debsums openssh
> ...
чукча не читатель.. Там же написано что бинарник они не модифицируют.. А вся хрень сидит в памяти..
| | |
|
|
|
|
|
|
| |
| 2.72, Аноним (-), 18:14, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> я не понял, где пакет-то установочный скачать?
Само приползет.
| | |
| |
| 3.77, arisu (ok), 18:36, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> я не понял, где пакет-то установочный скачать?
> Само приползет.
все авторы это обещают, а оно всё не ползёт и не ползёт. и куда багрепорты слать — а главное, какие — не ясно.
| | |
|
|
| |
| 2.73, Аноним (-), 18:15, 16/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> не плохо, придумано
Два Розенталя этому господину. Неплохо пишется слитно, запятая вообще не нужна. Всосал?
| | |
|
| 1.38, Аноним (-), 08:55, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Компания Symantec в результате разбора
Это не та компашка, которая пихает свои поделия на диски с вендовыми драйверами к материнским платам? Домашние типа админы это ставят (по привычке ставить все, за что уплочено), а потом мучительно выпиливают эмэсконфигом, регэдитом и сисиклинером?
| | |
| |
| 2.41, Аноним (-), 09:11, 16/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Последняя строка из оригинала новости
Symantec protects customers by detecting this back door as Linux.Fokirtor.
ЧТД
| | |
| 2.57, Куяврик (?), 14:34, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> сисиклинером?
какая завидная профессия.
ах, да: софт называется сиклинер.
| | |
|
| 1.40, Аноним (-), 09:09, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ] | –2 +/– | Во всей этой истории есть непонятое место А именно, что это На одном отечестве... большой текст свёрнут, показать | | |
| 1.47, Адекват (ok), 11:18, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ] | –6 +/– |  quote Библиотека связывается с работающими на системе сетевыми процессами, так... большой текст свёрнут, показать | | |
| |
| 2.106, cmp (ok), 18:04, 17/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Елки-палки, оно модифицирует запущенный процесс sshd, а бинарник системный ему не интересен. анализ дампа памяти процесса нужен для отслеживания этих изменений, а поймать модификацию бинарника можно штатными командами практически любого пакетного менеджера.
| | |
|
| |
| 2.50, Andrey Mitrofanov (?), 11:52, 16/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Причём здесь ядро Linux?
Деситтна, GNU/Linux же!
...""a dynamic linker model where a portion of the executable includes a very simple linker stub which causes the operating system to load an external library into memory. [...] The source code for the GNU/Linux linker is part of the glibc [...] code is available under the GNU LGPL.
| | |
|
| 1.100, Аноним (-), 14:21, 17/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Надо просто издать закон, озвучить его на самом высоком уровне. Шалуны сами разбегутся ))
| | |
|
