Страница 5 из 5 Первая 12345
Показано с 81 по 90 из 90.

Очередное опровержение мифа о безопасности *nix

  1. #81
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    amranello, а Вы знаете, для чего вирусы используют уязвимости на Windows? Всего лишь для того, чтобы начать работать

    Проблема *никсов в том, что из-за уверенности администраторов в своей непогрешимости, вирусам для начала работы не нужно использовать уязвимости Обсуждаемая статья несет именно эту информацию.

    например фтп зачем на нем разрешать выполнять рассылку писем или выполнение скриптов, или запуск скриптов с папки пользователей
    Если это все запретить, то на Вашем веб-сервере можно будет хранить только статичные HTML-файлы. PHP там уже работать не будет.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #82
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.01.2009
    Адрес
    Украина, Чернигов
    Сообщений
    5
    Вес репутации
    92
    Цитата Сообщение от DVi Посмотреть сообщение
    amranello, а Вы знаете, для чего вирусы используют уязвимости на Windows? Всего лишь для того, чтобы начать работать

    Проблема *никсов в том, что из-за уверенности администраторов в своей непогрешимости, вирусам для начала работы не нужно использовать уязвимости Обсуждаемая статья несет именно эту информацию.


    Если это все запретить, то на Вашем веб-сервере можно будет хранить только статичные HTML-файлы. PHP там уже работать не будет.
    обычно фтп сервис не ставят вместе с веб сервисом, это раз, а во вторых можно запретить запуск именно в папке фтп сервиса, man rsbac. а также noexec на разделе выделенном для фтп. а также иможно изолировать сервисы в контейнеры http://ru.wikipedia.org/wiki/OpenVZ. обычно опытные администраторы сразу все это используют, если они конечно не эникейщики :-) а еще забыл про chroot, хоть и старый но простой и верный способ изолировать сервис, ставим там фтп сервис и не ставим туда перл, даж sendmail, иль кто что использует, выключаем и вуаля :-)
    Последний раз редактировалось amranello; 21.05.2009 в 16:21.
    Debian GNU/Linux

  4. #83
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Кузя, Алекс, Эгоист! Прочитал и заценил! Всем отличившимся прописал благодарность и накрутил рейтинг (сколько смог)/ Молодцы одним словом!!!

  5. #84
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    off
    Я думал с приходом Александра тут вообще пожар начнётся. А он только лишь рейтинг накрутил
    /off

  6. #85
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от light59 Посмотреть сообщение
    off
    Я думал с приходом Александра тут вообще пожар начнётся. А он только лишь рейтинг накрутил
    /off
    Александр, делись приходом
    Left home for a few days and look what happens...

  7. #86
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    http://virusinfo.info/showthread.php?t=46637 - новость как раз в тему))
    The worst foe lies within the self...

  8. #87
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Империя нанесла ответный удар

    Учитывая, что мой предыдущий пост был принят в штыки многими линуксоидами, думаю, будет логично рассмотреть более подробно указанный пример, тем более что на днях к нам поступила новая модификация Trojan-Dropper.Linux.Prl.
    Trojan-Dropper.Linux.Prl.b

    Имя файла: ob.pl. Тип файла: ELF. Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста. Принцип работы остался прежний — создание процесса «/usr/bin/perl» и передача ему через pipe Perl-скрипта.

    Сам скрипт хранится в теле трояна в зашифрованном виде. Алгоритм расшифровки при этом выглядит так:

    Алгоритм расшифровки Perl-скрипта
    .

    Основная цель работы расшифрованного Perl-скрипта — рассылка спама.

    Часть Perl-скрипта, отвечающего за рассылку писем:


    if ($session->{$handle}{status} eq "mx_rd")
    {
    $session->{$handle}{buffer} = "HELO $buffers->{helo}\x0D\x0A";
    $session->{$handle}{status} = "mx_gr";
    }
    elsif ($session->{$handle}{status} eq "mx_gr")
    {
    my ($mail) = &mail(\$session->{$handle}{sender});

    $session->{$handle}{buffer} = "MAIL FROM: <$$mail>\x0D\x0A";
    $session->{$handle}{status} = "mx_mf";
    }
    elsif ($session->{$handle}{status} eq "mx_mf")
    {
    my ($mail) = &mail(\$session->{$handle}{object});

    $session->{$handle}{buffer} = "RCPT TO: <$$mail>\x0D\x0A";
    $session->{$handle}{status} = "mx_rt";
    }
    elsif ($session->{$handle}{status} eq "mx_rt")
    {
    $session->{$handle}{buffer} = "DATA\x0D\x0A";
    $session->{$handle}{status} = "mx_dt";
    }
    elsif ($session->{$handle}{status} eq "mx_dt")
    {
    $session->{$handle}{buffer} = &data($session->{$handle}{object}, $session->{$handle}{sender});
    $session->{$handle}{buffer} .= "\x0D\x0A.\x0D\x0A";
    $session->{$handle}{status} = "mx_dr";
    }
    elsif ($session->{$handle}{status} eq "mx_dr")
    {
    $buffers->{good}[0] ++;
    $buffers->{good}[1] .= "$session->{$handle}{object}\x0A" if $buffers->{level};

    $session->{$handle}{object} = "";

    $session->{$handle}{buffer} = "QUIT\x0D\x0A";
    $session->{$handle}{status} = "mx_qt";

    Пример рассылаемых писем.


    В боте при этом указаны IP-адреса, где установлены административные панели для его работы: 195.144.21.122, 195.144.21.124 и 194.54.83.114.

    Откуда дровишки?

    Прочитав несколько топиков на различных форумах по данному вопросу и связавшись с администраторами нескольких зараженных серверов, нам удалось выяснить, что данные спам-боты появились на их серверах вследствие 3-х основных причин:


    кража пароля от FTP, с помощью вредоносных программ;
    перебор паролей от FTP, SSH по словарю;
    проникновение через phpbb.
    Во всех трёх случаях загрузка спам-бота сопровождалась изменением HTML-файлов и вставкой в них iframe’ов на зараженные сайты.

    Обнаружение, лечение, предупреждение повторного заражения

    В общем случае обнаружить работу спам бота можно просто с помощью команды «ps -aux». При этом можно выделить три случая, характерных для заражения данным ботом — в зависимости от способа, которым злоумышленник установил его на систему:


    интерпретатор Perl запущен с параметрами -w и путем к файлу, непосредственно содержащим указанный спам-бот (характерен для случая проникновения через phpbb);
    Perl с параметром -w и путём к файлу, отсутствующему на сервере. (характерен для случая с кражей пароля от FTP с помощью троянских программ);
    Perl, запущенный без параметров с помощью дроппера (характерен при переборе пароля).
    Из всего выше указанного можно сделать простые выводы для предотвращении заражения машин этим спам-ботом:


    Использовать сложные пароли
    Использовать последние версии продуктов установленных на сервере
    Следить за безопасностью на всех компьютерах, используемых для доступа к сайтам

    http://www.viruslist.com/ru/weblog

    PS: Фсё.. Я пошёл бояцца.
    На мой взгляд, ключевые слова во всём наборе букафф и цифер такие:
    кража пароля от FTP, с помощью вредоносных программ;
    перебор паролей от FTP, SSH по словарю;
    проникновение через phpbb
    Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...
    Left home for a few days and look what happens...

  9. #88
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...
    noexec здесь поможет частично:
    ELF не расшифрует ничего, т.к. не запустится.
    А вот мыл-седерная часть.. перл запускается со своего "родного" места, а скрипт передается как параметр.
    а вот chroot - самое оно, как для ftp-шника (и при переборе и при "уводе" паролей)
    Что до дыр в phpbb - следим за обновлениями..
    The worst foe lies within the self...

  10. #89
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Для справки:
    Chroot
    Left home for a few days and look what happens...

  11. #90
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Империя нанесла ответный удар



    Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...
    Да название статьи некорректно.

    ....Если вы почитаете ту оригинальную статью на веблоге viruslist, на которую ссылается эта публикация в securitylab, и следующую за ней статью на ту же тему, то вы увидите, что ни о каких троянах для Linux речи не идет, а вредоносный код попадает на зараженные сервера, как правило по следующим причинам (цитирую веблог):
    " 1. кража пароля от FTP, с помощью вредоносных программ;
    2. перебор паролей от FTP, SSH по словарю;
    3. проникновение через phpbb.....

    ....Т.е. речь идет об элементарной безалаберности и пренебрежении основными принципами компьютерной безопасности - такими как стойкие пароли, хранение их в надежном месте... Т.е. закрывать в таких случаях какие то дыры не нужно....

    Ответ сотрудника ЛК в рубрике "Задай вопрос Евгению Касперскому!" http://forum.kasperskyclub.ru/index.php?showtopic=9814

    О чем мы в этоп топике и говорили
    Для Deja Vu персонально к сведению

Страница 5 из 5 Первая 12345

Похожие темы

  1. Очередное выскакивание Errorsafe
    От AlexeyQ в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.02.2009, 01:45
  2. Ответов: 0
    Последнее сообщение: 29.10.2005, 15:06

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01056 seconds with 18 queries