| |
Группа исследователей из компании Яндекс опубликовала результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в web-приложениях. Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицированных вредоносным ПО узлов ботнета.
Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в web-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме разделяемой библиотеки libworker.so, обладающей достаточно богатой функциональностью. Интерес представляет метод запуска вредоносного ПО: выполняется штатная системная утилита /usr/bin/host с выставленным флагом LD_PRELOAD=libworker.so, при этом в библиотеке libworker.so переопределяется функция exit(). Используемые в процессе работы Mayhem файлы и плагины сохраняются в файле ".sd0", внутри которого создаётся образ ФС в формате FAT (применяется открытая библиотека fat_filelib).
Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форме разделяемых библиотек. Например, доступны плагины для выполнения таких действий, как сканирование сайтов на наличие уязвимостей, которые могут привести к выполнению стороннего PHP-кода, сбор данных о сайтах под управлением WordPress, подбор паролей методом перебора для сайтов под управлением популярных систем управления контентом и панелей управления, подбор параметров FTP-аккаунтов, извлечение различной информации со страниц сайтов.
В статье также приводятся некоторые выводы, обобщающие текущие тенденции:
- Ботнеты, создаваемые на основе web-серверов, нашли собственную нишу монетизации, связанную с перебросом трафика, применением грязных методов поисковой оптимизации и использованием загрузок для организации атак.
- Web-серверы более интересны для атаки, чем обычные пользовательские ПК, так как они очень редко перезагружаются, имеют более качественное сетевое соединение и обладают более высокой вычислительной мощностью.
- На серверах хостинга часто не используются средства автоматической установки обновлений, многие web-мастеры и системные администраторы устанавливают обновления вручную с последующей проверкой корректности работы инфраструктуры.
- Для типового сайта качественное сопровождение является дорогим удовольствием и web-мастеры не всегда уделяют внимание отслеживанию появления новых выпусков с устранением уязвимостей. Подобная практика приводит к существованию в Сети большого числа уязвимых web-серверов, которые легко атаковать и использовать в ботнете.
- В *nix-системах не распространено использование антивирусов. Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.
|
|
- Главная ссылка к новости (http://www.theregister.co.uk/2014/07/18/...)
- OpenNews: Зафиксирован самораспространяющийся червь, поражающий серверы Apache Tomcat
- OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
- OpenNews: На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd
- OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
- OpenNews: Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache
| Тип: Проблемы безопасности | Ключевые слова: security, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
|
1.2, metallica, 00:38, 20/07/2014 [ответить] [смотреть все] [к модератору] +3 +/–
Молодцы яндексоиды. Ждём инфу о хотя бы одной молвари, реализованной
как kernel thread. (в наличии таковых не сомневаемся)
|
2.55, pavlinux, 23:47, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку] [к модератору] | +2 +/– |
Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они разрешают юзерам LD_PRELOAD!!!
---
~$ LD_PRELOAD=/usr/lib/libtcmalloc.so
bash: LD_PRELOAD: доступная только на чтение переменная
~$ grep LD_PRELOAD /etc/profile
LD_PRELOAD=""
declare -r LD_PRELOAD;
export LD_PRELOAD
|
| |
|
3.60, Andrey Mitrofanov, 09:32, 21/07/2014 [^] [ответить] [смотреть все] [к модератору] | +1 +/– |
> Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они
> разрешают юзерам LD_PRELOAD!!!
--Да, внучёк, таких только могила исправит. Ишь ты, "declare -r"?! Они b man-bash-то не читывали про --noprofile, и про субшелы не рубят. Охохо...
> ~$ grep LD_PRELOAD /etc/profile
> LD_PRELOAD=""
> declare -r LD_PRELOAD;
> export LD_PRELOAD | | | 3.65, Аноним, 10:53, 21/07/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Я не понял, а как ты это запретить можешь Технически, переменные окружения - не... весь текст скрыт [ показать] 3.71, Аноним, 11:05, 21/07/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Если это дефолтное поведение, то называл дiбилами создаталей всех дистрибутивов ... весь текст скрыт [ показать]
1.3, lucentcode, 01:07, 20/07/2014 [ответить] [смотреть все] [к модератору] –2 +/–
Встречал файлы .sd0, и подозрительные процессы host, запущенные от имени пользователя, от имени которого запускались крипты. Похоже, эта зараза стала довольно распространённой.
|
|
|
7.64, arisu, 10:52, 21/07/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
> Sudo это окаменевшее гогно мамонта. Мсье слыхал о RBAC?
а мсье в курсе, что чем сложнее системы защиты, тем больше потенциальная площадь атаки? система ugo, конечно, не идеальна, но при правильном применении весьма эффективна. надо только избавиться от винды в голове.
| | |
|
|
1.4, lucentcode, 01:10, 20/07/2014 [ответить] [смотреть все] [к модератору] –3 +/–Не правда, в nix-системах народ использует свободное антивирусное ПО для поиска... весь текст скрыт [ показать]
2.15, YetAnotherOnanym, 09:14, 20/07/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–Свободное антивирусное ПО - это Clam Увы, там тоже не всё радужно Несколько ра... весь текст скрыт [ показать] [ показать ветку] |
3.42, 123, 17:20, 20/07/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Да уж, Clam почти на все exe-шники ругается. При том, что остальные антивири ничего не находят.
Любой запаковщик - это уже "подозрение".
| | |
|
4.44, arisu, 17:38, 20/07/2014 [^] [ответить] [смотреть все] [к модератору] | +3 +/– |
> Да уж, Clam почти на все exe-шники ругается.
правильно делает. всё равно софт под винду — это или троян, или такой быдлокод, что лучше бы уж был троян.
| | | 4.51, Аноним, 22:18, 20/07/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +1 +/–
1.5, arisu, 01:56, 20/07/2014 [ответить] [смотреть все] [к модератору] +/–
LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера. те, у кого это работает, должны пойти на удобрения.
p.s. «на софтину, принадлежащую руту», само собой, а не на suid.
3.18, arisu, 10:53, 20/07/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +5 +/–а теперь, если тебе не сложно, будь любезен, поясни зачем пользователю www прав... весь текст скрыт [ показать] 5.37, Адекват, 15:07, 20/07/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
> btw: а разве есть способ отключить LD_PRELOAD? (а то гугл что-то мне
> ничего толком не выдаёт...)
если я не ошибасюь, то LD_PRELOAD это пререгатива чиста шеллов, типа bash, sh, вызов которых в PHP делается через shell_exec, exec Что есть функции которые можно отключить.
6.62, Аноним, 10:39, 21/07/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Щаззззз Это фича загрузчика shared libs и переменные ВНЕЗАПНО можно выставлять ... весь текст скрыт [ показать] 2.67, Аноним, 11:00, 21/07/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–А какая разница какая софтина и каталог Переменные - блок памяти с всяким гэ, о... весь текст скрыт [ показать] [ показать ветку] |
3.70, arisu, 11:05, 21/07/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
>> LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера.
> А какая разница какая софтина и каталог?
как видишь по сплоету — большая.
> уж тебе можно процесс запускать (и ты можешь ему впарить окружение),
> или уж нельзя (тогда впаривание окружения не состоится за отсутствием процесса).
прикинь, а процесс таки проходит стадию динамического связывания. и эта стадия делается отдельной юзермодной софтиной. которая и обрабатывает LD_PRELOAD. и которую — внезапно! — можно пропатчить на предмет дополнительных проверок. вот такой вот сюрприз.
| | |
1.10, ano, 03:11, 20/07/2014 [ответить] [смотреть все] [к модератору] –3 +/–Я такое года 3-4 назад разбирал У них руки только сейчас дошли что ли ... весь текст скрыт [ показать]
1.12, cmp, 05:34, 20/07/2014 [ответить] [смотреть все] [к модератору] +1 +/–если Web-мастеры админы сервера , то это логично, иначе если использовани... весь текст скрыт [ показать]
1.13, Аноним, 05:58, 20/07/2014 [ответить] [смотреть все] [к модератору] –2 +/–Где можно скачать Или опять на издеть нап здели, а попользоваться не дадут ... весь текст скрыт [ показать]
1.20, trdm, 11:47, 20/07/2014 [ответить] [смотреть все] [к модератору] –1 +/–
> Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.
Можно парочку руководств на русском?
1.22, bOOster, 11:55, 20/07/2014 [ответить] [смотреть все] [к модератору] +/–
securelevel+JAIL и Linux остается со зловредом один на один.
1.34, Адекват, 14:50, 20/07/2014 [ответить] [смотреть все] [к модератору] –3 +/–Ну и причем тут линукс тут при чем PHP и идиоты админы Эта зараза еще более... весь текст скрыт [ показать]
1.54, Аноним, 22:59, 20/07/2014 [ответить] [смотреть все] [к модератору] +/–SELinux помогает против него ... весь текст скрыт [ показать]
1.57, Какаянахренразница, 07:27, 21/07/2014 [ответить] [смотреть все] [к модератору] +2 +/–
Дайте скачать! А то один трёп во всех новостях...
Ваш комментарий
Read more |