-
[B]amranello[/B], а Вы знаете, для чего вирусы используют уязвимости на Windows? Всего лишь для того, чтобы начать работать :)
Проблема *никсов в том, что из-за уверенности администраторов в своей непогрешимости, вирусам для начала работы не нужно использовать уязвимости :) Обсуждаемая статья несет именно эту информацию.
[QUOTE]например фтп зачем на нем разрешать выполнять рассылку писем или выполнение скриптов, или запуск скриптов с папки пользователей[/QUOTE]
Если это все запретить, то на Вашем веб-сервере можно будет хранить только статичные HTML-файлы. PHP там уже работать не будет. :rtfm:
-
[QUOTE=DVi;404910][B]amranello[/B], а Вы знаете, для чего вирусы используют уязвимости на Windows? Всего лишь для того, чтобы начать работать :)
Проблема *никсов в том, что из-за уверенности администраторов в своей непогрешимости, вирусам для начала работы не нужно использовать уязвимости :) Обсуждаемая статья несет именно эту информацию.
Если это все запретить, то на Вашем веб-сервере можно будет хранить только статичные HTML-файлы. PHP там уже работать не будет. :rtfm:[/QUOTE]
обычно фтп сервис не ставят вместе с веб сервисом, это раз, а во вторых можно запретить запуск именно в папке фтп сервиса, man rsbac. а также noexec на разделе выделенном для фтп. а также иможно изолировать сервисы в контейнеры [url]http://ru.wikipedia.org/wiki/OpenVZ[/url]. обычно опытные администраторы сразу все это используют, если они конечно не эникейщики :-) а еще забыл про chroot, хоть и старый но простой и верный способ изолировать сервис, ставим там фтп сервис и не ставим туда перл, даж sendmail, иль кто что использует, выключаем и вуаля :-)
-
Кузя, Алекс, Эгоист! Прочитал и заценил! Всем отличившимся прописал благодарность и накрутил рейтинг (сколько смог)/ :) Молодцы одним словом!!!
-
[COLOR="Gray"]off
Я думал с приходом Александра тут вообще пожар начнётся. А он только лишь рейтинг накрутил :)
/off[/COLOR]
-
[QUOTE=light59;405694][COLOR=gray]off[/COLOR]
[COLOR=gray]Я думал с приходом Александра тут вообще пожар начнётся. А он только лишь рейтинг накрутил :) [/COLOR]
[COLOR=gray]/off[/COLOR][/QUOTE]
Александр, делись приходом :D:D:D
-
[url]http://virusinfo.info/showthread.php?t=46637[/url] - новость как раз в тему))
-
[B]Империя нанесла ответный удар[/B]
Учитывая, что мой предыдущий пост был принят в штыки многими линуксоидами, думаю, будет логично рассмотреть более подробно указанный пример, тем более что на днях к нам поступила новая модификация Trojan-Dropper.Linux.Prl.
Trojan-Dropper.Linux.Prl.b
Имя файла: ob.pl. Тип файла: ELF. Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста. Принцип работы остался прежний — создание процесса «/usr/bin/perl» и передача ему через pipe Perl-скрипта.
Сам скрипт хранится в теле трояна в зашифрованном виде. Алгоритм расшифровки при этом выглядит так:
[CENTER][IMG]http://images.kaspersky.com/ru/pictures/vlweblog/207758876.png[/IMG][/CENTER]
[SIZE="1"][CENTER]Алгоритм расшифровки Perl-скрипта[/CENTER][/SIZE].
Основная цель работы расшифрованного Perl-скрипта — рассылка спама.
Часть Perl-скрипта, отвечающего за рассылку писем:
[QUOTE]if ($session->{$handle}{status} eq "mx_rd")
{
$session->{$handle}{buffer} = "HELO $buffers->{helo}\x0D\x0A";
$session->{$handle}{status} = "mx_gr";
}
elsif ($session->{$handle}{status} eq "mx_gr")
{
my ($mail) = &mail(\$session->{$handle}{sender});
$session->{$handle}{buffer} = "MAIL FROM: <$$mail>\x0D\x0A";
$session->{$handle}{status} = "mx_mf";
}
elsif ($session->{$handle}{status} eq "mx_mf")
{
my ($mail) = &mail(\$session->{$handle}{object});
$session->{$handle}{buffer} = "RCPT TO: <$$mail>\x0D\x0A";
$session->{$handle}{status} = "mx_rt";
}
elsif ($session->{$handle}{status} eq "mx_rt")
{
$session->{$handle}{buffer} = "DATA\x0D\x0A";
$session->{$handle}{status} = "mx_dt";
}
elsif ($session->{$handle}{status} eq "mx_dt")
{
$session->{$handle}{buffer} = &data($session->{$handle}{object}, $session->{$handle}{sender});
$session->{$handle}{buffer} .= "\x0D\x0A.\x0D\x0A";
$session->{$handle}{status} = "mx_dr";
}
elsif ($session->{$handle}{status} eq "mx_dr")
{
$buffers->{good}[0] ++;
$buffers->{good}[1] .= "$session->{$handle}{object}\x0A" if $buffers->{level};
$session->{$handle}{object} = "";
$session->{$handle}{buffer} = "QUIT\x0D\x0A";
$session->{$handle}{status} = "mx_qt";[/QUOTE]
[CENTER][IMG]http://images.kaspersky.com/ru/pictures/vlweblog/207758877.jpg[/IMG][/CENTER]
[SIZE="1"][CENTER]Пример рассылаемых писем.[/CENTER][/SIZE]
В боте при этом указаны IP-адреса, где установлены административные панели для его работы: 195.144.21.122, 195.144.21.124 и 194.54.83.114.
Откуда дровишки?
Прочитав несколько топиков на различных форумах по данному вопросу и связавшись с администраторами нескольких зараженных серверов, нам удалось выяснить, что данные спам-боты появились на их серверах вследствие 3-х основных причин:
кража пароля от FTP, с помощью вредоносных программ;
перебор паролей от FTP, SSH по словарю;
проникновение через phpbb.
Во всех трёх случаях загрузка спам-бота сопровождалась изменением HTML-файлов и вставкой в них iframe’ов на зараженные сайты.
Обнаружение, лечение, предупреждение повторного заражения
В общем случае обнаружить работу спам бота можно просто с помощью команды «ps -aux». При этом можно выделить три случая, характерных для заражения данным ботом — в зависимости от способа, которым злоумышленник установил его на систему:
интерпретатор Perl запущен с параметрами -w и путем к файлу, непосредственно содержащим указанный спам-бот (характерен для случая проникновения через phpbb);
Perl с параметром -w и путём к файлу, отсутствующему на сервере. (характерен для случая с кражей пароля от FTP с помощью троянских программ);
Perl, запущенный без параметров с помощью дроппера (характерен при переборе пароля).
Из всего выше указанного можно сделать простые выводы для предотвращении заражения машин этим спам-ботом:
Использовать сложные пароли
Использовать последние версии продуктов установленных на сервере
Следить за безопасностью на всех компьютерах, используемых для доступа к сайтам
[url]http://www.viruslist.com/ru/weblog[/url]
PS: Фсё.. Я пошёл бояцца.
На мой взгляд, ключевые слова во всём наборе букафф и цифер такие:
[QUOTE]
кража пароля от FTP, с помощью вредоносных программ;
перебор паролей от FTP, SSH по словарю;
проникновение через phpbb[/QUOTE]
Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...
-
[QUOTE=ALEX(XX);408151]
Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...[/QUOTE]
noexec здесь поможет частично:
ELF не расшифрует ничего, т.к. не запустится.
А вот мыл-седерная часть.. перл запускается со своего "родного" места, а скрипт передается как параметр.
а вот chroot - самое оно, как для ftp-шника (и при переборе и при "уводе" паролей)
Что до дыр в phpbb - следим за обновлениями..
-
Для справки:
[URL="http://ru.wikipedia.org/wiki/Chroot"]Chroot[/URL]
-
[QUOTE=ALEX(XX);408151][B]Империя нанесла ответный удар[/B]
Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...[/QUOTE]
Да название статьи некорректно.
....Если вы почитаете ту оригинальную статью на веблоге viruslist, на которую ссылается эта публикация в securitylab, и следующую за ней статью на ту же тему, то вы увидите, что ни о каких троянах для Linux речи не идет, а вредоносный код попадает на зараженные сервера, как правило по следующим причинам (цитирую веблог):
" 1. кража пароля от FTP, с помощью вредоносных программ;
2. перебор паролей от FTP, SSH по словарю;
3. проникновение через phpbb.....
....Т.е. речь идет об элементарной безалаберности и пренебрежении основными принципами компьютерной безопасности - такими как стойкие пароли, хранение их в надежном месте... Т.е. закрывать в таких случаях какие то дыры не нужно....
Ответ сотрудника ЛК в рубрике "Задай вопрос Евгению Касперскому!" [url]http://forum.kasperskyclub.ru/index.php?showtopic=9814[/url]
О чем мы в этоп топике и говорили :)
Для Deja Vu персонально к сведению :)
Page generated in 0.00708 seconds with 10 queries