Троян Linux.Sshdkit.6 представляет собой динамическую библиотеку для 64-разрядных дистрибутивов Linux. После установки в систему он встраивается в процесс sshd, перехватывая функции аутентификации. После успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер.
Новый троян атаковал сотни серверов под управлением Linux (+комментарии)
Интересен механизм, по которому "динамическая библиотека для 64-разрядных дистрибутивов Linux" собственно попадает в "64-разрядный дистрибутив Linux". Но об этом — ни слова.
Наверное, как обычно: либо админ установил библиотеку самостоятельно, от большого ума, либо её установил злоумышленник, перехватив рутовый пароль из виндового "putty".
Тем не менее, фанатики секты "свидетелей виндуз" не дремлют. Из комментариев:
Вот она популярность лина на серверах. А с вирьем то опыта борьбы нет как у виндов.
Комментарии
imen
#cid64892
Ответить
Хрен с ним с механизмом распространения.
Требование от изыскателей ссылки на РАБОЧИЙ ЭКСПЛОЙТ не было ни услышано, ни тем более понято.
Мысли о том, что логин с правами root'а может быть вообще запрещён, а пароля у пользователя, которому разрешён логин по ssh вообще нет (помимо того, что оно дополнительно выпилено и на уровне демона) не возникает, что дополнительно характеризует как квалификацию лиц, "обнаруживших" вируса, так и сочувстсвующих комментаторов. Интересно, о существовании selinux они [хотя бы] слышали?
ЗЫ: Всплывающая реклама (нормально обрезаемая Братцем Лисом) на новостном ресурсе доставляет особо и сугубо.
#cid64893
Ответить
#cid64892, imen
Понятие "вирус" — оно, как бы, подразумевает вполне конкретный механизм распространения. А именно — без участия человека.
Так это ж не изыскатели, а чёрные пиарщики, задача которых — громко кричать о несуществующей херне, вводя в заблуждение всех вокруг.
Да, это грамотный подход. Поменял ссыль.
Гость
#cid64913
Ответить
Одно название доставляет - 500! серверов:) Да от криворуких админов каждый день ложится больше:) Чтобы в линухе появился вирус, его нужно самостоятельно установить и открыть ему права доступа для совершения пакостей.
imen
#cid65011
Ответить
#cid64893,
Кто же на страже своих прибылей, да отрабатывая платёжеспособный спрос на "обнаружение", да с учётом квалификации целевой аудитории будет обращать внимание на подобные мелочи?
Кстати, ты не обратил внимание на другой важнейший нюанс: различие в специализации. Когда вирусы для виндавса помимо самораспространения, в насточщее время преимущественно работают в ботнетах во славу интересов Большого Бизнеса -- их коллеги из мира фрюниксов... "крадут пароли" (думаю, зрелище шоу наподобие "за стеклом", с трансляцией интервью с таким вот анонимным (!) "пеар-аналитегом" на тему: «допустим тебе известен _действительный_ пароль root'а, допустим в конфигурации ssh вход пользователя root разрешён, что это тебе даст на правильно настроенной системе?» в виду именного утюга и любимого терморектального криптоанализатора интервьюера доставило бы неимоверно)
Ты не сказал главного, можно сказать определяющего. Если бы не главная фундаментальная особенность Системы (демократического зооциума) в виде отсутствия перспектив соразмерного ущербу наказания за клевету -- этих воплей бы не было.
Фишка в том, что не смотря на вот уже не первое десятилетие доставляющие вопли нанюхавшихся НТ-прогрессивности вендофанатегов об отсталости классической модели Unix, все обнаруживаемые ими "вирусы" нежизнеспособны уже в рамках архаичной модели разграничения прав (ro на разделах, где обитают исполняемые файлы, noexec на разделах, куда возможна запись --- действия вируса?).
Докторвьеба считаем тоже за "черных пеарщиков"?
Ты про кого?
Пичалько в том, что на паразитные технологии нонче стали вешать и часть полезной функциональности.
imen
#cid65015
Ответить
Отдельно доставляет притягивание вендофанатиками в комментариях к тезису о ненужности антивируса собственных фантазий относительно отсутствия необходимости в настройке антивируса.
Это оне что ли изливают комплексы по поводу необходимости платить денежку за приличные инструменты данной категории на любимой платформе?
ЗЫ: О возможности фильтрации цепочки OUTPUT, как и об анализаторах журналов (с последующей отправкой событий, требующих анализа человеком на почту администратора) по всей видимости тоже надо рассказывать.
imen
#cid65407
Ответить
Подумав и втыкая в вывод
# ldd $(which sshd)
linux-vdso.so.1 (0x00007fff4a3ff000)
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f2ec1698000)
libpam.so.0 => /lib64/libpam.so.0 (0x00007f2ec148a000)
libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f2ec10ac000)
libutil.so.1 => /lib64/libutil.so.1 (0x00007f2ec0ea9000)
libz.so.1 => /lib64/libz.so.1 (0x00007f2ec0c93000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007f2ec0a5c000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f2ec083f000)
libc.so.6 => /lib64/libc.so.6 (0x00007f2ec0491000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f2ec028d000)
/lib64/ld-linux-x86-64.so.2 (0x00007f2ec18a1000)
Допустим, каким-то чудесным образом библиотечка найденного трояна оказалась на GNU/Linux сервере.
Но тут начинается самое интересное: каким образом она окажется в цитированном списке?
И как это появление (или замена) отразится на сохранённых системой управления ПО контрольных суммах системных файлов?
Нет ответов.
Зато есть подозрение, что "вирусные аналитики" не в курсе описываемых сущностей.
ЗЫ: Ждём обнаружения семейства виндавс-вирусов, эмулирующих рыночно-востребованную сущность в виде заражённого "вирусов" GNU/Linux-сервера.