LINUX.ORG.RU
ФорумTalks

цикл статей о создании linux-ботнета

 , ,


4

10

Доброго времени суток.

Некто Алексей Харитон начал цикл статей «Как я строил свой *nix-ботнет» ( см. темы будущих статей).

Раньше в том же блоге было несколько годных статей по puppet, hp sim, nagios и пр. Т.е. автор как минимум знает толк в администрировании nix серверов, а не очередной выкормыш балмера.

Запасаемся попкорном и валерьянкой, коллеги :)

★★★★★

Последнее исправление: router (всего исправлений: 2)

Дальше по определенным ключевым словам нагуглил несколько серверов которые по прежнему подвержены этой уязвимости, такие запросы на сленге называются дорками (dorks), их часто можно найти в комментариях к эксплоитам на exploit-db.

а по-моему это очередной кулцхакер.

null123 ★★
()
Ответ на: комментарий от null123

А все из-за кулцадминов, которые, осилив дефлотную установку посчитали себя крутыми

/me однажды на серверной слаке встретил /etc/shadow с правами 777

derlafff ★★★★★
()
Ответ на: комментарий от null123

А я давно добавил этот блог в rss читалку, за множество полезных заметок по тем направлениям, которые мне интересны.

Ты оставайся при своём мнении, я - при своём. А с циклом статей дальше будет видно

router ★★★★★
() автор топика
Ответ на: комментарий от derlafff

Согласен, но тут не только школоло проблема, а ещё и

  • дефолтные настройки, которые по умолчанию не всегда безопасны даже в уважаемых и авторитеных дистрибутивах.
  • свежие уязвимости. 0day часто становятся неприятным сюрпризом.
  • рост возможностей софта. больше места для дыр и закладок
router ★★★★★
() автор топика

Очередной кулхацкер.

Пусть на hardened-gentoo с selinux ботнет построит, а потом будет свой голос со стороны ббпп.. занесло. Ну ты понял.

Deleted
()
Ответ на: комментарий от Deleted

Очередной кулхацкер.

А что ты сделал, сынок?

Пусть на hardened-gentoo с selinux ботнет построит

Т.е. все инсталляции с линуксом - сплошь hardened gentoo c включенным и грамотно настроенным selinux? Если ты невнимательно читал, речь идёт не о том что линукс дырявая система. Миф про неуязвимость линукса приводит к беспечности, а она в свою очередь - к незащищённым домашним компам и серверам.

router ★★★★★
() автор топика
Ответ на: комментарий от derlafff

/me однажды на серверной слаке встретил /etc/shadow с правами 777

О майн гот.
//набил шишку об стол

Axon ★★★★★
()
Ответ на: комментарий от Deleted

И еще пусть догонит Неуловимого Джо, да?

thesis ★★★★★
()
Ответ на: комментарий от router

Т.е. все инсталляции с линуксом - сплошь hardened gentoo c включенным и грамотно настроенным selinux?

Нет, просто чуть менее, чем все инсталляции харденед генты надежно защищены от внешнего мира роутером фирмы ДЛинк, купленным за мамины деньги. Это делает их невзламываемыми снаружи, но одмины локалхоста успешно разламывают их самостоятельно из чорной консоли.

thesis ★★★★★
()

спасибо, судя по всему выходит неплохое развлекательное чтиво для админов.

true_admin ★★★★★
()

Часть шестая. О том почему я считаю Linux столь же небезопасной ОС как и Windows, а местами еще и более уязвимой.

надеюсь, товарищ, проанилизует и сравнить ядра двух систем и что-то нам докажет, а то, очень толсто получается.

пусть лучше сравнит дефолтную семёрочку(без антивируса) и убунту на предмет, кто больше уязвим.

dimon555 ★★★★★
()
Ответ на: комментарий от RedPossum

нафига, на нормальных серверах можно ботнет устроить

xtraeft ★★☆☆
()
Ответ на: комментарий от Deleted

лично видел hardened-gentoo с selinux, который не устоял перед 0деем (помоему это был abftw.c он же robert_you_suck.c)

xtraeft ★★☆☆
()
Ответ на: комментарий от derlafff

дык слака ссзб, они pam не используют. Пам бы долго на это ругался.

mrdeath ★★★★★
()

Вот и решил я потратить это время с пользой, а именно восполнить свой пробел знаний в области информационной безопасности.

Очередной школоло не ходил в школу и почитал что такое уязвимости. :)

Но все равно радует, что подрастающее поколение не только во вконтакте хотят сидеть.

mrdeath ★★★★★
()
Ответ на: комментарий от mrdeath

Очередной школоло не ходил в школу и почитал что такое уязвимости. :)

Иннокентий, ты не прав! (с)

Я уже давно не школоло и в теме 5 лет, проекты от наколенных до $300k+ (захотите нагуглите мое резюме), как я и писал специально ИБ никогда не занимался.

Шестая статья прольет много говн на мою голову, это точно.

router спасибо на добром слове :)

A_Hariton
()

наверное, бота самому надо будет установить через configure && make && make install (заодно исправив ошибки компиляции), затем написать конфиг, написать к нему инит-скрипты и так запустить :)

Harald ★★★★★
()

Если админ забил болт на сервак и не обновляет его, то понятно там будет куча дыр

xorik ★★★★★
()
Ответ на: комментарий от Harald

наверное, бота самому надо будет установить через configure && make && make install (заодно исправив ошибки компиляции), затем написать конфиг, написать к нему инит-скрипты и так запустить :)

Может ты удивишься, но на большинстве *nix установлен perl. Необходимые модули ( те что не core ) можно распространять вместе с самим троянцем ( класть файлы рядом с твоим .pl и подключать через use lib ( «<путь>» );

Написание init скрипта заменяется добавлением одной стоки в rc.local.

Кроме того, в наш век виртуализации никто не мешает зананее собрать c/c++/что-там-ещё троянца под заданную архитектуру и заданную ОС и загружать уже готовый бинарник.

router ★★★★★
() автор топика
Ответ на: комментарий от A_Hariton

статья прольет много говн на мою голову, это точно.

Точно, и не только на лоре. На хабаре, чувствую, будет такая же реакция. Ну нет в этих тусняках нормальных спецов, только интеллектуальные снобы сидят. Но ты нибаись, ты все делаешь правильно.

Xintrea ★★★★★
()
Ответ на: комментарий от router

перл, допустим, есть, но вот

Написание init скрипта заменяется добавлением одной стоки в rc.local.

а у меня в Gentoo нету rc.local, мне троян не опасен :) 111

Кроме того, в наш век виртуализации никто не мешает зананее собрать c/c++/что-там-ещё троянца под заданную архитектуру и заданную ОС и загружать уже готовый бинарник.

а этих ОС и архитектур 100500 штук в разных сочетаниях

Harald ★★★★★
()
Ответ на: комментарий от A_Hariton

router спасибо на добром слове :)

Сам в эту тему влез, теперь держись :) Я только на ЛОР ссылку забросил

router ★★★★★
() автор топика
Ответ на: комментарий от router

Сам в эту тему влез, теперь держись :) Я только на ЛОР ссылку забросил

Не понял :)

Пытался запостить новость на opennet, но пока висит, не подтвердили.

Парни если у кого есть возможность сделайте репост, очень хочу получить комментарии по теме и привлечь как можно больше людей.

A_Hariton
()

Хотелось бы чтобы и на послесловие сил хватило, интересно было бы почитать.
Также интересно было бы узнать эффективно ли для nagios, git и прочих прикладных софтин организовывать доступ через vpn.

Tark ★★
()
Ответ на: комментарий от router

Бинарники это зло если вы пишете малварь для Linux, зато скриптовые языки это зло для безопасности Linux.

С init скриптами долго парится, проще в локальный crontab засунуть, интерфейс почти во всех nix одинаковый. Есть еще пару вариантов, о них будет в 3ей статье ;)

A_Hariton
()
Ответ на: комментарий от Tark

эффективно ли для nagios, git и прочих прикладных софтин организовывать доступ через vpn

Эммм...не понял что вы имеете ввиду. Лучше комментируйте на блоге, там я лучше отслеживаю комментарии.

A_Hariton
()
Ответ на: комментарий от Xintrea

Мне как автору не нравится Хабр за то что он заставляет создавать статьи только в пределах Хабра. Меня там забанили на пол года за то что я опубликовал топик ссылку на свой пост. Недавно топики ссылки стали исключительно корпоративной фичей, в общем не торт.

A_Hariton
()
Ответ на: комментарий от A_Hariton

Отвечу пока здесь, чтобы контекст не потерять.
Nagios и git я зря сюда приплел, я имел в виду, что к некоторым вещам с потенциальным наличием уязвимостей нужен доступ с удаленных компьютеров, например к бд, делевелоперской версии сайта, админке, внутреннему IM, итп. Достаточно ли надежно будет давать доступ к этим вещам только через VPN?

Tark ★★
()
Ответ на: комментарий от Tark

То что вы описываете называется DMZ и это один из best practice.

Для того чтобы повысить безопасность, серверам внутри DMZ лучше всего закрыть доступ в Интернет. Я находил сервера на которых были уязвимости но вот сделать я с ними ничего не мог и толку от них небыло, т.к. инета нет и попадаю я на них через некий proxy.

A_Hariton
()

Расскажут о том, как ломать одминов, ниасиливших ман хотя бы по основным компонентам системы, вроде AllowUsers в конфиге ssh или сколько-нибудь настроенного iptables? Безусловно, из-за таких пользователей весь линукс решето.

lu4nik ★★★
()
Ответ на: комментарий от lu4nik

Админ локалхоста, я подозреваю? Проблема в том, что современные дистры не только не помогают, но и напротив мешают строить надежные системы и примеров тому много:

  • например, debian не позволяет сделать noexec на /var, поскольку не будет работать установка пакетов - нужно изменять настройки apt
  • проблема 1024 порта присутствует во всех дистрибах: куча демонов запускается из под рута, хотя можно это реализовать нормально.
  • selinux и apparmor поддерживаются спустя рукова: в том же debian 5 нельзя было пользоваться exim из коробки с selinux.
  • lxc есть почти везде, но почти нигде нет пока развитой структуры шаблонов с возможностью запуска каждого сетевого демона в своей readonly песочнице.

Все вышеперечисленное решается прямыми руками админа и его временем, но почему это не делается из коробки мне не понятно. На мой взгляд частично из-за традиций (как 1024 рутовых порта - привет меинфреймы), но частично из-за легенды, что линукс круче и безопаснее. Поэтому, несмотря на очивидность того, что будет написано в этом блоге, его автор - молодец.

zloelamo ★★★★
()
Ответ на: комментарий от zloelamo

Я и не говорил ничего про дистры. Debian, в частности, страдает иногда весьма кривым переписыванием апстримовых конфигов (например, инитскрипт mongodb вообще переназначает некоторые настройки из конфига). Кстати, такую полезную настройку, как AllowUsers или ключ для ssh, в дефолтный конфиг не впишешь.

По моему мнению, единственное, что делает линуксы потенциально более безопасными - возможность более глубокой настройки по сравнению с офтопиком. Остальное в основном эффект «неуловимого Джо».

Почему я придрался к сабжу - из-за без сомнения толстых заявлений сложилось впечатление, что будут расписывать про то, как ломали лентяев с простыми паролями. Почитаю следующие части, надеюсь, автор не ударится в толстоту.

P.S. И да, меряться серверами я не буду.

lu4nik ★★★
()
Ответ на: комментарий от zloelamo

zloelamo спасибо, кое-что из перечисленного вами я внес, кое-что вы мне подкинули, с вашего разрешения я воспользуюсь :)

A_Hariton
()
Ответ на: комментарий от lu4nik

По моему мнению, единственное, что делает линуксы потенциально более безопасными - возможность более глубокой настройки по сравнению с офтопиком. Остальное в основном эффект «неуловимого Джо».

Глубокая настройка это хорошо, но я не понимаю почему мелкие, очевидные вещи не сделаны из коробки?

zloelamo ★★★★
()

стандартно настроенный JBoss позволяет получить shell к вашему серверу через web-интерфейс JMX-консоли.

лол, дальше не читал. Если он считает, что в джаве подсунуть код на исполнение так же легко как в PHP, на этого человека не стоит тратить время.

JFreeM ★★★☆
()
Ответ на: комментарий от Deleted

Пусть на hardened-gentoo с selinux

да фиг с ним, с гентой, пусть хотя бы один ап-ту-дейт дебиан сломает. Или найдет хотя бы одну уязвимость собственными руками, а не тупо использовать готовые уязвимости.

JFreeM ★★★☆
()
Ответ на: комментарий от router

Если ставить по дефолту - оно конечно. Сервера разумеется нужны непременно со средствами разработки внутре (особенно с теми, которые не нужны для задачи), а нужные интерпретаторы должны вертеться не в безопасной песочнице :)

slackwarrior ★★★★★
()
Ответ на: комментарий от JFreeM

под ОС подразумеваются в данном случае конкретные версии дистрибутивов

т.к. эксплойт для какой-то софтинки, протестированный на одном дистрибутиве может не работать на другом, ибо софтинка скомпилирована по-другому (другой версией GCC, с другими библиотеками) и там в бинарном коде функции, переменные и т.д. по другим адресам располагаются

Harald ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.