[друшлаг/опеннет]Эксплоит для проверки систем на root-уязвимость в Linux-ядре оказался трояном

0

0

Пацаны, я конечно понимаю... Но без антивируса становится страшно пользоваться всякими свободными ОС.

opnenet.ru

/////////// Эксплоит действительно позволял получить root-доступ из-за ошибки в трансляции 32-разрядных вызовов на 64-разрядных Linux-ядрах, но дополнительно активировал «бэкдор», позволяющий злоумышленникам в дальнейшем получить права суперпользователя на данном компьютере, даже после установки обновлений Linux-ядра (по другим данным бэкдор хранится только в памяти и для избавления от него достаточно перезагрузки). Для проверки активации бэкдора в системе подготовлена специальная утилита.

Ссылка

←	[L.O.R.][google][студентота] Предприятия

[помогите вспомнить] NSA что-то там открывала недавно...

→

Пруфлинк или не было

aix27249 ★
(20.09.10 12:21:38 MSD)

Ссылка

[аншлаг/опеннет]

*fixed

lawliet
(20.09.10 12:22:06 MSD)

Ссылка

http://www.opennet.ru/opennews/art.shtml?num=28017 Link roof link

Deleted
(20.09.10 12:22:31 MSD)

Ссылка

Линукс слишком популярен и привлекает к себе много внимания как быдлокодеров, так и хацкиров. Да и никто же не просит запускать этот эксплоит

~~different_thing~~
(20.09.10 12:22:45 MSD)

Ответ на: комментарий от different_thing 20.09.10 12:22:45 MSD

> Линукс слишком популярен

Ах ты толстячок ^_^

r_asian ★☆☆
(20.09.10 12:26:06 MSD)

Ссылка

>Для проверки активации бэкдора в системе подготовлена специальная утилита.

Как-то страшно запускать...

aiqu6Ait ★★★★
(20.09.10 12:26:46 MSD)

Ссылка

http://data.photo.sibnet.ru/upload/imgbig/126192904663.jpg

wxw ★★★★★
(20.09.10 12:27:59 MSD)

Ссылка

> Для проверки активации бэкдора в системе подготовлена специальная утилита

Непротроянизировавшимся просьба встать в очередь

Cancellor ★★★★☆
(20.09.10 12:30:50 MSD)

Ссылка

И да, нефик запускать левые бинарники

Cancellor ★★★★☆
(20.09.10 12:31:11 MSD)

$uname -r
2.6.32-5-amd64

Ой, что-то снова потянуло запустить «бэкдор»))

~~elipse~~ ★★★
(20.09.10 12:34:08 MSD)

Ссылка

Ох лол. Оказывается, эта хренька превращала локальную уязвимость в общедоступную? Vot sosnoolee tuck sosnoolee.

pevzi ★★★★★
(20.09.10 12:51:57 MSD)

паника преувеличена, затроянен только один из вариантов эксплоита опубликованный http://seclists.org/fulldisclosure/2010/Sep/268 тут
желающие могут полюбоваться на обфускацию и обилие бинарных блобов в коде эксплоита

robert_you_suck.c - без троянчика и тоже работает

Sylvia ★★★★★
(20.09.10 12:56:57 MSD)

Ответ на: комментарий от pevzi 20.09.10 12:51:57 MSD

Хм, а это относится к сорцу robert_you_suck.c?

pevzi ★★★★★
(20.09.10 12:57:44 MSD)

Ответ на: комментарий от Sylvia 20.09.10 12:56:57 MSD

А, вот оно как, спасибо за инфу. Тогда я спокоен :3

pevzi ★★★★★
(20.09.10 12:58:05 MSD)

Ссылка

А вы что, не читаете код эксплойта, который запускаете? И запускаете эксплойты на продакшн-системах? Воистину facepalm!

shimon ★★★★★
(20.09.10 12:58:05 MSD)

Ссылка

> Но без антивируса становится страшно пользоваться всякими свободными ОС.

Как тут поможет антивирус? Без мозга страшно пользоваться компьютером вообще, а не только «всякими свободными ОС».

Антивирус подменил мысли обывателя с «не запускать всякую левоту» на «стоит антивирус, могу запускать всякую левоту, отключив мозг»

Deleted
(20.09.10 13:06:30 MSD)

Ответ на: комментарий от pevzi 20.09.10 12:57:44 MSD

непосредственно не относится, но если сравнить исходник ABwtf.c
где куча блобов и обфускация, с достаточно коротким и открыто написанным посланием роберту, то первый подозрителен, а во втором все достаточно чисто

Sylvia ★★★★★
(20.09.10 13:06:32 MSD)

Ссылка

>Но без антивируса становится страшно пользоваться всякими свободными ОС.

Бекдор это не вирус. Для их поиска есть rkhunter

router ★★★★★
(20.09.10 13:06:56 MSD)

Ссылка

Для проверки активации бэкдора в системе подготовлена специальная утилита. [Юмор]Который сообщает удалённому серверу, адрес лоподставившегося дважды.[/Юмор]

AlexVR ★★★★★
(20.09.10 13:09:14 MSD)

Ссылка

Ответ на: комментарий от Deleted 20.09.10 13:06:30 MSD

> Антивирус подменил мысли обывателя с «не запускать всякую левоту» на «стоит антивирус, могу запускать всякую левоту, отключив мозг»

++

pevzi ★★★★★
(20.09.10 13:10:23 MSD)

Ссылка

А шо, думаешь антивирус заменит тебе мозг?

~~Alex_A_V~~ ★★
(20.09.10 13:21:42 MSD)

Ссылка

Ответ на: комментарий от Deleted 20.09.10 13:06:30 MSD

> Антивирус подменил мысли обывателя с «не запускать всякую левоту» на «стоит антивирус, могу запускать всякую левоту, отключив мозг»

Как только нужен софт-не-из-офф-репозитория, среднестатистический обыватель не в состоянии отличить «левоту» от «правоты».

Manhunt ★★★★★
(20.09.10 13:40:32 MSD)

Ссылка

Пользователи безусловно только и делают, что проверяют эксплоитами свои уязвимости.

~~Hokum~~ ☆☆☆☆
(20.09.10 13:45:59 MSD)

Ссылка

у тебя винда головного мозга!
+ отсутствие элементарной культуры работы с ПК
ССЗБ короче

megabaks ★★★★
(20.09.10 13:47:56 MSD)

Ссылка

Необходим pam_kidiots.

as33 ★☆☆
(20.09.10 13:48:12 MSD)

Ссылка

Это все как бы ладно...
Ставить только из Stable.

Вот меня волнуют сторонние средства доставки троянов в систему.
Флэша к примеру нет, чего еще бояться?

Umberto ★☆
(20.09.10 13:53:10 MSD)

ндаа… вот и я его запустить хотел, только обломался на этапе компиляции. весело на этой планете жить, доложу я вам!

dmiceman ★★★★★
(20.09.10 13:54:18 MSD)

Ссылка

Ответ на: комментарий от Cancellor 20.09.10 12:31:11 MSD

> И да, нефик запускать левые бинарники

Это был сорец, который предлагалось самостоятельно собрать. Когда предлагаешь потестить игру идущую без сорцов, то народ не хочет ее запускать. Мол мало ли что, ты туда напихал. Теперь вам дали сорцы, только толку ноль - в них никто ничего не смотрит и не понимает. Собрали, запустили, отроянились.

andreyu ★★★★★
(20.09.10 14:01:26 MSD)

Ссылка

очень рекомендую посмотреть внутрь «проверочной утилиты» от ksplice прежде чем ее запускать. а то как бы triple-facepalm не получился.

dmiceman ★★★★★
(20.09.10 14:02:58 MSD)

Ссылка

Для проверки активации бэкдора в системе подготовлена специальная утилита.

там тоже бэкдор?

Aneko
(20.09.10 14:03:56 MSD)

Ссылка

Ответ на: комментарий от Umberto 20.09.10 13:53:10 MSD

>Вот меня волнуют сторонние средства доставки троянов в систему.

Флэша к примеру нет, чего еще бояться?

Всего. Браузеры, мыльники, плееры и все остальные приложения, где возможен, к примеру, buffer overflow. ЕМНИП недавно в Иксах находили уязвимость, позволяющую заразить систему через файл шрифтов.

AX ★★★★★
(20.09.10 14:13:03 MSD)

Ответ на: комментарий от AX 20.09.10 14:13:03 MSD

>в Иксах находили

В freetype

Sylvia ★★★★★
(20.09.10 14:14:21 MSD)

Ссылка

Я перед сборкой эксплоита почитал его код, и в той версии ничего лишнего не было.

Deleted
(20.09.10 14:18:47 MSD)

Ссылка

Ответ на: комментарий от AX 20.09.10 14:13:03 MSD

> Всего. Браузеры, мыльники, плееры и все остальные приложения, где возможен, к примеру, buffer overflow.

Ну это, пологаю, должно касаться софта который имеет связь с сетью.

Umberto ★☆
(20.09.10 15:13:02 MSD)

4.2 я читал код robert_you_suck.c, трояна там не было.

~~redgremlin~~ ★★★★★
(20.09.10 15:26:13 MSD)

Ссылка

Ответ на: комментарий от Umberto 20.09.10 15:13:02 MSD

>Ну это, пологаю, должно касаться софта который имеет связь с сетью.

Если вражеский код начал исполняться, то ничто не мешает ему самому подключиться к сети. Ну, если только у тебя не используется SELinux с особо суровыми правилами.

AX ★★★★★
(20.09.10 16:08:43 MSD)

Ссылка

http://www.linux.org.ru/news/security/5354449

maxcom ★★★★★
(20.09.10 16:11:37 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[L.O.R.][google][студентота] Предприятия

Talks

[помогите вспомнить] NSA что-то там открывала недавно...

→

[аншлаг/опеннет]

Похожие темы