iframe Injecting Linux Rootkit

вредоносный модуль для 64-битного ядра

Ага, а загружаться этот модуль по мановению волшебной палочки будет?

Пора сваливать на фрю?

Ты не сваливай, ты модуль портируй и туда.

The malware ensures its startup by adding an entry to the /etc/rc.local script:

insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko

Смешно.

Squeezy

Тоже смешно.

Сначала подумал, что этот модуль через iframe на сайте грузится прямиком в ядро. Аж передернуло :)

Я так и не понял, каким образом эта штука попадёт на сервера. Объясните, пожалуйста!
Из статьи очень понравилось выделенное жирным:

The malware module was specially designed for the kernel version 2.6.32-5-amd64, which happens to be the latest kernel used in 64-bit Debian Squeezy. The binary is more than 500k, but its size is due to the fact that it hasn't been stripped (i.e. it was compiled with the debugging information). Perhaps it's still in the development stage, because some of the functions don’t seem to be fully working or they are not fully implemented yet.

прикинь как эпично было бы если на лоре запостить линк на страницу которая рутает посмотревшего = )

Ещё одно преимущество Ъ над !Ъ.

Пора сваливать на фрю?

Это не поможет научиться думать и читать.

Зачем оно нужно? Стоит собирать?

Опять вирусы не работают :-(

Дебажить нужно.

прикинь как эпично было бы если на лоре встроить iframe, который рутает всех, кто не на венде = )

Fixed.

шикарный фикс!)

прикинь как эпично было бы если на лоре встроить iframe, который рутает всех, кто не на венде и макос = )

уточнил. А еще можно заразить сам лор, да.

Когда ждать в upstream ядрах «из коробки»? Или оно уже в staging?

Сейчас оттестируем как следует и объединим кодовую базу с systemd.

Линус не примет, пока оно не поддерживает все платформы. Вирусы в arch не ложат.

http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html

Since multiple kernels might be installed on the same system, the System.map file(s) (generated at kernel build time) include the kernel version as a suffix. Instead of using a kernel API to determine the currently running kernel version, the rootkit starts another usermode helper process executing «/bin/bash», "-c", «uname -r > /.kernel_version_tmp». uname is a userland helper program that displays descriptive kernel and system information.

Based on the Tools, Techniques, and Procedures employed and some background information we cannot publicly disclose, a Russia-based attacker is likely. It remains an open question regarding how the attackers have gained the root privileges to install the rootkit. However, considering the code quality, a custom privilege escalation exploit seems very unlikely.

Отечественные программисты — велосипедисты, все знают.

- Привет
- Привет
- Не поверишь, нашел вирус для линукса!
- Ну и как?
- Да как сказать, третьи сутки уже голову ломаю, не пойму как запустить...

Squeezy

Нет такого релиза :}

Может быть, автор просто не разобрался, как правильно это делать?

прикинь как эпично было бы если на лоре запостить линк на страницу которая рутает посмотревшего = )

Да, бан был бы шикарный.

Какой там может быть платформозависимый код-то?

Дык сабж заявлен только под x86_64.

Так торвальц же инстинктивно не ведет документацию по ядру, продолжая живительный род операционок с секурити бай обскурити.

собран. А в сырцах думаю там подо что угодно собрать можно.

документацию по ядру

А как насчет:

• исходные коды
• /usr/src/linux/Documentation/
• tldp, lkml
• etc

продолжая живительный род операционок с секурити бай обскурити.

Примеры? Windows — блоб, ни о какой документации там и речи не идет.

а мэйнтейнерить пупок не развяжется?

для дебиановского 64-битного ядра
64-битного

ССЗБ

А где можно скачать патч ядра с вирусом?

А как насчет:

исходные коды

насмешил же

/usr/src/linux/Documentation/

И как давно там структурированная информация?

tldp,

Лол. Самый свежий гайд со словом Linux хотя бы в названии датирован декабрем 2011г.

lkml

Да, в момент, когда надо уже быстро посмотреть спецификацию интерфейса ты идешь на форумы и ждешь... потом еще раз ждешь... жмешь f5 и снова ждешь... ждешь... приходит тимлид/менеджер проекта и ты идешь на улицу мести дворы, потому как сдать проект надо было уже вчера, а партии новых контроллеров ушли аж на прошлой неделе. Половина заказчиков уже волнуется и грозит отказаться от поставок.

Банальный бан был бы. Ну чем бы он отличался? Причиной в профиле забаненого?)

Как бы, за баном на форуме может последовать бан IRL.

Как бы, за баном на форуме может последовать бан IRL.

До чего техника дошла.

Ты вроде не школьник, что бы такое писать :)

Погугли еще тред про однострочник на перле.

Вроде бы, его анонимус постил, да ещё и 10 лет назад, не?

Ну не забанили же %)

насмешил же

Иногда изучение исходников бывает более полезным занятием, чем чтение документации.

И как давно там структурированная информация?

Информация структурирована, но плохо. Зато часто обновляется.

Лол. Самый свежий гайд со словом Linux хотя бы в названии датирован декабрем 2011г.

Есть примеры подобных проектов (ядра ОС) с более развитой документацией? Было бы интересно взглянуть.

Да, в момент, когда надо уже быстро посмотреть спецификацию интерфейса ты идешь на форумы и ждешь..

ССЗБ. Возможно у тебя какая-то особенная ситуация, но в целом я считаю что такие вещи как изучение спецификации делаются уж точно не в последний момент.

жмешь f5 и снова ждешь... ждешь...

<тут текст о том, что тебе никто ничего не должен>

Да, в момент, когда надо уже быстро посмотреть спецификацию интерфейса ты идешь на форумы и ждешь...

Эьл потому, что ты не соответствуешь занимаемой должности.

но в целом я считаю что такие вещи как изучение спецификации делаются уж точно не в последний момент.

Ты наверное забыл, что у линукса API - стабильно-бессмысленный набор слов.

Есть примеры подобных проектов (ядра ОС) с более развитой документацией? Было бы интересно взглянуть.

*BSD. Особенно FreeBSD. Не идеал, но вполне хорошо. Начни с *HandBook, по мере надобности обращайся к man.

Иногда изучение исходников бывает более полезным занятием, чем чтение документации.

Только тогда, когда написанное по мануалу работает не так, как было задумано. И только в тех местах, где работает не так.

Эьл потому, что ты не соответствуешь занимаемой должности, потому что единственный человек, который соответствует - Л. Торвальц. И то, только до, приблизительно, версии 2.0-2.2

Пофиксил, не благодари.

Испортил, извини

Ничего, бывает.

дык как вирус то установить, или опять ядро пересобирать?

Ты наверное забыл, что у линукса API - стабильно-бессмысленный набор слов.

Ну, если ты видишь этот API в первый раз и не догадываешься что такое shm или cdev, то наверное соглашусь.

*BSD. Особенно FreeBSD. Не идеал, но вполне хорошо. Начни с *HandBook, по мере надобности обращайся к man.

Хэндбук читал, сделано хорошо, но насколько я понимаю ты говоришь про общий хэндбук для начинающих пользователей, а я ожидаю увидеть документацию для разработчиков ядра. Из нашей дискуссии можно вынести следующие критерии такой документации: она должна быть хорошо структурирована и постоянно обновляться.

Я так понимаю, с отладочной информацией он собран не зря? Где-то здесь зарыт хитрый план.

«some background information we cannot publicly disclose, a Russia-based attacker is likely»

Да чего уж там, после kallsyms всем всё понятно.

но насколько я понимаю ты говоришь про общий хэндбук для начинающих пользователей

На каждый чих у них по книжке. Следовать им и дополнять их, если меняешь что-либо там описанное, у них, насколько помню, требование для каждого коммитера.