Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Cześć, w dniun 13.ego listopada nieznany wcześniej rootkit, wysłany został na listę mailingową Full Disclosure (dostępnej poprzez http://seclists.org) przez anonimową osobę. Rootkit został odkryty na serwerze WWW, który jak się okazało dodawał nieznanego typu [tt]iframe[/tt] do każdej odpowiedzi HTTP wysyłanej przez owy serwer. Ofiara odzyskała plik modułu rootkita i dołączyła go do wiadomości na liście dyskusyjnej, prosząc o wszelkie informacje dotyczące tego zagrożenia. Podobno moduł jądra został skompilowany dla jądra w wersji 2.6.32-5. Jak doskonale wiemy, najnowszy kernel Debiana Squeeze ma właśnie numer 2.6.32-5.
[url=http://seclists.org/fulldisclosure/2012/Nov/94][color=blue]Full Disclosure[/color][/url] oryginalna wiadomość nt. rootkita.
[url=http://www.scmagazine.com/iframe-injecting-linux-rootkit-discovered/article/269252/][color=blue]IFRAME-injecting Linux rootkit[/color][/url] analiza i informacje odnośnie tego zagrożenia.
Co o tym myślicie? Administrujecie ważne maszyny, które wykorzystują kernel 2.6.32-5? Jeśli tak, co zamierzacie zrobić?
Skoro już jesteśmy w tej tematyce; przypominam o skompromitowaniu dwóch klastrów FreeBSD w dniu 11.ego listopada. Dotknięte maszyny zostały postawione w tryb [tt]offline[/tt] w celu analizy. Nie stwierdzono natomiast żadnych zmian, które mogłyby wystawiać użytkowników na jakiekolwiek ryzyko; [url=http://www.freebsd.org/news/2012-compromise.html][color=blue]report[/color][/url].
Offline
o FreeBSD wszyscy wiemy. Nadal trwa audit z tego co zauważyłem.
Offline
Ja na serwerkach (kilka różnych), mam różne jajka, z czego najstarsze, to 3.2.32-grsec.
Pozdrawiam
Offline
To bardzo dobrze, [b]Jacku[/b]! Ten rootkit [i]zaprojektowany[/i] został, jak się okazało, z myślą o systemach 64.ro bitowych. Odniósł jako-taki "sukces", przede wszystkim z powodu niezwykłej funkcjonalności infekowania stron internetowych obsługiwanych na atakowanym serwerze. Okazuje się również, że zapewnia sobie bytność, dodając wpis do skryptu [tt]/etc/rc.local[/tt] w postaci; [tt][color=green]insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko[/color][/tt]. Zresztą, więcej informacji; [url=https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections][color=blue]KLIK[/color][/url]. Zaskoczyło mnie, to kim jest autorka wpisu; [i]Kaspersky Lab Expert[/i].
Mnie, powyższy problem nie dotyczy.
Offline
W squeeze 2.6.32-5 to jest nazwa paczki jadra. Tak na prawde to jest ostatnia stabilna wersja z tej serii, nastepny co glupoty pisze i wprowadza zamet.
Offline
W tych zgłoszeniach z linków jest mowa o 2.6.32-5-amd64 z Debiana Squeeze właśnie.
Offline
Cześć, dokładnie [b]Arn[/b], masz rację. Nie brak w tych postach, szczegółów jeszcze bardziej zdumiewających od; [i]Our OS is debian squeeze[/i] (...). Jeśli przyjmiemy, że [tt]ta[/tt] wypowiedź, to coś przeciwstawnego kulturze, to oto macie głupotę w wielkim stylu, głupotę nowoczesną! I pomyśleć; wystarczyło, tylko kliknąć i przeczytać. Być może powinienem wspomnieć, że użytkownik [b]stack trace[/b] wymienił Squeeze'go, ale chyba wątpiłem w rezultaty, już wtedy byłem sceptykiem. Hop!
Offline
:)
Offline
Time (s) | Query |
---|---|
0.00015 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00170 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.190.253.56' WHERE u.id=1 |
0.00111 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.190.253.56', 1732471217) |
0.00048 | SELECT * FROM punbb_online WHERE logged<1732470917 |
0.00071 | SELECT topic_id FROM punbb_posts WHERE id=216541 |
0.00300 | SELECT id FROM punbb_posts WHERE topic_id=22340 ORDER BY posted |
0.00100 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22340 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00088 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22340 ORDER BY p.id LIMIT 0,25 |
0.00083 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22340 |
Total query time: 0.00995 s |