Обнаружен троян Linux.BackDoor.Xnote.1.

Rešétọ.

Какая-то желтизна. Каким образом этот конь педальный может проникнуть на машину, ещё и быть запущен с правами суперпользователя?

путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Решето у человека в голове, если он не установил дохуа длинный пароль или не настроил защиту от брутфорса.

Я джвадцать лет ждал!

Вы внимательно читайте новость? Это очередное фишинговое говно, аля ZIP.EXE. Как оно проникнет в центральный репозиторий, раз? Два, с какого члена его кто-то вообще скачает и вообще запустит от суперпользователя? Линуксойды не такие идиоты, как виндузятники, и всякую ерунду с рута не запускают. Три, как оно подберет пароль состоящий из букв и цифр вперемешку? Это не винда, где пароль можно сбросить без всего. Т.е вирусов на Linux (и на Android) кстати тоже, не существует. Все «Вирусы» под Linux-ы и Android-ы - это плод невнимательности пользователя. Читать список разрешений и думать, куда вводить пароль-вот и все. А вот винда ваша даже при этом случае может заразится.

Мало того оно подбирает, так ещё и рут нужен? Скучно совсем.

А на мак придется ставить homebrew и перепихаться с компиляцией :((((

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH.

Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

Я правильно понимаю, что для того, чтобы этот вирус заработал малолетний долбозавр хакер должен сначала взломать систему, а система должна работать исключительно под рутом?

Компания «Доктор Веб»

А, тогда все понятно.

Традиционно считается, что:

1. операционная система Linux и программы, работающие под ее управлением, не подвержены инфицированию в силу совершенства кода и его открытости;

2. вредоносные программы могут попасть на компьютер только в связи с крайней беспечностью пользователей.

Это заблуждение! Итогом такого отношения становится потеря контроля над незащищенным компьютером, а вредоносные программы получают безопасное убежище в системе.

Как же я жил то без него! Пошел качать Айболита Дохтор Веба!

В чем отличие от сотен других «червей», которые на регулярной основе стучатся на мою VPS и пытаются залогиниться под рутом, не зная, что он отключен?

В том, что антивирус бессилен против них.

WOK!

Да. Это наверное одно из слабых мест линуксов, незащищенность перед сторонним софтом.

Рекламная пауза...

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

То есть нужен пользователь-дебил с рутовым доступом по SSH и паролем типа «qwerty»

Как оно проникнет в центральный репозиторий, раз?

Какой нахрен репозиторий, болезный?

взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Все «Вирусы» под Linux-ы и Android-ы - это плод невнимательности пользователя

А если ты внимательно прочитаешь новость - то поймёшь, что нет никакого вируса - есть троян. И, да, распространения троянов таки действительно основано исключительно на человеческом факторе.

путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

[фейспалмирующий мегабайт.jpg]

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

Надо быть сказочным идиотом, чтобы оставить root доступ по ssh по паролю, да еще который можно подобрать.

Да. Это наверное одно из слабых мест линуксов, незащищенность перед сторонним софтом.

Научись читать, теоретик.

Наверняка такие найдутся.

Если постить новость о каждом быдлотрояне под онтопик - никаких новостей не хватит. Если б он эксплуатировал какие-то уязвимости для доступа к пользовательским системам - это еще куда бы ни шло. Но он тупо брутит пароль - это уныло.

Ну так пусть будут средством к существованию ботнетчиков, а мы за них за всех порадуемся.

найдутся

Они регулярно появляются уже поломанные в соответствующем разделе этого сайта (в который мы только что переехали). Еще и спрашивают: а чёито? и чё теперь делать?

ebuild'ов еще нет?

Высунь ssh с рутом наружу, поставь простой пароль, он сам тебя найдет, без всяких ебилдов.

То есть нужен пользователь-дебил с рутовым доступом по SSH и паролем типа «qwerty»

Ты и представить себе не можешь сколько человек в мире вот прям в эту секунду думают «так, щас попырому поставлю на ссх пароль querty, дам доступ рута, добегу до универа, замучу презентацию быстро, чтоб с паролями не возиться и сразу все выключу». А за этот час к нему уже 5 таких вот вирусов залезло :)

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя

только дебилы разрешают вход руту и/или используют пароль. Случай «И» — клинические идиоты.

не настроил защиту от брутфорса.

это как? В OpenSSH оно по умолчанию.

Я правильно понимаю, что для того, чтобы этот вирус заработал малолетний долбозавр хакер должен сначала взломать систему, а система должна работать исключительно под рутом?

1. поставить OpenSSH, поднять sshd, разрешить доступ.

2. использовать порт 22

3. разрешить вход по паролю, а не по ключу

4. разрешить вход руту(тоже по паролю)

5. установить пароль из 3х букв/цифр (или двух)

6. отключить защиту от перебора

7. ????

8. PROFIT

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Лол, ок.

Ты и представить себе не можешь сколько человек в мире вот прям в эту секунду думают «так, щас попырому поставлю на ссх пароль querty, дам доступ рута, добегу до универа, замучу презентацию быстро, чтоб с паролями не возиться и сразу все выключу». А за этот час к нему уже 5 таких вот вирусов залезло :)

Я даже представить не могу, каким же сказочным кретином надо быть, чтобы так делать.

1. поставить OpenSSH, поднять sshd, разрешить доступ.

2. использовать порт 22

3. разрешить вход по паролю, а не по ключу

4. разрешить вход руту(тоже по паролю)

5. установить пароль из 3х букв/цифр (или двух)

6. отключить защиту от перебора

7. ????

8. PROFIT

Хорошо хоть компилять не надо :D

Спасибо, записал.

Cast StasON777

не настроил защиту от брутфорса.

это как? В OpenSSH оно по умолчанию.

О чем ты?

Я в одном месте подрабатываю приходящим админом. Главным там такой амбициозный борзенький юноша с большим животом, тонкими ногами и шеей. Сразу запретил мне заходить в его отсутствие в серверную. Но недавно возникла критическая ситуация и я всё-таки зашёл. И нашёл там самбу, бэкап базы и ещё что-то с открытым рутовым доступом.

Теперь ищу замену, чтобы уволится.

Спасибо, что вы указали на несоответствие, просто здесь скорее коментарий к вольному размышлению над информацией, чем непосредственно.

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Ужасная угроза, ребята! Хосспаде, опять же, чтобы прострелить себе ногу, надо быть настолько дебилом, чтобы запустить ЭТО от рута.

Ну кто тащит в систему пакеты или исходники с какой-то помойки заранее ССЗБ. И об этом даже не говорят, это подразумевается. Ты думаешь почему при добавлении репозиториев нужно добавить ключи? И почему все пакеты подписаны?

вы

И не выкай мне! Тут принято на ты. :)

Хорошо, я к примеру стараюсь пользоваться чистыми репами, а некий ссзб сидит под оффтопом, и тянет из сети прон, который пытается подменить файл xyz. Так вот, шансов что этот xyz будет у него подменен меньше, чем если бы я тянул этот норп. Соответственно безопапасность в линукс системах в большей мере зависит от конечного юзера.

Обнаружен троян Linux.BackDoor.Xnote.1.

Линуксокапец.

Мне казалось, что нет, а настраивать - это fail2ban, например.

взламывает ssh подбором
нужен рут

Троян уровня /b/.

Подобным новостям не хватает ссылки на «чудотворную» утилиту для проверки не заражёна ли уже система трояном. «Скачать и запустить от рута.»

ссылки на «чудотворную» утилиту для проверки не заражёна ли уже система трояном.

А как же: http://www.freedrweb.com/cureit/ — с пылу с жару, от компании рекламодателя производителя?

Я имел ввиду ссылку на сам троян.

на сам троян

CureIt ничем не хуже.

подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH

Зачем тогда злоумышленникам троян, если подобрали пароль?

systemd?

Решето, если ssh стоит голой ж. в сеть и вход на него по паролю (ключ сложнее сломать). Настраивать надо не только защиту от брута, но и желательно залочить iptables-ом все что стучит на порт ssh кроме как с конкретных ip или подсети, если нет веских причин оставить возможность войти на сервер с любого ip.

Да ладно, если врубить хотя бы простейшую защиту от брута, то мой привычный двадцатизначный пароль перебирать будет крайне мучительно.

Нафиг 20 знаков набирать? Ключ же проще юзается. Это на email я пароли по 15-25 символов делаю, а тут зачем?