Новый Userland-RootKit Azazel

[volnov]

LiveCD всему голова!

[alexmay]

#irony
Точно, особенно на продакшн-сервере.

[SkazochNik]

Мы все умрем?

[ValdikSS]

А ТО!

[Paskal]

Я тоже подумал, что не хватает этого тега.
Спасибо, интересная статья. Теперь я буду хуже спать.

[milabs]

Жить будем долго и счастливо — habrahabr.ru/post/212825/

[iscsi]

selinux mls

[RPG]

Ну зачем же так сурово. Можно на Fedora с targeted потестировать сначала. Вот этого явно не хватает в текущей статье — как оно реально применимо? Механизмы нападения совершенствуются, но и защиты — не отстают.

По иронии судьбы, Азазель маскируется под libselinux.

[RPG]

Судя по

By default, Azazel installs itself as libselinux.so into /lib. An entry is then added to /etc/ld.so.preload in order to hook system wide dynamically compiled programs.

нужны права рута для полноценной эксплуатации руткита?

[ValdikSS]

Не совсем так. Можно, например, определенному пользователю установить в домашнюю директорию, и закинуть LD_PRELOAD в .bashrc.

[RPG]

Тогда вопрос с другой стороны: как маскируется мусор в домашнем каталоге и .bashrc (предположим что пользователь или антивирус в состоянии туда дотянуться)? Т. е. он может скрыть само по себе присутствие записи в bashrc?

[ValdikSS]

Файлы можно маскировать, задав им определенный GID, например, а для записи в bashrc нужно немного кода дописать.

[DRek]

Я думаю тут больше подходит такой вариант что, подобрали к примеру рут пароль через ссш или поломали тот же плеск и после этого незаметно внедрили данный бекдор и юзают сервак как ноду ботнета. Учитывая что каналы на серверах на порядок лучше чем у юзеров, то ботнет из 100 таких машин вполне будет сопоставим с ботнетом из 10 000 юзеров.