LINUX.ORG.RU

Lilocked (Lilu) - вредоносная программа для linux систем

 ,


3

3

Lilocked - ориентированная на linux вредоносная программа, шифрующая файлы на жёстком диске с последующим требованием выкупа (ransomware).

По данным ZDNet, первые сообщения о зловреде появились в середине июля, с тех пор поражено более 6700 серверов. Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений, оставляя нетронутыми системные файлы. Зашифрованные файлы получают расширение .lilocked, в каждой директории с такими файлами пояляется текстовая заметка #README.lilocked со ссылкой на сайт в сети tor, по ссылке размещено требование заплатить 0.03 BTC (около $325).

Точка проникновения Lilocked в систему на данный момент неизвестна. Предположительна связь с недавно закрытой критической уязвимостью в Exim.

>>> Подробности

★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от Deleted

Потому что ее запускает пользователь,

Ну и что пользователь? Есть же средства ограничения, тот же AppArmor.
Просто это надо внедрить повсеместно. Со временем сделать обязательным, чтобы каждый разработчик (или мейнтейнер) прописывал профиль с минимальными правами.

ls-h ★★★★★
()
Ответ на: комментарий от Deleted

В мире серверов же - amd64

щито? ты точно не админ локалхоста? ты сервера видел близко? это такая большая и дорогая штука, которая очень громко шумит и стоит в специальной комнате - серверной. какая амуда, нахрен? интелы, спарки в основном.

А по поводу любой системы - да, таки на практически любой мэйнстримной ОС

так, этот клоун порвался. несите следующего.

Представь себе: там всё тот же glibc

представь себе, у меня на машинах glibc нет. ни на локальном компе, ни на моих серверах. ну и на разных осях его тоже может не быть, или он может быть разных версий, и бинарной совместимости там нет (внезапно). и даже на уровне разных компиляторов её нет (о медведи и белки, мне сейчас придётся тебе рассказать, что существует много разных компиляторов!). а ещё есть разные ядра и у них - та-даам! - разные хэдеры. неожиданно, правда? ты, наверное, никогда не писал софт, который работает более чем на одной твоей локальной машине с амудой и стандартным суповым набором. а я видела просто море архитектур, компиляторов и разных сборок. и писала, в том числе, кроссплатформенный софт. это очень нудное и тяжкое занятие, потому что добиться совместимости в бинарном виде даже для простейшего набора «основных» дистрибутивов - это та ещё жопа. это квест номер один для любого разработчика, который не хочет делиться сорцами. да даже с открытыми сорцами это немалый гемор. потому Linux и опенсорцный в основном, что проще выложить сорцы и пусть каждый сам патчит и компилит под свои настройки. потому всякие интелы и делают стопитот пакетников под разные дистрибутивы и архитектуры. потому геймеры стоят раком и городят какие-то сложные системы для хоть какой-то совместимости между разными дистрами. поэтому изобретают всякие appimage'ы и прочие ухищрения, что абы какой бинарь на любой машине не взлетает, а уныло сообщает о сегфолтах и не найденных зависимостях. может, твой «вирус» распространяют в виде appimage? и надо сначала на сервер его установить, а потом уже вирус накатывать? ты хотя бы прикинь, сколько вариантов инсталляционных образов у любого дистрибутива. это те самые «бинари», которые почему-то оказываются очень разными и не на всякой машине взлетают.

в общем, не говори чепуху и читай книжки, как сделать так, чтобы на твоём локальном сервере кто попало левую фигню не запускал.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 3)
Ответ на: комментарий от Iron_Bug

В мире серверов же - amd64

какая амуда, нахрен? интелы, спарки в основном.

Это вообще-то еще одно название архитектуры x86-64. К процессорам AMD не относится.

x86-64 (также AMD64/Intel64/EM64T) — 64-битное расширение, набор команд для архитектуры x86, разработанное компанией AMD, позволяющее выполнять программы в 64-разрядном режиме.

в общем, не говори чепуху и читай книжки,

Читайте хотя бы Википедию, мадам.

представь себе, у меня на машинах glibc нет. ни на локальном компе, ни на моих серверах

Опять какие-то фобии.

Интересно, как человек с таким богатым прошлым может иметь смешные предрассудки и фобии.

То glibc у нее нет, то python выпиливает. Смешная тетка.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 3)
Ответ на: комментарий от Deleted

ах да, я ещё не упомянула всякие там selinux'ы и прочие средства, которые используют на суровых серверах, где важна безопасность. а ещё иногда софт или всю систему запускают из рид-онли образов, которые в крутятся в раме и ничего не меняют на физическом носителе. не говоря уже о том, что в любой никсовой системе права расписаны очень чётко и просто так ты никуда не залезешь. в общем, какбэ написать «вирус» под линь - это такая себе задачка. у меня опыт программирования более 20 лет, но я бы не взялась.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

в общем, какбэ написать «вирус» под линь - это такая себе задачка. у меня опыт программирования более 20 лет, но я бы не взялась.

Ну всякие там в корыстных целях пишут, а тетя со стажем не осилит, ага.

Нет никаких вирусов, есть трояны. А его даже на баше или питоне легко сварганить.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Интересно, как человек с таким богатым прошлым может иметь смешные предрассудки и фобии.

это не «предрассудки и фобии». я просто очень хорошо понимаю, чего я хочу от системы. чем больше у тебя опыта, чем больше разных дистрибутивов ты перепробовал, тем меньше тебе нравятся готовые суповые наборы от дядюшки леннарта и иже с ним. тем больше ты понимаешь, что и как надо настроить, чтобы получить шуструю систему без всяких ненужных довесков, а не тяжёлое неповоротливое нечто искаропки. глядя на унылые тренды мэйнстрима, я всё больше склоняюсь к идее полностью кастомизированного дистрибутива. ненуачо? могу себе позволить.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Deleted

Ну всякие там в корыстных целях пишут, а тетя со стажем не осилит, ага.

ну ты хоть бы показал примеры узбека, для пущей важности. взлом вебни - это говно-вопрос. там давно такой сточный коллектор, что хуже уже быть не может. а мне хорошо платят за обычное системное программирование, у меня нет корыстных целей и я не хочу погружаться в вебню и сомнительные способы заработка.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Deleted

Это вообще-то еще одно название архитектуры x86-64. К процессорам AMD не относится.

интересно девки пляшут. попробуй другие дистрибутивы, кроме арчика, ага :) емнип, это только у них названием amd64 обозначается невесть что. а, ещё у генты, да. а у всего остального мира amd - это amd, mips - это mips и прочее такое. никакой конспирологии.

и да, кто разработал систему расширений - это фиолетово. архитектура процессора - это другое. внезапно. да, таки читай книжки. и ещё: для школоло очень полезно попробовать писать на ассемблере. тогда ты точно поймёшь, что такое amd, что такое intel и чем они отличаются. подсказка: скомпилённый для amd бинарь не взлетит на intell'овском проце. ваш самопальный бинарный вирус будет работать только на локалхосте и только до прилёта обновлений :)

но есть выход! открыть на гитхабе репу, положить туда свой вирус и инструкции по сборке. сделать пакетники для основных дистрибутивов. отладить это всё на более-менее популярных платформах и архитектурах и сделать ftp-шечку для скачивания бинарей под нужные сборки. ну или запаковать в какой-нибудь пакетник, который тащит с собой все зависимости. будет очень жирный пакетник, но хоть как-то будет работать. заодно на гитхабе можно будет указать счёт для донатов. может, кто-то сжалится и переведёт рупь на пропитание студентов :)

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 4)
Ответ на: комментарий от Iron_Bug

подсказка: скомпилённый для amd бинарь не взлетит на intell'овском проце.

Щито?! Я надеюсь ты сейчас не о специфических расширениях команд говоришь, ну типа у интела нет 3DNow! (В современных AMD впрочем тоже давно выпилили)?

Не ну, некоторая несовместимость есть, но это надо постараться на нее нарваться. Никто специально сейчас бинарники не компилирует под интел или амд, разве что ради оптимизаций под архитектуру, да и то в базовом виде оно примерно одинаково.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Я надеюсь ты сейчас не о специфических расширениях команд говоришь

конечно о них. а зачем тогда выбирать проц и покупать какую-то конкретную модель? ты же не просто так купил проц, чтобы он выполнял дженерики. даже у разных вариантов одного проца есть отличия. и цена тоже скачет в разы, именно из-за этих самых расширений. иначе продавали бы всё по одной цене и не было бы разницы.

и да, бинарь не существует в вакууме. даже если ты собрал унылый бинарь на дженериках, то без IO он нахрен никому не нужен (что за сферический софт в вакууме, без взаимодействия с железом или юзером). а как только появляется взаимодействие - в силу вступают разница в ядре, в ФС, в прочем окружении. думаешь, компании ограничивают свой проприетарный софт парой дистрибутивов потому, что им не нужны все прочие юзеры? это надо ещё исхитриться, чтобы нигде не вляпаться в зависимости.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от praseodim

а насчёт «универсальности» - одна пересборка всей системы при смене сишных либ чего стоит. почему бы не запускать «универсальные бинари»? но люди чота мучаются, выпускают какие-то апдейты. зачем-то делают образы дистрибутивов для разных процов. и я видела софт, который падал на процах без каких-то инструкций. сейчас таких зависимостей становится всё больше. можно написать на ассемблере, используя только основные инструкции. но создание софта, который будет делать что-то осмысленное, займёт много времени. и то в x32 и x64 номера вызовов не совпадают и совсем универсальной фигни не получится. но если речь идёт о ЯП более высокого уровня, там потащатся зависимости от кучи библиотек, от компилятора и т.д.

Iron_Bug ★★★★★
()
Ответ на: комментарий от ls-h

rwx позвлит это: запретить ползователю exim шифровать файлы пользователя www-data

anonymous
()
Ответ на: комментарий от Deleted

бинарники вредоносов пишутся

Это должно быть удодно на голанге. Получается единый для всех линуксов x86_64

anonymous
()
Ответ на: комментарий от anonymous

TOMOYO Linux

почти нигде его нет.

anonymous
()
Ответ на: комментарий от Iron_Bug

попробуй другие дистрибутивы, кроме арчика, ага :)

Мимо, у меня Gentoo c 2011 года.

и да, кто разработал систему расширений - это фиолетово. архитектура процессора - это другое. внезапно. да, таки читай книжки.

Хороший совет самой себе.

и ещё: для школоло очень полезно попробовать писать на ассемблере.

Зачем школоло писать на асме? Какая от этого практическая польза?

тогда ты точно поймёшь, что такое amd,

Зачем мне это, у меня интел. Про амуде я знать ничего не желаю.

подсказка: скомпилённый для amd бинарь не взлетит на intell'овском проце. ваш самопальный бинарный вирус будет работать только на локалхосте и только до прилёта обновлений :)

Это если собирать его как march=native, ага :) А собирать нужно генерик статик и носить рантайм с собой.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Iron_Bug

Ошибаетесь, тетенька, насчет меня. Щас еще повангуйте, что я на гномокедах сижу, чем только добавите порцию лулзов для меня.

Похоже 20 лет опыта этой Айрон-Багини поглощены ранним маразмом :D

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

Дополнено:

и ещё: для школоло очень полезно попробовать писать на ассемблере.

Зачем школоло писать на асме? Какая от этого практическая польза? Бесцельно биты и байты пинать по регистрам?) Это как-то скучно.

Deleted
()
Ответ на: комментарий от Deleted

А собирать нужно генерик статик и носить рантайм с собой.

ага. и устанавливать свой вирус целым пакетом, а лучше - контейнером. тогда вариант про гитхаб с сорцами - наилучший :)

люди столько бьются за то, чтобы их софт запускался хотя бы на основных дистрибутивах. даже на ЛОРчике полно тем про то, как сделать проприетарный софт хоть частично переносимым и не собирать стопицот пакетов для всех дистрибутивов. предложи им свои услуги по написанию универсального бинарника :)

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

Читал я книжки по асму и хэллоуворлдил, но так и не увидел в этом практической пользы. Да, разберешься из чего созданы бинари, но что с того? Можно еще Таненбаума почитать про операционные системы. Мне было интересно, но ничего из прочитанного не пригодилось.

чтобы понимать, как эти байты и биты обрабатываются.

Зачем это понимать, особенно школоте? Это как учить домохозяйку программированию — абсолютно пустая трата времени и не пригодится (наверное будет показывать свой красивый девчачий код в твиттерах и хвастаться этим)).

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

какая амуда, нахрен? интелы, спарки в основном.

Интелы на архитектуре amd64. Учи матчасть. Дерьмовый ты программист, похоже. Спарки - редкость сейчас, армы чаще встречаются. А серверов у меня пачка стоит и не в одной серверной.

Про спарки - амазону расскажи. Или Майкрософту. То-то они в своих облаках дерьмо всякое вроде AMD EPYC ставят.

это те самые «бинари», которые почему-то оказываются очень разными и не на всякой машине взлетают.

мда. Ужасающее незнание матчасти. Ты сначала изучи, что такое бинарник, и почему оно может не использовать glibc и ему может быть плевать на разные версии ядер в широких пределах.

Deleted
()
Ответ на: комментарий от Iron_Bug

предложи им свои услуги по написанию универсального бинарника :)

А что, если «вирус», то обязательно проприетарный?)

Deleted
()
Ответ на: комментарий от Iron_Bug

ах да, я ещё не упомянула всякие там selinux'ы и прочие средства, которые используют на суровых серверах, где важна безопасность

Ахахаха. Ну да. Мы говорим про большинство, а не сферический сервер в вакууме. Да, SELinux часто выключают.

а ещё иногда софт или всю систему запускают из рид-онли образов

Ну. И мы что, про этот случай говорим? Ну запусти тот же ЛОР из-под рид-онли образа, умница наша.

у меня опыт программирования более 20 лет

А в реальных задачах не рубишь. Может иди программируй там всякие энтерпрайз-системы дальше, да? А когда напрограммируешь такую штуку, чтобы она гарантированно защищала от подобной заразы виртуальный хостинг с парой тысяч говносайтов - тогда поговорим.

я всё больше склоняюсь к идее полностью кастомизированного дистрибутива. ненуачо? могу себе позволить.

Ты же LFS себе собираешь? Я даже докапываться не стал, как ты следишь за обновлениями.

и я не хочу погружаться в вебню

Тогда не говори по той теме, в которой ты не понимаешь ничерта. А пока ты пшик, а не специалист. Точнее, прогер с завышенным ЧСВ.

емнип, это только у них названием amd64 обозначается невесть что. а, ещё у генты, да. а у всего остального мира amd - это amd, mips - это mips и прочее такое. никакой конспирологии.

То есть ты вообще не понимаешь о чем говоришь.

Иногда упоминание AMD вводит пользователей в заблуждение, вплоть до того, что они отказываются использовать дистрибутивы родных версий операционной системы, мотивируя это тем, что на их процессоре Intel версия для AMD не будет работать; на самом деле распространители ПО используют название amd64 лишь потому, что именно AMD была пионером в разработке этой технологии.

Deleted
()
Ответ на: комментарий от Deleted

У нее вряд ли вообще кроме быдлокода что-то есть. Она так от реальности оторвана, что я не удивлюсь, что при слове gitlab (а именно gitlab-ee используется в серьезных конторах) она начинает писать кипятком и кричать, что это дерьмо, т.к. написано на рубях. И, судя по всему, даже не понимает, что эта малварь просто не использует всё то дерьмо, что она не может завести на любом дистре. Там Сишная часть отвечает только за сокрытие процесса, это обычный эксплойт, который применяется на не запатченных ядрах. Я эту заразку уже хз на каком сервере встречаю. У меня даже бинарь есть, который расшифровывает эту всю муть (правда, без ключа от разраба дряни бесполезен). И он, падла, спокойно работает практически на любом дистре. А какая-то криворучка тут пишет, что это невозможно.

Deleted
()
Ответ на: комментарий от Iron_Bug

И вообще, кичиться программерским стажем, такое себе. Сейчас не стаж важен, а приспосабливаемость к меняющейся среде, опыт в реальных задачах.

Deleted
()
Ответ на: комментарий от Iron_Bug

конечно о них. а зачем тогда выбирать проц и покупать какую-то конкретную модель? ты же не просто так купил проц, чтобы он выполнял дженерики. даже у разных вариантов одного проца есть отличия.

Сейчас из дополнительных наборов инструкций практически везде используются только SSE2, SSSE3, SSE4.2, AVX, AVX2 (ну и всякие там AES) - этого хватает практически всем для всего. Иногда еще AVX 512 используется и за исключением AVX 512 - все это есть и у Intel и у AMD.

Разработчикам сколько-то популярного софта нет никакого смысла пытаться закладываться на какие-то особые наборы, встречающиеся в редких процессорах, как например, avx 3.2. Ну если только в конкретных условиях для конкретного заказчика они не получают из-за этого реальный выигрыш, оправдывающий возню. Но это очень редкий юзкейс.

и цена тоже скачет в разы, именно из-за этих самых расширений. иначе продавали бы всё по одной цене и не было бы разницы.

Цена скачет вовсе не из-за набора инструкций, по-моему, она никогда из-за них не скакала, разве что в сегменте очень дешевых процессоров.

Основная разница из-за таких вещей как частота и TDP, количество ядер, количество поддерживаемых линий PCI-E, количество каналов памяти, объемы кэшей. Разница между потребительскими процессорами и серверными совсем не в наборах инструкций, более того, у серверных этот набор иногда меньше, чем у обычных. К примеру, для сокета LGA 2011 у серверных Xeon-ов одно время не было SSE4.2

praseodim ★★★★★
()
Ответ на: комментарий от Iron_Bug

отдельные индивиды до сих пор устраивают войнушки по поводу национальностей, религий и прочей шелухи.

Отдельные индивиды до сих пор верят, что национальности и религия здесь первичны. По настоящему же крупные войны устраиваются потому, что это чертовски выгодное занятие для определённых кругов бизнеса. Эти круги и вкладываются в разжигание национальной и религиозной вражды, ну а дальше остаётся только подтолкнуть («вокруг враги и надо держать оборону»). И единство языка здесь поможет очень слабо (я уже приводил примеры, которые кое-кому показались искусственными).

Национальный язык и национальная культура — ни разу не причина для национальной вражды. И единый язык — не гарантия мира.

hobbit ★★★★★
()
Ответ на: комментарий от anonymous

Единое образование и культура, это прекрасно для развития межпланетного вида

Ты, наверное, из тех, кто тут кричит «один дистрибутив, один офисный пакет, одно DE»? Так вот, это не работает.

уже сейчас все школы мира проповедуют «нет религии»

А, всё, вопросов не имею. :)

hobbit ★★★★★
()
Ответ на: комментарий от Iron_Bug

P.S. К предыдущему, я имел ввиду прикладные программы в основном. Так-то для виртуализации например у Intel и AMD действительно совершенно разные инструкции с несколько разной даже архитектурой этого дела.

praseodim ★★★★★
()
Ответ на: комментарий от hobbit

По настоящему же крупные войны устраиваются потому, что это чертовски выгодное занятие для определённых кругов бизнеса.

Глупейшее из утверждений. Бизнесс в войнах всегда вторичен.

anonymous
()
Ответ на: комментарий от anonymous

Богачи с радостью ловят момент, и навариться на военном деле не прочь. В Европе и сейчас так. В Российской Империи так было. В России к этому идёт возврат, но там банкиры отжимают всё до талого, что несколько ингибирует возврат к буржуазному.

anonymous
()
Ответ на: комментарий от praseodim

я в курсе про виртуализацию. но в виртуализацию вирусяке вряд ли нужно. я не могу себе представить «вирус под линь». это нечто, что надо патчить, компилить и устанавливать под рутом, а потом запускать в кроне, наверное :) зловредный софт под конкретный дистрибутив, под фиксированные версии основных библиотек и установленных пакетов ещё можно представить. особенно при засилье мейнстрима и наличия ненужнод (вот, кстати, вирус так вирус!). никто не хочет думать, все копируют друг у друга код, надеются на какие-то дефолтные настройки и в итоге крайних не найти. но чем хуже - тем лучше. я жду, когда производители очухаются и перестанут нанимать макак. линь предоставляет все средства для обеспечения разработки и обеспечения безопасности. компиляторы, отладчики, профайлеры - всё есть. проблема не в системе, а в головах.

Iron_Bug ★★★★★
()
Ответ на: комментарий от anonymous

Спасибо, что сэкономили время.

Будь здоров.

anonymous
()
Ответ на: комментарий от anonymous

ну, если ты платишь за процессор ради того, чтобы похвастаться друзьям - тогда да, дженерики ждут тебя. но если железо покупается не для красоты, а для работы, то для него нужны кастомные сборки и здоровая оптимизация. и на сайте того же интела есть все детали по всем фичам каждого процессора. это не просто для красоты, а чтобы можно было выбрать проц под задачи. я не слежу, чем там занимается amd. они всегда пытались примазаться к интелу и мимикрировали под них с разной степенью успеха. это не девелопмент, а маркетинг. но даже среди разных интеловских процов разница в фичах может быть огромна и поднимать реальную производительность в разы.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

«вирус под линь». это нечто, что надо патчить, компилить и устанавливать под рутом

То то дырявые сервера постоянно имеют во все щели. Просто десктоп мало кому интересен, к счастью.

anonymous
()
Ответ на: комментарий от Iron_Bug

АМД круче штеуда. У них АМД 3DNow! появился, когда штеуд ещё на счётах складывать не умел. Не говорю уже о том, какое же всё-таки штеуд решето. И все твои оптимизации не покроют и половины тормозов заплаток безопасности.

anonymous
()
Ответ на: комментарий от anonymous

Я думаю, воины устраивают по принципу, если не будешь есть ты, то съедят тебя. Таких примеров много. Тот же Каддафи. Ну и чтобы народу пудрить мозг, что вокруг угрозы, оправдывая свое существование и обогащение.

anonymous
()
Ответ на: комментарий от Iron_Bug

Только при сборке для arch=core2 код в 99% случаев быстрее. А заботиться том чтобы где надо применялись ветки с simd задача разрабов. Об уровне оптимизации впрочем тоже разрабы должны заботится, кто кто кроме них знает можно ли включать fast-math или O3? Как правило это захардкожено всё теми же разрабами, даже в генте.

anonymous
()
Ответ на: комментарий от anonymous

Не, это только европейская цивилизация до сих пор экспансивная — детский сад короче.

anonymous
()
Ответ на: комментарий от anonymous

А вот говорят тормоза-тормоза. Я вот тут загрузился с mitigations=off, появились тормоза. Приложения начали запускаться вместо 25 минут все 42.

anonymous
()
Ответ на: комментарий от anonymous

вспомнила бабка, как девкой была :) какбэ в 90-е вообще было много всяких отдельных компаний и каждый что-то делал. там тогда был знатный зоопарк, да. но мы говорим о том, куда это всё пришло в итоге. графикой должна заниматься видеокарта. GPU специально заточен на векторы и нет смысла тащить это в основной проц. тем более, что для большинства задач графика-то не нужна нафиг.

Iron_Bug ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.