top
logo


Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD PDF Печать E-mail
Автор: adm   
19.07.14 20:53

Группа исследователей из компании Яндекс опубликовала результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в web-приложениях. Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицированных вредоносным ПО узлов ботнета.

Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в web-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме разделяемой библиотеки libworker.so, обладающей достаточно богатой функциональностью. Интерес представляет метод запуска вредоносного ПО: выполняется штатная системная утилита /usr/bin/host с выставленным флагом LD_PRELOAD=libworker.so, при этом в библиотеке libworker.so переопределяется функция exit(). Используемые в процессе работы Mayhem файлы и плагины сохраняются в файле ".sd0", внутри которого создаётся образ ФС в формате FAT (применяется открытая библиотека fat_filelib).

Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форме разделяемых библиотек. Например, доступны плагины для выполнения таких действий, как сканирование сайтов на наличие уязвимостей, которые могут привести к выполнению стороннего PHP-кода, сбор данных о сайтах под управлением WordPress, подбор паролей методом перебора для сайтов под управлением популярных систем управления контентом и панелей управления, подбор параметров FTP-аккаунтов, извлечение различной информации со страниц сайтов.

В статье также приводятся некоторые выводы, обобщающие текущие тенденции:

  • Ботнеты, создаваемые на основе web-серверов, нашли собственную нишу монетизации, связанную с перебросом трафика, применением грязных методов поисковой оптимизации и использованием загрузок для организации атак.
  • Web-серверы более интересны для атаки, чем обычные пользовательские ПК, так как они очень редко перезагружаются, имеют более качественное сетевое соединение и обладают более высокой вычислительной мощностью.
  • На серверах хостинга часто не используются средства автоматической установки обновлений, многие web-мастеры и системные администраторы устанавливают обновления вручную с последующей проверкой корректности работы инфраструктуры.
  • Для типового сайта качественное сопровождение является дорогим удовольствием и web-мастеры не всегда уделяют внимание отслеживанию появления новых выпусков с устранением уязвимостей. Подобная практика приводит к существованию в Сети большого числа уязвимых web-серверов, которые легко атаковать и использовать в ботнете.
  • В *nix-системах не распространено использование антивирусов. Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.
  1. Главная ссылка к новости (http://www.theregister.co.uk/2014/07/18/...)
  2. OpenNews: Зафиксирован самораспространяющийся червь, поражающий серверы Apache Tomcat
  3. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
  4. OpenNews: На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd
  5. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
  6. OpenNews: Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache
Тип: Проблемы безопасности
Ключевые слова: security, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Аноним, 00:27, 20/07/2014 [ответить] [смотреть все]     [к модератору] +3 +/
Endgame Singularity is a simulation of a true AI Go from computer to computer,... весь текст скрыт [показать]
 
1.2, metallica, 00:38, 20/07/2014 [ответить] [смотреть все]    [к модератору]  +3 +/ Молодцы яндексоиды. Ждём инфу о хотя бы одной молвари, реализованной
как kernel thread. (в наличии таковых не сомневаемся)
 
  2.55, pavlinux, 23:47, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +2 +/
Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они разрешают юзерам LD_PRELOAD!!!

---
~$ LD_PRELOAD=/usr/lib/libtcmalloc.so
bash: LD_PRELOAD: доступная только на чтение переменная


~$ grep LD_PRELOAD /etc/profile
LD_PRELOAD=""
declare  -r LD_PRELOAD;
export LD_PRELOAD

 
  3.60, Andrey Mitrofanov, 09:32, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
> Бабушка, бабушка... А ну нас в детском садике одмины - дябилы, они
> разрешают юзерам LD_PRELOAD!!!

--Да, внучёк, таких только могила исправит. Ишь ты, "declare -r"?! Они b man-bash-то не читывали про --noprofile, и про субшелы не рубят. Охохо...

> ~$ grep LD_PRELOAD /etc/profile
> LD_PRELOAD=""
> declare  -r LD_PRELOAD;
> export LD_PRELOAD

 
3.65, Аноним, 10:53, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Я не понял, а как ты это запретить можешь Технически, переменные окружения - не... весь текст скрыт [показать]
 
  4.68, arisu, 11:02, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
а это павлуша опять демонстрирует свой выдающийся идиотизм.
 
3.71, Аноним, 11:05, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Если это дефолтное поведение, то называл дiбилами создаталей всех дистрибутивов ... весь текст скрыт [показать]
 
1.3, lucentcode, 01:07, 20/07/2014 [ответить] [смотреть все]    [к модератору]  –2 +/ Встречал файлы .sd0, и подозрительные процессы host, запущенные от имени пользователя, от имени которого запускались крипты. Похоже, эта зараза стала довольно распространённой.
image  
 
 
 
 
Часть нити удалена модератором

5.36, Адекват, 14:59, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  
–1 +/
Ну почему же дурь, если его архитектура изначально предполагает защиту в виде ра... весь текст скрыт [показать]
 
  6.50, Аноним, 22:18, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
gt оверквотинг удален Sudo это окаменевшее гогно мамонта Мсье слыхал о RBAC ... весь текст скрыт [показать]
 
  7.61, Аноним, 10:31, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Слыхали, как же Много кластерфака на ровном месте Энтерпрайзно и все такое И ... весь текст скрыт [показать]
 
7.64, arisu, 10:52, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  
+/
> Sudo это окаменевшее гогно мамонта. Мсье слыхал о RBAC?

а мсье в курсе, что чем сложнее системы защиты, тем больше потенциальная площадь атаки? система ugo, конечно, не идеальна, но при правильном применении весьма эффективна. надо только избавиться от винды в голове.

 
  8.66, Аноним, 10:55, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
В системе ugo по крайней мере можно без поллитры понять кому и что можно ... весь текст скрыт [показать]
 
1.4, lucentcode, 01:10, 20/07/2014 [ответить] [смотреть все]     [к модератору]  –3 +/
Не правда, в nix-системах народ использует свободное антивирусное ПО для поиска... весь текст скрыт [показать]
image  
  2.11, maestromony, 03:17, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +4 +/
Имхо антивирь в линуксе нужен только на серверах с файлопомойкой Да и то, чтобы... весь текст скрыт [показать] [показать ветку]
 
2.15, YetAnotherOnanym, 09:14, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Свободное антивирусное ПО - это Clam Увы, там тоже не всё радужно Несколько ра... весь текст скрыт [показать] [показать ветку]
 
  3.42, 123, 17:20, 20/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Да уж, Clam почти на все exe-шники ругается. При том, что остальные антивири ничего не находят.
Любой запаковщик - это уже "подозрение".
 
  4.44, arisu, 17:38, 20/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +3 +/
> Да уж, Clam почти на все exe-шники ругается.

правильно делает. всё равно софт под винду — это или троян, или такой быдлокод, что лучше бы уж был троян.

 
4.51, Аноним, 22:18, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/ 
1.5, arisu, 01:56, 20/07/2014 [ответить] [смотреть все]    [к модератору]  +/ LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера. те, у кого это работает, должны пойти на удобрения.

p.s. «на софтину, принадлежащую руту», само собой, а не на suid.

 
  2.9, Аноним, 02:55, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
 
  3.16, arisu, 10:48, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +3 +/
а, ну да те, у кого эксплойт не работает 8212 те наркоманы и вообще 8212 ... весь текст скрыт [показать]
 
3.18, arisu, 10:53, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +5 +/
а теперь, если тебе не сложно, будь любезен, поясни зачем пользователю www прав... весь текст скрыт [показать]
 
  4.27, Нанобот, 13:07, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
btw а разве есть способ отключить LD_PRELOAD а то гугл что-то мне ничего толк... весь текст скрыт [показать]
 
  5.28, arisu, 13:16, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
для setcap нутых бинарей отключается при помощи патча к ld so ограничивается з... весь текст скрыт [показать]
 
5.37, Адекват, 15:07, 20/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ > btw: а разве есть способ отключить LD_PRELOAD? (а то гугл что-то мне
> ничего толком не выдаёт...)

если я не ошибасюь, то LD_PRELOAD это пререгатива чиста шеллов, типа bash, sh, вызов которых в PHP делается через shell_exec, exec Что есть функции которые можно отключить.

 
  6.45, Нанобот, 18:33, 20/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Да нет, LD_PRELOAD - фича откуда-то из недр libc
 
6.62, Аноним, 10:39, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Щаззззз Это фича загрузчика shared libs и переменные ВНЕЗАПНО можно выставлять ... весь текст скрыт [показать]
 2.67, Аноним, 11:00, 21/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
А какая разница какая софтина и каталог Переменные - блок памяти с всяким гэ, о... весь текст скрыт [показать] [показать ветку]
 
  3.70, arisu, 11:05, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
>> LD_PRELOAD. от юзера. на рутовую софтину. из рабочего каталога юзера.
> А какая разница какая софтина и каталог?

как видишь по сплоету — большая.

> уж тебе можно процесс запускать (и ты можешь ему впарить окружение),
> или уж нельзя (тогда впаривание окружения не состоится за отсутствием процесса).

прикинь, а процесс таки проходит стадию динамического связывания. и эта стадия делается отдельной юзермодной софтиной. которая и обрабатывает LD_PRELOAD. и которую — внезапно! — можно пропатчить на предмет дополнительных проверок. вот такой вот сюрприз.

 
1.10, ano, 03:11, 20/07/2014 [ответить] [смотреть все]     [к модератору]  –3 +/
Я такое года 3-4 назад разбирал У них руки только сейчас дошли что ли ... весь текст скрыт [показать]
 
  2.52, Аноним, 22:19, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –2 +/
 
  3.63, Аноним, 10:40, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
А мальчику Билли форточку разбили ... весь текст скрыт [показать]
 
1.12, cmp, 05:34, 20/07/2014 [ответить] [смотреть все]     [к модератору]  +1 +/
если Web-мастеры админы сервера , то это логично, иначе если использовани... весь текст скрыт [показать]
  1.13, Аноним, 05:58, 20/07/2014 [ответить] [смотреть все]     [к модератору]  –2 +/
Где можно скачать Или опять на издеть нап здели, а попользоваться не дадут ... весь текст скрыт [показать]
 
  2.14, гость, 07:31, 20/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +4 +/
 
  3.39, Аноним, 15:44, 20/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Ок, а есть туториал как сделать уязвимую систему И через сколько времени она за... весь текст скрыт [показать]
 
  4.59, Аноним, 09:20, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
пароль для root admin из словаря распространённых слов длиной до 4-6 букв ... весь текст скрыт [показать]
 
  5.72, тазовод, 11:17, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
эээ
это и есть используемый этим софтом способ "поражения вредоносным ПО серверов под линукс"??
 
1.20, trdm, 11:47, 20/07/2014 [ответить] [смотреть все]    [к модератору]  –1 +/ > Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.

Можно парочку руководств на русском?

  1.22, bOOster, 11:55, 20/07/2014 [ответить] [смотреть все]    [к модератору]  +/ securelevel+JAIL и Linux остается со зловредом один на один.
  1.34, Адекват, 14:50, 20/07/2014 [ответить] [смотреть все]     [к модератору]  –3 +/
Ну и причем тут линукс тут при чем PHP и идиоты админы Эта зараза еще более... весь текст скрыт [показать]
 
    3.69, Аноним, 11:05, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
На винде техника подгрузки либ используется уже наверное лет 15 ... весь текст скрыт [показать]
 
  4.74, arisu, 11:29, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> На винде техника подгрузки либ используется уже наверное лет 15...

а работает до сих пор как говно и только с мегакостылями. потому что аналога dlsym(name, RTLD_NEXT) тупо нет.

 
3.73, Аноним, 11:28, 21/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
На винде другие методы У меня штатно программа пишет и в системную папку любой ... весь текст скрыт [показать]
 
  4.75, arisu, 11:30, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
хватит уже фантазировать, тебе в школу пора.
 
1.54, Аноним, 22:59, 20/07/2014 [ответить] [смотреть все]     [к модератору]  +/
SELinux помогает против него ... весь текст скрыт [показать]
  1.57, Какаянахренразница, 07:27, 21/07/2014 [ответить] [смотреть все]    [к модератору]  +2 +/ Дайте скачать! А то один трёп во всех новостях...
 
  2.76, Аноним, 11:32, 21/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Потому что треп и есть типа секретных патентов Микрософта И профинансирован... весь текст скрыт [показать] [показать ветку]
 
  3.77, arisu, 11:38, 21/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
нет, просто говноэникейщики ломанутся «антивирусы под линукс» покупать, безуспешно пытаясь компенсировать этим отсутствие мозгов.
 

Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40231

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика