top
logo


Выявлены два ботнета, созданные из серверов на базе Linux PDF Печать E-mail
03.09.14 20:01

Компания Akamai Technologies опубликовала сведения о обнаружении двух ботнетов - IptabLes и IptabLex, сформированных из Linux-серверов и используемых преимущественно для организации DDoS-атак. В состав ботнетов попадают своевременно не обновляемые серверы, на которых используются уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch. После эксплуатации уязвимостей и получения доступа к системе, на серверах запускается вредоносное ПО, оформленное в виде собранного для Linux исполняемого файла, позволяющего принимать удалённые команды от центра управления ботнетом.

Число входящих в ботнеты Linux-серверов не приводится, но уже зафиксированы проведённые с использованием данных ботнетов DDoS-атаки, в результате которых на системы жертвы удалось направить трафик пропускной способностью в 119 гигабит/сек и интенсивностью 110 млн пакетов в секунду. Отмечается, что это одна из крупнейших DDoS-атак в этом году, которая также примечательна сдвигом в сторону применения для построения ботнета уязвимых серверных Linux-систем, вместо ранее используемых в этой области клиентских машин с Windows в сочетании с усилителями трафика в виде открытых DNS- или NTP-серверов.

Определить поражение системы вредоносным ПО можно по наличию исполняемых файлов .IptabLes или .IptabLex в директории /boot, а также следов из запуска в скриптах инициализации системы. Так как вредоносный код поддерживает функции загрузки и установки обновлений, его следы в системе могут измениться. Администраторам рекомендуется проверить защищённость своих систем и своевременность установки обновлений.

  1. Главная ссылка к новости (http://www.net-security.org/secworld.php...)
  2. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
  3. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
  4. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с
  5. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
  6. OpenNews: Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD
Тип: Проблемы безопасности
Ключевые слова: ddos, botnet, linux, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, IMHO, 23:33, 03/09/2014 [ответить] [смотреть все]    [к модератору] +1 +/
ага, как всегда, ничего не работает у локалхоста, ботнета нет
 
1.2, бедный буратино, 23:55, 03/09/2014 [ответить] [смотреть все]     [к модератору]
–3 +/
один серый другой белый два весёлых ботнета... весь текст скрыт [показать]
 
1.3, lsd, 00:05, 04/09/2014 [ответить] [смотреть все]    [к модератору]  +9 +/ elasticsearch ? торчащий наружу ? этопять!
  1.4, Аноним, 00:06, 04/09/2014 [ответить] [смотреть все]     [к модератору]  –1 +/
Эээ Как проверить сервера если зловреда не поленятся спрятать Когда код откры... весь текст скрыт [показать]
 
    3.10, xakru, 01:18, 04/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
rpm -Va
 
  4.19, none7, 06:09, 04/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
А rpm по вашему нельзя пропатчить? Руткиты всегда стараются отгородить админа от реального положения дел, огромная куча административных утилит заменяется. Тут только проверка при помощи внешнего по поможет. Да ещё и чексумму ядра в памяти посчитать надо драйвером и сравнить с сохранённым результатом на другой машине. Хотя могут быть и супер-руткиты которые держат ядро системы в виртуалке на аппаратной виртуализации, этих выследить нереально. Только сканированием диска на другой системе.
 
  5.34, zamir, 09:56, 04/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> А rpm по вашему нельзя пропатчить?

А ты видел хоть один вирус который патчил rpm для того что бы верификация не отобразила изменение каких-то конкретных файлов?
Для rpm дистрибютива rpm -Va отличная команда для первичного анализа.

Что касаемо ботнет для Linux - то они уже давно есть и успешно ломают apache.
Получив доступ к apache как правило к root они не прорываются - соответственно системые файлы не подменяют. Подключение к botnet можно увидеть по netstat -nap (левый процесс с правами apache)

 
5.35, flvby1, 09:57, 04/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ tripwire.
 2.8, rshadow, 01:04, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  –2 +/ > Всякие top и netstat

1. Ломали явно веб сервера. До рута дело не дошло.
2. apt-cache show debsums

Description-ru: инструмент для проверки контрольных сумм MD5 у установленных файлов пакетов
debsums может проверять целостность установленных файлов пакетов путем
сравнения контрольных сумм MD5 установленных пакетом или
сгенерированных из архива .deb.

 
    4.14, rshadow, 02:37, 04/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Пардон. Действительно, не заметил про файлы. По ссылке не написано как рут получали.
image
 
  5.22, тигар, 07:36, 04/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
> По ссылке не написано как рут получали.

а это очень важно? когда там крайняя новость была об очередном патче закрывающем возможность поднятия до рута? а перед ней, а перед той?;-) выбери себе любой из описаных там методов и реши что именно так и получали.

 
2.27, Аноним, 09:12, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
ЧСХ, руткиты и тому подобные фокусы работают и в закрытых системах Если систему... весь текст скрыт [показать] [показать ветку]
 
1.7, Celcion, 00:56, 04/09/2014 [ответить] [смотреть все]     [к модератору]  –10 +/
А мне говорили, что вирусов на линуксе нет Видимо, наврали ... весь текст скрыт [показать]
 
  2.9, Зевака, 01:09, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/
Так ведь дураков для запуска албанских вирусов хватает везде. :)
 
2.12, Аноним, 01:35, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +2 +/
Это не вирус Это хакерская атака Когда миллионы компов заражаются автоматическ... весь текст скрыт [показать] [показать ветку]
 
  3.17, Аноним, 05:22, 04/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +2 +/
Хакерские атаки давно уже автоматизируются man metasploit... весь текст скрыт [показать]
 
2.13, _KUL, 02:23, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/ А вы пробовали рабочее/домашнее ПК место спиртовой салфеткой протирать?
 2.15, Аноним, 03:05, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/ 2.25, Нанобот, 08:18, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/ Не то чтобы наврали. Просто линупсные фанатики искренне верят во всякие глупости... так что технически это не ложь, а информация, не соответствующая действительности
 
  3.26, тоже Аноним, 08:51, 04/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
Чтобы ваша информация соответствовала действительности, неплохо бы напомнить, что вышеупомянутые фанатики существуют в основном в виртуальном пространстве пропаганды MS.
Идиоты, конечно, встречаются везде, но пропагандисты, конечно, выставляют ими всех своих идейных противников. "По причине - козлы".
 
2.28, Аноним, 09:16, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Если вирусяка прорубается через дырявую вебню - там в общем все-равно какая сист... весь текст скрыт [показать] [показать ветку]
 
1.16, Антоним, 04:09, 04/09/2014 [ответить] [смотреть все]     [к модератору]  –3 +/
Где взять антивирус ... весь текст скрыт [показать]
 
  2.18, greenman, 05:40, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/
Ждём следующий вопрос - "Где взять голову с работающими мозгами?"
 
2.20, Аноним, 06:18, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
В цивилизованном мире это называется своевременные обновления В новости как раз... весь текст скрыт [показать] [показать ветку]
 
  3.29, Аноним, 09:18, 04/09/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
С другой стороны обновления по безопасности обычно выходят уже после того как ды... весь текст скрыт [показать]
 
  4.33, Аноним, 09:30, 04/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
А от момента как ее нашли до момента массового появления боевых самоходных тулзе... весь текст скрыт [показать]
 
2.30, Аноним, 09:24, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Уволить админа и нанять нормального Эффективнее в 100 раз, ибо если у вас непат... весь текст скрыт [показать] [показать ветку]
 
1.21, Адекват, 07:21, 04/09/2014 [ответить] [смотреть все]    [к модератору]  +1 +/ > Определить поражение системы вредоносным ПО можно по наличию исполняемых файлов .IptabLes
> или .IptabLex в директории /boot, а также следов из запуска в
> скриптах инициализации системы.

Что ? опять ?? ну до каких пор это х*ня будет твориться ? в линуксе же открытый исхолдный код - даже бинарные файлы не нужно патчить, с*ука, что за ламеры вообще - когда уже эти придурки научаться грамотно внедрятся в систему, модифицируя исполняемые файлы ?
Ведь для этого не нужно патчить исполняемый файл, а достаточно модифцировать исходники, заменить используемый файл в системе, тем что у них получился и потереть все логи какие только можно.
Когда научатся скрывать не только следы в виде файлов но и скрывать процессы перехватывая системные вызовы от всяких top, netstat, who и прочего ?
Что твориться с этим миром ?
Дети через гугленье узнали о дырке в php залили свои скрипты и все, п*здц - уже ХАКЕРЫ.
скоро пинг на сервер будут рассматривать как серъезную угрозу.
Уроды....

 
  2.24, Аноним, 08:17, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +1 +/
Смысла нет, можно проверить контрольные суммы бинарей Трудозатрат больше, резул... весь текст скрыт [показать] [показать ветку]
 
  3.39, Аноним, 10:14, 04/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
А кто сказал что читаться будет именно тот файл что вы поппросили Где гарантии ... весь текст скрыт [показать]
 
2.38, Аноним, 10:13, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Нормальный подход для эффективного перехвата вызовов - LD_PRELOAD или ядерный мо... весь текст скрыт [показать] [показать ветку]
 
1.31, Адекват, 09:25, 04/09/2014 [ответить] [смотреть все]    [к модератору]  +/ а повод для проверки какой будет ?
Для того, чтобы сделать то что описано в стаье, и о чем буйно фантазировал я - нужен root-доступ, а если есть root то можно и перехватывать системные вызовы от утилит что проверяют контрольные суммы бинарей, но это лишнее, так визуально никаких изменений не будет, а значит не будет повода считать что на сервере есть вредоносное ПО.
И да, можно даже незаметно будет сделать так, чтобы при обновлении сервер подключался к левым "репозитариям".
  1.32, Аноним, 09:26, 04/09/2014 [ответить] [смотреть все]     [к модератору]  +/
т е во всем виновата JAVA - т к Apache Struts, Apache Tomcat и Elasticsearch э... весь текст скрыт [показать]
  1.37, Некто, 10:08, 04/09/2014 [ответить] [смотреть все]    [к модератору]  +/ Угу, где-то в начале лета ловил я .IptabLes. Брутфорсили ssh по юзерам root, adm, и т.п.
Зверь вроде особо не прятался, точки в начале имен - не в счет.
Много интересного было в /.lib (или /lib/.lib, уже не помню).
 
  2.40, Аноним, 10:16, 04/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Ну то-есть ты хочешь сказать, что у тебя были словарные пароли Ай-яй-яй, палишь... весь текст скрыт [показать] [показать ветку]
 

Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40513

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика