Comments 29
Занятно конечно, но чтобы этим воспользоваться злоумышленники предварительно должны получить рута на системе.
Я правильно понимаю, что для того, чтобы в системе появились данные заразы, у злоумышленника изначально должен быть рутовый доступ в систему?
А по вашему откуда взялось это слово rootkit?
Я прекрасно знаю что это :) Цель моего коммента была… м… ну скорее показать, что вся шумиха, которая поднимается в последнее время под лозунгами «для линукса написали вирус, мы все умрем», «линукс взломали, красноглазики бойтесь» и прочие паникерские вещи, эм… слишком преувеличина и раздута.
Ошибки в софте, которые позволяют получить remote root это да, а подобные модули относительно легко отслеживаются (благо систем проверки целостности софта не мало), да и самому такое написать можно :)
Вот вы сначала рута получите… да скомпилируйте…
Ошибки в софте, которые позволяют получить remote root это да, а подобные модули относительно легко отслеживаются (благо систем проверки целостности софта не мало), да и самому такое написать можно :)
Вот вы сначала рута получите… да скомпилируйте…
Так в статье же написано, что речь за серверные станции, а не пользовательские. А рут на серверных достаточно часто брошен на произвол судьбы, так же сюда можно взять сетевое оборудование с линукс на борту, там рут по умолчанию. Тут всё же больше смысл как, если уж прошляпили доступ, то почистить систему.
На ваших серверах рут брошен на произвол судьбы?
Можете проверить, если Вас так беспокоит судьба моих серверов.
Про рут пишу из практического опыта, которого у минусующих судя по всему нет. Я уже столько повидал крупных интернет-проектов, которые крутятся под root правами на веб-сервере, на mysql, да и достаточно других уязвимых сервисов под рутом. А сколько раз приходилось снимать бэкдоров и червей со взломанных систем. Ниже собственно уже об этом написали. Так что в моей судьбе всё в порядке по теме.
Другие аргументы есть?
Про рут пишу из практического опыта, которого у минусующих судя по всему нет. Я уже столько повидал крупных интернет-проектов, которые крутятся под root правами на веб-сервере, на mysql, да и достаточно других уязвимых сервисов под рутом. А сколько раз приходилось снимать бэкдоров и червей со взломанных систем. Ниже собственно уже об этом написали. Так что в моей судьбе всё в порядке по теме.
Другие аргументы есть?
Это печально, что у вас нет регламентов по ИБ для серверов и аудита…
часто вы видели сетевое оборудование на базе amd64?
А мало что ли есть атак, в том числе 0day, которые дают удалённого рута? Особенно если на системе стоит не очень свежий софт, или наоборот, стоит самый-самый свежак, который ещё не стал stable.
Если не трудно, не могли бы вы назвать 2-3 штучки?
www.metasploit.com/modules/framework/search?utf8=%E2%9C%93&osvdb=&bid=&text=linux&cve=&msb= — достаточно? Берите пару remote command execution + local privileges escalation, получите рута.
А вы уверены, что большинство из этих эксплоитов, направленных на переполнение буфера, успешно обходят различные механизмы защиты системы, такие, как, например, Stack Protector, ASLR, Non-Executable Memory, etc?
Далеко не все эксплоиты связаны с переполнением буфера. Да, сейчас стало намного лучше, но ошибки были, есть и будут появляться в коде, и некоторые из них смогут использовать злоумышленники. В конце концов, иногда находят проблемы и в ядре, тогда уж точно никакие ASLR не помогут. С учётом современной любви к виртуализации — актуальными становятся атаки на гипервизоры изнутри виртуальной машины, с последующим захватом хост-машины и всех крутящихся на ней виртуалок.
Отдельно, не забывайте, о некотором количестве линукс-десктопов, которые атакуют традиционно через ошибки в браузерах, флеш плеерах, пдф ридерах, даже в статье были ссылки на подобные вещи.
Отдельно, не забывайте, о некотором количестве линукс-десктопов, которые атакуют традиционно через ошибки в браузерах, флеш плеерах, пдф ридерах, даже в статье были ссылки на подобные вещи.
шумиха… «для линукса написали вирус, мы все умрем»
Тем более, когда эта «шумиха» идёт от производителей коммерческих антивирусов.
Да, это классические трояны без собственных механизмов распространения. Кстати, чтобы заразиться ими на 32х-разрядной платформе, их еще и перекомпилировать предварительно нужно…
wget http://virussite
tar xvfz virus.tar.gz
cd virus
#данный блок повторяется в цикле с громким матом до успешного проходжения
./configure {дофига параметров}
sudo make install
#конец блока
бинго, у вас в системе поставился вирус от рута!!!
p.s. осталось прописать его в rc, чтобы запускался при старте системы :)
Ну да, ну да… :) Прямо вот взял, перекомпилировал, запустил от рута, еще и в автозапуск его.
… и разослал исходники всем линуксоидам из адресной книги, чтобы они повторили процедуру на своих серверах.
Когда не проходит configure, то придется ставить все зависимости и нужные версии библиотек, если разработчик вируса не позаботился включить их в пакет.
Похоче что вы рассказываете про /lib64/libkeyutils.so.1.9 (/lib/libkeyutils.so.1.9 на 32б)
Так вот, самый интересный вопрос — не как работает эта поделка, а как она попадает в систему?
Так вот, самый интересный вопрос — не как работает эта поделка, а как она попадает в систему?
Sign up to leave a comment.
Linux под прицелом злоумышленников