Комментарии 95
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
де факто стандарт компьютерной безопасности, вот полный текст
www.dynamoo.com/orange/fulltext.htm
www.dynamoo.com/orange/fulltext.htm
+2
И, все таки гугл это действительно полезная вещь. Думаю речь об этом.
0
Вы не смотрели фильм «Хакеры»?
0
класс А оранжевой книги — не панацея. хотя бы потому что он абстрагируется от оборудования и связанных с ним уязвимостей.
+1
НЛО прилетело и опубликовало эту надпись здесь
Напишем вирус на Perl, Shell, C — на Линуксе выбор средств программирования номного шире, а вот в винде Перл стоит не всюду.
+7
Дадим этому вирусу права на запуск (вручную), запустим его (тоже вручную)… а вот только в винде он может самостоятельно запуститься…
0
Скажем пользователю, что для просмотра роликов он должен набрать perl super-mega-video в консоли ;)
0
Нет, вначале надо сказать в какую папку скопировать этот скрипт, объяснить, что такое консоль и где ее найти. Если это сделать в корень домашней папки, тогда запустить скрипт можно будет с помощью вашей команды, но никак ни по другому — в противном случае вам придется ему объяснять, как в консоли перейти в другую папку.
И чтобы этот вирус смог распространяться, нужно к каждому его экземпляру прилагать инструкцию по запуску. Вот такие они — вирусы под Линукс!
И чтобы этот вирус смог распространяться, нужно к каждому его экземпляру прилагать инструкцию по запуску. Вот такие они — вирусы под Линукс!
0
Мэйнстримовых — не тысячи. Максимум сотни. При том разных типов — максимум десятки.
0
НЛО прилетело и опубликовало эту надпись здесь
На шестой, кажется. И хорошо если у юзера включено обновление безопасности. Но ведь не у всех же и не под всеми дистрибутивами.
+3
Притом в Gentoo патч применили толко на десятый день после выпуска :-)
0
Открытым остался вопрос — как заставить пользователя запустить у себя на компьютере эту программу :).
Вот вам и разница.
Вот вам и разница.
+6
НЛО прилетело и опубликовало эту надпись здесь
Возможно. Хотя это по-прежнему затруднительно чисто технически. Я больше о другом — нет таких глупостей, как, например, авторан с флешек. Который даже «продвинутым пользователям» венды надёжно запретить более чем нетривиально :(.
+2
НЛО прилетело и опубликовало эту надпись здесь
Гм… Ну, давайте в сторону вендов опять посмотрим. Там такое есть? Есть десятки тысяч пользователей, установивших себе заражённый изначально дистрибутив, взятый неизвестно откуда? Я подозреваю, что такое бывает, поскольку сделать это не сложно, но разве это реально массовое явление на которое могут сделать ставку ботнетописатели?
+1
НЛО прилетело и опубликовало эту надпись здесь
>В большинстве случаев вирус идет вместе с комплектом программа + кряк.
Ну, эт понятно
>Говносборки очень любят и, хоть и редко, но попадаются дистрибутивы с «закладкой».
Всё-таки редко?
>Сейчас происходит ажиотаж с промежуточными сборками Windows 7, которые предоставляются неизвестно кем и как.
Ну, это особоспециальные кульхацкеры с неизвестными сборками развлекаются. Страшно далеки они от народа. :)
Ну, эт понятно
>Говносборки очень любят и, хоть и редко, но попадаются дистрибутивы с «закладкой».
Всё-таки редко?
>Сейчас происходит ажиотаж с промежуточными сборками Windows 7, которые предоставляются неизвестно кем и как.
Ну, это особоспециальные кульхацкеры с неизвестными сборками развлекаются. Страшно далеки они от народа. :)
0
Основа для ботнетов — т.н «кодеки», типа поставь себе чудо-кодек и фильм (как правило порно) заиграет прям в том же окне. Пример приводить не надо? Фильм конечно может и заиграть с халявного порно-туба, но лоадер (а что потом лоадер поставит, дело владельца лоадера, зависит от цены того что надо ставить) поставится 100%
На этом и собирается миллионные ботнеты.
На этом и собирается миллионные ботнеты.
+4
Концепция доверенных репозитариев УЖЕ есть и работает.
+1
Доверенные репы в например убунте давно есть и «недоверенный» туда добавить может только достаточно продвинутый юзер. Потом, были как-то подобные «учения», когда в опенсорный коммитился кусок с вредоносным кодом, это выяснилось уже через пару часов.
С другой стороны, нельзя не вспомнить про дыру в openssh в дебиане размером с КОСМОС, которую нашли только через полтора что-ли года после ее появления :)
С другой стороны, нельзя не вспомнить про дыру в openssh в дебиане размером с КОСМОС, которую нашли только через полтора что-ли года после ее появления :)
+2
Например в gnome, кстати, autorun есть :-)
Но он пока еще спрашивает «вы точно хотите запустить программу с флэшки?»
Но он пока еще спрашивает «вы точно хотите запустить программу с флэшки?»
0
а как ботнет под макинтошами появился? Люди сами вводили пароль администратора установщику трояна. Так что с этим проблем не будет
+4
Доля правды есть в его словах, но… Вы же не станете спорить, что по *nix работают по большей части серверы. И мне лично кажется, что будь эта ось такой же дырявой как винда, очень и очень все было бы печально, ибо одно дело ботнет на пачке пользовательских машин, и совсем другое — на пачке серверов ;)
+2
Любая уязвима. Только в той же Gentoo багованные версии udev были убраны из портежа в день публикации новости от уязвимости.
А сколько будет в такой ситуации раскачиваться MS?
А сколько будет в такой ситуации раскачиваться MS?
0
НЛО прилетело и опубликовало эту надпись здесь
В день публикации уязвимости? Вы оптимист :-)
0
Касательно последней строки — имхо одну из ключевых ролей в уязвимости ОС играет человек, её использующий. При прочих равных — при наличии за «рулём» опытного пользователя шансы поюзать уязвимость будут значительно ниже.
А в случае с unix-like ОС, я вообще очень смутно себе представляю применение локальных уязвимостей — софт большинство ставят из репозиториев. Можно конечно предположить, что «говнецо» подложат именно туда, но кмк, вероятность этого мала.
А в случае с unix-like ОС, я вообще очень смутно себе представляю применение локальных уязвимостей — софт большинство ставят из репозиториев. Можно конечно предположить, что «говнецо» подложат именно туда, но кмк, вероятность этого мала.
0
НЛО прилетело и опубликовало эту надпись здесь
Я тоже сначала обновился — а потом увидел новость о дыре :)
А вообще, наличие дыр, количество дыр, их опасность — всё фигня по сравнению со скоростью их исправления. Если найдут 10 дыр, о которых объявят вместе с прилагающимся обновлением и если найдут одну, исправления для которой не будет несколько месяцев — что хуже?
А вообще, наличие дыр, количество дыр, их опасность — всё фигня по сравнению со скоростью их исправления. Если найдут 10 дыр, о которых объявят вместе с прилагающимся обновлением и если найдут одну, исправления для которой не будет несколько месяцев — что хуже?
+4
В udev 141-1 дыра уже залатана?
0
Для этого нужно еще получить доступ к исполнению бинарников
+7
На практике мы видим что из 15-20к ботнета с которого на нас недавно велись атаки — не менее 20% судя по user-agent'am браузеров — Linux системы, хотя тут сложно сказать точно — скорее уязвимости браузеров. Причём судя по всему user-agent'ы эти не вставлены нарочно, а это именно уязвимые версии браузеров, и если с IE 6-7 на Windows всё давно понятно, то видеть такое довольно внушительное число заражённых компьютеров на довольно устойчивой к таким вещам ОС — как минимум заставляет задуматься. То ли ещё будет.
+2
А не могли бы вы статистику опубликовать? А то получается, что на долю linux приходится уже 20%, если принять уязвимость linux-версий браузеров равной уязвимости win-версий. Как-то не верится.
+1
Нашёл один чудом спасшийся лог размером 2.3 Гб (это примерно 15 минут атак). Выбрал основные попавшиеся на глаза user-agent'ы.
Вот статистика (useragent — общее кол-во запросов):
==================
Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.03 [en] — 1779347
Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.5; Windows NT 5.1;) — 1740587
Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.8.1.6) Gecko/2007072300 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etc
h1+lenny1) — 1503310
Mozilla/5.0 (compatible; Konqueror/3.5; Linux 2.6.15-1.2054_FC5; X11; i686; en_US) KHTML/3.5.4 (like Gecko) — 882791
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) — 1399225
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022;.
NET CLR 3.5.30729; .NET CLR 3.0.30618) — 869930
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.4.154.25 Safari/525.
19 — 849723
Вот статистика (useragent — общее кол-во запросов):
==================
Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.03 [en] — 1779347
Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.5; Windows NT 5.1;) — 1740587
Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.8.1.6) Gecko/2007072300 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etc
h1+lenny1) — 1503310
Mozilla/5.0 (compatible; Konqueror/3.5; Linux 2.6.15-1.2054_FC5; X11; i686; en_US) KHTML/3.5.4 (like Gecko) — 882791
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) — 1399225
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022;.
NET CLR 3.5.30729; .NET CLR 3.0.30618) — 869930
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.4.154.25 Safari/525.
19 — 849723
0
Хм. Моих знаний не хватает, чтобы это правильно интерпретировать…
К невероятной доле в 20% добавились ещё и Konqueror/Iceweasel… Хотя по логике вещей должны были быть линуксовые версии Firefox и Opera… Есть кто в теме, как это вообще объяснить-то?
К невероятной доле в 20% добавились ещё и Konqueror/Iceweasel… Хотя по логике вещей должны были быть линуксовые версии Firefox и Opera… Есть кто в теме, как это вообще объяснить-то?
0
+1
Я не профессионал в этой области, но истинность тоже вызывает серьёзные подозрения. А именно метки о:
1) Принадлежности клиента к 2.6.15-FC5(Fedora Core 5, насколько я понял?). Я сто лет не сталкивался с Федорой, но вспоминая продукцию RedHat`a, они в гуях держали утилитку для апдейта системы, которая трудолюбиво сообщала про обновления(было это еще в RH8, если я не ошибаюсь — не думаю, что они отказались от столь полезной вещи). В таких условиях крайне маловероятно, что 5й релиз не превратился во что-нибудь посвежее под влиянием апдейтов(текущий-то вроде как — FC11?).
2) Конкретного билда IceWeasel(оно же Firefox в Debian`овском исполнении), причем версии 2.0.x, когда в стейбле уже давно лежит экземпляр 3й ветки.
В общем, как мне кажется — где-то собрали «срез» user-agent`ов и просто бомбили данными, взятыми из него.
1) Принадлежности клиента к 2.6.15-FC5(Fedora Core 5, насколько я понял?). Я сто лет не сталкивался с Федорой, но вспоминая продукцию RedHat`a, они в гуях держали утилитку для апдейта системы, которая трудолюбиво сообщала про обновления(было это еще в RH8, если я не ошибаюсь — не думаю, что они отказались от столь полезной вещи). В таких условиях крайне маловероятно, что 5й релиз не превратился во что-нибудь посвежее под влиянием апдейтов(текущий-то вроде как — FC11?).
2) Конкретного билда IceWeasel(оно же Firefox в Debian`овском исполнении), причем версии 2.0.x, когда в стейбле уже давно лежит экземпляр 3й ветки.
В общем, как мне кажется — где-то собрали «срез» user-agent`ов и просто бомбили данными, взятыми из него.
+1
А может быть часть ддоса была организована путём внедрения ссылки (картинки) на каком-то популяром ресурсе?
0
Все дело в том, что прикинуться можно любым браузером и любой осью, видимо это ботнет успешно и сделал.
0
Занятно. Хотя, возможно, это был какой-нибудь банальный iframe на вмеру популярном сайте.
0
Нет, не iframe. У нас по статистике доходило до 15-25к запросов в секунду, причём если отсеивать по IP то видно было что с каждого IP поступает стабильно 2-3 запроса в секунду. Да и не видел я таких популярных сайтов с iframe — забанить по рефереру можно вообще без проблем.
Статистику к сожалению опубликовать скорее всего не смогу — логи мы не сохраняли, не видели в этом большой надобности учитывая что они и весили не мало. Если что-то найду сегодня на эту тему — отпишусь.
Статистику к сожалению опубликовать скорее всего не смогу — логи мы не сохраняли, не видели в этом большой надобности учитывая что они и весили не мало. Если что-то найду сегодня на эту тему — отпишусь.
0
НЛО прилетело и опубликовало эту надпись здесь
А как правило для /dev/ufo попало в систему?
У меня в системе на rules.d не стоят права 777, то есть от ограниченного юзера написать там Вы ничего не сможете.
Как Вы собираетесь испольнить произвольный код, используя эту уязвимость?
У меня в системе на rules.d не стоят права 777, то есть от ограниченного юзера написать там Вы ничего не сможете.
Как Вы собираетесь испольнить произвольный код, используя эту уязвимость?
+2
читайте внимательно.
не нужно прописывать ничего в rules.d — всё уже прописано за нас с вами.
не нужно прописывать ничего в rules.d — всё уже прописано за нас с вами.
0
root@kms0042 /home/zerkms # cat /etc/udev/rules.d/95-udev-late.rules
# do not edit this file, it will be overwritten on update
# run a command on remove events
ACTION==«remove», ENV{REMOVE_CMD}!="", RUN+="$env{REMOVE_CMD}"
# event to be catched by udevmonitor
RUN+=«socket:@/org/kernel/udev/monitor»
# do not edit this file, it will be overwritten on update
# run a command on remove events
ACTION==«remove», ENV{REMOVE_CMD}!="", RUN+="$env{REMOVE_CMD}"
# event to be catched by udevmonitor
RUN+=«socket:@/org/kernel/udev/monitor»
0
Так вопрос не о том, что прописано, а как сделать хоть что-то, используя эту уязвимость.
0
как написал автор поста + комментаторы, REMOVE_CMD выполняется от рута.
в посте продемонстрировано создание файла в корневой директории. этого мало?
в посте продемонстрировано создание файла в корневой директории. этого мало?
0
Да!
Вы не сможете, не обладая правами рута, вписать произвольный REMOVE_CMD в правила udev, значит, не сможете выполнить произвольный код на машине.
Вы не сможете, не обладая правами рута, вписать произвольный REMOVE_CMD в правила udev, значит, не сможете выполнить произвольный код на машине.
0
Вообще в оригинальном отчете об уязвимости было сказано о возможности создавать устройства с правами rw-rw-rw-. Я просто не стал разбираться, как это делать, и пошел более кротким путём, найдя уязвимое правило, наличие которого проверил на Debian, Ubuntu и Gentoo :-)
0
жестка, работает в убунту
-1
В какой? Версии дистриба и пакетов?
0
Тоже любопытно в какой. Хотел потестить на своей 8.04, ан нет, не работает. Заглянул в лог — обновление udev пришло 16го числа.
0
Уязвимости есть, их фиксят. Это нормально. Хотя опять же на продакш это обновление попадет не раньше чем через месяц, а иногда полгода-год. Но продакшн у всех разный.
0
Да, уязвимости есть везде.
И пока практике оказывается что windows без антивируса есть огромный риск потери личных данных, а под MacOS и в Linux вирус подхватить практически нереально, я предпочту альтернативную систему, самой наипопулярной.
И пока практике оказывается что windows без антивируса есть огромный риск потери личных данных, а под MacOS и в Linux вирус подхватить практически нереально, я предпочту альтернативную систему, самой наипопулярной.
0
когда на прошлой неделе я читал новость об этой уязвимости на лоре — попивая утренний чаек — оживился update applet и сказал о том, что как раз обновление udev вышло, так что не все так страшно…
-1
НЛО прилетело и опубликовало эту надпись здесь
Локальный злоумышленник может получить привилегии суперпользователя…
Ну, ка бы не смертельно.
А удалённо оно работает?
Кстати, udev в Fedora обновился с тех пор.
Ну, ка бы не смертельно.
А удалённо оно работает?
Кстати, udev в Fedora обновился с тех пор.
-1
Занимательно, попробуем-с :)
У студента-недоучки занижена самооценка?
В ответ я решил написать этот топик, демонстрирующий, что создать рабочий эксплойт для опубликованной уязвимости нередко может даже фриланствующий студент-недоучка, потратив пару-тройку часов воскресным вечером.
У студента-недоучки занижена самооценка?
0
В Mandriva не работает. udev установлен 19'го Марта, то есть уязвим. Тем не менее, такого правила (с «ACTION==«remove», ENV{REMOVE_CMD}!="", RUN+="$env{REMOVE_CMD}"») или аналогичного там нет, поэтому устройство создаётся (а толку?), но произвольный код выполнить не получится.
0
скучнейший отстой, продолжайте в том же духе!
+2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Скучный эксплойт для одной широкой дыры