Forum Debian Users Gang

remi · 2012-11-21 18:59:43

Cześć, w dniun 13.ego listopada nieznany wcześniej rootkit, wysłany został na listę mailingową Full Disclosure (dostępnej poprzez http://seclists.org) przez anonimową osobę. Rootkit został odkryty na serwerze WWW, który jak się okazało dodawał nieznanego typu [tt]iframe[/tt] do każdej odpowiedzi HTTP wysyłanej przez owy serwer. Ofiara odzyskała plik modułu rootkita i dołączyła go do wiadomości na liście dyskusyjnej, prosząc o wszelkie informacje dotyczące tego zagrożenia. Podobno moduł jądra został skompilowany dla jądra w wersji 2.6.32-5. Jak doskonale wiemy, najnowszy kernel Debiana Squeeze ma właśnie numer 2.6.32-5.

[url=http://seclists.org/fulldisclosure/2012/Nov/94][color=blue]Full Disclosure[/color][/url] oryginalna wiadomość nt. rootkita.
[url=http://www.scmagazine.com/iframe-injecting-linux-rootkit-discovered/article/269252/][color=blue]IFRAME-injecting Linux rootkit[/color][/url] analiza i informacje odnośnie tego zagrożenia.

Co o tym myślicie? Administrujecie ważne maszyny, które wykorzystują kernel 2.6.32-5? Jeśli tak, co zamierzacie zrobić?

Skoro już jesteśmy w tej tematyce; przypominam o skompromitowaniu dwóch klastrów FreeBSD w dniu 11.ego listopada. Dotknięte maszyny zostały postawione w tryb [tt]offline[/tt] w celu analizy. Nie stwierdzono natomiast żadnych zmian, które mogłyby wystawiać użytkowników na jakiekolwiek ryzyko; [url=http://www.freebsd.org/news/2012-compromise.html][color=blue]report[/color][/url].

Yampress · 2012-11-21 19:50:04

o FreeBSD wszyscy wiemy. Nadal trwa audit z tego co zauważyłem.

Jacekalex · 2012-11-21 19:54:16

Ja na serwerkach (kilka różnych), mam różne jajka, z czego najstarsze, to 3.2.32-grsec.

Pozdrawiam

remi · 2012-11-27 20:29:55

To bardzo dobrze, [b]Jacku[/b]! Ten rootkit [i]zaprojektowany[/i] został, jak się okazało, z myślą o systemach 64.ro bitowych. Odniósł jako-taki "sukces", przede wszystkim z powodu niezwykłej funkcjonalności infekowania stron internetowych obsługiwanych na atakowanym serwerze. Okazuje się również, że zapewnia sobie bytność, dodając wpis do skryptu [tt]/etc/rc.local[/tt] w postaci; [tt][color=green]insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko[/color][/tt]. Zresztą, więcej informacji; [url=https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections][color=blue]KLIK[/color][/url]. Zaskoczyło mnie, to kim jest autorka wpisu; [i]Kaspersky Lab Expert[/i].

Mnie, powyższy problem nie dotyczy.

bns · 2012-11-28 14:22:50

Nie dostyczy też tych którzy nie chodza po stronach www na serwerze :)

mati75 · 2012-11-28 14:38:12

W squeeze 2.6.32-5 to jest nazwa paczki jadra. Tak na prawde to jest ostatnia stabilna wersja z tej serii, nastepny co glupoty pisze i wprowadza zamet.

ArnVaker · 2012-11-28 16:38:59

W tych zgłoszeniach z linków jest mowa o 2.6.32-5-amd64 z Debiana Squeeze właśnie.

remi · 2012-12-05 22:08:20

Cześć, dokładnie [b]Arn[/b], masz rację. Nie brak w tych postach, szczegółów jeszcze bardziej zdumiewających od; [i]Our OS is debian squeeze[/i] (...). Jeśli przyjmiemy, że [tt]ta[/tt] wypowiedź, to coś przeciwstawnego kulturze, to oto macie głupotę w wielkim stylu, głupotę nowoczesną! I pomyśleć; wystarczyło, tylko kliknąć i przeczytać. Być może powinienem wspomnieć, że użytkownik [b]stack trace[/b] wymienił Squeeze'go, ale chyba wątpiłem w rezultaty, już wtedy byłem sceptykiem. Hop!

ArnVaker · 2012-12-05 22:16:32

:)

Time (s)	Query
0.00010	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00110	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='52.15.185.147' WHERE u.id=1
0.00091	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '52.15.185.147', 1732477764)
0.00040	SELECT * FROM punbb_online WHERE logged<1732477464
0.00059	SELECT topic_id FROM punbb_posts WHERE id=215861
0.00005	SELECT id FROM punbb_posts WHERE topic_id=22340 ORDER BY posted
0.00092	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22340 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00316	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22340 ORDER BY p.id LIMIT 0,25
0.00126	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22340
Total query time: 0.00858 s

Forum Debian Users Gang

Ogłoszenie

#1 2012-11-21 18:59:43

remi - amputować akrobatów

HTTP iframe Injecting rootkit dla Linuksa.

#2 2012-11-21 19:50:04

Yampress - Imperator

Re: HTTP iframe Injecting rootkit dla Linuksa.

#3 2012-11-21 19:54:16

Jacekalex - Podobno człowiek...;)

Re: HTTP iframe Injecting rootkit dla Linuksa.

#4 2012-11-27 20:29:55

remi - amputować akrobatów

Re: HTTP iframe Injecting rootkit dla Linuksa.

#5 2012-11-28 14:22:50

bns - unknown

Re: HTTP iframe Injecting rootkit dla Linuksa.

#6 2012-11-28 14:38:12

mati75 - Psuj

Re: HTTP iframe Injecting rootkit dla Linuksa.

#7 2012-11-28 16:38:59

ArnVaker - Kapelusznik

Re: HTTP iframe Injecting rootkit dla Linuksa.

#8 2012-12-05 22:08:20

remi - amputować akrobatów

Re: HTTP iframe Injecting rootkit dla Linuksa.

#9 2012-12-05 22:16:32

ArnVaker - Kapelusznik

Re: HTTP iframe Injecting rootkit dla Linuksa.

Stopka forum

Informacje debugowania