LINUX.ORG.RU

Зомбированные Linux-машины как инструмент фишеров


0

0

Эксперты по безопасности Dave Cullinane (eBay, ранее Washington Mutual), Alfred Huger (Symantec), Iftach Amit (Finjan) отмечают рост использования руткитованных Linux-систем как одного из наиболее могущественных инструментов в арсенале фишеров. Эксперты заявляют, что хотя в количественном отношении Linux-зомби и проигрывают Windows-ботнетам, продвинутые возможности этой операционной системы позволяют организовывать более сложные атаки.

Закладка руткитов производится традиционно, через незакрытые уязвимости. Конкретное применение Linux-машин в фишинговых схемах подробно не описывается.

>>> Подробности



Проверено: Shaman007 ()

Какой-то бред маркетологов :)

GFORGX ★★★
()

Во-первых, за конференцию, на которой сделан доклад, платила Микрософт

Пара цитат со ссылки:

"Linux machines are desired by phishers, who set up fake websites, hoping to lure victims into disclosing their passwords"

Крутой руткит - скрывает аж целый веб-сайт :)

И еще одно мнение оттуда же:

"We see a lot of Linux machines used in phishing," said Alfred Huger, vice president for Symantec Security Response. "We see them as part of the command and control networks for botnets, but we rarely see them be the actual bots. Botnets are almost uniformly Windows-based."

tailgunner ★★★★★
()

Ага, а еще линукс ставят "небольшие организации с очень сомнительными источниками доходов и двойной бухгалтерией занимающиеся отмыванием денег от проституции, наркобизнеса, распространения детской порнографии, поставок девушек-рабынь для борделей Западной Европы".

anonymous
()
Ответ на: комментарий от Deleted

> Причём тут руткит и уязвимость в каком-нибудь phpbb, эксперты *ля?

Вероятно при том, что он не на ASP.Net. Они не "эксперты бл*", они "маркетологи бл*". :)

anonymous
()

Слава роботам-зомботам!!!

Не ходите в иксы под рутом =)

они не "маркетолги б*я", а "маркетОЛУХИ" =)

интересует сумма отката =)

anonymous
()

Баян. На линукссакс это запостили 2 дня назад. Вопрос: почему новость ещё не в топке?

gaa ★★
()

Вообще-то это больше похоже на п%%%ёшь на голом месте.

Какой руткит мне можно подсадить на юзера, когда вся система для него RO, а /home -- noexec.

vadiml ★★★★★
()

> Закладка руткитов производится традиционно, через незакрытые уязвимости

если юзер настолько дурак что скачивает все подряд и запускает под рутом, то операционная система тут непричем

JB ★★★★★
()
Ответ на: комментарий от gaa

хренасе... а чё у линукссакс дизайн такой какой-то под ХеРню заточен, вроде свиста уже вышла, а они всё на старом дизайне - не порядок...

anonymous
()

>Зомбированные Linux-машины как инструмент фишеров

Зомбированные Windows-машины как инструмент пользователей

grimp3ur
()
Ответ на: комментарий от grimp3ur

>Зомбированные Windows-машины как инструмент пользователей

Зомбированные пользователи, как инструмент Windows-машин.

СЛАВА РОБАТАМ!

geek ★★★
()
Ответ на: комментарий от vadiml

Вот вы тут справедливо возмущаетесь, а проблема есть.

Сам был в подобной ситуации, поставили на один из серверов php форум, из распространенных, через месяц пришло письмо от провайдера - мол на вас жалуются. Оказалось что какой-то бот на полном автомате поломал этот форум и запердолил на сервер поддельный сайт для сьема паролей с наебая.

Чиста с точки зрения безопасности поломан был только форум, а не линукс, ведь никуда дальше папки с форумом скрипт доступа получить не мог. И с точки зрения отпетого линуксоида - проблема в php форуме, а не в линуксе.

Но фактически ведь ломают, строят ботсети и из линукс машин в том числе. Конечно качество взлома совершенно другое, врядли линуксбот может получить какие-то уникальные возможности по сравнению с виндоботом, в винде же бот сразу права админа получит. Так что статья немного лживая..

А с другой стороны виртуализация и отказ от поделий на php спасут мир)

nassaja
()
Ответ на: комментарий от nassaja

Такой случай: я себе впервые поставил линух (убунту), создал несколько пользователей с паролями в 1 (один, по глупости) символ и запустил SSH :) Однажды заглянув в логи, был удивлен необычно большому количеству незванных гостей, которые пытались подобрать пару логин/пароль методом тупого перебора. У одного это получилось, только он почему-то сменил пароль и отключился. :)

Представляете, сколько таких же новичков ставит себе линух и открывает SSH/разные дырявые сервисы? Так что такая статистика вполне логичный результат популярности линуха.

anonymous
()
Ответ на: комментарий от isden

протагонист фильмов по мотивам серии игр Resident Evil

anonymous
()

Get the facts - 2

А теперь все дружно посмотрим, где это было произнесено:

>...speaking at a Microsoft-sponsored security symposium at Santa Clara University.

Гэть зе фактс, господа!

К тому же:

>the company is not releasing the results of this analysis

Спрашивается, почему? Лично я не доверяю исследованиям, результаты которых не публикуются. А если ещё и Микрософт денежку малую подкинула, то вообще склонен верить обратному.

Erik_der_Zweite
()

Шомана на сук, обвязанный верёвкой.

ChALkeR ★★★★★
()

> продвинутые возможности этой операционной системы позволяют организовывать более сложные атаки.

Я уже давно сформулировал вот такое мнение: удобство Linux оборачивается удобством для хакера (если, конечно, есть через что пролезть).

anonymous
()
Ответ на: комментарий от anonymous

>Представляете, сколько таких же новичков ставит себе линух и открывает SSH/разные дырявые сервисы?

Года полтора назад _забыл_ в торопях (побыстрее завести свежекупленную железяку) закрыть ssh. На второй день заметил в списках процессов подключение от имени mysql. После прикрытия ssh стук наблюдался еще два дня. Теперь - тишина.

Praporshik ★★
()

ХАХА! ДА ЕСЛИ НАДО БУДЕТ - ЗОМБИРУЕМ .... - ЛЮДЕЙ!!!!!!!!!!!!!!!!

kbps ★★★
()

Только хотел почитать linuxsuxx, как у них сервер лег ;(

Где логика?! Где справедливость?!

Erik_der_Zweite
()
Ответ на: комментарий от anonymous

> удобство Linux оборачивается удобством для хакера

Вместо "Linux" можно подставить что угодно. Бесплатной безопасности не бывает, за неё всегда приходится платить - либо ресурсами, либо удобством.

yk4ever
() автор топика
Ответ на: комментарий от Praporshik

> Года полтора назад _забыл_ в торопях (побыстрее завести свежекупленную железяку) закрыть ssh. На второй день заметил в списках процессов подключение от имени mysql. После прикрытия ssh стук наблюдался еще два дня. Теперь - тишина.

одна из домашних тачек, реальное айпи, ssh включен постоянно, рут запрещен, подключение позволено только одиному пользователю, естественно никаких пользователей mysql, www, backup и samba. На сегодняшний день 7162 brute force attempts. Бывало стучались по полдня. Поставил скриптик блокирующий айпи после n попыток, и после первой попытки войти под рутом. Все равно регулярные стуки с 5-10ти разных айпи в день. Изменил порт 22 на дату рождения соседского кота, и с тех пор ни одной попытки брутфорса.

firsttimeuser ★★★★★
()
Ответ на: комментарий от nassaja

>Сам был в подобной ситуации, поставили на один из серверов php форум, из распространенных, через месяц пришло письмо от провайдера - мол на вас жалуются. Оказалось что какой-то бот на полном автомате поломал этот форум и запердолил на сервер поддельный сайт для сьема паролей с наебая.

mount --bind ro наше все )

Suicide_inc ★★
()
Ответ на: комментарий от JB

> если юзер настолько дурак что скачивает все подряд и запускает под рутом, то операционная система тут непричем

Ему про уязвимости, а он про рутовый exec(). Лучше потри свой пост, пока мало народу видело.

anonymous
()
Ответ на: комментарий от anonymous

Да уж, оратор который считает SSH дырявым сервисом, при том, что ставит пароль в одн букву, просто гений, вот для таких и пишут такие статьи...:)))

ZANSWER
()
Ответ на: комментарий от vadiml

Каталоги для временных файлов, типа /tmp, /usr/tmp, судя по ману (и рфц) должны быть всегда 777, а так как они обычно бывают на одном разделе с bin, sbin, то noexec на них не ставят. Соответственно руткиты и следы взлома первым делом нужно искать именно там. На самом деле считаю что троянить любую nix систему не сложнее чем win, только не надо с вирусами путать, вирусы в никсах не выживут. одно лишь отличие что на виндах у тебя практически сразу права одмина, а в никсах приходится попыхтеть :)

anonymous
()
Ответ на: комментарий от nassaja

> Сам был в подобной ситуации, поставили на один из серверов php форум, из распространенных, через месяц пришло письмо от провайдера - мол на вас жалуются. Оказалось что какой-то бот на полном автомате поломал этот форум и запердолил на сервер поддельный сайт для сьема паролей с наебая.

я на своем сайте постоянно вижу в логах попытки ломануть пых-пых движки, хотя самого пых-пых на нём и не будет :)

> А с другой стороны виртуализация и отказ от поделий на php спасут мир)

+1

vadiml ★★★★★
()

опять бред быдлотологов. Геть зи фактус -2

AiFiLTr0 ★★★★★
()
Ответ на: комментарий от anonymous

> Представляете, сколько таких же новичков ставит себе линух и открывает SSH/разные дырявые сервисы? Так что такая статистика вполне логичный результат популярности линуха.

в большинстве дистров при выборе десктопной установки наружу ничего не открыто, в т.ч. и ssh

ЗЫ у меня дома на всех пользователях стоит пароль "1", но ломануться в систему -- некуда, лишние сервисы просто отключены, да и NAT дома поднят, чтоб провайдеру не платить на несколько компов.

vadiml ★★★★★
()
Ответ на: комментарий от anonymous

> Каталоги для временных файлов, типа /tmp, /usr/tmp, судя по ману (и рфц) должны быть всегда 777,


10:33 al@wind ~ $ mount|grep /tmp
jacktmp on /var/lib/jack/tmp type ramfs (rw)
/tmp on /tmp type tmpfs (rw,noexec,nosuid,nodev,size=300m)
10:33 al@wind ~ $

sin_a ★★★★★
()
Ответ на: комментарий от anonymous

> это к вопросу о том если вся система ro, a home - noexec

на серверах /tmp -- это должен быть отдельный раздел, я его под reiserfs размором в пару гиг делаю.

а на десктопе -- или как показано выше, если памяти более гига, или симлинк на /home/tmp

vadiml ★★★★★
()
Ответ на: комментарий от JB

>если юзер настолько дурак что скачивает все подряд и запускает под рутом

под рутом запускать не обязятельно

>то операционная система тут непричем

угу, когда линух достигнет 40% и более на десктопах, то с вирусами будет также как и в виндах

Reset ★★★★★
()
Ответ на: комментарий от Reset

>> если юзер настолько дурак что скачивает все подряд и запускает под рутом

> под рутом запускать не обязятельно

ну запустит он какую-нибудь хрень не под рутом, и что она сделает? максимум - спиздит .ssh/id_*

>> то операционная система тут непричем

> угу, когда линух достигнет 40% и более на десктопах, то с вирусами будет также как и в виндах

Не будет. Просто потому, что в линухе не будут ждать следующего релиза графической оболочки, чтобы пофиксать проблему, например, в ядре. Вон в вынь95 очень фигово хранились пароли(в файлах *.pwl, которые легко расшифровывались). Об этом почти сразу микрософту и сообщили, так у них пояле этого ещё две версии винлов из серии 9x вышли, где ничего не пофиксили. Так бы и оставалась эта проблема, если б 9x не вымерли.

gaa ★★
()
Ответ на: комментарий от gaa

>чтобы пофиксать проблему, например, в ядре.

а ты думаешь, что пользователи будут ставить апдейты? тем более ядро апдейтить ? чего-то я сильно сомневаюсь :)

Reset ★★★★★
()
Ответ на: комментарий от Reset

>> чтобы пофиксать проблему, например, в ядре.

> а ты думаешь, что пользователи будут ставить апдейты? тем более ядро апдейтить ? чего-то я сильно сомневаюсь :)

Ну в дебиане ядро апдейтится также, как и ординарный пакет... А при установке новой софтины она обычно вытягивает и новые либы. Порой бывает, что одна мелкая новая софтина вытягивает за собой 200 метров связанных либ, как бывает, например с KDE.

Про апдейты: сколько не наблюдаю виндузятников, они постоянно обновляют саму винду/nero/totalcmd/winrar и т.д. В линухе же это всё можно сделать одной командой, так что особых сложностей не будет.

gaa ★★
()
Ответ на: комментарий от nassaja

>отказ от поделий на php спасут мир

отказ от кривых поделий на php спасут мир. Если некто не умеет писать, а другой некто использует дырявое - это их личные проблемы, а не языка.

Codewalker
()
Ответ на: комментарий от firsttimeuser

> Изменил порт 22 на дату рождения соседского кота, и с тех пор ни одной попытки брутфорса.

Как верно было подмечено ранее:

> если, конечно, есть через что пролезть anonymous (*) (07.10.2007 1:24:21)

(маниакально улыбаясь) А я бы специально honeypot'ы повыставлял - интересно же, как там ёжики ? :-E

anonymous
()
Ответ на: комментарий от anonymous

> (маниакально улыбаясь) А я бы специально honeypot'ы повыставлял - интересно же, как там ёжики ? :-E

Можно ещё сунуть винды под виртуальную машину и открыть 139 порт наружу. тем самым можно легко отвести внимание от юниксного сервера на ломание виндофф

gaa ★★
()
Ответ на: комментарий от gaa

>Ну в дебиане ядро апдейтится также, как и ординарный пакет...

не будут рядовые пользователи ничего апдейтить, поставят и будут работать годами пока их не похачат.

>Про апдейты: сколько не наблюдаю виндузятников, они постоянно обновляют саму винду/nero/totalcmd/winrar и т.д

Это какие-то продвинутые виндузятники, нормальные виндузятники (менеджеры, домохозяйки, бизнесмены) ничего не обновляют, да и слов то таких как винда/nero/totalcmd/winrar не знают, купили готовый комп с виндами, накатили Офис + Рабочий софт, который им выдали на работе и сидят годами.

Reset ★★★★★
()
Ответ на: комментарий от Reset

>> Про апдейты: сколько не наблюдаю виндузятников, они постоянно обновляют саму винду/nero/totalcmd/winrar и т.д

> Это какие-то продвинутые виндузятники, нормальные виндузятники (менеджеры, домохозяйки, бизнесмены) ничего не обновляют, да и слов то таких как винда/nero/totalcmd/winrar не знают, купили готовый комп с виндами, накатили Офис + Рабочий софт, который им выдали на работе и сидят годами.

Разве ещё не все виндузятники знают слово "антивирус"? По-моему, научить их апдейтить периодически систему не сложнее чем было заставить сразу ставить антивир. Хотя, возможно, я плохо знаю виндузятников.

gaa ★★
()
Ответ на: комментарий от gaa

научить их ставить антивирус проще чем научить апдейтить систему, благо если покупать готовый комп (как делают 99% виндузятников), а не трахаться со самосбором, то антивирус уже будет предустановленный.

когда линух достигнет 40% барьера, то пользователи предпочтут пользовать антивирус чем трахаться с обновлениями :)

Reset ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.