43 ответов в этой теме

[News Robot]

23 июля 2015 года

Вирусные аналитики компании «Доктор Веб» исследовали новый образец троянца-бэкдора, представляющего опасность для операционных систем семейства Linux. По задумке авторов этой вредоносной программы она должна обладать чрезвычайно широким и мощным набором возможностей, однако на текущий момент далеко не все ее функции работают соответствующим образом.

Данный бэкдор, получивший наименование Linux.BackDoor.Dklkt.1, имеет предположительно китайское происхождение. По всей видимости, разработчики изначально пытались заложить в него довольно обширный набор функций — менеджера файловой системы, троянца для проведения DDoS-атак, прокси-сервера и т. д., однако на практике далеко не все эти возможности реализованы в полной мере. Более того: исходные компоненты бэкдора были созданы с учетом кроссплатформенности, то есть таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. Однако, поскольку разработчики отнеслись к этой задаче не слишком ответственно, в дизассемблированном коде троянца встречаются и вовсе нелепые конструкции, не имеющие к Linux никакого отношения.

При запуске Linux.BackDoor.Dklkt.1 проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего необходимые для его работы параметры. В этом файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если это не удается, бэкдор прекращает свою работу.

После успешного запуска троянец формирует и отсылает на управляющий сервер пакет с информацией об инфицированной системе, при этом весь трафик обмена данными между бэкдором и удаленным командным центром сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет также снабжается контрольной суммой исходных данных для определения целостности полученной информации на принимающей стороне.

После этого Linux.BackDoor.Dklkt.1 переходит в режим ожидания входящих команд, среди которых следует отметить директивы начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Все остальные команды Linux.BackDoor.Dklkt.1 либо игнорирует, либо обрабатывает некорректно. Троянец способен выполнять следующие типы DDoS-атак:

• SYN Flood
• HTTP Flood (POST/GET запросы)
• ICMP Flood
• TCP Flood
• UDP Flood

Сигнатура этого бэкдора добавлена в вирусные базы Dr.Web, поэтому пользователи Антивируса Dr.Web для Linux защищены от действия данной вредоносной программы.

Подробнее о троянце

Читать оригинал

[Aleksandra]

При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы)

Сначала пусть рутовый пароль попробует спереть.

SYN и ICMP Flood уже давно не актуально. Грамотная защита на уровне ядра спасает.

Хэш сумма в описании это плюс.

[Ivan Korolev]

Сначала пусть рутовый пароль попробует спереть.

Рутовый пароль будет получен на этапе заражения (брут/LPE).

[Aleksandra]

 

Сначала пусть рутовый пароль попробует спереть.

Рутовый пароль будет получен на этапе заражения (брут/LPE).

 

Port XXXX
PermitRootLogin no
AllowUsers xxxxxx

и

-A INPUT -s my_ip -m state --state NEW -m tcp -p tcp --dport XXXX -j ACCEPT

нас спасут.

[Ivan Korolev]

 

 

Сначала пусть рутовый пароль попробует спереть.

Рутовый пароль будет получен на этапе заражения (брут/LPE).

 

Port XXXX
PermitRootLogin no
AllowUsers xxxxxx

и

-A INPUT -s my_ip -m state --state NEW -m tcp -p tcp --dport XXXX -j ACCEPT

нас спасут.

 

Вас - спасут. А вот тысячи других линуксойдов становятся жертвами обыкновенного брута по словарю. Увы, но это реальность.

[amorozov]

Конфигурационный файл зашифрован с использованием алгоритма Base64.

[Aleksandra]

А вот тысячи других линуксойдов становятся жертвами обыкновенного брута по словарю. Увы, но это реальность.

Убунтят с линуксоидами путать не нужно. То что написано выше это основы и их нужно знать.

Кстати, а что это Вы сегодня в теме про страшные вирусы в линукс отдуваетесь? Где Ваш штатный сотрудник который эти темы так любит? Как-то скучно без него на форуме.

[Ivan Korolev]

Кстати, а что это Вы сегодня в теме про страшные вирусы в линукс отдуваетесь? Где Ваш штатный сотрудник который эти темы так любит? Как-то скучно без него на форуме.

О ком речь, если не секрет?

[Aleksandra]

Китайская поделка не страшна. Пусть что-то умнее придумают.

[Aleksandra]

 

Кстати, а что это Вы сегодня в теме про страшные вирусы в линукс отдуваетесь? Где Ваш штатный сотрудник который эти темы так любит? Как-то скучно без него на форуме.

О ком речь, если не секрет?

 

at.

[CrUsH]

 

 

Сначала пусть рутовый пароль попробует спереть.

Рутовый пароль будет получен на этапе заражения (брут/LPE).

 

Port XXXX
PermitRootLogin no
AllowUsers xxxxxx

и

-A INPUT -s my_ip -m state --state NEW -m tcp -p tcp --dport XXXX -j ACCEPT

нас спасут.

 

Можете объяснить юзеру linux mint 17.2 объяснить, что это такое и где вкратце, в доступной форме я могу узнать полезные вещи о linux и безопасности этой системы?

[sergeyko]

 

 

 

Сначала пусть рутовый пароль попробует спереть.

Рутовый пароль будет получен на этапе заражения (брут/LPE).

 

Port XXXX
PermitRootLogin no
AllowUsers xxxxxx

и

-A INPUT -s my_ip -m state --state NEW -m tcp -p tcp --dport XXXX -j ACCEPT

нас спасут.

 

Можете объяснить юзеру linux mint 17.2 объяснить, что это такое и где вкратце, в доступной форме я могу узнать полезные вещи о linux и безопасности этой системы?

 

 

linux mint 17.2 - это операционная система. Если вкратце. Полезные вещи о linux хранятся большей частью в google и man. Там же про безопасность. 

 

Но если серьезно, то не надо оно вам. Пользователь, он и на linux пользователь. Просто пользуйтесь. 

Сообщение было изменено sergeyko: 23 Июль 2015 - 18:07

[CrUsH]

 

 

 

 

Сначала пусть рутовый пароль попробует спереть.

Рутовый пароль будет получен на этапе заражения (брут/LPE).

 

Port XXXX
PermitRootLogin no
AllowUsers xxxxxx

и

-A INPUT -s my_ip -m state --state NEW -m tcp -p tcp --dport XXXX -j ACCEPT

нас спасут.

 

Можете объяснить юзеру linux mint 17.2 объяснить, что это такое и где вкратце, в доступной форме я могу узнать полезные вещи о linux и безопасности этой системы?

 

 

linux mint 17.2 - это операционная система. Если вкратце. Полезные вещи о linux хранятся большей частью в google и man. Там же про безопасность. 

 

Но если серьезно, то не надо оно вам. Пользователь, он и на linux пользователь. Просто пользуйтесь. 

 

Я не хочу быть просто пользователем антивиря нет на линуксе, потому хочу знать аспекты защиты без антивируса

[IlyaS]

хочу знать аспекты защиты без антивируса

http://freecomputerbooks.com/unixSecurityBooks.html
И разные tcp/ip guides.

[sergeyko]

Я не хочу быть просто пользователем  антивиря нет на линуксе, потому хочу знать аспекты защиты без антивируса

Как это нет?! 

[SergSG]

 

Я не хочу быть просто пользователем  антивиря нет на линуксе, потому хочу знать аспекты защиты без антивируса

Как это нет?! 

 

Диствительно. Еще как есть. Даже Беляш его одобрил, а это дорогого стоит.

[CrUsH]

 

 

Я не хочу быть просто пользователем  антивиря нет на линуксе, потому хочу знать аспекты защиты без антивируса

Как это нет?! 

 

Диствительно. Еще как есть. Даже Беляш его одобрил, а это дорогого стоит.

 

Нет - не значит, что не существует, а значит, - что у меня его нет.

[SergSG]

Нет - не значит, что не существует, а значит, - что у меня его нет.

Дык поставьте. 3 месяца бесплатно. Если есть виндовый серийник, то вообще без проблем.

А то, пока научитесь, скомпрометируете "безвирусный" Линух.

Сообщение было изменено SergSG: 23 Июль 2015 - 19:42

[l.e.e.]

Хэш сумма в описании это плюс.

https://www.virustotal.com/ru/file/2b1c87e92d1f97ed3b2926a25c4cc31a2d756f6ae712052bee9d777c678c7ad2/analysis/

MD5 464dc38c776724b9ec931480419dcf64
SHA1 bd24972a8e34bbd2e7f3b58d6d7fd1a94efa7355
SHA256:	2b1c87e92d1f97ed3b2926a25c4cc31a2d756f6ae712052bee9d777c678c7ad2
Имя файла:	file-7105748_exe
Показатель выявления:	0 / 53
Дата анализа:	2014-06-11 02:18:48 UTC (1 год, 1 месяц назад)

Хм..

Сообщение было изменено l.e.e.: 23 Июль 2015 - 20:29

[CrUsH]

 

Нет - не значит, что не существует, а значит, - что у меня его нет.

Дык поставьте. 3 месяца бесплатно. Если есть виндовый серийник, то вообще без проблем.

А то, пока научитесь, скомпрометируете "безвирусный" Линух.

 

Да не Я знаю, что для вирусов на линуксе как минимум знать рут пароль К тому же я устанавливаю обновления ядра, которые, как я понял так же повышают безопасность. Да и из того, что я читал заражение маловероятно

Просто хочется знать, чтобы развиваться и грамотнее защитить резервную систему. А антивирус не хочу ставить. И серийника нет Сижу на демке, вот последние дни тикают, думаю че дальше ставить

Сообщение было изменено CrUsH: 23 Июль 2015 - 20:58