Comments 29
Занятно конечно, но чтобы этим воспользоваться злоумышленники предварительно должны получить рута на системе.
+42
Я правильно понимаю, что для того, чтобы в системе появились данные заразы, у злоумышленника изначально должен быть рутовый доступ в систему?
+25
А по вашему откуда взялось это слово rootkit?
+5
Я прекрасно знаю что это :) Цель моего коммента была… м… ну скорее показать, что вся шумиха, которая поднимается в последнее время под лозунгами «для линукса написали вирус, мы все умрем», «линукс взломали, красноглазики бойтесь» и прочие паникерские вещи, эм… слишком преувеличина и раздута.
Ошибки в софте, которые позволяют получить remote root это да, а подобные модули относительно легко отслеживаются (благо систем проверки целостности софта не мало), да и самому такое написать можно :)
Вот вы сначала рута получите… да скомпилируйте…
Ошибки в софте, которые позволяют получить remote root это да, а подобные модули относительно легко отслеживаются (благо систем проверки целостности софта не мало), да и самому такое написать можно :)
Вот вы сначала рута получите… да скомпилируйте…
+23
Так в статье же написано, что речь за серверные станции, а не пользовательские. А рут на серверных достаточно часто брошен на произвол судьбы, так же сюда можно взять сетевое оборудование с линукс на борту, там рут по умолчанию. Тут всё же больше смысл как, если уж прошляпили доступ, то почистить систему.
-29
На ваших серверах рут брошен на произвол судьбы?
+23
Можете проверить, если Вас так беспокоит судьба моих серверов.
Про рут пишу из практического опыта, которого у минусующих судя по всему нет. Я уже столько повидал крупных интернет-проектов, которые крутятся под root правами на веб-сервере, на mysql, да и достаточно других уязвимых сервисов под рутом. А сколько раз приходилось снимать бэкдоров и червей со взломанных систем. Ниже собственно уже об этом написали. Так что в моей судьбе всё в порядке по теме.
Другие аргументы есть?
Про рут пишу из практического опыта, которого у минусующих судя по всему нет. Я уже столько повидал крупных интернет-проектов, которые крутятся под root правами на веб-сервере, на mysql, да и достаточно других уязвимых сервисов под рутом. А сколько раз приходилось снимать бэкдоров и червей со взломанных систем. Ниже собственно уже об этом написали. Так что в моей судьбе всё в порядке по теме.
Другие аргументы есть?
-10
Это печально, что у вас нет регламентов по ИБ для серверов и аудита…
+6
Это точно сообщение мне адресовано? Не понимаю причём тут я вообще, у меня лично всё в порядке, это всё таки оценивать могут хотя бы потенциальные клиенты, а ещё лучше клиенты, но никак не анонимы с хабра.
А статья про линукс бэкдоры если что. :)
А статья про линукс бэкдоры если что. :)
-7
часто вы видели сетевое оборудование на базе amd64?
0
А мало что ли есть атак, в том числе 0day, которые дают удалённого рута? Особенно если на системе стоит не очень свежий софт, или наоборот, стоит самый-самый свежак, который ещё не стал stable.
0
Если не трудно, не могли бы вы назвать 2-3 штучки?
+2
www.metasploit.com/modules/framework/search?utf8=%E2%9C%93&osvdb=&bid=&text=linux&cve=&msb= — достаточно? Берите пару remote command execution + local privileges escalation, получите рута.
-1
А вы уверены, что большинство из этих эксплоитов, направленных на переполнение буфера, успешно обходят различные механизмы защиты системы, такие, как, например, Stack Protector, ASLR, Non-Executable Memory, etc?
0
Далеко не все эксплоиты связаны с переполнением буфера. Да, сейчас стало намного лучше, но ошибки были, есть и будут появляться в коде, и некоторые из них смогут использовать злоумышленники. В конце концов, иногда находят проблемы и в ядре, тогда уж точно никакие ASLR не помогут. С учётом современной любви к виртуализации — актуальными становятся атаки на гипервизоры изнутри виртуальной машины, с последующим захватом хост-машины и всех крутящихся на ней виртуалок.
Отдельно, не забывайте, о некотором количестве линукс-десктопов, которые атакуют традиционно через ошибки в браузерах, флеш плеерах, пдф ридерах, даже в статье были ссылки на подобные вещи.
Отдельно, не забывайте, о некотором количестве линукс-десктопов, которые атакуют традиционно через ошибки в браузерах, флеш плеерах, пдф ридерах, даже в статье были ссылки на подобные вещи.
0
шумиха… «для линукса написали вирус, мы все умрем»
Тем более, когда эта «шумиха» идёт от производителей коммерческих антивирусов.
+2
Да, это классические трояны без собственных механизмов распространения. Кстати, чтобы заразиться ими на 32х-разрядной платформе, их еще и перекомпилировать предварительно нужно…
+12
wget http://virussite
tar xvfz virus.tar.gz
cd virus
#данный блок повторяется в цикле с громким матом до успешного проходжения
./configure {дофига параметров}
sudo make install
#конец блока
бинго, у вас в системе поставился вирус от рута!!!
p.s. осталось прописать его в rc, чтобы запускался при старте системы :)
-4
Ну да, ну да… :) Прямо вот взял, перекомпилировал, запустил от рута, еще и в автозапуск его.
0
… и разослал исходники всем линуксоидам из адресной книги, чтобы они повторили процедуру на своих серверах.
+3
Когда не проходит configure, то придется ставить все зависимости и нужные версии библиотек, если разработчик вируса не позаботился включить их в пакет.
+1
UFO just landed and posted this here
UFO just landed and posted this here
Похоче что вы рассказываете про /lib64/libkeyutils.so.1.9 (/lib/libkeyutils.so.1.9 на 32б)
Так вот, самый интересный вопрос — не как работает эта поделка, а как она попадает в систему?
Так вот, самый интересный вопрос — не как работает эта поделка, а как она попадает в систему?
0
Sign up to leave a comment.
Linux под прицелом злоумышленников