OpenForum RSS: OpenNews: Для Linux выпущен руткит принципиально нового типа https://opennet.ru/openforum/vsluhforumID3/43709.html Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила (http://lists.immunitysec.com/pipermail/dailydave/2008-September/005323.html) руткит DR Linux 2.6 (http://www.immunityinc.com/resources-freesoftware.shtml) (Debug Register Rootkit для Linux ядра 2.6.x), реализующего принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника. В рутките (rootkit) также предусмотрена возможность удаленного управления, через специально разработанный бэкдор, работающий в виде скрытого пользовательского процесса.<br><br><br>Кроме того, автоматически скрываются дочерние процессы и сокеты, порождаемые спрятанными программами, при этом для таких программ все скрытые руткитом ресурсы являются открытыми. Установка DR Linux 2.6 производится через загрузку модуля ядра.<br><br><br>Вместо классического перехвата обработки системных вызовов или таблицы прерываний (IDT), которые легко обнаруживается утилитами для анализа системы на предмет наличия скрытого ...<br><br>URL: http://lists.i Для Linux выпущен руткит принципиально нового типа (User294) https://opennet.ru/openforum/vsluhforumID3/43709.html#98 Sun, 21 Sep 2008 19:02:07 GMT &gt;GNU это вирус для мозгов. <br><br>А мне этот вирус нравится :) он живет в симбиозе с его носителями.Так же как есть вредные бактерии а есть полезные.Вот от этого вируса я пока вижу тольуо пользу.И для себя и не только для себя.<br> OpenNews: Для Linux выпущен руткит принципиально нового типа (User294) https://opennet.ru/openforum/vsluhforumID3/43709.html#97 Thu, 11 Sep 2008 21:58:10 GMT &gt;Ну так по любому можно поламать с root доступом, <br><br>Ламают обычно ламеры.Остальные ломают :P<br> Для Linux выпущен руткит принципиально нового типа (561) https://opennet.ru/openforum/vsluhforumID3/43709.html#96 Thu, 11 Sep 2008 12:55:38 GMT &gt;Будучи root'ом можно настолько забить систему задачами (например поразвлекавшись их запуском с реалтаймным шедулингом или ренайсом) что заколебетесь окончания шатдауна ждать<br><br>так и не надо подобные эксперементы на продакшене проводить, к чему это?<br><br>&gt;Можно.А в чем проблемы то?<br><br>да даже не знаю в чем, конкретно ответить не могу, какое-то внутренее сопротивление, если желаете - мое чувство эстетики не позволяет :). Хотя с другой стороны выглядит даже лучше, к примеру можно унести на другую машину один из сервисов. И все равно не понятно как этим рулить, многие сервисы взаимосвязаны, к примеру если разносить днс и апач, то при добавлении нового сайта нужно его и в днс-ах прописать, как это сделать автоматом на разных виртуалках и/или тем более, если виртуалка с днс унесена на другую машину? городить какое-то удаленное управление - очередная дыра... как следить, обновлять, проверять софт, если на каждой виртуалке будет свой набор ПО, на машине у вас будет с десяток виртуалок, и машин штук десять, т.е. увеличи Для Linux выпущен руткит принципиально нового типа (User294) https://opennet.ru/openforum/vsluhforumID3/43709.html#95 Thu, 11 Sep 2008 11:45:16 GMT &gt;если случилось что-то жесткое на сервере, имеется мониторилка и админ не ротозей, <br>&gt;то в большинстве случаев, если ssh умерло, отца русской демократии спасет <br>&gt;КВМ,<br><br>КВМ - имеется в виду консольный свич чтоли?А если я при этом в N км от сервера, как он меня спасет то?В случае с OpenVZ есть возможность дать пинка проблемной виртуалке его средствами, в частности это возможно сделать и удаленно при желании(разумеется позаботившись о том чтобы хаксоры этого сделать не могли).При том как уже замечалось - при этом стоит колом только 1 конкретная виртуалка, хавая в наихучшем случае всего лишь максимум ресурсов позволенный квотами.Остальные сервисы на соседних виртуалках даже не заметят что что-то не так.<br><br>&gt;и кнопку reset жать совсем не обязательно, <br>&gt;на худой конец можно и ктрл+альт+делитом обойтись из той же КВМ.<br><br>Будучи root'ом можно настолько забить систему задачами (например поразвлекавшись их запуском с реалтаймным шедулингом или ренайсом) что заколебетесь окончания шатдауна ждать.Что до ремотного управ Для Linux выпущен руткит принципиально нового типа (www2) https://opennet.ru/openforum/vsluhforumID3/43709.html#94 Thu, 11 Sep 2008 05:34:14 GMT &gt;а чем сетвуха не ресурс машины? канал не обязательно забивать если он <br>&gt;гигабитный, а сетевуха стомегабитная. <br>&gt;<br>&gt;&gt;Вообще от любого DoS'а в общем случае защиты нет.<br>&gt;<br>&gt;это какой такой общий случай? <br><br>Вы не понимаете оборота речи "общий случай"? Учите русский язык.<br><br>В большинстве случаев техническими средствами нельзя преодолеть последствия DoS-атаки. Какие-то технические решения могут лишь снизить эффект от воздействия, могут устранить побочные эффекты (влияние на не находящиеся под атакой сервисы или ресурсы), но универсального технического решения нет. Можно только найти тело, организовавшее атаку, и открутить этому телу голову.<br> Для Linux выпущен руткит принципиально нового типа (Nick) https://opennet.ru/openforum/vsluhforumID3/43709.html#93 Thu, 11 Sep 2008 02:43:06 GMT &gt;так мы же о OpenVZ? <br><br>пардон, конечно, что влез не в свой спор.<br>Я увидел, что речь о вируталках. Ну дык cgroups уже практически догоняет OpenVZ<br>(это, собсно, их же патчи, принятые в ваниллу). За сим, да, мы и об OpenVZ<br>тоже, его ванильной реинкарнации :)<br> Для Linux выпущен руткит принципиально нового типа (561) https://opennet.ru/openforum/vsluhforumID3/43709.html#92 Thu, 11 Sep 2008 02:38:45 GMT так мы же о OpenVZ?<br> Для Linux выпущен руткит принципиально нового типа (Nick) https://opennet.ru/openforum/vsluhforumID3/43709.html#91 Thu, 11 Sep 2008 02:22:08 GMT &gt;Как вам представляется такое: серверу выделен один ip и на этом ip <br>&gt;должно висеть несколько сервисов<br><br>типичная ситуация<br><br><br>&gt;каждый из которых заключен в свою виртуалку? НАТ городить?<br><br>Линуховые cgroups: можно шарить или разделять как ресурсы, так и сетевой<br>namespace.<br>Так вот в этом случае сетка может остаться одна, а вот по ресурсам<br>(проц, память и т.д.) порезать каждый сервис в свою песочницу.<br>Порты все слушают на одном ИП, а выполняют запросы за счет своих лимитов.<br><br><br>&gt;кстати во фре<br><br>ах да.... %) понятно<br> Для Linux выпущен руткит принципиально нового типа (561) https://opennet.ru/openforum/vsluhforumID3/43709.html#90 Thu, 11 Sep 2008 02:12:01 GMT если случилось что-то жесткое на сервере, имеется мониторилка и админ не ротозей, то в большинстве случаев, если ssh умерло, отца русской демократии спасет КВМ, и кнопку reset жать совсем не обязательно, на худой конец можно и ктрл+альт+делитом обойтись из той же КВМ. Ну да это все не важно... <br>Как вам представляется такое: серверу выделен один ip и на этом ip должно висеть несколько сервисов каждый из которых заключен в свою виртуалку? НАТ городить?<br>кстати во фре некоторые проблемы ресурсов решаются чтением man login.conf<br>