OpenForum RSS: Результаты анализа бэкдора, используемого при взломе серверо... https://opennet.me/openforum/vsluhforumID3/99410.html Опубликован (https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-linux-backdoor-used-in-freenode-irc-network-compromise/) анализ бэкдора, который в результате взлома (http://www.opennet.ru/opennews/art.shtml?num=40585) серверов IRC-сети Freenode был внедрён для оставления скрытого входа в систему. Для активации доступа злоумышленников к бэкдору использовалась техника "port knocking", при которой после отправки специально оформленного набора пакетов, сервер инициировал канал связи к заявившему о себе узлу злоумышленников. Для скрытия информации в канале связи применялось шифрование. Такой подход позволил не привязывать бэкдор к IP-адресам управляющих узлов. Выявлением в трафике активирующей бэкдор последовательности пакетов занимался специально подготовленный модуль ядра ipt_ip_udp, использующий подсистему netfilter для перехвата пакетов.<br><br><br>&lt;center&gt;&lt;a href="https://www.nccgroup.com/media/481525/dc-blog-1.png"&gt;&lt;img src="http://www.opennet.ru/opennews/pics_base/0_1413350904.png" style="border-style: so Результаты анализа бэкдора, используемого при взломе серверо... (Dobro) https://opennet.me/openforum/vsluhforumID3/99410.html#7 Mon, 17 Nov 2014 11:40:31 GMT Реверс-инжиниринг, же.<br> Результаты анализа бэкдора, используемого при взломе серверо... (Аноним) https://opennet.me/openforum/vsluhforumID3/99410.html#6 Mon, 10 Nov 2014 10:57:37 GMT putty.exe сам транслирует логины и пароли рутовые? А если намек на то что раз putty.exe значит винда, а раз винда значит кейлогер/троян. То в общем от аппаратного кейлогера вообще никто не защищен =) А еще гораздо проще просто с людьми договорится/запугать/заплатить и получить нужные данные. И тогда хоть путти.ехе хоть пусси.ехе... <br> Результаты анализа бэкдора, используемого при взломе серверо... (piteri) https://opennet.me/openforum/vsluhforumID3/99410.html#5 Wed, 15 Oct 2014 12:23:34 GMT Ну как обычно такое делают? Наверняка кто-то из админов использовал putty.exe.<br> Результаты анализа бэкдора, используемого при взломе серверо... (Аноним) https://opennet.me/openforum/vsluhforumID3/99410.html#4 Wed, 15 Oct 2014 10:03:17 GMT А сорцы ipt_ip_udp где?<br> Результаты анализа бэкдора, используемого при взломе серверо... (Аноним) https://opennet.me/openforum/vsluhforumID3/99410.html#2 Wed, 15 Oct 2014 05:56:18 GMT &gt; специально подготовленный модуль ядра ipt_ip_udp<br><br>Нормально так :). Теперь пропатчить немного троян, чтобы отгружал злодею пробэкдореные или фэйковые файлы и сделать вид что бэкдор не нашли. Попутно делая за кадром троллфэйс.<br> Результаты анализа бэкдора, используемого при взломе серверо... (SCIF) https://opennet.me/openforum/vsluhforumID3/99410.html#1 Wed, 15 Oct 2014 05:45:54 GMT Бэкдор, порткнокинг, это всё прекрасно, но как они получили шелл, да ещё и рутовый (чтобы правила для iptables рисовать)??<br>