How to become an author
Search
Write a publication
Pull to refresh

Comments 29

Занятно конечно, но чтобы этим воспользоваться злоумышленники предварительно должны получить рута на системе.
Total votes 44: ↑43 and ↓1+42
Я правильно понимаю, что для того, чтобы в системе появились данные заразы, у злоумышленника изначально должен быть рутовый доступ в систему?
Total votes 27: ↑26 and ↓1+25
А по вашему откуда взялось это слово rootkit?
Total votes 9: ↑7 and ↓2+5
Я прекрасно знаю что это :) Цель моего коммента была… м… ну скорее показать, что вся шумиха, которая поднимается в последнее время под лозунгами «для линукса написали вирус, мы все умрем», «линукс взломали, красноглазики бойтесь» и прочие паникерские вещи, эм… слишком преувеличина и раздута.

Ошибки в софте, которые позволяют получить remote root это да, а подобные модули относительно легко отслеживаются (благо систем проверки целостности софта не мало), да и самому такое написать можно :)

Вот вы сначала рута получите… да скомпилируйте…
Total votes 25: ↑24 and ↓1+23
Так в статье же написано, что речь за серверные станции, а не пользовательские. А рут на серверных достаточно часто брошен на произвол судьбы, так же сюда можно взять сетевое оборудование с линукс на борту, там рут по умолчанию. Тут всё же больше смысл как, если уж прошляпили доступ, то почистить систему.
Total votes 35: ↑3 and ↓32-29
На ваших серверах рут брошен на произвол судьбы?
Total votes 25: ↑24 and ↓1+23
Можете проверить, если Вас так беспокоит судьба моих серверов.
Про рут пишу из практического опыта, которого у минусующих судя по всему нет. Я уже столько повидал крупных интернет-проектов, которые крутятся под root правами на веб-сервере, на mysql, да и достаточно других уязвимых сервисов под рутом. А сколько раз приходилось снимать бэкдоров и червей со взломанных систем. Ниже собственно уже об этом написали. Так что в моей судьбе всё в порядке по теме.

Другие аргументы есть?
Total votes 18: ↑4 and ↓14-10
Чтобы под root запустить вебсервер или MySQL это еще и определенный скил надо иметь.
Как раз все howto показывают примеры установки в отдельных пользователях.
А тем кто специально запускает вебсерверы и БД под рутом лучше и не чистить ничего, так им и надо.
Total votes 4: ↑4 and ↓0+4
Это печально, что у вас нет регламентов по ИБ для серверов и аудита…
Total votes 6: ↑6 and ↓0+6
Это точно сообщение мне адресовано? Не понимаю причём тут я вообще, у меня лично всё в порядке, это всё таки оценивать могут хотя бы потенциальные клиенты, а ещё лучше клиенты, но никак не анонимы с хабра.
А статья про линукс бэкдоры если что. :)
Total votes 9: ↑1 and ↓8-7
М… да, пожалуй погорячился :) Не у вас, а у тех, у кого рут брошен на произвол судьбы :) Mea culpa
Total votes 6: ↑6 and ↓0+6
часто вы видели сетевое оборудование на базе amd64?
This comment wasn’t rated yet0
я имел ввиду в общем линукс и в общем бэкдоры, описанные в статье не единственные существующие. А так да, под amd64 вроде не встречал.
Total votes 2: ↑1 and ↓10
Cisco ASA, например. Не линукс, конечно :)
This comment wasn’t rated yet0
А мало что ли есть атак, в том числе 0day, которые дают удалённого рута? Особенно если на системе стоит не очень свежий софт, или наоборот, стоит самый-самый свежак, который ещё не стал stable.
Total votes 4: ↑2 and ↓20
Если не трудно, не могли бы вы назвать 2-3 штучки?
Total votes 4: ↑3 and ↓1+2
А вы уверены, что большинство из этих эксплоитов, направленных на переполнение буфера, успешно обходят различные механизмы защиты системы, такие, как, например, Stack Protector, ASLR, Non-Executable Memory, etc?
This comment wasn’t rated yet0
Далеко не все эксплоиты связаны с переполнением буфера. Да, сейчас стало намного лучше, но ошибки были, есть и будут появляться в коде, и некоторые из них смогут использовать злоумышленники. В конце концов, иногда находят проблемы и в ядре, тогда уж точно никакие ASLR не помогут. С учётом современной любви к виртуализации — актуальными становятся атаки на гипервизоры изнутри виртуальной машины, с последующим захватом хост-машины и всех крутящихся на ней виртуалок.

Отдельно, не забывайте, о некотором количестве линукс-десктопов, которые атакуют традиционно через ошибки в браузерах, флеш плеерах, пдф ридерах, даже в статье были ссылки на подобные вещи.
This comment wasn’t rated yet0
шумиха… «для линукса написали вирус, мы все умрем»

Тем более, когда эта «шумиха» идёт от производителей коммерческих антивирусов.
Total votes 4: ↑3 and ↓1+2
Да, это классические трояны без собственных механизмов распространения. Кстати, чтобы заразиться ими на 32х-разрядной платформе, их еще и перекомпилировать предварительно нужно…
Total votes 12: ↑12 and ↓0+12
wget http://virussite
tar xvfz virus.tar.gz
cd virus
#данный блок повторяется в цикле с громким матом до успешного проходжения
./configure {дофига параметров} 
sudo make install
#конец блока

бинго, у вас в системе поставился вирус от рута!!!
p.s. осталось прописать его в rc, чтобы запускался при старте системы :)
Total votes 10: ↑3 and ↓7-4
Ну да, ну да… :) Прямо вот взял, перекомпилировал, запустил от рута, еще и в автозапуск его.
This comment wasn’t rated yet0
… и разослал исходники всем линуксоидам из адресной книги, чтобы они повторили процедуру на своих серверах.
Total votes 3: ↑3 and ↓0+3
Когда не проходит configure, то придется ставить все зависимости и нужные версии библиотек, если разработчик вируса не позаботился включить их в пакет.
Total votes 3: ↑2 and ↓1+1
UFO just landed and posted this here
UFO just landed and posted this here
Похоче что вы рассказываете про /lib64/libkeyutils.so.1.9 (/lib/libkeyutils.so.1.9 на 32б)
Так вот, самый интересный вопрос — не как работает эта поделка, а как она попадает в систему?
This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr