50 ответов в этой теме

[News Robot]

20 ноября 2014 года

Специалисты компании «Доктор Веб» исследовали опасного Linux-троянца, обладающего способностью заражать компьютеры и различные устройства, работающие под управлением ОС семейства Linux. Данная вредоносная программа, добавленная в базы под именем Linux.BackDoor.Fgt.1, предназначена для организации массовых DDoS-атак.

После своего запуска на инфицированном устройстве троянец Linux.BackDoor.Fgt.1 проверяет наличие подключения к Интернету, обращаясь к одному из серверов Google, и, если соединение удалось установить, определяет IP и MAC-адрес инфицированного устройства. Затем Linux.BackDoor.Fgt.1 пытается связаться с командным сервером, адрес которого «зашит» в теле самого троянца, отправляя ему сведения о версии вредоносной программы. В ответ Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команду для выполнения на инфицированном устройстве. Если от управляющего сервера пришла команда PING, троянец отправляет ответ PONG и продолжает функционировать на инфицированном устройстве. При получении команды DUP Linux.BackDoor.Fgt.1 завершает свою работу.

Троянец обладает специальной функцией, с использованием которой он в течение одного цикла осуществляет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, — такие адреса игнорируются. В случае неудачи при попытке установки соединения Linux.BackDoor.Fgt.1 отправляет информацию об этом на принадлежащий злоумышленникам управляющий сервер. Если же связь установлена, вредоносная программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина. Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха Linux.BackDoor.Fgt.1 отсылает на управляющий сервер IP-адрес, логин и пароль устройства, к которому удалось подобрать аутентификационные данные, а на атакуемый узел направляется команда загрузки специального скрипта. Тот, в свою очередь, скачивает из Интернета и запускает во взломанной системе исполняемый файл самого троянца Linux.BackDoor.Fgt.1. Примечательно, что на принадлежащем вирусописателям сервере имеется значительное количество исполняемых файлов Linux.BackDoor.Fgt.1, скомпилированных для разных версий и дистрибутивов Linux, в том числе для встраиваемых систем с архитектурой MIPS и SPARC-серверов. Таким образом, троянец может инфицировать не только подключенные к Интернету серверы и рабочие станции под управлением Linux, но и другие устройства, например, маршрутизаторы.

Linux.BackDoor.Fgt.1 способен выполнять целый ряд поступающих от злоумышленников команд, среди которых можно перечислить следующие:

• запрос IP-адреса инфицированного устройства;
• запуск или остановка цикла сканирования;
• атака на заданный узел типа DNS Amplification;
• атака на заданный узел типа UDP Flood;
• атака на заданный узел типа SYN Flood;
• прекращение DDoS-атаки;
• завершение работы троянца.

Запись для троянской программы Linux.BackDoor.Fgt.1, позволяющая выявлять и удалять данную угрозу, добавлена в вирусные базы Dr.Web, поэтому антивирусные продукты компании «Доктор Веб» для ОС Linux надежно защищают пользователей данной операционной системы от опасности заражения их устройств.

Подробности об угрозе

Читать оригинал

[Aleksandra]

В расчете на дураков?

[VVS]

Интересно, не такая ли скотина над моим роутером издевается?

Spoiler

Nov 18 21:33:29 HTTP login: Detect abnormal logins at 5 times. The newest one was from 5.128.82.13.
Nov 18 21:33:33 HTTP login: Detect abnormal logins at 10 times. The newest one was from 5.128.82.13.
Nov 18 21:33:33 HTTP login: Detect abnormal logins at 15 times. The newest one was from 5.128.82.13.
Nov 18 21:33:37 HTTP login: Detect abnormal logins at 20 times. The newest one was from 5.128.82.13.
Nov 18 21:33:40 HTTP login: Detect abnormal logins at 25 times. The newest one was from 5.128.82.13.
Nov 18 21:33:42 HTTP login: Detect abnormal logins at 30 times. The newest one was from 5.128.82.13.
Nov 18 21:33:46 HTTP login: Detect abnormal logins at 35 times. The newest one was from 5.128.82.13.
Nov 18 21:33:48 HTTP login: Detect abnormal logins at 40 times. The newest one was from 5.128.82.13.
Nov 18 21:33:53 HTTP login: Detect abnormal logins at 45 times. The newest one was from 5.128.82.13.
Nov 18 21:33:55 HTTP login: Detect abnormal logins at 50 times. The newest one was from 5.128.82.13.
Nov 18 21:33:57 HTTP login: Detect abnormal logins at 55 times. The newest one was from 5.128.82.13.
Nov 18 21:33:58 HTTP login: Detect abnormal logins at 60 times. The newest one was from 5.128.82.13.
Nov 18 21:34:01 HTTP login: Detect abnormal logins at 65 times. The newest one was from 5.128.82.13.
Nov 18 21:34:03 HTTP login: Detect abnormal logins at 70 times. The newest one was from 5.128.82.13.
Nov 18 21:34:05 HTTP login: Detect abnormal logins at 75 times. The newest one was from 5.128.82.13.
Nov 18 21:34:07 HTTP login: Detect abnormal logins at 80 times. The newest one was from 5.128.82.13.
Nov 18 21:34:09 HTTP login: Detect abnormal logins at 85 times. The newest one was from 5.128.82.13.
Nov 18 21:34:12 HTTP login: Detect abnormal logins at 90 times. The newest one was from 5.128.82.13.
Nov 18 21:34:14 HTTP login: Detect abnormal logins at 95 times. The newest one was from 5.128.82.13.
Nov 18 21:34:16 HTTP login: Detect abnormal logins at 100 times. The newest one was from 5.128.82.13.
Nov 18 21:34:18 HTTP login: Detect abnormal logins at 105 times. The newest one was from 5.128.82.13.
Nov 18 21:34:21 HTTP login: Detect abnormal logins at 110 times. The newest one was from 5.128.82.13.
Nov 18 21:34:22 HTTP login: Detect abnormal logins at 115 times. The newest one was from 5.128.82.13.
Nov 18 21:34:25 HTTP login: Detect abnormal logins at 120 times. The newest one was from 5.128.82.13.
Nov 18 21:34:27 HTTP login: Detect abnormal logins at 125 times. The newest one was from 5.128.82.13.
Nov 18 21:34:29 HTTP login: Detect abnormal logins at 130 times. The newest one was from 5.128.82.13.
Nov 18 21:34:32 HTTP login: Detect abnormal logins at 135 times. The newest one was from 5.128.82.13.
Nov 18 21:34:35 HTTP login: Detect abnormal logins at 140 times. The newest one was from 5.128.82.13.
Nov 18 21:34:39 HTTP login: Detect abnormal logins at 145 times. The newest one was from 5.128.82.13.
Nov 18 21:34:41 HTTP login: Detect abnormal logins at 150 times. The newest one was from 5.128.82.13.
Nov 18 21:34:44 HTTP login: Detect abnormal logins at 155 times. The newest one was from 5.128.82.13.
Nov 18 21:34:46 HTTP login: Detect abnormal logins at 160 times. The newest one was from 5.128.82.13.
Nov 18 21:34:48 HTTP login: Detect abnormal logins at 165 times. The newest one was from 5.128.82.13.
Nov 18 21:34:50 HTTP login: Detect abnormal logins at 170 times. The newest one was from 5.128.82.13.
Nov 18 21:34:53 HTTP login: Detect abnormal logins at 175 times. The newest one was from 5.128.82.13.
Nov 18 21:34:55 HTTP login: Detect abnormal logins at 180 times. The newest one was from 5.128.82.13.
Nov 18 21:34:57 HTTP login: Detect abnormal logins at 185 times. The newest one was from 5.128.82.13.
Nov 18 21:34:59 HTTP login: Detect abnormal logins at 190 times. The newest one was from 5.128.82.13.

[at.]

В расчете на дураков?

 

Слепой фанатизм всегда заканчивается печально. Не горовря о том,  как смешно выглядит со стороны.

[Aleksandra]

Слепой фанатизм всегда заканчивается печально.

Алгоритм перебора логин/пароль в расчете на дурака, который не побеспокоился о своей безопасности. Имелось ввиду именно это.

[Virus.Win95.CIH]

Как страшно жить! И уже и для Линуха есть трояны. А я собирался Линух поизучать. Пэчально...

[SergSG]

 

Слепой фанатизм всегда заканчивается печально.

Алгоритм перебора логин/пароль в расчете на дурака, который не побеспокоился о своей безопасности. Имелось ввиду именно это.

А много народу беспокоится? "Линукс же безопасный! Полюбому."

[Pavel Plotnikov]

 

 

Слепой фанатизм всегда заканчивается печально.

Алгоритм перебора логин/пароль в расчете на дурака, который не побеспокоился о своей безопасности. Имелось ввиду именно это.

А много народу беспокоится? "Линукс же безопасный! Полюбому."

 

На Мас тоже вирусов нет, ага.

[usverg]

Зараза эта рассчитана не столько на десктоп, сколько на сервисную железку (типа роутера или контроллера аля Moxa) с включенным по-умолчанию телнетом и дефолтовыми паролями.

[at.]

 

А много народу беспокоится? "Линукс же безопасный! Полюбому."

 

 

Ага. Во, крупнейшая в рунете биржа ссылок (SEO).  Из доки с оф сайта http://help.sape.ru/articles/faq/1075 :

 

" Выставите права на папку 777 (но не на файл sape.php и [ваш_хеш_код].php), чтобы наш php-клиент мог управлять файлом с базой ссылок."

Отлично!

[usverg]

Выставите права на папку 777

Ага, одни клиенты сделали похожим образом, как итог - винчестеры на серваке затёрты, а в бэкапах сайта (написанного изначально под виндой для iis, а при переносе правами файлов и ограничениями не озадачивались) нашлось аж три разных пхп шелла (всеми тремя пользовались) с рутовыми правами. Больше всего умилил пароль - 123456.

[SergSG]

А чё? Хороший пароль. Легко запоминается.

[at.]

 

Выставите права на папку 777

Ага, одни клиенты сделали похожим образом, как итог - винчестеры на серваке затёрты, а в бэкапах сайта (написанного изначально под виндой для iis, а при переносе правами файлов и ограничениями не озадачивались) нашлось аж три разных пхп шелла (всеми тремя пользовались) с рутовыми правами. Больше всего умилил пароль - 123456.

 

 

Да пхп-шеллы сами ставят. Возьмите из топа по запросу "бесплатные шаблоны для wordpress" любые сайты, с вероятностью близкой к 1, в архивах будут шаблоны с модифицированным файлом functions.php в котором милым образом код ходит на внешний ресурс, скачивает оттуда файлик, сохраняет его в .png или .gif файл и инклудит чуть ли не во все страницы сайта. Такой вот заработок тоже. Ясен пень, что в файлике может прийти что угодно. И владелец может трижды озадачиться правами доступа, толку тут не будет.

[usverg]

Ясен пень, что в файлике может прийти что угодно. И владелец может трижды озадачиться правами доступа, толку тут не будет.

и выставить на всех файлах 777 с владельцем 0, не залочить open_basedir, открыть ссш/телнет для рута с паролем 123456, не задействовать хотя бы denyhosts? Велкам, как говорится... "Плагины" это да... но хотя бы остальную часть системы обезопасить можно.

Сообщение было изменено usverg: 22 Ноябрь 2014 - 23:48

[at.]

 

Ясен пень, что в файлике может прийти что угодно. И владелец может трижды озадачиться правами доступа, толку тут не будет.

и выставить на всех файлах 777 с владельцем 0, не залочить open_basedir, открыть ссш/телнет для рута с паролем 123456, не задействовать хотя бы denyhosts? Велкам, как говорится...

 

нет же, этого не нужно. Пхп код будет орудовать под тем же пользователем, под которым работает вебсервер, как минимум с доступом к файлам на чтение, а скорее всего будет и запись. А значит ему доступны все файлы настроек , в т.ч. пароли к БД. Ну а дальше цепочка раскручивается...

Сообщение было изменено at.: 22 Ноябрь 2014 - 23:49

[usverg]

нет же, этого не нужно

это понятно (я описал что сделали мои подопытные буратины, кстати, в исходнике изначально никакого "левого кода" не обнаружено - чистое самописное  "творчество"), а так если корректно настроить - то потеряем только один сайт, а не всю пачку виртуал хостов.

[Aleksandra]

" Выставите права на папку 777 (но не на файл sape.php и [ваш_хеш_код].php), чтобы наш php-клиент мог управлять файлом с базой ссылок."
Отлично!

Убунтенок-убунтенок стал агентом 007,
На все папочки поставил он права 777.

[at.]

А при чем тут ubuntu? Типа ubuntu для домохозяек, настоящие хакеры ставят генту, да?

[Aleksandra]

А при чем тут ubuntu? Типа ubuntu для домохозяек, настоящие хакеры ставят генту, да?

Убунтята самые безграмотные. На счет настоящих хакеров не знаю, но я свое предпочтение отдала другому дистрибутиву.

[SergSG]

 

А при чем тут ubuntu? Типа ubuntu для домохозяек, настоящие хакеры ставят генту, да?

Убунтята самые безграмотные. На счет настоящих хакеров не знаю, но я свое предпочтение отдала другому дистрибутиву.

 "Убунтята" - это те кто юзает енту штуковину, или те кто ее сделал?