LINUX.ORG.RU

Зомбированные Linux-машины как инструмент фишеров


0

0

Эксперты по безопасности Dave Cullinane (eBay, ранее Washington Mutual), Alfred Huger (Symantec), Iftach Amit (Finjan) отмечают рост использования руткитованных Linux-систем как одного из наиболее могущественных инструментов в арсенале фишеров. Эксперты заявляют, что хотя в количественном отношении Linux-зомби и проигрывают Windows-ботнетам, продвинутые возможности этой операционной системы позволяют организовывать более сложные атаки.

Закладка руткитов производится традиционно, через незакрытые уязвимости. Конкретное применение Linux-машин в фишинговых схемах подробно не описывается.

>>> Подробности



Проверено: Shaman007 ()

Ответ на: комментарий от Reset

> вирусы будут самокомпилируемые, благо gcc ставится по умолчанию почти везде :)

gcc по умолчанию ставится только в генте

JB ★★★★★
()
Ответ на: комментарий от nassaja

Да, знакомого дизайнера недавно так-же взломали. И тож его сервер использовали для фишинга пока ему пачками не повалили письма. И, вот сейчас проверил, ответы этого сервера всё-ещё показывют не обновлённую suse 9.3 (с её пакетами 2005-го года)..

hzk
()
Ответ на: комментарий от JB

>тупо кликающих на "ok" в любом окне среди линупсистов нет ;)

скоро будут :)

Reset ★★★★★
()
Ответ на: комментарий от Reset

> на сайте ms я ничего про выход vs2008 не нашел, есть только beta2

хм, а я уже экспресс-версию слил. наверно, через прокси лоровской машины времени :)

gaa ★★
()
Ответ на: комментарий от gaa

> так что красный восклицательный знак не потеряется.

ну даже если и заметит, то нажать на него не догадается :) в неизвестность пользователи обычно не лезут, "чтобы ничего не сломать" :)

Reset ★★★★★
()
Ответ на: комментарий от ero-sennin

> Это значит, твой юзер не добавлен в группу cron. Если человек пользуется кроном, то он в этой группе есть, и может править свой кронтаб без всяких паролей.

> Но ведь на kde-look кто угодно может залить что угодно. И всегда найдутся желающие скачать и потестить, польстившись на красивые картинки. Ну или зайти на ЛОР в новость об очередном новом компизе и сказать «ребята, я если кому надо, я собрал пакеты под слаку и под дебиан тестинг, вот линка». :) Тут главное проявить фантазию, а она у вирусмахеров всегда работает, как надо.

Залить сможет, но там есть как минимум "рейтинг" закачки, который надо накрутить чтобы кто-то чего-то скачал. Червивым способом вирус тоже распространятся не будет... До винды не дотягивает.

> зайти на ЛОР в новость об очередном новом компизе и сказать «ребята, я если кому надо, я собрал пакеты под слаку и под дебиан тестинг, вот линка»

Тут тоже не прокатывает. С ЛОРа по ссылкам не хотят.

Moin
()
Ответ на: комментарий от Moin

> Это значит, твой юзер не добавлен в группу cron. Если человек пользуется кроном, то он в этой группе есть, и может править свой кронтаб без всяких паролей.

А зачем с ним вобще работать?

Moin
()
Ответ на: комментарий от Reset

> ну даже если и заметит, то нажать на него не догадается :) в неизвестность пользователи обычно не лезут, "чтобы ничего не сломать" :)

Это в винде не лезут, потому что любой пук в сторону от нажимания "ок" убивает систему с вероятностью в 50% (в стиле "положит или не положит"). "Линукс - избавьтесь от страха".

Moin
()
Ответ на: комментарий от Moin

>> Это значит, твой юзер не добавлен в группу cron. Если человек пользуется кроном, то он в этой группе есть, и может править свой кронтаб без всяких паролей.

> А зачем с ним вобще работать?

Как зачем? А как же поддержка голодающих спамоботописателей из развивающихся стран!

А если серьёзно, то одному человеку из тысячи такая функциональность действительно может понадобиться. Но до массовости это не дотягивает.

gaa ★★
()
Ответ на: комментарий от Reset

> угу, когда линух достигнет 40% и более на десктопах, то с вирусами будет также как и в виндах

в линуксе элементарно можно сделать так, чтоб ни 1 вирь не запустился, а вот в винде -- нет, а антивир ловит только знакомые ему вири + грузит систему.

vadiml ★★★★★
()
Ответ на: комментарий от Reset

> а ты думаешь, что пользователи будут ставить апдейты? тем более ядро апдейтить ? чего-то я сильно сомневаюсь :)

если будет витесь авто-update, как в винде, то я ядра сами будут обновляться. У меня на тестовой машине в CentOS 5 yum автоматом обновляет ядра, а вот на серверах yum update я делаю ручками :)

vadiml ★★★★★
()
Ответ на: комментарий от vadiml

можно, только кто это будет делать? не пользователь точно :)

Reset ★★★★★
()

Мне каца это участь любой десктопной системы, системы за которыми работают не профессионалы.

Maclaud
()
Ответ на: комментарий от gaa

> Разве ещё не все виндузятники знают слово "антивирус"?

знают, и проверяют файлы антивирусом, который им воткнули еще при покупке компа, без единого обновления, бывает что ему уже лет по 5. И главное абсолютно уверены что у них ничего нет

vadiml ★★★★★
()
Ответ на: комментарий от vadiml

>> Разве ещё не все виндузятники знают слово "антивирус"?

> знают, и проверяют файлы антивирусом, который им воткнули еще при покупке компа, без единого обновления, бывает что ему уже лет по 5. И главное абсолютно уверены что у них ничего нет

Разве не все антивирусы(даже та "панда", которую втыкают повсюду) через некоторое время ругаются, что базы могли устареть?

gaa ★★
()
Ответ на: комментарий от gaa

> Дык, закрыть _любой_ доступ от айпишника винды в iptables делается одной простой командой "iptables -A INPUT -s $win_ip -j DROP"

для наружных адресов гораздо интереснее TARPIT, а не DROP

vadiml ★★★★★
()
Ответ на: комментарий от ero-sennin

>> You (dima) are not allowed to use this program (/usr/bin/crontab)

> Это значит, твой юзер не добавлен в группу cron.

ну я пользуюсь cron'ом, хотя тоже не добавлен в группу crontab -- мне проще раз в год отредактировать /etc/crontab

vadiml ★★★★★
()
Ответ на: комментарий от gaa

> Разве не все антивирусы(даже та "панда", которую втыкают повсюду) через некоторое время ругаются, что базы могли устареть?

что такое "панда" не знаю, а вот каспера 5-7 летней давности вижу полно.

vadiml ★★★★★
()
Ответ на: комментарий от JB

>как по другому поиметь домашний компьютер с линуксом , на котором в 99% не запущено ни одного демона, смотрящего в инет?

а какая разница? о_О дырявые демоны и скрипты заменяют дырявые браузеры и почтовики. и причём здесь рут? у всех нормальных админов каждый демон работает под своей учётной записью, а рута можно получить только через багу в ядре.

anonymous
()

2 ТруЪ ПраноикамЪ:

У меня в системе нет ни su ни sudo, ибо носят они другие имена и лежат в других каталогах =)

matich
()
Ответ на: комментарий от anonymous

> а какая разница? о_О дырявые демоны и скрипты заменяют дырявые браузеры и почтовики. и причём здесь рут? у всех нормальных админов каждый демон работает под своей учётной записью, а рута можно получить только через багу в ядре.

еще раз, откуда у чайника на компе дырявые сервисы, смотрящие в инет?

JB ★★★★★
()
Ответ на: комментарий от matich

> У меня в системе нет ни su ни sudo, ибо носят они другие имена и лежат в других каталогах =)

Я подозреваю, что у тебя и bash называется "басх" :) "рм -рф /бин" и т.д.

gaa ★★
()
Ответ на: комментарий от Reset

>ты увидел красный восклицательный знак, обычный пользователь его не увидит

Ну, например, в Убунте его сложно не заметить. К тому же там есть галочка "Устанавливать обновления безопасности без подтверждения".

kss ★★★★★
()
Ответ на: комментарий от Reset

>угу, когда линух достигнет 40% и более на десктопах, то с вирусами будет также как и в виндах
Опа, а что, в виндах уже аналог selinux появился?

anonymous
()
Ответ на: комментарий от matich

> 2 ТруЪ ПраноикамЪ:

> У меня в системе нет ни su ни sudo, ибо носят они другие имена и лежат в других каталогах =)

Не иначе, C:\WINDOWS\system32\runas.exe. :P

ero-sennin ★★
()
Ответ на: комментарий от anonymous

> Опа, а что, в виндах уже аналог selinux появился?

Пользоваться десктопом со включенным SELinux-ом так же сложно, как и в виндах работать не под администратором. Когда авторы программ будут сами писать для них политики и класть в тарболы, тогда, может, что-то и сдвинется, а пока он у всех выключен.

ero-sennin ★★
()
Ответ на: комментарий от Reset

>ты увидел красный восклицательный знак, обычный пользователь его не увидит
Обычные пользователи - это кто? Те, кто прется на красный свет под предлогом "картинки не грузяццо"?

anonymous
()
Ответ на: комментарий от ero-sennin

>Пользоваться десктопом со включенным SELinux-ом так же сложно, как и в виндах работать не под администратором. Когда авторы программ будут сами писать для них политики и класть в тарболы, тогда, может, что-то и сдвинется, а пока он у всех выключен.
При 40% Linux на десктопе? Ты эта, логический блок включай периодически, а?

anonymous
()
Ответ на: комментарий от vadiml

>И главное абсолютно уверены что у них ничего нет
Это еще что, здесь тусуются виндузятники, которые не пользуются антивирусами, файрволлами, не апдейтят систему и тоже уверены, что у них ничего нет (оторвали, наверное) :-)

anonymous
()
Ответ на: комментарий от anonymous

> При 40% Linux на десктопе? Ты эта, логический блок включай периодически, а?

В вендах, при >90% на десктопе, до сих пор многие программы требуют админа для нормальной работы. В висте это обошли, но каким путём! И в Линуксе будет такая же помойка. Вы представляете, сколько сил надо, чтобы для каждой из тысяч программ написать нормальную политику? Да люди скажут: лучше уж вирусы, чем такой геморрой. :)

ero-sennin ★★
()
Ответ на: комментарий от ero-sennin

> В вендах, при >90% на десктопе, до сих пор многие программы требуют админа для нормальной работы. В висте это обошли, но каким путём!

каким путём?

gaa ★★
()
Ответ на: комментарий от vadiml

>что такое "панда" не знаю, а вот каспера 5-7 летней давности вижу полно.
Панда - это такой вид китайского енота, а каспер - это приведение с мотором, дикое, но симпатишное :-)

anonymous
()

похудели, похудели, похудели...

только без буквы "п" и буквы "д"

>eBay recently did an in-depth analysis of its threat situation, and while the company is not releasing the results of this analysis, it did uncover a huge number of hacked, botnet computers, said Dave Cullinane, eBay's chief information and security officer, speaking at a Microsoft-sponsored security symposium at Santa Clara University.

То бишь (знаком "(?)" обозначено, те места, в правильности перевода которых я не уверен):

eBay недавно провел анализ угрозы такой ситуации, и, хотя компания и не открыла результаты анализа, по утверждению Dave Cullinane, главы отдела(?) информационной безопасности eBay, на спонсированном ОФФТОПИК'ом симпозиуме по безопасности в Santa Clara University, она обнаружила (?) огромное число взломанных, ботнет-компьютеров.

>"The vast majority of the threats we saw were rootkitted Linux boxes, which was rather startling. We expected Microsoft boxes," he said.

Соотв.:

"(????) Наибольшую часть видимой угрозы представляли руткитнутые ( :) гы - комм. переводчика) компьютеры с установленной OS GNU/Linux (аффтару статьи man GNU/Linux - прим. все того же), что несколько ошеломило. Мы ожидали что это будут компьютеры с МS Вантуз".

Вывод: Лупа была большой и из-за нее ничего не было видно.

ZloySergant
()
Ответ на: комментарий от ero-sennin

>Пользоваться десктопом со включенным SELinux-ом так же сложно, как и в виндах работать не под администратором.
Пользоваться или правила писать? А на кой пользователю писать эти самые правила? выбрал при установке "чиста для стола" и все :-)
>Когда авторы программ будут сами писать для них политики и класть в тарболы, тогда, может, что-то и сдвинется, а пока он у всех выключен.
Не надо за всех, ок?

anonymous
()
Ответ на: комментарий от JB

>> Ему про уязвимости, а он про рутовый exec(). Лучше потри свой пост, пока мало народу видело.

> тогда раскажи мне как по другому поиметь домашний компьютер с линуксом , на котором в 99% не запущено ни одного демона, смотрящего в инет? Те, кто запускают sshd, apache, ftpd, etc, сами все знают

Т.е. предлагаешь зачислить выполнение от рута к уязвимостям? Пиши тогда bug-report. Exploit и PoC у тебя есть. Методологическое обоснование тоже твоё.

anonymous
()
Ответ на: комментарий от gaa

> каким путём?

http://en.wikipedia.org/wiki/User_Account_Control

Там сделали что-то вроде per user namespaces, только по-своему, по-костыльному. :) Если программа из-под простого юзера пытается писать куда-нибудь в С:\Program Files\My Program, венда прозрачно перенаправляет её в C:\Users\username\AppData\куда-то там. С реестром тоже что-то подобное происходит.

И ещё, когда программа пытается сделать что-то, на что у юзера нету прав прав, венда не бьёт эту программу по рукам, а мило предлагает юзеру ввести пароль администратора.

ero-sennin ★★
()
Ответ на: комментарий от ero-sennin

>В вендах, при >90% на десктопе, до сих пор многие программы требуют админа для нормальной работы.
Ну и фиг с ними, с виндами :-)
>В висте это обошли, но каким путём! И в Линуксе будет такая же помойка.
Откуда дровишки, что помойка?
>Вы представляете, сколько сил надо, чтобы для каждой из тысяч программ написать нормальную политику?
Сколько? Не забываем, это надо сделать всего один раз :-)
>Да люди скажут: лучше уж вирусы, чем такой геморрой. :)
Люди - они разные :-)

anonymous
()
Ответ на: комментарий от ero-sennin

> Там сделали что-то вроде per user namespaces, только по-своему, по-костыльному. :) Если программа из-под простого юзера пытается писать куда-нибудь в С:\Program Files\My Program, венда прозрачно перенаправляет её в C:\Users\username\AppData\куда-то там. С реестром тоже что-то подобное происходит.

Интересно, скоро диск закончится?

> И ещё, когда программа пытается сделать что-то, на что у юзера нету прав прав, венда не бьёт эту программу по рукам, а мило предлагает юзеру ввести пароль администратора.

Мне кажется, или от этого будет ещё хуже?

Подобный контроль доступа используется в приложениях на мобилках: там на всё подряд задаются такие вопросы. Правда есть небольшое различие: софтины, подписанные каким-то там сертификатом от производителя телефона, запускаются и работают безо всяких вопросов. Чую, что скоро мс начнёт продавать сертификаты на рутовый доступ, а не купившим их будет портиться жизнь кучей ненужных вопросов.

gaa ★★
()
Ответ на: комментарий от anonymous

> Т.е. предлагаешь зачислить выполнение от рута к уязвимостям? Пиши тогда bug-report. Exploit и PoC у тебя есть. Методологическое обоснование тоже твоё.

не передергивай. Я лишь сказал что единственный способ протроянить десктоп с линуксом, это запустить троян непосредственно на компе. К тому же большенство чайников по началу сидит под рутом. В данном случае вероятность взломать через дырявые сервисы ничтожно мала

JB ★★★★★
()
Ответ на: комментарий от JB

>откуда у чайника на компе дырявые сервисы, смотрящие в инет?

Отвечаю: ниоткуда. Только толку от этого никакого, ибо в том же ФФ дыры находят постоянно. ;)

anonymous
()

>Можно ли ввести правило при подтверждении подобных "новостей" по безопастности или операционным системам - не принимать их от пользователя, сидящем под User-Agent "Windows*"?

User-Agent можно легко подделать...

anonymous
()

>СЛАВА РОБАТАМ!

Слава лопстирам??? о_О

FiXer ★★☆☆☆
()

Я тут много читал про то что, пользуясь судо вирус сможет получить права суперпользователя, "введя" всего лишь пароль пользователя. А подскажите (без шуток) откуда он его (пароль юзера) возьмет-то?

shlag
()
Ответ на: комментарий от vadiml

> в линуксе элементарно можно сделать так, чтоб ни 1 вирь не запустился, а вот в винде -- нет

почему нет ? в винде на ntfs тоже есть права на запуск файлов - их можно отнять у пользователя.

Eshkin_kot ★★
()
Ответ на: комментарий от Moin

> Доступ к оперативке в винде не модерируется (см. artmoney, етс. и идти лесом).

модерируется. для записи в адресное пространство другого процесса нужно сначала получить его хендел с правом записи, а OpenProcess не даст его если нет прав. artmoney же пишет в процессы того же самого юзера - соответственно и права есть по умолчанию.

Eshkin_kot ★★
()
Ответ на: комментарий от gaa

>Разве не все антивирусы(даже та "панда", которую втыкают повсюду) через некоторое время ругаются, что базы могли устареть?

Иногда они по английски ругаются и не все его знают.

Rodegast ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.