| |
Компания Akamai Technologies опубликовала сведения о обнаружении двух ботнетов - IptabLes и IptabLex, сформированных из Linux-серверов и используемых преимущественно для организации DDoS-атак. В состав ботнетов попадают своевременно не обновляемые серверы, на которых используются уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch. После эксплуатации уязвимостей и получения доступа к системе, на серверах запускается вредоносное ПО, оформленное в виде собранного для Linux исполняемого файла, позволяющего принимать удалённые команды от центра управления ботнетом.
Число входящих в ботнеты Linux-серверов не приводится, но уже зафиксированы проведённые с использованием данных ботнетов DDoS-атаки, в результате которых на системы жертвы удалось направить трафик пропускной способностью в 119 гигабит/сек и интенсивностью 110 млн пакетов в секунду. Отмечается, что это одна из крупнейших DDoS-атак в этом году, которая также примечательна сдвигом в сторону применения для построения ботнета уязвимых серверных Linux-систем, вместо ранее используемых в этой области клиентских машин с Windows в сочетании с усилителями трафика в виде открытых DNS- или NTP-серверов.
Определить поражение системы вредоносным ПО можно по наличию исполняемых файлов .IptabLes или .IptabLex в директории /boot, а также следов из запуска в скриптах инициализации системы. Так как вредоносный код поддерживает функции загрузки и установки обновлений, его следы в системе могут измениться. Администраторам рекомендуется проверить защищённость своих систем и своевременность установки обновлений.
|
|
- Главная ссылка к новости (http://www.net-security.org/secworld.php...)
- OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
- OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
- OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с
- OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
- OpenNews: Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD
| Тип: Проблемы безопасности | Ключевые слова: ddos, botnet, linux, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
1.2, бедный буратино, 23:55, 03/09/2014 [ответить] [смотреть все] [к модератору] | –3 +/– | один серый другой белый два весёлых ботнета... весь текст скрыт [ показать] | | |
1.3, lsd, 00:05, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] +9 +/–
elasticsearch ? торчащий наружу ? этопять!
1.4, Аноним, 00:06, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] –1 +/–Эээ Как проверить сервера если зловреда не поленятся спрятать Когда код откры... весь текст скрыт [ показать]
|
4.19, none7, 06:09, 04/09/2014 [^] [ответить] [смотреть все] [к модератору] | +1 +/– |
А rpm по вашему нельзя пропатчить? Руткиты всегда стараются отгородить админа от реального положения дел, огромная куча административных утилит заменяется. Тут только проверка при помощи внешнего по поможет. Да ещё и чексумму ядра в памяти посчитать надо драйвером и сравнить с сохранённым результатом на другой машине. Хотя могут быть и супер-руткиты которые держат ядро системы в виртуалке на аппаратной виртуализации, этих выследить нереально. Только сканированием диска на другой системе.
| | |
|
5.34, zamir, 09:56, 04/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
> А rpm по вашему нельзя пропатчить?
А ты видел хоть один вирус который патчил rpm для того что бы верификация не отобразила изменение каких-то конкретных файлов?
Для rpm дистрибютива rpm -Va отличная команда для первичного анализа.
Что касаемо ботнет для Linux - то они уже давно есть и успешно ломают apache.
Получив доступ к apache как правило к root они не прорываются - соответственно системые файлы не подменяют. Подключение к botnet можно увидеть по netstat -nap (левый процесс с правами apache)
| | | 5.35, flvby1, 09:57, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
tripwire.
2.8, rshadow, 01:04, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] –2 +/–
> Всякие top и netstat
1. Ломали явно веб сервера. До рута дело не дошло.
2. apt-cache show debsums
Description-ru: инструмент для проверки контрольных сумм MD5 у установленных файлов пакетов
debsums может проверять целостность установленных файлов пакетов путем
сравнения контрольных сумм MD5 установленных пакетом или
сгенерированных из архива .deb.
|
5.22, тигар, 07:36, 04/09/2014 [^] [ответить] [смотреть все] [к модератору] | +1 +/– |
> По ссылке не написано как рут получали.
а это очень важно? когда там крайняя новость была об очередном патче закрывающем возможность поднятия до рута? а перед ней, а перед той?;-) выбери себе любой из описаных там методов и реши что именно так и получали.
| | | 2.27, Аноним, 09:12, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–ЧСХ, руткиты и тому подобные фокусы работают и в закрытых системах Если систему... весь текст скрыт [ показать] [ показать ветку]
1.7, Celcion, 00:56, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] –10 +/–А мне говорили, что вирусов на линуксе нет Видимо, наврали ... весь текст скрыт [ показать]
2.12, Аноним, 01:35, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +2 +/–Это не вирус Это хакерская атака Когда миллионы компов заражаются автоматическ... весь текст скрыт [ показать] [ показать ветку] 2.13, _KUL, 02:23, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +1 +/–
А вы пробовали рабочее/домашнее ПК место спиртовой салфеткой протирать?
2.15, Аноним, 03:05, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/– 2.25, Нанобот, 08:18, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–
Не то чтобы наврали. Просто линупсные фанатики искренне верят во всякие глупости... так что технически это не ложь, а информация, не соответствующая действительности
|
3.26, тоже Аноним, 08:51, 04/09/2014 [^] [ответить] [смотреть все] [к модератору] | +1 +/– |
Чтобы ваша информация соответствовала действительности, неплохо бы напомнить, что вышеупомянутые фанатики существуют в основном в виртуальном пространстве пропаганды MS.
Идиоты, конечно, встречаются везде, но пропагандисты, конечно, выставляют ими всех своих идейных противников. "По причине - козлы".
| | | 2.28, Аноним, 09:16, 04/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–Если вирусяка прорубается через дырявую вебню - там в общем все-равно какая сист... весь текст скрыт [ показать] [ показать ветку]
1.16, Антоним, 04:09, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] –3 +/–Где взять антивирус ... весь текст скрыт [ показать]
1.21, Адекват, 07:21, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] +1 +/–
> Определить поражение системы вредоносным ПО можно по наличию исполняемых файлов .IptabLes
> или .IptabLex в директории /boot, а также следов из запуска в
> скриптах инициализации системы.
Что ? опять ?? ну до каких пор это х*ня будет твориться ? в линуксе же открытый исхолдный код - даже бинарные файлы не нужно патчить, с*ука, что за ламеры вообще - когда уже эти придурки научаться грамотно внедрятся в систему, модифицируя исполняемые файлы ?
Ведь для этого не нужно патчить исполняемый файл, а достаточно модифцировать исходники, заменить используемый файл в системе, тем что у них получился и потереть все логи какие только можно.
Когда научатся скрывать не только следы в виде файлов но и скрывать процессы перехватывая системные вызовы от всяких top, netstat, who и прочего ?
Что твориться с этим миром ?
Дети через гугленье узнали о дырке в php залили свои скрипты и все, п*здц - уже ХАКЕРЫ.
скоро пинг на сервер будут рассматривать как серъезную угрозу.
Уроды....
1.31, Адекват, 09:25, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–
а повод для проверки какой будет ?
Для того, чтобы сделать то что описано в стаье, и о чем буйно фантазировал я - нужен root-доступ, а если есть root то можно и перехватывать системные вызовы от утилит что проверяют контрольные суммы бинарей, но это лишнее, так визуально никаких изменений не будет, а значит не будет повода считать что на сервере есть вредоносное ПО.
И да, можно даже незаметно будет сделать так, чтобы при обновлении сервер подключался к левым "репозитариям".
1.32, Аноним, 09:26, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–т е во всем виновата JAVA - т к Apache Struts, Apache Tomcat и Elasticsearch э... весь текст скрыт [ показать]
1.37, Некто, 10:08, 04/09/2014 [ ответить] [ смотреть все] [ к модератору] +/–
Угу, где-то в начале лета ловил я .IptabLes. Брутфорсили ssh по юзерам root, adm, и т.п.
Зверь вроде особо не прятался, точки в начале имен - не в счет.
Много интересного было в /.lib (или /lib/.lib, уже не помню).
Ваш комментарий
Read more |