Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-11-21 18:59:43

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

HTTP iframe Injecting rootkit dla Linuksa.

Cześć, w dniun 13.ego listopada nieznany wcześniej rootkit, wysłany został na listę mailingową Full Disclosure (dostępnej poprzez http://seclists.org)  przez anonimową osobę. Rootkit został odkryty na serwerze WWW, który jak się okazało dodawał nieznanego typu [tt]iframe[/tt] do każdej odpowiedzi HTTP wysyłanej przez owy serwer. Ofiara odzyskała plik modułu rootkita i dołączyła go do wiadomości na liście dyskusyjnej, prosząc o wszelkie informacje dotyczące tego zagrożenia. Podobno moduł jądra został skompilowany dla jądra w wersji 2.6.32-5. Jak doskonale wiemy, najnowszy kernel Debiana Squeeze ma właśnie numer 2.6.32-5.

[url=http://seclists.org/fulldisclosure/2012/Nov/94][color=blue]Full Disclosure[/color][/url] oryginalna wiadomość nt. rootkita.
[url=http://www.scmagazine.com/iframe-injecting-linux-rootkit-discovered/article/269252/][color=blue]IFRAME-injecting Linux rootkit[/color][/url] analiza i informacje odnośnie tego zagrożenia.

Co o tym myślicie? Administrujecie ważne maszyny, które wykorzystują kernel 2.6.32-5? Jeśli tak, co zamierzacie zrobić?

Skoro już jesteśmy w tej tematyce; przypominam o skompromitowaniu dwóch klastrów FreeBSD w dniu 11.ego listopada. Dotknięte maszyny zostały postawione w tryb [tt]offline[/tt] w celu analizy. Nie stwierdzono natomiast żadnych zmian, które mogłyby wystawiać użytkowników na jakiekolwiek ryzyko; [url=http://www.freebsd.org/news/2012-compromise.html][color=blue]report[/color][/url].


[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].

Offline

 

#2  2012-11-21 19:50:04

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: HTTP iframe Injecting rootkit dla Linuksa.

o FreeBSD wszyscy wiemy. Nadal trwa audit z tego co zauważyłem.

Offline

 

#3  2012-11-21 19:54:16

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: HTTP iframe Injecting rootkit dla Linuksa.

Ja na serwerkach (kilka różnych), mam różne jajka, z czego najstarsze, to 3.2.32-grsec.

Pozdrawiam


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2012-11-27 20:29:55

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: HTTP iframe Injecting rootkit dla Linuksa.

To bardzo dobrze, [b]Jacku[/b]! Ten rootkit [i]zaprojektowany[/i] został, jak się okazało, z myślą o systemach 64.ro bitowych. Odniósł jako-taki "sukces", przede wszystkim z powodu niezwykłej funkcjonalności infekowania stron internetowych obsługiwanych na atakowanym serwerze. Okazuje się również, że zapewnia sobie bytność, dodając wpis do skryptu [tt]/etc/rc.local[/tt] w postaci; [tt][color=green]insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko[/color][/tt]. Zresztą, więcej informacji; [url=https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections][color=blue]KLIK[/color][/url]. Zaskoczyło mnie, to kim jest autorka wpisu; [i]Kaspersky Lab Expert[/i].

Mnie, powyższy problem nie dotyczy.


[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].

Offline

 

#5  2012-11-28 14:22:50

  bns - unknown

bns
unknown
Zarejestrowany: 2005-12-25
Serwis

Re: HTTP iframe Injecting rootkit dla Linuksa.

Nie dostyczy też tych którzy nie chodza po stronach www na serwerze :)


Pozdrawiam,
[url=http://banasiak.me]bns[/url]

Offline

 

#6  2012-11-28 14:38:12

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: HTTP iframe Injecting rootkit dla Linuksa.

W squeeze 2.6.32-5 to jest nazwa paczki jadra. Tak na prawde to jest ostatnia stabilna wersja z tej serii, nastepny co glupoty pisze i wprowadza zamet.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#7  2012-11-28 16:38:59

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: HTTP iframe Injecting rootkit dla Linuksa.

W tych zgłoszeniach z linków jest mowa o 2.6.32-5-amd64 z Debiana Squeeze właśnie.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#8  2012-12-05 22:08:20

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: HTTP iframe Injecting rootkit dla Linuksa.

Cześć, dokładnie [b]Arn[/b], masz rację. Nie brak w tych postach, szczegółów jeszcze bardziej zdumiewających od; [i]Our OS is debian squeeze[/i] (...). Jeśli przyjmiemy, że [tt]ta[/tt] wypowiedź, to coś przeciwstawnego kulturze, to oto macie głupotę w wielkim stylu, głupotę nowoczesną! I pomyśleć; wystarczyło, tylko kliknąć i przeczytać. Być może powinienem wspomnieć, że użytkownik [b]stack trace[/b] wymienił Squeeze'go, ale chyba wątpiłem w rezultaty, już wtedy byłem sceptykiem. Hop!


[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].

Offline

 

#9  2012-12-05 22:16:32

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: HTTP iframe Injecting rootkit dla Linuksa.

:)


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00008 SET NAMES latin2
0.00124 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.14.249.104' WHERE u.id=1
0.00104 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.14.249.104', 1732477485)
0.00045 SELECT * FROM punbb_online WHERE logged<1732477185
0.00038 SELECT topic_id FROM punbb_posts WHERE id=215846
0.00005 SELECT id FROM punbb_posts WHERE topic_id=22340 ORDER BY posted
0.00068 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22340 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00213 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22340 ORDER BY p.id LIMIT 0,25
0.00079 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22340
Total query time: 0.00702 s