Linux ботнет

Не взлетит.

маководы тоже так думали

Они не думали, да собсно и нечем, они просто наслаждались илитарностью.

Под линуксом не нужен ботнет на 800к машин.
Достаточно будет ботнета на 10к машин, и сила ддоса будет сопоставима с маковым.
Только это будет ботнет серверов, и таких ботнетов уже сейчас реально куча.

Не сиди под рутом и не взлетит. И нефиг софт не из реп ставить.

с линухом

Что это?

Вообще про ботнеты под линуксом никто никогда не спорит.
Они были есть и будут, т.е создаются они на 0-day дырках в таким софте как веб, фтп и на прочих дырявых сервисах смотрящих в веб.

Вопрос в вирусах под линукс. По многим причинам платформа намного менее подвержена вирусным атакам нежели винда.

Достаточно будет ботнета на 10к машин

... и Gentoo будет собираться за пять минут.

По многим причинам платформа намного менее подвержена вирусным атакам нежели macos.

Я его ставлю из исходников, благо слака Доктор, это уже ппц ? :-)

Не взлетит.

Ты можешь сколько угодно любить или не любить какую то ОС, но принцип неуловимого джо и тупых виндоюзеров таки работает.

Экономически не выгодно писать вирусню про на систему, где 10 разных основных конфигов и даже нативный софт постоянно лагает и падает.
Куда выгоднее писать под винду.

Ботнет? С чего вдруг?

Неуловимый джо с 1% никому не нужен.

Это в России они «элитарны» , за бугром просто машины из другой ценовой категории
Кста, насчет элитарности, в середине 90-ых «Premier SV», который тогда держал половину рынка телерекламы, работал на маках, причем не дизайнера, а секретутки с манагерами

Удаленная O-day дыра в OpenSSH + продуманный код вирусни работающий внутри SSH + работа через какой нибудь DHT.
И можно даже 10 лямов машин добавить в ботнет за день.

10% машин с нестандартными версиями или AppArmor/SELinux/GRSecurity не в счет.

Каким таким 1%? Ботнет может крутиться чисто на серверах, от таким образом будет намного выгоднее.

Я не про серверы.

От ботнета на серверах конечному пользователю не жарко и не холодно.

Только потому что пока, или вообще, нет механиков и пилотов Понадобятся, как дирижбандель взовьется :-)

Правда за неделю издохнет 1/3 ботнета, но если подойти к вопросу профессионально, то можно и намного больше продержаться.
Т.к специалистов по обфускации и прочим трюкам для линуксов нет, имя команду умных кодеров можно очень сильно усложнить процесс убивания ботнета.

Плюс централизации нет, каналы широкие и бекдоров нет (т.е сложно будет вылавливать модификации бекдора).

Ботнет из линуксовых машин - только в случае криворуких пользователей. Они даже из MS-DOS ботнет позволят сделать, не смотря на отсутствие поддержки сети. Ибо криворукость не знает границ.

Так вроде был же ботнет из роутеров, на которых этот ваш Линукс.

Ну ТС не говорил про десктопы.
А десктопы бекдорить через trash player только, т.к явы по дефолту нет.

man MS-DOS Network Client

Немного Linux'овых серверов в ботнете имхо предпочтительнее кучки вендомашин. Так что Джо нужен!

И я опять вспомню TrueCrypt, который можно поставить только с официального сайта. А АУР в арче? Там тоже всё что угодно может быть. Опасностей долина. Может даже мегабакс спятит и в его оверлее будет троян

Оно в комплекте было что-ли? Помнится пакет Lantastic ставили для поддержки сети.

специалистов по обфускации и прочим трюкам для линуксов нет

Положим, что найдутся, тем более между платформами различия непринципиальны, главное - подходы.
<fat>В системе, где есть perl, обфускация не требуется!</fat>

нет, с nt4

наверняка нужно будет особые библиотеки устанавливать, ещё и пол ночи патчи накатывать , что бы взлетело

Экономически не выгодно писать вирусню на систему, где ... даже нативный софт постоянно лагает и падает.
Куда выгоднее писать под винду.

Т.е. таким нехитрым образом мы приходим к выводу, что винда, это система где нативный софт не лагает и не падает - поэтому под неё писать вирусню выгодно.

Где-то тут подвох, только не пойму, где именно...

Ключевой момент это совместимость.
Троян написанный один раз почти без костылей заработает на любой системе.
Естественно загрузчик разный (ну там пробив защит и антивирей), но само ядро NT уже давно изучено и оно не меняется.

А вот писать ядерный руткит в системе с «Stable API Nonsense» это очень интересная задача, для извращенцев.

Как будто ботнеты пишут с использованием дыр в ядре. Заражение макинтошей произошло через Java-Applet в браузер.

Точно так же можно заразить и хомячков с убунтой (большинство десктопного линукса, даже не придется учитывать, что где-то, на каком-то дистрибутиве оно не запустится), было бы желание. И никакой «Stable API Nonsense» этому не помешает.

Заразить - мало, тем более я рассуждаю больше сервера, т.к на десктопах линуксов очень мало.
Да и флеш плеер скоро будет везде работать в песочнице.

Единственная возможность забекдорить кучу серверов - 0-day, а значит нужна хорошая подготовка и свой руткит который позволит ботнету жить дольше недели.

Ботнет из 600 тыщь маков уже есть, будет ли аналогичный, или хотя бы сопоставимый, ботнет из машин с линухом ?

Да линуксоедов-то столько не наберётся, куда уж там ботнет.

линуксов очень мало.

Linux на десктопе - 1,5 - 2%, OS X - 5 - 7%, не сильно большая разница.

Единственная возможность забекдорить кучу серверов - 0-day, а значит нужна хорошая подготовка и свой руткит который позволит ботнету жить дольше недели.

Никто не даст гарантии, что ботнет проживет дольше недели, хоть сколь весомая подозрительная активность будет тут замечена админами.

Ботнет из серверов слишком трудозатратен, независимо линукс это или винда.

Единственная возможность забекдорить кучу серверов - 0-day

Опять же, эксплоиты могут быть нацелены на кучу разного софта, недавние взломы Sony были из-за использования старого софта, в которых были уже известные эксплоиты, тут от ядра немного что зависит. «Stable API Nonsense» роли никакой не играет.

Тоже самое можно проделывать и с виндовыми серверами, искать/писать эксплоиты.

Я свои то программы не на каждой машине могу запустить, а ты тут про ботнет.

хоть сколь весомая подозрительная активность будет тут замечена админами.

Для этого и нужен хороший руткит, никакая активность локально замечена не будет.
Т.е трафик нужного процесса не будет считаться на интерфейсах, процесса видно не будет и LA его учитываться тоже не будет.
А снаружи активность сервера редко кто мониторит.

Ботнет из серверов слишком трудозатратен

В чем это?
Чем сервер принципиально отличается от десктопа? Чем тредозатратнее десктопа?
Единственный момент это запуск таблетки (серверный софт чаще ломают и дырок там меньше).
Если не считать необходимость дырки, то сервер всегда проще бекдорить.

Зато эффективность в 100 раз выше, даже если ботнет это php скрипты.

Тоже самое можно проделывать и с виндовыми серверами, искать/писать эксплоиты.

У видновых серверов таки придется проломить не только сервис, но и уровни защиты винды.

А вот ssh скажем (или всякие управленческие процессы апача) пашут сразу из под рута.

Напиши - это же опенсорц.

Было, есть и будет.

Меня лично троянили в свое время через дырявые демоны. После того я стал внимательнее относиться к апдейтам и файрволам :)

Кроме этого, есть миллион веб-сайтов с дырами. Их имеют в эти дыры регулярно.

Создание ботнета это опенсурс ? Гхм, а ты мне его оплатишь ? :-)

Гхм, а ты мне его оплатишь ? :-)

С какого перепугу? Тебе надо - ты и пиши( не умеешь сам - нанимай писателей) :)

Кстате, об меркантильности и конспирологической «презумпции бабла»... Кто по-твоему оплатил культистам дохлой коровы это щастье http://bo2k.sourceforge.net/ и немного инфы к размышлению о надуманности некоторых презумпций http://habrahabr.ru/post/70230/#habracut

Да легко. Количество убунтоводов подключающих всё подряд от ppa до ualinux стремится к общему количеству убунтоводов.

ботнет серверов, и таких ботнетов уже сейчас реально куча.

ты в своем уме, товарищ? ботнет из юникс-серверов? разве что серверов тех компаний, кто жестоко экономит на админах.

Прикинь, у меня даже свой есть :)
Как ты думаешь, почему у сервера с дефолтным конфигом в auth.log попадает по 100-1000 брутов в день?
А потому, что таких серверов десятки тысяч, может сотни.

Т.е реально полно серверов за которыми никто не присматривает.
Дырка в phpmyadmin -> root -> руткит -> запуск команд типа скана/брута.

«И нефиг софт не из реп ставить.»

обоснуйте

Дырка в phpmyadmin -> root

это ты как собираешься рута получить? это кроме дыры в ПМА должна быть дыра в системе. хотя да, где древний ПМА там и система древняя в целом то.

https://www.securelist.com/ru/blog/207763929/Flashfake_Mac_OS_X_botnet
Когда вчера читал эту статью, таблица в конце включала отдельные строки для Windows и Linux (и у той, и у другой, было меньше процента). Сейчас оставили только «Mac OS X» и «Not identified».

Куча серваков с протухшими ядрами.
Почти что каждый десятый.