Новый троян CronRAT скрывается за датой 31 февраля

[Serge78rus]

Чтобы что-то добавить в crontab, надо обладать правами root. А если уж вредонос этого добился, то он может вытворять практически все.

[myz0ne]

Чтобы что-то добавить в crontab, надо обладать правами root.

Вообще-то да, но нет. Наберите `crontab -e` от обычного пользователя например и добавляйте пользовательские крон-таски.

[Serge78rus]

Спасибо! Вот так, ляпнувши фигню, иногда в ответ узнаешь чего-то новое и полезное.

[amarao]

Я ничего не понял. Браузерные средства безопасности, защищающие от рутовой записи в кронтаб?

Тут два варианта:

1. Исследователи идиоты и пишут ахинею

2. Переводчик изнасиловал журналиста за то, что тот изнасиловал учёного.

Догадайтесь какой из вариантов вероятнее.

[Protos]

Так и не понял суть работы атаки

[Elsajalee]

Получается, суть: как можно дольше скрывать своё присутствие в системе уже когда утёк root доступ.

[Elsajalee]

Попытался посмотреть, что в оригинале:
https://thehackernews.com/2021/11/cronrat-new-linux-malware-thats.html
Понятнее не стало.

[Bright_Translate]

Основной материал приведен самими исследователями здесь https://sansec.io/research/cronrat

[Elsajalee]

Спасибо, перешел с их сайта на их твиттер, оттуда взял ссылку, которую переводили.

[Elsajalee]

Предполагаю, что если вы видите в crontab примерно это

И вас это ещё каким-то чудом не напрягает :) То ваша система заражена вирусом, который использует этот текст, в качестве выполняемого кода (сценария bash), т.к. файлы crontab не сканируются антивирусами, а то, что сканируется (приведено в статье) - естественно не вирус.

[pae174]

Вообще это баг в crontab, конечно. Она как раз и предназначена для проверки пользовательского ввода перед записью в табы, но, как оказалось, не делает это в части корректности дат.