LINUX.ORG.RU
ФорумTalks

Появился под Linux вирус - OrBit

 , , ,


0

2

It-компания Intezer Labs опубликовала отчёт о новом вирусе для платформы Linux, которому присвоено название OrBit. Данный вирус успешно похищает информацию с заражённых ПК, и с трудом поддаётся обнаружению при сканировании антивирусным ПО.

Вирус атакует компьютеры, изменяя переменную среды LD_PRELOAD, причём использует сразу два способа загрузки вредоносной библиотеки: добавляя общий объект в файл конфигурации загрузчика или внося в него модификации напрямую.

OrBit способен перехватывать управление ключевыми функциями системы, вести сбор и запись данных аккаунтов, а также предоставлять злоумышленникам возможность удалённого доступа через SSH к заражённым машинам. Чтобы избежать обнаружения, хакерское ПО маскируется под системные службы, становясь почти невидимым для антивирусов, коих под linux нет.

Разработчики систем защиты уже начали вносить OrBit в базы данных своих приложений. Реакция разработчиков программного обеспечения по вопросу закрытия уязвимости и номер CVE не сообщаются.

Пруфлинк

Перемещено shell-script из security



Последнее исправление: ipkirill21x (всего исправлений: 1)
Ответ на: комментарий от kott

Что такое «он-лайн антивирус» ? Это который показывает картинку как настоящий, но ничего не делающий? :)

anc ★★★★★
()
Ответ на: комментарий от Unixson

так еще и вирусы под linux были всегда

Неправда ваша. Я помню момент когда был опубликован первый вирь для онтопика. :)

anc ★★★★★
()
Ответ на: комментарий от kott

Хотя вспомнил варианты «онлайн антивирей» которые «делали». Типа открывается фрэйм с содержимым косящим под какой-нибудь nod ну и в конце «сканирования» предлагающий жмякнуть сюда-сюда и т.д. :)

anc ★★★★★
()
Ответ на: комментарий от fornlr

А так оставляешь ssh по белому ip с логином root и пустым паролем и ждёшь.

И что это даст?

anc ★★★★★
()
Ответ на: комментарий от fornlr

почему так дорого?!! 35 тысяч рублей за роутер?

Что за дешмань? Я только за апгрэйд своего роутера в прошлом году емнип больше выложил.

anc ★★★★★
()
Ответ на: комментарий от Mamluk

PS: Помню для OS/2 тоже было целых пять вирусов. У меня они все есть на одном из дисков. С версии 1.3 и в WARP, MERELIN, AURORA, и потом уже в не IBM версиях, до 1.2.5 релиза включительно, я не смог ни один из них запустить или как бы то ни было активировать. А там ведь оффтопик, ибо проприетарная ОС, хоть и не форточки конечно. И что-то в FIDO сообществе никто не смог, только посылали все пять друг другу, вдруг у кого получится :) Не получилось ни у кого…

Описываю как можно словить вирь который попортит и полумуха.
1. Берем диск с дуалбутом dos+os/2
2. Подключаем этот диск к машинке с OneHalf
3. Возвращаем диск назад
4. Грузимся под ДОС и гоняем в doom/c&c/подставить-по-вкусу
5. Загружаемся в os/2 и офигиваем чего это с ним происходит
Я честно говоря поначалу подумал, что диск посыпался. :)

ЗЫ Заколупался потом фидософт заново настраивать :)

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от peregrine

Насколько я знаю, например, гостайна особой важности по закону может только на компах с астралинуксом храниться.

Ну раньше под офтопиком хранилась и ничего. Один фиг девайсы с гостайной запрещено в общую сеть подключать.

anc ★★★★★
()
Ответ на: комментарий от shell-script

левое ssh-соединение, висящее на хосте от неизвестно кого неизвестно куда - это большой красный баннер «Что-то не так! Нас взломали!» Так что глубоко параллельно, с какой стороны будет инициализирован ssh-коннект.

Можно наколякать хрень, которая будет коненкится к ssh локально и гнать всё через себя куда-то там, в результате у вас будет ssh соединение с локалхост ну или c каким-то из локальных ip, тут как наколякать.

anc ★★★★★
()
Ответ на: комментарий от anc

По пункту 1. сразу вопросы, а зачем? Ведь встроенный в полумуху dos лучше самого dos и какой смысл их в дуалбуте держать?

PS: А чего там то фидософт особо настраивать? Там я его за пять минут поднимал весь на ура. А трапнуть полумуху конечно можно, но мне никогда не удавалось штатно, если в config.sys не залезть и не сломать его случайно/специально. И да, в оффтоп сваливаемся :) Да и я в талксы не пишу обычно.

Mamluk
()
Ответ на: комментарий от Dog

На VDS-ках ещё встречается из каробки.

anc ★★★★★
()
Ответ на: комментарий от Mamluk

По пункту 1. сразу вопросы, а зачем? Ведь встроенный в полумуху dos лучше самого dos и какой смысл их в дуалбуте держать?

Игори же :)

А чего там то фидософт особо настраивать? Там я его за пять минут поднимал весь на ура.

Это когда вы поинт.

anc ★★★★★
()
Ответ на: комментарий от anc

Нуэээ... Блин. Пойду свой сертификат Google Cloud Engineer'а выкину. :)

shell-script ★★★★★
()
Ответ на: комментарий от anc

Ну и что? Мне не мешало досовые игры из *.bat файлов запускать, тогда система автоматом врубала эмулятор dos свой. Я тогда, до 2000 года, ещё иногда играл в стратегии и авиасимуляторы.

А пойнтом был да, ибо у меня полуосевая нода был многоканальный и CM. Смысла становится подхабником я не видел. На ноде была огромадная BBS с софтом для OS/2 и позднее для RedHat Linux :) Я бы написал свой пойнт, но меня тут наверное огромная часть старожилов ЛОР знает, а там реалнеймы и клуджи Location и.т.д. были у меня.

PS: Извините, но в талксах я продолжать не буду.

Mamluk
()
Ответ на: комментарий от shell-script

Что бы не было «красным Банером» :)

anc ★★★★★
()
Ответ на: комментарий от fornlr

Как заразить компьютер с виндой знаю,достаточно вставить флешку с вирусами
Как подцепить вирус на Linux понятия не имею,может кто научит?

на Linux он идет уже предустановленный.

Assembler
()
Последнее исправление: Assembler (всего исправлений: 1)
Ответ на: комментарий от Assembler

на Linux он идет уже предустановленный.

Разверните вашу мысль пжлста, я записываю.

anc ★★★★★
()
Ответ на: комментарий от Mamluk

Ну и что? Мне не мешало досовые игры из *.bat файлов запускать, тогда система автоматом врубала эмулятор dos свой. Я тогда, до 2000 года, ещё иногда играл в стратегии и авиасимуляторы.

Та ну? И c&c летала поди? И F-19 «летал» ?

А пойнтом был да, ибо у меня полуосевая нода был многоканальный и CM. Смысла становится подхабником я не видел. На ноде была огромадная BBS с софтом для OS/2 и позднее для RedHat Linux :) Я бы написал свой пойнт, но меня тут наверное огромная часть старожилов ЛОР знает, а там реалнеймы и клуджи Location и.т.д. были у меня.

У меня было «это», а ещё было «это» и вот «ЭТО». Вы мне только на слово поверьте, потому что я вам «этого» не покажу.
Скажу просто. Меня, как бывшего boss-a в fido, Вы не убедили. Даже скорее разубедили в том, что вы имели хоть какое-то отношение к fido кроме как «у босса подсасывать»(не оскорбление).
ЗЫ Нука расскажите нам как у вас существовала «огромадная BBS» совместно с нодой. Достаточно тезисных вводных, на ошибках уже поймаем сами.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 3)
Ответ на: комментарий от fornlr

Того. Если ты работаешь из под дефолтного юзера в оффтопике (говорю про 8, 10, 11 оффтопик) и не крутил никакие политики, то всё что uac сделает, это выведет окошко вида нажмите ок и всё.

peregrine ★★★★★
()
Ответ на: комментарий от w201403

Нет. Ты не понимаешь, что творится в ИБ. Не коммерсанты что-то делают (у них только сейчас стимул появляться начинает в связи со штрафами за утечки данных, но и то пока не появился по большому счёту и не факт что появится), а государство, ФСБ и около силовые конторы тесно связанные с государством выдают требования, которым соответствует только продукция этих самых контор за редким исключением. А бизнес ставит это по закону в принудительном порядке. С одной стороны это плохо - отсутствие конкуренции, с другой - хорошо, т.к. если не предъявлять никаких требований к бизнесу, то он и чесаться не будет, а как чисто экономически на бизнес надавить, чтобы он чесался об ИБ это отдельный вопрос, учитывая что 100% защиты не бывает и даже если бизнес всё делал правильно, данные могут утечь.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 2)
Ответ на: комментарий от anc

Я работаю со всеми ОС, такая работа. Но предпочитаю линукс везде, где это возможно.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Нет. Ты не понимаешь, что творится в ИБ.

На этом действительно можно было бы закончить! Люди сталкивающиеся с ИБ на уровне «местечковое-придуманое», не понимают людей где этому уделено бОльше внимания, а те не понимают тех, где уделено ещё бОльше внимания... и все они разбивают головы о ладони(в натуральном смысле), когда доходит до гос тайны.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

bbs существовала. Всё через t-fix, в письме роботу которого указывалось чтоб прислал список на нескольких страницах, потом нужные выбирались файлы и отправлялись роботу, надеюсь я правильно написал? А от робота потом, при следующей прозвонке, приходили файлы заказанные, он автоматом их на холд мне выкладывал.

Я не подсасывал у босса, а был пойнтом, на многоканальной ноде, где босс даже v90 пробовал протокол как-то, даже мой тогдашний «Курьер» гонг выдавал V90, надеюсь вам что-то об этом говорит?

И не надо меня ловить. Я был пойнтом с 95. Что мне надо порой было, и не было в списках, то босс выкладывал на холд, и при прозвонке прилетали файлы мне легко.

На чём вы меня ловить собрались? На связке t-mail + t-fix + partoss(parma tosser) + GoldEd ? Всё для полумухи естественно. Когда потом компилил для RedHat пакет, то там уже почтовик был quico + haski + golded, естественно. Всё есть. Могу на адрес выслать, но из конфигов уберу босса и свой пойнт.

PS: Хотя и любой желающий мог позвонить ему терминалом на bbs и взять себе то, что будет там доступно, всё мог только пойнт и через t-fix и file-fix. Поймали меня? Не был я на подсосе, а был я, и моя дочь, пойнтами оба!

PSS: F-19 запускал в полумухе, но мне не нравилась, я больше F-117A гонял, не взоманный, с парольным меню и.т.д., таблица силуэтов самолётов, с названиями, была распечатана А4.

PSSS: Вы конечно не хотели меня обидеть, но вам это удалось, ибо я и что такое фронда помню и.т.д. Я в августе 2012-го ушёл из FIDO только, а в 2017-м перестал наш сегмент существовать в нодлистах. И про время ZMH и про остальное, я боссу в 96-м ещё сдавал на знание полиси. Ловите кого нибудь другого. Сыщик из Вас никакой ;)

Mamluk
()
Последнее исправление: Mamluk (всего исправлений: 1)
Ответ на: комментарий от Mamluk

Простите. Вы не однозначно написали, я понял что у вас нода была.

F-117A

Не летал он в полумухе. У меня дискетка с ним до сих пор есть в наличии. Специально для вас сфоткал https://ibb.co/fCSpQtf

anc ★★★★★
()
Ответ на: комментарий от anc

У меня был просто в архиве на дискете. Если из *.bat сделать запуск пускового файла, то вполне себе хорошо летал. Через *.cmd естественно не взлетит, и уж наверняка с Вашей , а почему мы не на «ты», дискеты :)

PS: Написал я однозначно.

Mamluk
()
Последнее исправление: Mamluk (всего исправлений: 1)
Ответ на: комментарий от anc

Ну какое может быть зональное время в 50-й зоне? Или Вы так прикалываетесь? Мне то его держать нечего, просто босс тогда поинтересовался, когда я дочь прописывал ему пойнтом :)

Хорошие были времена. И Коносевич на меня боссу писал «коньплей» за то, что я ему в своей конференции отмерял 25 лет R/O. На что мой босс ответил тогда, что Коносевич типичный пример сисопа идиота, из полиси :)

И Портунову я тоже «чикушку» на 25 лет R/O отмерял :)

Всех я помню, и все меня. Вот тут я сейчас только на одном сайте из анонов зарегался, ибо остальные все ресурсы трапнулись или зачахли, где я был до апреля 2020-го.

А теперь к теме по вирусу :) Я в теме по информационной безопасности, а мой босс и вообще был, в одной очень очень серьёзной конторе, начальником службы информационной и кибербезопасности, а до того в следственном отделе её же. Оба подосиновики заядлые, и оба потом Fedora пользовались, он ещё сразу нам ядра пересобирал. Так вот, я скажу, что сведения с грифом от секретно и выше - распространялись по сети, шифрованными, и вообще отличной от интернета, никак с ним не связанной, на концах аппаратура соответствующая, и сюрпризом всему OS/2 по сей день :) А ведь OS/2 она от IBM и MS сперва была, потом чисто IBM, а потом тоже компании не нашей eCS. О как! Всё проприетаршина, но на терминалах Fedora с пересобранным ядром и без некоторых компонентов. Но selinux и firewall присутствуют, но почему-то Fedora, а не RHEL-а форк и не Астра и.т.д. Загадка да?

PS: Но пусть её разгадывают ассоциативные умы. Я больше ничего на ЛОР не скажу на эту тему. Смотрите мой профиль :) Может по фидошке вспомните, я там такой был один в сегменте 50 точно.

Mamluk
()
Ответ на: комментарий от Mamluk

Ну какое может быть зональное время в 50-й зоне?

ZMH. Ваш КО и не благодарите.

коньплей

Конь что? Но собственно вам простительно, вас это ни с какого боку и не касалось.

за то, что я ему в своей конференции отмерял 25 лет
в своей конференции

Я тоже люблю на локалхосте блокировать разные не угодные мне страны.

anc ★★★★★
()
Ответ на: комментарий от peregrine

Мне пришлось ставить пароль единичку 🤷‍♂️

fornlr ★★★★★
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

Тонко :) Только там их было чуть более чем много. И да, книжка от Хижняка вышла вредная, потом всякие пионеры начали писать под dos вирусы. Было, было, было.

По этому у меня в дуалбуте и стояли OS/2 и Linux.

Mamluk
()
Ответ на: комментарий от anc

Вам нравится меня поддевать? Ну и что, что я и дочь были всего пойнтами. А комплейн я специально написал «коньплей», ибо мы так комплейны от Коносевича называли, модераторы конференций :-}

По ZMH я знаю, и знаю во сколько оно у нас, тут Вы тоже попали пальцем в небо, желая уязвить старого больного человека.

На бекбоне я был модератором, в двух эхоконференциях, а ещё в двух был комодератором. В технических и военных вестимо. Если вы их со своей локалкой сравниваете, то ой.

PS: С Алексеем Бариновым я знаком лично был, он к нам приезжал сюда, это было событие. Саня Колесников устраивал, аж на центральной площади города, большую сисопку. Виссарионова тоже знаю, «Гремлин» который :) Но я на Вас не обиделся. Ведь и пойнтом в FIDOnet.org было быть не зазорно, хотя конечно и прав никаких по сути, ну кроме если модератор в эхоконференции на бекбоне которая.

PSS: В общем, досвидания. Я с Вами не желаю общаться в таком ключе. Да и видимо Вы из местных троллей, без обид :)

Mamluk
()
Ответ на: комментарий от Mamluk

я знаком лично был

В качестве значка «он Ленина видел!» полагалось сообщить, что видел Фарида, был «свидетелем Иожа» и пил пиво с Бочароффым )

vaddd ★☆
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

Зловреды сейчас и зловреды в плюсквамперфекте – две большие разницы.

i586 ★★★★★
()
Ответ на: комментарий от glebiao

Первый раз вижу полумуховика, который вместо ФлитСтрита юзал ГолДеда, фу, как некрасиво :)

А вы вообще много полумуховиков видели?

anc ★★★★★
()
Ответ на: комментарий от glebiao

Это нормально. ФлитСтрит мне не понравился, уже точно и не скажу почему.

А так-то, в нашей сети, на 19 ноде, делали FTNged редактор, в том числе мне под полумуху персонально, ибо я в ихнем Pascal не силён, моё время ушло с Rexx, Forth, Fortran, C, asm, немного perl.

А в полумуховых эхоконференциях, их было сразу несколько, с FAQ там и.т.д., ну и просто для обсуждения, были, на 90% участников, все под ГолДедом. Да я и сам дед :)

PS: В качестве антиофтопика скажу, что в Linux софте, что я собирал, тоже был GoldEd. Привычка.

Вот музыкальный плеер, в полумухе, был «Z!» консольный, и лучшего я потом уже не встречал, хотя и о вкусах не спорят :)

Mamluk
()
Последнее исправление: Mamluk (всего исправлений: 1)
Ответ на: комментарий от Mamluk

ФлитСтрит мне не понравился, уже точно и не скажу почему

у нас в фидотусовке он был, по моему, у меня и ещё у пары кентов. Я так думаю, народ просто не потрудился разобраться и освоить: по поиску, в т.ч. массовому и сортировке по тредам он и современным почтовым клиентам сто очков вперёд даст.

Z помню, хотя использовал какой-то графический – удобнее. Ну и mpg123 в скриптах.

glebiao
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.