В Сети зафиксирован массовый взлом серверов на базе Linux

З.Ы. хорошо иметь централизованную систему мониторинга.

На центральном сервере xymon: /etc/xymon/client-local.cfg

[linux]
file:/lib64/libkeyutils.so.1.9
file:/lib/libkeyutils.so.1.9
[...]

/etc/xymon/analysis.all.cfg:

CLASS=linux
        FILE /lib64/libkeyutils.so.1.9 RED noexist
        FILE /lib/libkeyutils.so.1.9 RED noexist
[...]

# locate libkeyutils.so
#

FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFfUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

Употребление жаргона не по назначению вызывает у читающих когнитивный диссонанс :)

при чём здесь вообще keyutils? там sshd подменяется на патченый вот что главное, и патч то предельно простой: сливать успешные логины на сторонний сервачёк, да пускать по захардкоженому паролю.
даже статья на хабре была пару дней назад.
а ломануть однотипные системы некоторым набором эксплоитов можно было и 10 лет назад, только вот однотипные системы найти было сложно.

Они дополняют друг друга. PaX предотвращает большой класс эксплойтов, selinux изолирует друг от друга процессы, пользователей, данные.

Они дополняют друг друга. PaX предотвращает большой класс эксплойтов, selinux изолирует друг от друга процессы, пользователей, данные.

А grsecurity? :)

А, так это ты админ, который не осиливает поддержку bsd?

Отличный intitle:«index of:» libkeyutils.so.1.9 запрос к гуглю (из ru-linux.livejournal)

Ну, я надеялся поковырять эту библиотеку, а так, когда знаю, что меня это не касается, специально скачивать её неохота.

Ссыкотно светить ip в логах поломанного хоста

Чё?

$ ./audit libkeyutils.so.1.9 output
$ strings output |grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}'
78.47.139.110

.. *google a bit*...

$ host mail.rubop.com
mail.rubop.com has address 78.47.139.110

$ whois rubop.com
....

Rgistrant:
 Ibragimov
 Polanskay 11
 Moskow, Russia 11223
 RU
 70958627014


Domain Name: RUBOP.COM

Administrative Contact:
 Ibragimov, Sergey pmadison12@gmail.com
 Polanskay 11
 Moskow, Russia 11223
 RU
 70958627014

http://www.reddit.com/r/netsec/comments/18ro3c/sshd_rootkit/

Ставлю на дырявые проприетарные панельки.

На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, но пока не ясно могут ли они быть источником проникновения.

А то и пиарится везде новая панель управления Windows, кстати, разрабы cPanel её и пилят.

Что-то как-то вяленько, зря я потер вброс, надо было еще и ссылку на патч Бармина добавить.

3:2 в пользу FreeBSD.

Используйте Gentoo и не используйте панели.

Используйте генту! Держите компилятор на сервере! Заставьте проц сервера работать на свои 100%!

Используйте генту! Держите компилятор на сервере! Заставьте проц сервера работать на свои 100%!

Почему нет? Если у вас сервер не на Pentium II MMX, конечно.

Из профита будет также гарантия того, что в пакет ничего не всунули по дороге, пока он шел к вам. Свежайшие обновления, безопасность же. А главное никакого PHP, никаких панелей! Все администрируется вручную, надежно.

Удваиваю этого господина.

Господа, использующие генту, смотрят на проблемы всяких панелек свысока.

3:2 в пользу FreeBSD.

Ставить пароль фо фряхе на рута 123456 - косяк самой фряхи? Забавно, я думал это кривые руки админа.

взламываю сервера по фотографии
могу взламывать массово через тельавизор/радио

бздуны уже оправились от локал рута на x86_64 процессорах?

что, во всех сразу? скорее опять в ядре дырища

знаешь, сколько в свое время было изнасиловано серверов разных хостеров с hardened gentoo?:)

Удаленная что ли? Не ну правда, сплоент ведь сначала надо как то влить.
К тому же если дыра именно в ядре, то почему нет информации о взломах Debian, странно слишком.

Удаленная что ли? Не ну правда, сплоент ведь сначала надо как то влить.

тут писали, что хостеры плачутся.
влить к ним совсем не проблема
насчет панелей - ну ты правда думаешь, что во всех этих панелях общий код и как следствие общая уязвимость?:) даже не смешно

насчет панелей - ну ты правда думаешь, что во всех этих панелях общий код и как следствие общая уязвимость?:)

Я понимаю, что панельки тут не факт что причем.
Особенно DirectAdmin который вообще не выполняет роль контролирующего демон, а просто является интерфейсом мониторинга/правки конфигов.

Но у многих мелких/средних хостеров как ты наверное знаешь есть свои серваки с биллингами и такими же панельками.
Обычно ломают их, а потом уже из биллингов root-доступы, API-ключи к другим сервакам.
Вполне возможно что ломанули одну панельку, а остальные по цепочке пробекдорили.

Локальных дырок в ядре было и будет дофига, но разве была хоть одна которая работала на RHEL, но не работала на debian?
Наоборот были, а вот как сейчас - не припомню.

Локальных дырок в ядре было и будет дофига, но разве была хоть одна которая работала на RHEL, но не работала на debian?

abftw.c которая в паблике была такая, под дебиан надо было отдельно пилить

abftw.c которая в паблике была такая, под дебиан надо было отдельно пилить

Но ведь здесь явно не совсем паблик сплоит, и автор сего действа явно знал что делает и сколько серваков будет подломано.

Так что, имхо, тут что то интереснее банального сплоита на ядро, может быть какой бекдор в репах.

Ололо-продакшен во всей красе. Будет чем бзд-хейтеров сопливой мордой ткнуть.

Ппц, я фигею с тебя :) Знаний - ноль, а вот выводы такие долгосрочные.

Все администрируется вручную, надежно.

Это что за винда такая в моей уютной гентушечке? man оркестраторы.

Используйте генту! Держите компилятор на сервере! Заставьте проц сервера работать на свои 100%!

Зачем? Один билд сервер решает проблему более чем.

И чем ты измерял мои знания? И как кореллирует кривость линуска и мои знания? Я на этой гадости лет 6 назад сидел.

И чем ты измерял мои знания? И как кореллирует кривость линуска и мои знания? Я на этой гадости лет 6 назад сидел.

Это по суждениям видно, в том числе и о самой фре.

Так что, имхо, тут что то интереснее банального сплоита на ядро, может быть какой бекдор в репах.

вполне возможно. я имею ввиду, что панельки тут ни при чем

излишняя сущность

http://www.webhostingtalk.com/showpost.php?p=8566703&postcount=845

Вот тут сломаны и цента и деб.

излишняя сущность

А мне вот жалко простаивающие мощности серверов. Почему бы ими и не попользоваться.

ахаха, а ты смешной. если кто-то не любит мой линуск, значит он ламер и нихрена не понимает. просто ты фанатик, смирись.

ахаха, а ты смешной. если кто-то не любит мой линуск, значит он ламер и нихрена не понимает. просто ты фанатик, смирись.

Нет, просто с тех части не видел от тебя ничего полезного. Фанатизм тут уже не при чем.

Взаимно.

Взаимно.

Тогда загляни в тех разделы, зай.

генту...Свежайшие обновления,

сколько можно уже? то что там довольно быстро появляются свежие версии некоторых программ вовсе не означает, что там быстро появляются security-фиксы.

собственно мой опыт общения с гентой говорил о том, что в ней зачастую нет ни первого (в официальном дереве были нужные мне программы, последняя версия которых была старее, чем в debian stable), ни второго (обновления в debian и rhel приходят в течение суток, а в генте и пара месяцев - не предел).

не хочу

Фанатизм тут уже не при чем.

Точно? А мне кажется присутсвует.

Что-то как-то неуютненько от этой дырищи...

Точно? А мне кажется присутсвует.

Блин ну ты так на меня со своей аватарки смотишь, что мне хочется расплакаться :(

Bitcoin??

я и сейчас так сижу. ^_^