The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd

30.04.2021 10:05

Исследовательская лаборатория 360 Netlab сообщила о выявлении нового вредоносного ПО для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей.

Бэкдор был обнаружен в ходе анализа подозрительного трафика от одного из системных процессов, выявленного при разборе структуры ботнета, используемого для DDoS-атаки. До этого RotaJakiro оставался незамеченным на протяжении трёх лет, в частности, первые попытки проверки в сервисе VirusTotal файлов с MD5-хэшами, совпадающими с выявленным вредоносным ПО, датированы маем 2018 года.

Из особенностей RotaJakiro называется использование разных техник маскировки при запуске с правами непривилегированного пользователя и root. Для скрытия своего присутствия бэкдор использовал имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, с учётом загромождения современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались легитимными и не вызывали подозрений.

При запуске с правами root для активации вредоносного ПО создавались скрипты /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service, а сам вредоносный исполняемый файл размещался как /bin/systemd/systemd-daemon и /usr/lib/systemd/systemd-daemon (функциональность дублировалась в двух файлах). При выполнении с правами обычного пользователя использовался файл автозапуска $HOME/.config/au-tostart/gnomehelper.desktop и вносились изменения в .bashrc, а исполняемый файл сохранялся как $HOME/.gvfsd/.profile/gvfsd-helper и $HOME/.dbus/sessions/session-dbus. Одновременно запускались оба исполняемых файла, каждый из которых следил за наличием другого и восстанавливал его в случае завершения работы.

Для скрытия результатов своей деятельности в бэкдоре применялось несколько алгоритмов шифрования, например, для шифрования своих ресурсов использовался AES, а для скрытия канала связи с управляющим сервером связка из AES, XOR и ROTATE в сочетании со сжатием при помощи ZLIB.

Для получения управляющих команд вредоносное ПО обращалось к 4 доменам через сетевой порт 443 (в канале связи использовался свой протокол, а не HTTPS и TLS). Домены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) были зарегистрированы в 2015 году и размещены у киевского хостинг-провайдера Deltahost. В бэкдор были интегрированы 12 базовых функций, которые позволяли загружать и выполнять плагины с расширенной функциональностью, передавать данные об устройстве, перехватывать конфиденциальные данные и управлять локальными файлами.

  1. Главная ссылка к новости (https://blog.netlab.360.com/st...)
  2. OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
  3. OpenNews: Результаты анализа бэкдоров в приложениях для Android
  4. OpenNews: В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root
  5. OpenNews: Новые сведения о вредоносном ПО VPNFilter, поражающем домашние маршрутизаторы
  6. OpenNews: Выявлен комплекс вредоносного ПО "Дроворуб" для ОС Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55054-backdoor
Ключевые слова: backdoor, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (180) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, FortyTwo (ok), 11:01, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Прекрасно. Найди в комбайне inject...
     
     
  • 2.2, Аноним (2), 11:03, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +21 +/
    Воистену, хотели виндовс-лайк монолит - получили и атаки.
    Надеюсь это отрезвит мейтейнеров основных дистрибутивов от привязки только к одной системе инициализации.
     
     
  • 3.4, пох. (?), 11:08, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –14 +/
    А кто их спрашивать-то собирается? Современный софт без libsystemd и не собирается давно.

     
     
  • 4.7, Аноним (7), 11:12, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Гентушники твои слова не подтверждают.
     
     
  • 5.148, uis (ok), 10:52, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме одного эмулятора ведроида. anbox. Там sysd используется для... работы с dbus. Видимо про libdbus они не слышали.
    А так да, не подтверждаю.
     
  • 4.8, анон (?), 11:14, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    врете, батенька
     
  • 4.15, фыв (??), 11:18, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    ArtixLinux (arch), Devuan, Slackware, Gentoo.
    Некоторые сущности, как это не смешно - вечны )
     
     
  • 5.18, анон (?), 11:25, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Десктоп на Artix, сервер на Devuan и никаких проблем. У кого софт без системды не собирается рекомендую менять софт
     
     
  • 6.130, валяйте (?), 20:47, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А также ты рекомендуеш им сидеть без работы.
     
  • 6.149, uis (ok), 10:54, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >У кого софт без системды не собирается рекомендую менять софт

    Лучше нормально написать разрабам, что, например, для dbus systemd не нужен, а достаточно libdbus.

     
     
  • 7.203, Аноним (203), 18:07, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    dbus тоже ненужен!

    Это дыра которые через polkitd с Java Script политиками безопасности повышает привилегии обычного пользователя до рута.

     
  • 5.24, Аноним (-), 11:31, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Большинство софта в них неработают без dbus,polkit,elogind.
    Так что всем рекомендую перейти на https://k1sslinux.org
    Софта немного, но зато чист от троянов IBM.
     
     
  • 6.27, фыв (??), 11:35, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наличие dbus, elogind не смущает, как и не даёт о себе знать.
    Иными словами: меньшее из зол дабы не впадать в крайности )
     
     
  • 7.45, пох. (?), 11:57, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Наличие dbus, elogind не смущает, как и не даёт о себе знать.

    ну так и троянец три года не давал о себе знать и никого не смущал.

    Назовет себя dbus, или elogind и будет чувствовать себя прекрасно следующие пять лет - в вашей чудо-системе без системды, но с полным ее косплеем (из костыликов и подпорочек).

     
     
  • 8.48, фыв (??), 11:59, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чего же троянец ждал десятилетия Почему сразу не порадовал нас из sysVinit ... текст свёрнут, показать
     
     
  • 9.52, пох. (?), 12:19, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле Вот этого всего shitlogind , dbus-daemon --system --address systemd ... текст свёрнут, показать
     
  • 6.143, Аноним (143), 09:16, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что из этого списка имеет хоть какое-нибудь вменяемое применение?
     
  • 4.21, Аноним (21), 11:28, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Без системГ не собирается только гном. Оба не нужны.
     
     
  • 5.30, Аноним (30), 11:36, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Все собирается, мало того еще и работает потом - Void тому подверждение...40 гном завезли и он работает а системГ и в помине нет...
     
     
  • 6.142, thhh (?), 09:11, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут про systemd разговор, а вы хвпстаетесь про сборку без мифического системГ.
     
  • 3.11, фвы (?), 11:15, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Как, люди создавшие это, с аримей великовозрастных школьников на команде "фас" на каждом форуме по всему миру, способна отрезвиться..
    Идея системд отличная. Да вот реализация - апофеоз идиотизма.
     
     
  • 4.33, YetAnotherOnanym (ok), 11:38, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Да вот реализация - апофеоз идиотизма.

    Вот тут на 100% согласен.


     
     
  • 5.39, фыв (??), 11:44, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наш хрупкий мирок it фриков будут давить. А вечно пованивающая бездумная "масса" будет блеять и обзывать маразматиками, консерваторами, динозаврами, тех кто еще что-то понимает. И нам еще придётся выбирать и не раз, что принесёт и не такие неудобства как появление системд.. таков уж мир и его хищные настроения.
    Правильно директор Курчатовского сказал "пендосы выигрывают, так как играют в долгую". Невероятно глупо даже не подозревать что эьто не касается и обычных юзверских пк.
     
     
  • 6.50, YetAnotherOnanym (ok), 12:09, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хуже всего, что те, кто должен был бы думать за эту массу - такие же. Что Медвед со своим айфонным энтузиазмом, что Греф и остальные банкиры с переводом всего в смартфоны клиентов, что "минцифра", которая в упор не видит, что сайты ведомств кишат закладками, сливающими налево инфу о гражданах. И некуды бечь.
     
     
  • 7.67, n00by (ok), 13:04, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эти господа и не должны про то думать -- не их компетенция. Когда Путин отвечал на троллинг про "пропатчить КДЕ под ФриБСД", что следует обратиться к специалистам, именно это и имелось ввиду.

    Другой вопрос, как так получилось, что Рашн ОС унд Апликейшн "разрабатывают" персонажи, у которых #define объявляет переменную, а потом подобный треш продаётся в госструктуры за бюджетные средства, и почему за эту деятельность не сажают пачками -- вот это как раз вопрос к товарищам майорам.

     
     
  • 8.76, sig11 (?), 13:31, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Когда Путин отвечал Это Ющенко отвечал путин такое даж не выговорит... текст свёрнут, показать
     
     
  • 9.77, n00by (ok), 13:34, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Я не смотрел Ющенко тот факт, что до него провокацию вообще допустили, уже о мн... текст свёрнут, показать
     
     
  • 10.103, anonymous (??), 15:51, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Эффект Мандела налицо ... текст свёрнут, показать
     
     
  • 11.112, n00by (ok), 16:49, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если после массированной информкомпании по поводу реакции первых лиц на мем кто-... текст свёрнут, показать
     
  • 4.36, Аноним (30), 11:41, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все что нужно чтобы это исправить - завезти в стандартную поставку системд только 2 модуля - инициализацию и менеджер плагинов ...мне собсно кроме первого ничего не нужно из этого комбаина.
     
     
  • 5.47, YetAnotherOnanym (ok), 11:58, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хватайте луддита!
     
     
  • 6.95, Аноним (30), 15:02, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сколько модулей, из этой сотен входящих в состав ненужноД, ты используеш?
     
  • 5.65, Аноним (65), 12:52, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Все что нужно чтобы это исправить - завезти в стандартную поставку системд только 2 модуля - инициализацию и менеджер плагинов ...

    В систему инициализации добавить инит? Остановите планету, я сойду!

     
     
  • 6.89, Аноним (30), 14:47, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Наркоман? сустемд перестал быть системой инициализации примерно в версии 0.0.0.1
     
  • 3.64, topin89 (ok), 12:48, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Прямо сейчас запущен комп с контейнером nspawn и голыми иксами (без оконного сервера и графического логина)

    Давайте глянем, что там есть

    /lib/systemd/systemd
    /usr/bin/systemd-nspawn
    /lib/systemd/systemd-machined
    /lib/systemd/systemd-logind
    /usr/bin/dbus-daemon
    /lib/systemd/systemd-timesyncd
    /lib/systemd/systemd-resolved
    /lib/systemd/systemd-udevd
    /lib/systemd/systemd-journald

    Итак, что было бы, если бы не было systemd

    /lib/systemd/systemd стал бы любым удобным init

    systemd-nspawn и systemd-machined стали бы ворохом программ из LXC/Docker

    systemd-logind честно не знаю. Может, elogind, может, оно в целом не нужно

    dbus-daemon остался бы как есть, потому что он часть не systemd, а freedesktop

    /lib/systemd/systemd-resolved стал бы другим dns-клиентом

    systemd-timesyncd стал бы любым другим ntp-клиентом

    udevd стал бы фиг его знает чем, mdev, vdev smdev или остался бы как есть, ибо не требует systemd сам по себе

    systemd-journald стал бы любым другим демоном журналирования

    Серьёзно, из всего списка убрался бы разве что logind, и то не факт.

    Тут ещё мог бы быть networkd, но мы его сами заменили.


    Что до многочисленных сервисов в автозапуске, как будто их раньше было мало. Блин, там этот троян можно было бы внедрить в скрипт запуска любого случайного сервиса, фиг бы кто заметил.

    Давайте будем честны, дело не в комбайне и монолитности, дело в том, что везде один на всех systemd. Делать трояны, атакующие одно и тоже, внезапно гораздо проще, чем распыляться на сотни разных конфигураций.

     
     
  • 4.69, Аноним (69), 13:07, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Кто "мы"?
     
  • 4.70, dimez (?), 13:20, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > systemd-logind честно не знаю.

    Зачем в контейнере logind?

    > /lib/systemd/systemd-resolved стал бы другим dns-клиентом

    Зачем в контейнере dns-клиент?

    > systemd-timesyncd стал бы любым другим ntp-клиентом

    Зачем в контейнере синхронизация времени?

    > udevd стал бы фиг его знает чем

    Зачем в контейнере udevd?

     
     
  • 5.90, Moomintroll (ok), 14:47, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> ... комп с контейнером ...
    > Зачем в контейнере ...?

    Чукча не читатель?

     
     
  • 6.122, Dimez (ok), 19:36, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Писать надо нормально. Я, конечно, удивился, как это в контейнере голые иксы появились, но решил не спрашивать.
     
  • 4.74, jOKer (ok), 13:26, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Дело не в том, что он один такой весь и другого нет. Дело в том, что коронная "фишка" ненужноГ - "конфиг вместо скрипта" порождает вместо тонко настраиваемой под конкретного пользователя системы, некую стандартную мыльницу, которая действительно "одна на всех".

    При этом, поддержать весь спектр юс-кэйсов она не в состоянии, и поэтому поддерживает только _наиболее распространенные_. А их число сравнительно невелико, и на этом уже можно строить атаку. Что и делают. То есть, - если кто не понял, - история под катом, это плата за лень. За лень написать свой скрипт самому и под себя... ну или хотя бы посмотреть как устроен чужой.

    И знаете что? Мне совсем ненужноГ-шников не жалко. Поделом.

     
     
  • 5.78, HyC (?), 13:37, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ЧСХ "наиболее распространенных" юз кейсов стало уже столько что документация на сыстемдэ стала толще "войны и мира" и осилить ее наизусть в полном обьеме в одно рыло чтобы свободно без гугеля в ней ориентироваться надо иметь мозгов килограмм на двести.

    При этом я например сильно не уверен можно ли чрез сыстемды без костылей и синей изоленты поднять два дот1ку вилана на одном интерфейсе, но чтоб у них маки разные были. Что при дидах в одну строчку делалось.

     
  • 4.125, Онаним (?), 19:53, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Заглянул на боевой сервер root 1 0 0 Mar16 00 05 38 u... большой текст свёрнут, показать
     
  • 3.101, Аноним (101), 15:32, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Воистену, хотели виндовс-лайк монолит - получили и атаки.
    > Надеюсь это отрезвит мейтейнеров основных дистрибутивов от привязки только к одной системе
    > инициализации.

    Нифига это их не отрезвит, им пофиг, они кормятся с тех рук, которые это всё и проталкивают.
    Так что либо велкам на маргиналодистры без этого шлака, либо расслабляйте булки и получайте удовольствие, потом будет ещё чудесатее!

     
  • 3.133, Аноним (133), 22:21, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Причем здесь системд? Без него сабж станет более подозрительно выглядеть разве что =)
     
  • 2.3, пох. (?), 11:07, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А чего его искать-то, коли комбайн весь из них и состоит? Или тебе принципиально именно этот, название типа красивое?

    /lib/systemd/system/motd-news.timer - вот, к примеру, лежит себе штатный троянец, ну, ладно, лежал - с пол-года назад испортили, гады. А ведь немало инфы о хомячках попер в правильную норку...

     
     
  • 3.35, Аноним (35), 11:39, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну расскажи мне, какую инфу он попёр в "правильную норку". Статистику версий Убунты? Прям очень ценная инфа, наверно за миллионы биткоинов на чёрном рынке торгуется.
     
     
  • 4.44, пох. (?), 11:52, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Ну расскажи мне, какую инфу он попёр в "правильную норку".

    а зачем тебе, шк0льнику, лишнего знать, спи спокойно.

    > Статистику версий Убунты?

    нет.

    > Прям очень ценная инфа

    видимо, предполагалась достаточно ценная, раз ее понадобилось так старательно прятать. В том числе от перехвата dlp системами.

    А купили ее или нет, и сколько это было в btc - это кос...запрещенный на впопеннете персонаж только знает.

     
  • 2.192, anonimous (?), 22:39, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Запилил он systemd,
    Чтобы было как в Винде.
     

     ....большая нить свёрнута, показать (47)

  • 1.5, Аноним (5), 11:08, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    три мать его года
     
     
  • 2.56, n00by (ok), 12:24, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Антивирус не нужен (с) же.
    Впрочем, для детекта такой штуки сигнатурный анализ избыточен, может хватить "пакетного менеджера".
     
     
  • 3.71, mos87 (ok), 13:24, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не нужен.
     
     
  • 4.75, n00by (ok), 13:28, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы уже посмотрели в оригинале статьи, каким образом в теле зловреда строчки шифруются?
     
  • 3.134, Аноним (133), 22:22, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не нашел бы дыже если бы и стоял. Кто его в базы то внесет если только нашли?
     
     
  • 4.139, n00by (ok), 08:20, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не нашел бы дыже если бы и стоял. Кто его в базы
    > то внесет если только нашли?

    Вы сузили понятие "антиврус" до "сигнатурный сканер" от незнания или что бы запутать?

     
     
  • 5.154, Базиль (??), 12:52, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    От глупости.
     
  • 4.204, Аноним (203), 18:10, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Integrity: https://sourceforge.net/p/linux-ima/wiki/Home/
     
  • 3.161, Shinma (ok), 19:21, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Простите, а каким образом ваш антивирус в принципе помог бы устранить сам корень... большой текст свёрнут, показать
     
     
  • 4.165, n00by (ok), 08:08, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В моём сообщении был намёк, цитирую может хватить пакетного менеджера В том ... большой текст свёрнут, показать
     
     
  • 5.168, Shinma (ok), 09:06, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "Напомните, пожалуйста, ссылочкой, где я это делал."

    Эта часть текста не лично вам, а вообще ко всем кто видит только софтину,а  не то почему она появилась в системе.

    ""Стандартный" ПМ не закроет вектор атаки, поскольку не является не_обходимым для установки в систему."

    Не понятен смысл предложения. Он и не должен быть необходимым он используется, чтобы обновлять систему с репозитария устанавливая все доступные обновления безопасности, чего не антивирус ни другой софт сделать не может, за исключением ручной установки.

    "К сожалению современные умники как раз и думают своим узколобым мышлением - обобщают частный случай на всех, а когда им говоришь "вы делаете тоже самое" - ну что ты сразу начинаешь, нормально же общались...."

    Так же смысл предложения скрыт от понимания.

     
     
  • 6.196, n00by (ok), 08:05, 03/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вон вахтёр на входе сидит, а документы лежат в сейфе Наверное, директору делать... большой текст свёрнут, показать
     
  • 2.61, Аноним (61), 12:45, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это исследователи, а не вредители. Исследование длилось три года. Раз Миннесота не призналась значит никто не виноват.
     
  • 2.119, Атон (?), 18:31, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это же линукс.
    Это же опенсорс.
    Сделай сам.
    "миллионы пар глаз не пропустят уязвимость"

     
     
  • 3.156, barmaglot (??), 12:57, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > При запуске с правами root для активации вредоносного ПО

    Это не уязвимость это ССЗБ. Скачай какашку истанови от рута и бэкдор готов ...

     
     
  • 4.162, Shinma (ok), 19:30, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    башкой они не думают, что в принципе если рут получили не благодоря этой софтине то и писать то не очем. А если уж рут поулчил то дальше какая разница чем ты пользуешься.....А сама софтина ничего из перечисленного для получения прав и повшения привилегий не умеет. ей для этого надо другие уязвимости которые или просто патчаться или никто не знает о их существовании как и антивирусы.
     
  • 4.164, Атон (?), 07:24, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> При запуске с правами root для активации вредоносного ПО
    > Это не уязвимость это ССЗБ. Скачай какашку истанови от рута

    Этому бэкдору не нужна установка и рутовые права.

     
     
  • 5.169, Shinma (ok), 09:07, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В систему он как попал? сам автоматически ищет уязвимости и внедряется?
     
     
  • 6.173, Атон (?), 09:20, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В систему он как попал? сам автоматически ищет уязвимости и внедряется?

    через уязвимость браузера.
    через уязвимость плагинов.
    через <модное по> на электроне.
    через уязвимость мессенджера.
    через почту.
    пользователь сам скачал и запустил.


    и да. после этого RotaJakiro по команде управляющего центра скачивает с гитхаба полезную нагрузку - сканер соседних машин, ищет на них уязвимости и сам автоматически ставится.

    особенно удобно, когда на соседнюю машину можно по SSH залогинится без ввода "сложного" пароля, с сохраненными в хомяке пользователя ключами.

     
     
  • 7.175, Shinma (ok), 09:25, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Две чашки чая этому господину. Т.е. если это читают наши безопасники (мои) - вы балбесы, вам человек выше описал дыры, закрывайте их, а не пытайтесь впарить антивирус и забыть о нормальной настройке безопасности!!!
    У нас просто тренд в корпорации - своим админам не верить, верить только статьям в интернете и менеджерам продающими антивирусный и прочий софт по ИБ.
     
  • 7.186, Аноним (186), 13:09, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> В систему он как попал? сам автоматически ищет уязвимости и внедряется?
    > через уязвимость браузера.
    > через уязвимость плагинов.
    > через <модное по> на электроне.
    > через уязвимость мессенджера.
    > через почту.
    > пользователь сам скачал и запустил.

    Вранье! Это в венде так, а Божественный Пингвинчик неуязвим - тут нужно скачать, поправить сорц, скомпилять и запустить самому. Потому что неуловим^W Ядро защищает! Вотъ!

     
  • 5.172, Пользователь (?), 09:20, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бэкдор установлен в ядро?
     
     
  • 6.174, Атон (?), 09:22, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Бэкдор установлен в ядро?

    этому бэкдору не нужна установка.

     
     
  • 7.176, Пользователь (?), 09:30, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Значит он изначально был заложен в ядро?
     
  • 3.198, Name Field (?), 12:27, 03/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > "миллионы пар глаз не пропустят уязвимость"

    Придумали Флэтпэк и Снэпы, после чего утверждение уже неверно. Увы.

     
     
  • 4.200, Атон (?), 21:56, 03/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> "миллионы пар глаз не пропустят уязвимость"
    > Придумали Флэтпэк и Снэпы, после чего утверждение уже неверно. Увы.

    А что, софт в флатпаках и снапах без исходников появляется? самозарождается как плесень?

     

  • 1.6, Аноним (7), 11:09, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Украинские хакеры :)
     
     
  • 2.12, xrensgory (?), 11:15, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Украинский регистратор, только лишь
     
     
  • 3.17, Аноним (17), 11:23, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://ua.opennet.ru/
     
  • 3.29, Аноним (21), 11:36, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +13 +/
    А вот если бы это был российский регистратор, то это было бы прямым доказательством вины России. А так всего лишь. Двойные стандарты.
     
     
  • 4.53, Аноним (17), 12:20, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Двойные стандарты.

    Давай так - https://domain.glass/ua.opennet.ru



    gethostbyname 193.111.9.70 [ua.opennet.ru]
    IP Location Kiev Kyiv 03040 Ukraine UA


     
     
  • 5.87, Аноним (21), 14:40, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    B что мне зеркало с этим именем должно доказать?
     
     
  • 6.88, Аноним (21), 14:42, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    *И что...
     
  • 2.32, Аноним (32), 11:37, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Украинские любители аниме
     
  • 2.62, Аноним (61), 12:45, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Опять Миннесота чудить небось.
     
  • 2.136, Украинские хакеры (?), 23:16, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да.
    Просто мы не любим как systemd, так и Поцтеринга. Не знали, что ли?
     

  • 1.9, Аноним (9), 11:14, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно будет, если в Gentoo вдруг появится процесс системы.
     
     
  • 2.14, Аноним (9), 11:17, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    *системды
     
  • 2.41, ryoken (ok), 11:47, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как альтернативный инит оно и так есть. А вот если при рабочем OpenRC - это да, повод порыться или повосстаналиваться из бакапов.
     
     
  • 3.102, Аноним (102), 15:50, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чтоб оно, вдруг само по себе, не появилось без вашего ведома:
    echo "sys-apps/systemd" > /etc/portage/package.mask
     
     
  • 4.107, ryoken (ok), 16:25, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чтоб оно, вдруг само по себе, не появилось без вашего ведома:
    > echo "sys-apps/systemd" > /etc/portage/package.mask

    Оно у меня в make.conf -systemd. Или стоит перестраховаться?

     
     
  • 5.135, Аноним (133), 22:23, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да и захочешь да не поставится или не заработает. гента выбора не дает, однако =)
     
  • 2.79, Zenitur (ok), 13:41, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Такой смотришь top или ps -A, а там systemd. В системе, где ты его не собирал O_o.
     
     
  • 3.104, Аноним (102), 15:52, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, точно, в top со 100% загрузки CPU :)
     
  • 2.81, klalafuda (?), 14:04, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Появление Gentoo где-либо в 2021м году - это само по себе редкое природное явление. Даже без systemd.
     
     
  • 3.137, ryoken (ok), 00:08, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Появление Gentoo где-либо в 2021м году - это само по себе редкое
    > природное явление. Даже без systemd.

    Куды бечь? Деб давно скурвился, а с rpm-ами я как-то вообще не дружу. Да и привык - надрессировал и пашет аки танк :).

     
  • 3.155, Базиль (??), 12:54, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Статистикой владеешь? Разбрасываешься слишком сильными заявлениями.
     

  • 1.10, vle (ok), 11:15, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    "с учётом нагромождения современных дистрибутивов Linux"(С). Дожили! :-)
     
     
  • 2.37, Аноним (37), 11:42, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >"с учётом нагромождения современных дистрибутивов Linux"(С). Дожили! :-)

    А все любители компактного ПО же говорили, что ядро и дистрибутивы превращаются в блоатварь. Все эти systemd, NetworkManadger, firewalld все друг другу родные братья, отбирающие у пользователя контроль над тем, что система делает. Но им отвечали, что нынешний Windows жрёт больше ресурсов. И вот результат. Троян в системе теперь найти сложно как иголку в стоге сена. Уже не посмеёмся над Windows-юзерами с их безликими svchost.exe.

     
     
  • 3.51, YetAnotherOnanym (ok), 12:12, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > NetworkManadger

    Ну дык, писать на форумах всяко легче, чем разобраться с ip или ifconfig.

     
  • 3.144, Аноним (143), 09:22, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Найти иголку в стоге сена очень просто. Надо сжечь стог. Да, все верно, я именно про это.
     
     
  • 4.201, Аноним (201), 01:41, 04/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А я говорил что DOS вечен?
     

  • 1.16, Аноним (21), 11:19, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Вредоносное ПО, маскирующееся под вредоносное ПО. Парадокс.
     
     
  • 2.28, Ля (?), 11:36, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Рекурсия
     

  • 1.20, YetAnotherOnanym (ok), 11:28, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    "_За_громождения". Нагромождение дистрибутивов - это когда дистрибутив на дистрибутив. А когда в дистрибутиве напихано хлама - это загромождение дистрибутива.
     
     
  • 2.42, ryoken (ok), 11:48, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Нагромождение дистрибутивов - это когда дистрибутив на дистрибутив

    Mint что ли? (Минт поверх бубунты поверх Деба, в случае LMDE - только поверх Деба :D ).

     

  • 1.22, Аноним (35), 11:29, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А не нарушают ли авторы статьи, размещённой на blog netlab 360 com, законы о коп... большой текст свёрнут, показать
     
     
  • 2.34, фыв (??), 11:39, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пока такие как вы сидят тихо, у нас есть подобная информация.
     
  • 2.43, Адмирал Майкл Роджерс (?), 11:51, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Агентство Национальной Безопасности США действует в рамках полномочий, определённых соответствующими законодательными актами Соединённых Штатов. Могу заверить, что безответственное разглашение компанией 360 Netlab технических подробностей об упомянутом в новости программном обеспечении получит должную оценку и не останется без последствий.
    Считаю при этом необходимым предостеречь неуполномоченных лиц от попыток давать поручения Агентству Национальной Безопасности США.
     

  • 1.23, Аноним (23), 11:31, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Узвери в кедах и на zsh могут спать спокойно?
     
     
  • 2.26, пох. (?), 11:35, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    нет, на кремацию в кедах нельзя. Только туфли или тапочки.

    Неэкологично, понимаешь...

     

  • 1.25, Аноним (25), 11:35, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Секюрити бай обскюрити даëт плоды...
     
     
  • 2.49, Аноним (21), 12:00, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Секюрити бай обскюрити даëт плоды...

    Какой хитрый, потер свой комментарий про любов к дыркам винды.

     
  • 2.96, Аноним84701 (ok), 15:04, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Секюрити бай обскюрити даëт плоды...
    >> Security through diversity is a calculated and measured response to attacks against the mainstream and is usually used to survive and withstand uniform attacks. This response involves intentionally making things slightly different to completely different, forcing an attacker to alter a standard attack vector, tactics, and methodology.

    Computer and Information Security Handbook, 2009

     

  • 1.46, Аноним (46), 11:57, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вот в слаке бы сразу заметно было, что какой-то systemd появился
     
     
  • 2.145, слакавод (?), 09:40, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    что верно- то верно!
     
  • 2.159, Аноним (159), 13:58, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    kworker panel-24 webcontent rcu_par_gp dconf kdeconnectd xfconfd at-spi2-registryd dbus-launch/daemon pulseaudio
    системд смотрелся бы скромно, незаметно
     

  • 1.54, Аноним (54), 12:22, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Интересно, хоть кто-то из фапающих дочитал до методов установки зловреда? :) Или как обычно - скушали желтенькое из заголовка и сразу возбудились?
     
     
  • 2.57, Аноним (57), 12:29, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    *лениво так* А шо там? Снова от рута запускать? Ничего интересного же.
     
  • 2.60, Аноним (61), 12:43, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Лол сам почитай там и от пользователя и от рута можно. В любой npm пакет добавь и все, делов то.
     

  • 1.63, n00by (ok), 12:47, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    При запуске в правами root создаёт юнит-файл с Restart=always.
     
     
  • 2.123, Аноним (123), 19:43, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не осилили написать непадучий вирус, что поделать. Скажи спасибо что не на питоне.
     
     
  • 3.141, n00by (ok), 08:30, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну не осилили написать непадучий вирус, что поделать. Скажи спасибо что не
    > на питоне.

    Это вообще не про падучесть. Это задача "выживания" решена средствами системы. Без root-прав (когда нет возможности создать юнит systemd) два процесса перезапускают один другой.

     

  • 1.72, mos87 (ok), 13:24, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так и не рассказали как его подцепить-то. опять скачать скомпилить и запустить от рута?
     
     
  • 2.82, Аноним (82), 14:07, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По первой ссылке в новости все подробно расписано. Без рута тоже работоспособен, в рамках прав этого юзера конечно.

    Это же троян, а не вирус. Он (или его доставщик) идёт как пейлоад к какой-нибудь уязвимости.

     

  • 1.73, Аноним (73), 13:25, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    мерзкий, мерзкий, мерзкий systemd.. сдохни поцтер, сгинь шапка.
     
  • 1.80, Аноним (80), 13:59, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вредоносное ПО маскируется под другое Вредоносное ПО
     
  • 1.83, Вопль_в_пустыне (?), 14:22, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот поэтому и ставим фряху везде где можно заменить линукс. Линукс давно протух и всех тащит в бездну.
     
     
  • 2.116, paulus (ok), 17:34, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот поэтому и ставим фряху везде где можно заменить линукс.

    Вот когда фряха будет сразу запускаться на ноутах, тогда и поговорим...

     
  • 2.117, bi brother (?), 17:58, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Cuck license. Спасибо канеш...
     

  • 1.84, Аноним (84), 14:23, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > новое вредоносное ПО для Linux, маскирующееся под процесс systemd

    Процесс systemd, маскирующийся под безобидное ПО.

     
  • 1.85, lockywolf (ok), 14:28, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Это хорошо, что под Линукс новое ПО появляется.
     
  • 1.86, Аноним (86), 14:37, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Хахаха, маскировка под systemd, кто бы сомневался. Уже никто не знает что в этом .... творится. Один шлако процессом больше и никто не заметит.
     
     
  • 2.113, Аноним (113), 16:53, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно  забавно когда никаких dbus и gvfs там быть не может в принципе, да и системд не везде. На кого это рассчитано? Лично я бы скорее не заметил лишний file.so в процессах или там thumbnailer.so -- их и так там десятки. Если рут есть, можно и вообще спрятать из процессов (не уверен насчёт ванильных ядер, но различные патчи позволяют что угодно скрывать от рута в рантайме). А вот трафик промониторить бы не плохо было, такие стрёмные домены палятся на раз. Как и айпишнике украинские. Причём, желательно, подключаться к роутеру, и получать с него, но это опционально и роутер первым заразят, так что нужно анализировать расхождения в трафике между роутером и пк.
     

  • 1.91, Аноним (91), 14:48, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а трояны для intel me кто-нибудь писал? А то какой профит это вирусописателям даст, intel me имеет доступ к любой части озу, к любой железки, умеет из коробки работать с сетью и к тому же имеет более высокий приоритет, что процессор и даже то что работает в 0 кольце процессора. Да и найти такую закладку будет очень трудно и тем более её перепрошить!
     
  • 1.94, Аноним (94), 14:58, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Поздравляю всех любителей системды. Привет с антикса )
     
     
  • 2.100, Аноним (73), 15:18, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    падержую, привет с Devuan!
     
  • 2.118, Аноним (118), 18:08, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как отсутствие системд спасает от сабжа? Разве что юзеру с каким нибудь sysvinit будет легче заметить вирус, т.к системд в процессах быть не может
     
     
  • 3.180, Супернуб (?), 11:23, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    элементарно жеж - отсутствие сис-г спасает появлением оного в списках процессов, что должно наводить на нехорошие мысли.
    ЗЫ. Коньки эту задачу облегчают - пяток топовых процессов и пара-тройка текущих соединений с нетом.
    Как зеркало заднего вида на авто - достаточно изредка вросаь в него взгляд, что бы избежать неожиданностей.
    Кстати - как-то ставил себе ТОР. Было прикольно - браузер не запущен, а в сетку всё равно лезет.
    Снёс нафиг - купил VPN. Сейчас снова никаких непонятных коннектов
     
     
  • 4.187, Аноним (186), 13:14, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Супернуб
    > Кстати - как-то ставил себе ТОР. Было прикольно - браузер не запущен,
    > а в сетку всё равно лезет.
    > Снёс нафиг - купил VPN. Сейчас снова никаких непонятных коннектов

    Не вводи людей в заблуждение - замени в нике "нуб" на "ламер".

     

  • 1.98, swine (ok), 15:11, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Оличная новость. Скоро linux сравняется таки функциональностью с windows.
     
  • 1.99, Аноним (73), 15:17, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    надоело каждый день шляпу хоронить, ну вот и сегодня тож рип.
     
  • 1.105, Аноним (105), 15:58, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    А, древние мифы:

    В линуксе нет malware. Есть.

    Линуксу не нужен AV. Нужен.

    Исходный код проверяют десятки тысяч людей. Часто никто, кроме коммитера.

    // b.

     
     
  • 2.108, Аноним (113), 16:25, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Даже венде не нужен антивирус (который в любом случае пропустит больше половины дряни и при этом удивительным образом доконает своими false-positive там где нормальный целиком легитимный софт купленный в магазине). Ботнеты это не malware. Нужно просто приучить хомячков, подобных тебе, все левые файлы отсылать на вирус тотал. И если тот этого не сделал, прилюдно пускать по кругу. А вот шпионящие программы на ПК действительно не нужны.

    Пс обычно и коммитер не проверяет, так что только перекрёстные ревью устраивать, благо опенсорс хотя бы кто-то читает. Я вот читаю разнообразный опенсорс, иногда он в это время где-то на стадии прототипа. Если я вижу обфусцированные данные, у меня возникают вопросы.

     
  • 2.199, Name Field (?), 12:32, 03/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Исходный код проверяют десятки тысяч людей. Часто никто, кроме коммитера.

    Если этот код не в офиц. репо и вообще мало популярен. Ерунда это про десятки тысяч. Проверяют, но не всю планету, а малую часть.

    Остальную часть, большую, ташат к себе хомячки. Ставшее по силам хомячкам автоматически выпадает из проверок и затухает.

     

  • 1.109, Аноним (109), 16:36, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем в Artix/Void systemd-networkd/resolved/journald заменяют обычно?
     
     
  • 2.114, sig11 (ok), 17:01, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Обычно systemd-networkd/resolved/journald  - заменяется на busybox

    В моем artix обхожусь:

    ifconfig,route,brctl вместо systemd-networkd
    dnsmasq вместо resolved
    rsyslog вместо journald

     
     
  • 3.115, Аноним (115), 17:25, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://serverfault.com/questions/458628/should-i-quit-using-ifconfig &nb)
    DNS over TLS dnsmasq не поддерживает, вроде, да и там DHCP server внутри еще.
     
  • 3.152, Аноним (152), 12:24, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чо? Там по умолчанию есть утилита ip.. впрочем нормальные люди при установке уже ставят все так как нужно.
     

  • 1.110, Аноним (113), 16:41, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Знаете ли вы какие-нибудь мониторы трафика для линукса? Ну чтобы вроде какого-нибудь nethogs только не говно. Wireshark это конечно хорошо, но во-первых не совсем реалтайм и больше про разбор пакетов и не мониторинг, во-вторых не понятно что вообще фильтруется файрволом и на каком этапе, а что пролазит. У меня весь канал забит спамом от всякого дерьма в локалке, нтп генерирует кучу рандомных коннектов, а тут ещё китайцы ломятся с миллионов ипешников.

    Может быть что-то навроде nettop, только чтобы geoip был и показывались соединения (куда-откуда и что и сколько), и не только реалтайм. И может быть интеграцию с ядерным файрволом. Я склоняюсь к написанию собственного мониторинга, но задача-то вроде примитивная. Почему никто не думает о пользователях?

     
     
  • 2.147, Fractal cucumber (ok), 10:28, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    .
     
  • 2.181, Супернуб (?), 11:36, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На коленке - последние тёплые ламповые "коньки" и в них секретный параметр "tcp_portmon"
    Быстро, дёшево, сердито, в реальном времени - что, куда, откуда, по каким портам и протоколам.
    Геолокацию, конечно, не даст, но, на самом деле, она особо-то и не нужна, что бы увидеть не своё
    соединение
     

  • 1.111, Аноним (111), 16:44, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Нужно, долгих лет проекту
     
  • 1.120, Аноним (120), 19:18, 30/04/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.121, Dzen Python (ok), 19:31, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > новое вредоносное ПО

    1. Они его хотя бы минимально отладили, не будет падать с сегфолтами, как остальные нескриптовые виросы?
    2. С какой версией либси собирать систему надо?
    3. Какие зависимости у него? Какие версии зависимостей? С какими флагами их собирать?
    4. Откуда оно запустится на системе, если для /var, /home и /temp у меня явно запрещен запуск чего бы то ни было?

     
     
  • 2.126, Аноним (126), 19:53, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тоже интересно, где эту хрень скачать можно умудриться.
    В голову приходят только скрипты установки программ и сомнительные .run архивы. Может быть ещё AppImage  с сомнительных источников?
    Ну я на винде без антивируса сидел и не ловил вирусы, просто не устанавливал что попало. Врят ли этому линуксоиды  СИЛЬНО подвержены.
     
     
  • 3.146, Fractal cucumber (ok), 10:26, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так вирусов уже нет давно нигде, понятно что не ловил.
     

  • 1.124, Аноним (124), 19:52, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >При запуске с правами root для активации вредоносного ПО создавались

    Скущно. Расходимся

     
     
  • 2.127, Аноним (126), 19:57, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да можно и без рута. В /home/  юзера может быть куча текстовых файликов с паролями и прочими важными данными. У меня например так, и боты видел сервера на это сканировать пытаются, на всякие backup.zip, password.txt и т.д
     

  • 1.132, Аноним (132), 21:52, 30/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    На https://busybox.net/ нашел ссылку "Life without systemd", которая ведёт на kill_it_with_fire.txt
    Спасибо, RotaJakiro! :)
     
  • 1.150, darkshvein (ok), 11:19, 01/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    пользуясь случаем, передаю привет Леонарду П. и показываю ему средний палец.
    гений, просто гений.
    теперь фиг разберёшь, где атака, а где нет, с этим нагромождением бинарников.


    походу, надо валить на генту.

     
     
  • 2.153, Аноним (152), 12:24, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Void еще есть.
     

  • 1.151, Аноним (152), 12:19, 01/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Системдунам превед!
     
  • 1.157, Аноним (157), 13:21, 01/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Новый патч из Миннесоты
     
  • 1.160, InuYasha (??), 15:23, 01/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А rkhunter ничего не замечал? Или он на новые файлы не реагирует..
     
     
  • 2.167, n00by (ok), 08:58, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А rkhunter ничего не замечал? Или он на новые файлы не реагирует..

    rkhunter в принципе что-то найти может? Я эту башпортянку не осилил, вдруг там есть какой скрытый смысл. Хватило нижеследующего фрагмента. Антируткиты под альтернативную ОС используют драйвера не от избытка лишнего времени разработчиков.



    # Evil strings
    STRINGSCAN="crond:LOGNAME=root:Illogic Rootkit
        hostname:phalanx:Phalanx Rootkit
        init:/dev/proc/fuckit:Fuckit Rootkit
        init:FUCK:Suckit Rootkit
        init:backdoor:Suckit Rootkit (backdoored init file)
        init:/usr/bin/rcpc:Portacelo Rootkit
        init:/usr/sbin/login:trNkit Rootkit ulogin
        killall:/dev/ptyxx/.proc:Ambient (ark) Rootkit
        login:vt200:Linux Rootkit (LRK4)
        login:/usr/bin/xstat:Linux Rootkit (LRK4)
        login:/bin/envpc:Linux Rootkit (LRK4)
        login:L4m3r0x:Linux Rootkit (LRK4)
        login:/lib/libext:SHV4 Rootkit
        login:/usr/sbin/login:Flea Linux Rootkit
        login:/usr/lib/.tbd:TBD Rootkit
        login:sendmail:Ambient (ark) Rootkit
        login:cocacola:cb Rootkit
        login:joao:Spanish Rootkit
        ls:/dev/ptyxx/.file:Dica-Kit Rootkit
        ls:/dev/ptyxx/.file:Ambient (ark) Rootkit
        ls:/dev/sgk:Linux Rootkit (LRK4)
        ls:/var/lock/subsys/...datafile...:Ohhara Rootkit
        ls:/usr/lib/.tbd:TBD Rootkit

    ...

    # Possible rootkit files and directories
    # The '%' character represents a space.
    FILESCAN="file:/dev/sdr0:T0rn Rootkit MD5 hash database
      file:/dev/pisu:Rootkit component
      file:/dev/xdta:Dica-Kit Rootkit
      file:/dev/saux:Trojaned SSH daemon sniffer log
      file:/dev/hdx:Linux.RST.B infection
      file:/dev/hdx1:Linux.RST.B infection
      file:/dev/hdx2:Linux.RST.B infection



     
     
  • 3.185, InuYasha (??), 12:10, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В базе сигнатур известных руткитов нет ничего плохого. Насколько я помню, ркх реагирует на изменение файлов в системе (чем, кстати, должен заниматься пакетный менеджер и какой-нибудь селинукс, если что).
     
     
  • 4.188, n00by (ok), 16:32, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В базе сигнатур известных руткитов нет ничего плохого.

    Место занимает, даёт пользователям иллюзию неких гарантий. Даёт явные указания авторам: вас нашли.

    Руткит под альтернативной ОС "не имеет" файлов, а стало быть и сигнатур. Там RootkitRevealer Марка Руссиновича получает списки файлов двумя различными способами и сравнивает, таким образом находит скрытые.

    > Насколько я помню, ркх
    > реагирует на изменение файлов в системе (чем, кстати, должен заниматься пакетный
    > менеджер и какой-нибудь селинукс, если что).

    Вот-вот, информация о файлах для пакетного менеджера доступна, но почему-то изменения он не отслеживает. Уних-вэй, ага, инфекции должна ловить отдельная программулина, дублируя функционал. А если я случайно файл удалил, это вообще никто не решает, значит я ССЗБ и всё тут.

     

  • 1.163, Shinma (ok), 19:38, 01/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей. "

    Дальше вопрос можно закрывать, очередная фейко новость для тупых начальников ИБ. Они не будут думать, что первопричина это не софтина в новости, а дыры в системе которые оказались там или потому, что систему не патчили обычным пакетным менеджером или об этих уязвимостях еще вообще никто не знает. А то что в итоге получая рут и доступ ты там ставишь/удаляешь/маскируешь хоть что угодно это уже тупых начальников не колышит. Главное воткнуть антивирус, который не пакеты не умеет писать раньше чем они в репозитории появятся ни дыры эти самые не закроет,по факту только в качестве системы мониторинга ставится.
    В итоге если есть уязвимости для поулчения рута то каким боков тут вообще новость про какуюто говно софтину? вы лучше скажите как они рут получили, что там за дыры были. Почему у них в итоге оказались права рута что они смогли какуюто левую софтину там поднять? где основной материал то? почему пишут в стиле рекламы антивирусных программ? А то описали в принципе обычный клиент удаленного управления с кучей крутых фишек, а вот, что на самом деле к безопасности относится - нету. Как оно попало в систему??? как это можно было избежать? корень зла в итоге совсем не там где описано в статье. Вы же думайте головой, что вас тупые ИБшники читают и им палец в рот не клади дай систему защитить антивирусом и нафеячить проблем админам , а не защитить систему Linux, как оно должно быть. когда злоумышленник получил рута используя уязвимости в системе - какая вообще после этого разница какое он туда ПО поставил??? сообщать надо материал - КАК ОН РУТ ПОЛУЧИЛ. а то, что он туда в итоге понаставил это уже хоть башь скрипт хоть удаленное управление это уже вторичная проблема.

     
     
  • 2.166, n00by (ok), 08:31, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > сообщать надо материал - КАК ОН РУТ ПОЛУЧИЛ. а то, что
    > он туда в итоге понаставил это уже хоть башь скрипт хоть
    > удаленное управление это уже вторичная проблема.

    Рут получен терморектокриптоанализом. Тем же способом получены обязательства админа умолчать о компрометации системы. Ещё вопросы? Ещё желающие?

     
     
  • 3.170, Shinma (ok), 09:11, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я думал форум фантазеров и сказочников по другим адресам находится. Вы безопасность так же настраиваете с учетом что вам проведут - терморектокриптоанализ, а руководствоваться навыками администрирования Linux систем уже выше ваших знаний?
     
     
  • 4.177, n00by (ok), 09:33, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дело в том что я не обменистратор ЛВС, потому не знаю, что означает "настраивать безопасность". Зато я немножко в курсе теории (кое-что слышал про доказательства корректности, без которых императивные реализации априори уязвимы) и практики, где безопасность это, так сказать, процесс. Кстати, когда Вашу Home Page начнёт атаковать эксперт с паяльником, не советую его бить -- даже если сломать ему ногу, он это не почувствует, только разозлится.
     
     
  • 5.178, Shinma (ok), 09:47, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    К вам никаких претензий не имею, просто эти статьи иногда читают наши мои безо... большой текст свёрнут, показать
     
     
  • 6.179, Shinma (ok), 10:02, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    понаберут винтузятников по объявлению на работу в ИБ, а потом они мне вот такие статьи про Linux тыкают на работе. Ну или со стажем 40+ лет и которые сидят на своем месте уже просто по сроку службы, а по знаниям ноль без палочки, потому, что новые технологии они не изучали. В ИТ все меняется и устаревает очень быстро. Чтобы быть в тренде надо постоянно учится, а наши только и могут, что жопу просиживать и получать ЗП за былые заслуги и выслугу лет.
     
     
  • 7.194, Аноним (152), 03:09, 03/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вам открыть секрет Вантуз всем нужен, а потому ванузятники Пусть 200 не на ван... большой текст свёрнут, показать
     
  • 6.182, n00by (ok), 11:42, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > эти статьи иногда читают наши
    > (мои) безопасники.

    Слава Богу, хоть кто-то читает. Некоторые даже дочитывают до "при выполнении с правами обычного пользователя".

     
  • 6.183, n00by (ok), 11:51, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Потому, что в статье нет акцента на то как получен доступ
    > в систему

    В статье, если под ней понимать оригинал, вообще про получение доступа не сказано (во всяком случае, при беглом просмотре я не нашёл). При этом приведены фрагменты псевдокода многих фрагментов зловреда, то есть анализ выполнен достаточно подробно и вариант "не нашли" отпадает. Это говорит о том, что в обнаруженных экземплярах код установки в систему отсутствует. Значит либо "установщик" с системы удалён (представляет бо́льшую ценность, чем рабочий модуль), либо там рядом руткит, который не обнаружили.

     
     
  • 7.184, Shinma (ok), 12:07, 02/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да я тоже статьи почитал, что в интернете сейчас про него пишут, нет информации как зловред оказался в системе. но сам он этого не умеет.
     

  • 1.171, Пользователь (?), 09:18, 02/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Итак, как же все-таки был получен рут доступ? Или закладка была в ядре?
     
  • 1.193, Аноним (193), 02:54, 03/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А обвинят опять Петрова и Баширова :)
     
  • 1.202, dyadya (?), 18:27, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новость от китайцев, создавших антивирь.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру