Что делать теперь?

использовать только знакомые share-библиотеки, наверное.

использовать только знакомые share-библиотеки, наверное.

/me задумался, а когда же он, собственно, использовал незнакомые... Вроде все из реп ставлю.

Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

А можно подробнее на этом месте? Он сетевой интерфейс слушает что-ли? Дампит весь траффик? Или же чувак скомпилировал sshd с нужными правками в сорсах?

атаки на одного из крупных хостинг-провайдеров

Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.

кто знает, какие порядки у этого провайдера %)

:!;.cm0gLXJmIC8q

Он сетевой интерфейс слушает что-ли? Дампит весь траффик? Или же чувак скомпилировал sshd с нужными правками в сорсах?

В статье Symantec'а же написано:

Rather, the back door code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).

The fragmented file is a shared library and appears to hook a number of functions (read, EVP_CipherInit, fork, ioctl, etc.). Once the code is activated, it can perform the following actions:

чоэта в заголовке?
рмрф?:))

А можно подробнее на этом месте? Он сетевой интерфейс слушает что-ли? Дампит весь траффик? Или же чувак скомпилировал sshd с нужными правками в сорсах?

Тоже хотелось бы подробностей. ИМХО это что-то на тему LD_PRELOAD, который почему-то оказался невыключенным для setuid процессов.

простенький скрипточекер на эту пакость от умельцев из kumina.nl:

https://github.com/kumina/nagios-plugins-kumina/blob/master/check_fokirtor.sh

видимо через этот бекдор Сноуден сбежал из пентогосии

А название этой библиотеки не сообщается. Нда. Или я спросонья чего-то не понял?

по ходу вот и сам провайдер http://wiki.hetzner.de/index.php/Security_Issue/en

А название этой библиотеки не сообщается. Нда. Или я спросонья чего-то не понял?

Ты сколько спал, лет 50 чтоли? Какая разница, под каким именем тебе впарят это файл?

Скрипт этот явно К.О. писал по тексту новости. Вопрос в том, как так получилось, что этот код подгрузился в чужой процесс.

А тут дело не в использовании. Бэкдоры обычно распространяются хакерами, которые через уязвимость взламывают систему и оставляют в ней бэкдор. Так что не вижу поводов для паники и массовой истерии.

Касперыча накатывать, очевидно же!

Достал коробок древнего касперыча 6.0 и произвел над ним акт дефекации.

Касперыча накатывать

уж лучше коньячку накатить

Действительно. Спросонья мне как-то не пришло это в голову.

А эту ссылку привести религия не позволяет http://wiki.hetzner.de/index.php/Security_Issue/ru ? Так я не понял, это у хетцнера такая жопа?

Если не уточняется происхождение, то вполне возможно, что зафоршмачен ред хат, а вместе с ним и репы всех линуксячьих дистрибутивов.

Достал коробок древнего касперыча 6.0 и произвел над ним акт дефекации.

Раньше в коробках анализы кала сдавали.

Достал агрегат и совершил акт деуринации на лицо петросянящего анонима.

Какая разница, под каким именем тебе впарят это файл?

Такая, что эту библиотеку кто-то должен использовать, в частности, как в топике написано, sshd. Сама собой библиотека к sshd не присосётся. sshd её или сам позвать должен, или через другие библиотеки, с которыми слинкован. Соответственно, или путь на эту библиотеку должен оказаться, к примеру, в ld.so.conf, или она, вообще, должна что-то системное подменить, как есть.

Не зря IBM проталкивает механизмы выполнения только подписанного кода на уровне ядра? Есть возможность подписывать и библиотеки?

ага а после полуночи линукс превратится в тыквук

Скорее патентуй новый способ поиска малвари - по имени файла.

Хорошо, что у меня не установлен sshd!

Круто =]

Скорее патентуй новый способ поиска малвари - по имени файла.

Не файла, а библиотеки. Прочувствуй разницу. Или заставь, без рутового доступа, системный sshd подхватить библиотечную функцию из файла в, например, /tmp. Вперёд. :-)

Не надо устанавливать левое ПО, взятое непонятно откуда. и не будет проблемы. А ещё лучше ПО, которого нет в стандартных репах ,ставить только из исходников.

А исходники лучше перед компиляцией все проверять.

Не файла, а библиотеки. Прочувствуй разницу.

В контексте вопроса разницы не вижу

Или заставь, без рутового доступа, системный sshd подхватить библиотечную функцию из файла в, например, /tmp.

То есть для установки левой библиотеки ты рутовые права всегда предоставляешь, а для копирования файла из /tmp - ни-ни?

лучше спрашивать на ЛОРе местных крупных специалистов по безопасности же!

Вот почему велосипед — один из самых безопасных видов транспорта. :)

Ну да, если есть время и опыт обнаружения скрытого функционала - желательно. Но когда нет ни того, ни другого - приходится доверять разработчику...

То есть для установки левой библиотеки ты рутовые права
всегда предоставляешь, а для копирования файла из /tmp - ни-ни ?

При чём тут это ? Я просто не понимаю, откуда основание для паники. Это что, первый rootkit ? Подумаешь, разделяемую библиотеку содержит; судя по описанию, какую-то системную. Ну и что ? Её ещё надо положить в нужное место. А если возможность положить есть, это уже никак не отличается от варианта, когда есть возможность подменить исполняемый файл.

И контекст исходный - название библиотеки всё же. Интересно же, что подменяют. Хотя и не особенно принципиально, на самом деле.

подмена библиотеки, LD_PRELOAD, или внедение кода в существующую библиотеку?

под-линукс-вирусов-нет.j2k

Не надо устанавливать левое ПО, взятое непонятно откуда. и не будет проблемы

Смотрите, ещё один не знающий, что такое бэкдор!

Не надо устанавливать левое ПО, взятое непонятно откуда. и не будет проблемы. А ещё лучше ПО, которого нет в стандартных репах ,ставить только из исходников.

специалиста издалека видно :)

Не понел, rде ссылка на исходники?

ты вкурсе, что такое и для чего применяется бекдор? у злоумышленника *уже* есть рутовые права.

ты вкурсе, что такое и для чего применяется бекдор?

Прикинь, да.

у злоумышленника *уже* есть рутовые права.

Правда ?! То есть, бэкдор - это рутовые права всегда ? :-)

«Правда ?! То есть, бэкдор - это рутовые права всегда ? :-)»

А ты не знал? Иначе это не бекдор.

А ты не знал ?

Вы делаете мне вечер. :-)

Иначе это не бекдор.

Ну-ну...

Я бы сделал так:

1. прячем код загрузчика бэкдора в виде ядреного модуля, который гарантированно загружается при старте системы

2. кладем либу с нужными нам функциями под невинным именем в /usr/lib

3. мониторим загрузчиком запуск процесса sshd и инжектим ему нашу либу в preload

По lsmod админу модуль не виден, на диске тоже все чисто и никаких модификаций.

А все дело в этом: https://www.kernel.org/doc/Documentation/kprobes.txt

Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.

скорее всего атаки и не было. просто абидели одмина

Вот так всегда

Ищешь программы, которые бы легально позволяли перехватывать системные вызовы, чтобы ограничить работу других программ - не найти, только всякие SELinux, apparmor и прочее, что требует перекомпиляции ядра. А вирусы и бэкдоры делают это на ура. Ну вот и какого хрена спрашивается?

Я вообще не понимаю что с этим июньским Linux.Fokirtor носятся?

Сказано: risk level: very low. Сказано: The Trojan may be installed.

А может быть не инсталед. Рекомендации Симантеча сводятся к отключению папки автозапуска в кедах. Шо здесь непонятного?