Опубликованный на прошлой неделе эксплоит содержал backdoor

btw, кто-нибудь понимает CVE-2010-3081 и CVE-2010-3301 это разные уязвимости или нет?

привет, троянчики под линукс?)

Кажется, я всегда знал о каком-то другом значении слова «эксплоит» О_о Кто может воспользоваться бэкдором в эксплоите? Метаэксплоит?)

> привет, троянчики под линукс?)

Ага, как прямо шутили, чтобы его схватить нужно сначала его самому скачать, скомпилить и запустить. Причём компилиться он не у всех, видимо что-то с зависимостями не то ))

Сколько народу тогда эксплоит попробовало? Где-то полЛОРа? :D

http://cve.mitre.org/about/index.html

что такое CVE я знаю :-)

https://access.redhat.com/kb/docs/DOC-40330 vs https://access.redhat.com/kb/docs/DOC-40265

Да это прямо триллер како-то!

Хорошо что я не запускал, так как и не знал об дыре и эксплойте, меньше знаешь - крепче спишь!

Не, там же поиск есть.

* x86-64, compat: Test %rax for the syscall number, not %eax
- CVE-2010-3301
* x86-64, compat: Retruncate rax after ia32 syscall entry tracing
- CVE-2010-3301
* compat: Make compat_alloc_user_space() incorporate the access_ok()
- CVE-2010-3081

Вредоносные программы под Linux все же есть :) Небось некоторые админы на важном серваке это запустили... :) Чем они отличаются от блондинок теперь?

раз вынесли в новости, то напишу еще раз тут


паника преувеличена, затроянен только один из вариантов эксплоита опубликованный http://seclists.org/fulldisclosure/2010/Sep/268 тут
желающие могут полюбоваться на обфускацию и обилие бинарных блобов в коде эксплоита

robert_you_suck.c - без троянчика и тоже работает

--------------

на ABwtf.bin.c ссылок не было, жертвами оказались только те, где в новостях ссылались на эксплоит выложеный в seclists.org/fulldisclosure

все остальные запускали robert_you_suck.c , который троянский код не содержит

Эх, не зря я отказался от скачивания файла .c, который почему-то был .bin

Еще добавлю.

рекомендуется провериться утилитой diagnose-2010-3081

А вдруг и она того... боязно становится однако.

То-то я смотрел на код «эксплойта» и думал: «что это за хрень шестнадцатеричная» O_o

«Вот оно че, Михалыч!» (C)

А теперь посчитай, скольким было лень его пробовать :}

вроде как это одна и та же в принципе уязвимость, но первая коснулась всех ядер после 2008 г. вообще (ванильных и основаных на них)
вторая - специфична для redhat которые бэкпортировали дырявый код на 2.6.18 , поэтому отдельная CVE

(особенно не проверяла, сужу по комментариям к эксплоитам, могу ошибаться)

Не гони, в здравом уме не будут этого делать. Я даже на десктопе не решился проверять. Хотя признаю что было небольшое любопытство, но подумалось «пускай лучше меня параноиком считают». Вот вижу что моя паранойя оправдывает себя.

там текстовый исходник, но с блобами, так что не зря там .bin

http://paste.org.ru/?b5gsht
вот вариант с трояном , обфускацией и блобами

вариант без блобов, ничего троянского не видно
http://paste.org.ru/?itncci

А что, в самом деле бывают админы, которые на своих серверах эксплоиты проверяют?

рекомендуется провериться утилитой diagnose-2010-3081 и если троян обнаружен - перезагрузиться.

А там какой backdoor ? :-))

http://sota.gen.nz/compat2/

непосредственно публикация Ben Hawkes, ссылка на эксплоит внизу

Ждем новости: «Опубликованная на прошлой неделе утилита для проверки наличия backdoor-а в эксплоите содержала троян. Рекомендуем проверить ваш компьютер утилитой checkme. Скачать тут.»

>А что, в самом деле бывают админы, которые на своих серверах эксплоиты проверяют?

Бывают, только потом они идут полы мыть а не серваки одминеть.

Ъ проверяют такие вещи в ВМ.

thanx

Каким идиотом надо быть, чтбы пробовать чужой эксплойт? Состряпать свой по описанию уязвимости это да. А чужой эксплойт это... Даже не знаю, как использованный презерватив, причём чужой повторно использовать, наверное...

Блин, добавьте уже в новость то, что Sylvia говорит, хватит будоражить народные массы ;)

Ничего не понял. Зачем кто-то запускал сплойт и зачем его вообще запускать? И какой такой бекдор мог установить этот сплойт в системе?

nexus@nexus-gentoo ~/Downloads/111 $ ./a.out Diagnostic tool for public CVE-2010-3081 exploit — Ksplice, Inc. (see http://www.ksplice.com/uptrack/cve-2010-3081) $$$ Kernel release: 2.6.35-zen2 !!! Error in setting cred shellcodes

и как это расценивать?

>и как это расценивать?
Перезагрузись. LOL.)

Можно для тупых объяснить, это тот файл который robert_you_suck.c либо что то другое? robert_you_suck.c я запускал, но кода для оставления бекдора на мой взгляд там маловато как-то... Как залечить то что они оставили?

>robert_you_suck.c я запускал
Как ты его запускал? Как вылечить читай в первом посте - перезагрузиться. ^)

эксплоит, содержащий backdoor, это очень забавно :) посмеялся

Как теперь убрать порнобанер пока ниувидел ноачльник?

fixed

Ужасы какие!

рекомендуется провериться утилитой diagnose-2010-3081

А вдруг и она того... боязно становится однако.

Разработчики компании Osplice объявили, что обнародованая на прошлой неделе утилита diagnose-2010-3081 для проверки наличия бєкдора в эксплоите ABftw.c для уязвимости CVE-2010-3081 содержала backdoor, позволяющий злоумышленникам получить административный доступ к системе. Для проверки наличия бэкдора в памяти системы Osplice предоставляет специальную утилиту. Судя по всему, дыра остаётся в памяти до перезагрузки системы. Всем, кто запускал утилиту diagnose-2010-3081, рекомендуется провериться утилитой fixit-09812 и если троян обнаружен - перезагрузиться.

Ишшо один, кто игнорит Сильви.

>Ишшо один, кто игнорит Сильви.
Вы об чём?

>Ага, как прямо шутили, чтобы его схватить нужно сначала его самому скачать, скомпилить и запустить. Причём компилиться он не у всех, видимо что-то с зависимостями не то ))

Ну, что в этом случае не так как ты описал?

Сильви же русским языком написала, что роберт - без бекдора.. Да я и сам его читал, код там простой и никаких троянов.

чтобы повесить на порт nc+bash или bash добавить в (x)inetd много кода не надо

>Сильви же русским языком написала, что роберт - без бекдора.. Да я и сам его читал, код там простой и никаких троянов.
Слава тебе господи. А то я совсем распреживался за него, не спал, не ел, всё думал - Как там наш Роберт?

Как? С помощью gcc и bash.

>Как? С помощью gcc и bash.
Фееричненько. И что потом?

Как то это все сложно. Жду когда на ЛОРе можно будет подхватить порнобанер на полэкрана. Вот повеселимся.

потом я читаю эту новость. судя по системным вызовам использованным в сырце роберта ничего плохого быть не должно, но человек не робот, вот и спрашиваю. впрочем сильви уже ответила.

>потом я читаю эту новость. судя по системным вызовам использованным в сырце роберта ничего плохого быть не должно, но человек не робот, вот и спрашиваю. впрочем сильви уже ответила.
Ответьте, что Вы с этим Робертом делали? Я не в курсе о чём тут речь идёт.

было два эксплоита. один «от роберта» который я запускал, а другой троян. сильви подсказывает что то что «от роберта» не троян и это радует.

>было два эксплоита. один «от роберта» который я запускал, а другой троян. сильви подсказывает что то что «от роберта» не троян и это радует.
Эксплоит запускать? Впервые о таком слышу. Да и вообще компилируемый эксплоит это бред какой-то.

=) мне было лень качать и пробовать это. я просто пропатчился.