https://www.opennet.ru/openforum/vsluhforumID3/39872.html Компания Finjan (http://finjan.com/) опубликовала пресс-релиз (http://www.finjan.com/Pressrelease.aspx?PressLan=1819&id=1820), из которого следует, что она обнаружила новый вид сетевой инфекции, из-за которой уже пострадало более 10 тыс. сайтов. Заражению подвержены только компьютеры под управлением Linux с установленным HTTP-сервером Apache.<br><br><br>Марк Кокс из команды безопасности Apache заявил, что не имеет никаких доказательств того, что инфекция эксплуатирует незакрытую уязвимость в Apache. Команда безопасности RedHat тоже заявила, что не может прокомментировать происходящее, т.к. на данный момент еще не получила доступ к инфицированным машинам. Компания cPanel опубликовала предупреждение (http://www.cpanel.net/security/notes/random_js_toolkit.html), в котором описано поведение инфекции после заражения системы ( установка rootkit и замена ряда исполняемых файлов, динамически создающие JavaScript вставки вклинивающиеся в трафик сайтов).<br><br><br>В качестве одного из способов обнаружения паразитной активности, пре https://www.opennet.ru/openforum/vsluhforumID3/39872.html#94 Fri, 22 Feb 2008 08:23:23 GMT &gt;[оверквотинг удален]<br>&gt;все спокойно уж давно как... <br>&gt;<br>&gt;&gt;Чистильщик конечно до безобразия прост. <br>&gt;<br>&gt;да, на sh можно написать <br>&gt;<br>&gt;&gt;Ну и потихоньку сигнатуры собираю чтобы потом в антивирусник прикрученный к <br>&gt;&gt;фтп зарядить чтоб на лету чистило <br>&gt;<br>&gt;вы молодец. <br><br>Надоело это уже так. Своим уже приказал пароли не сохранять ни в каких клиентах ( сохраненные в фаре тоже ворует.) Тех кто в 1ps раскручивал сайт сразу радую чтоб ждали трояна. Некоторым разрешил конекты только с определенных подсетей их провов (ужас как надоел куала-лумпур в логах). Некоторым кто цмски использует и файлы не меняет индексовые просто <br>chattr +i index.*<br><br>Чистильщика у мну два. Один на сш другой на пхп (я был занят, а программер наш только на пхп хорошо и быстро пишит)<br><br>А насчет этой инфекции что-то неправдоподобно. Был раз случай у нас, но там админ аболтус свой ключ прогавил по которому конекты были позволены. А тут просто какой то страх описан<br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#93 Fri, 22 Feb 2008 08:11:52 GMT &gt;Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было. <br>&gt;Я админ хостинга. Ежедневно чистим. <br><br>я своим немногочисленным строго-настрого наказал насчет Тотал Коммандера и смены паролей на FTP.<br>и пару раз заставил самим разгрести.<br>все спокойно уж давно как...<br><br>&gt;Чистильщик конечно до безобразия прост. <br><br>да, на sh можно написать<br><br>&gt;Ну и потихоньку сигнатуры собираю чтобы потом в антивирусник прикрученный к <br>&gt;фтп зарядить чтоб на лету чистило <br><br>вы молодец.<br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#92 Fri, 22 Feb 2008 07:49:41 GMT &gt;[оверквотинг удален]<br>&gt;на яваскрипте появилась уже как полгода. <br>&gt;виноваты в ней пользоователи виндовссс, которые забивают пароли доступа к FTP в <br>&gt;свой Total Commander. <br>&gt;забивают, а потом червяк из совершенно другой сети откуда-нибудь из ЮАР или <br>&gt;что-то в этом духе при помощи этого пароля имеет полный FTP <br>&gt;<br>&gt;<br>&gt;вот каждый раз я радуюсь, что у меня Линукс на PC. а <br>&gt;любители винды сами свое г..вно вычищают со своих сайтов. не дело <br>&gt;это сисадмина :) <br><br>Не полгода. Эта дрянь уже года полтора бегает. Раньше просто меньше было. Я админ хостинга. Ежедневно чистим.<br>Чистильщик конечно до безобразия прост. <br>Ну и потихоньку сигнатуры собираю чтобы потом в антивирусник прикрученный к фтп зарядить чтоб на лету чистило<br><br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#91 Fri, 15 Feb 2008 23:21:03 GMT &gt;&gt;&gt;$ cat /etc/redhat-release <br>&gt;&gt;&gt;CentOS release 5 (Final) <br>&gt;&gt;&gt;# cat /etc/ssh/sshd_config &#124; grep Root <br>&gt;&gt;&gt;#PermitRootLogin yes <br>&gt;&gt;&gt;как видно - закомменчено по дефолту <br>&gt;&gt;Это как раз говорит о том, что по умолчанию разрешено. <br>&gt;Может хватить чушь нести?<br><br>Вот и не несите.<br><br>&gt;А Yes там для того, чтобы удобнее было при необходимости этот рут <br>&gt;доступ включать: коммент снял -- доступ есть. А о дефолтном значении <br>&gt;оно ничего не говорит. <br><br>Когда подрастёте и ознакомитесь с практикой хорошо комментированных именно "в дефолт" конфигов, принятой много где (в частности, в openssh) -- Вам будет стыдно, что когда-то говорили такие глупости.<br><br>А пока -- вот и не несите.<br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#90 Thu, 14 Feb 2008 18:43:03 GMT &gt;&gt;$ cat /etc/redhat-release <br>&gt;&gt;CentOS release 5 (Final) <br>&gt;&gt;<br>&gt;&gt;# cat /etc/ssh/sshd_config &#124; grep Root <br>&gt;&gt;#PermitRootLogin yes <br>&gt;&gt;<br>&gt;&gt;как видно - закомменчено по дефолту <br>&gt;&gt;хватит уже рекламировать Альт ) <br>&gt;<br>&gt;Это как раз говорит о том, что по умолчанию разрешено. <br><br>Может хватить чушь нести? Ну получи доступ к машине как рут, где эта строка закомментирована.<br><br>А Yes там для того, чтобы удобнее было при необходимости этот рут доступ включать: коммент снял -- доступ есть. А о дефолтном значении оно ничего не говорит.<br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#89 Wed, 13 Feb 2008 13:19:55 GMT &gt;&gt;Есть такие вирусы под Windows, который MAC гейта на свой меняет, и <br>&gt;&gt;как прокся выступает подпихивая JS. <br>&gt;<br>&gt;Что за бред вы несёте? <br><br>Э... не бред, однако. Просто криво написано. <br>Вирь проводит arp spoofing свича, встраивая зараженную машину между сервером (прокси, рутером или еще чем) и другими клиентами. Проходящий трафик анализируетя и по возможности модифицируется (вставляется скрипт). <br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#87 Sat, 02 Feb 2008 02:44:23 GMT &gt;Есть такие вирусы под Windows, который MAC гейта на свой меняет, и <br>&gt;как прокся выступает подпихивая JS. <br><br>Что за бред вы несёте?<br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#86 Wed, 30 Jan 2008 15:11:53 GMT &gt; новость не фэйк, как некоторые думают и это не связано с паролями на ftp, ждём дальнейшего разбора.<br><br>Какой там разбор? Дырявый phpmyadmin поюзан. Все кто хотели уже давно разобрались :)<br> https://www.opennet.ru/openforum/vsluhforumID3/39872.html#85 Wed, 30 Jan 2008 12:12:26 GMT &gt;&gt;Собственно, вчера вот и улучшал собиралку/рулилку для контейнеров OpenVZ в ALT Linux <br>&gt;&gt;Server 4.0 :-) <br>&gt;мой опыт с разными мандривами на одном базовом OpenVZ говорит, что смысла <br>&gt;в собиралке/рулилке никакого нет.<br><br>Вообще-то vzctl -- тоже рулилка. А берёшь ты всегда непонятно чьи тарболы, что ли?<br><br>&gt;лучше человеку дать внятный док в один абзац текстом, чем писать скриптами какую-то хрень,<br>&gt;которая будет пытаться автоматизировать создание темплейта. <br><br>Хрень уже скоро год как написана и работает, просто там, как всегда, было что поправить/улучшить (по части юзабельности в первую очередь).<br><br>И я собираюсь *допинать* там те места, которые меня каждый раз анноят при выполнении с помощью bare vzctl :-)<br><br>&gt;этот скрипт обязательно сломается или вы что-то не учтете и вам прийдется <br>&gt;ее поддерживать, тратить время и переписывать... <br>&gt;может я ошибаюсь <br><br>Покрути в руках Server 4.0 на досуге. Эти фиксы войдут в 4.0.2, думаю, но и 4.0.0 работал.<br>