Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53573
задайте пароль с конской энтропией или юзайте ключи (меньше спама в логах)
Юзайте ключи + TOTP
А толку от настройки авторизационного фактора владения два раза? Уж лучше тогда сделать полноценную двухфакторную аутентификацию пароль+otp или пароль+ключ вместо однофакторной ключ+otp.
fail2ban решает массу проблем
> fail2ban решает массу проблеми добавляет пачку новых.. например начинаются тормоза
> и добавляет пачку новых.. например начинаются тормозаЭм, какие это он тормоза добавляет?
>> и добавляет пачку новых.. например начинаются тормоза
> Эм, какие это он тормоза добавляет?огромная, как только разрастается таблица блокировок
Имей совесть, пожалуйста, открой для себя ipset.
Впрочем, даже с обычным iptables несколько тысяч правил не добавляли заметных тормозов (дело было совсем не на первопне, конечно, да и не на десятках гигабит трафика, но в тех случаях и решения другие нужны).
> Имей совесть, пожалуйста, открой для себя ipset.
> Впрочем, даже с обычным iptables несколько тысяч правил не добавляли заметных тормозов
> (дело было совсем не на первопне, конечно, да и не на
> десятках гигабит трафика, но в тех случаях и решения другие нужны).причем тут ipset, если fail2ban сам контролирует правила...
я всего лишь указал блокировать перманентно при достижении определенных условий
CentOS 7, 400 MBit/s канал...через месяц тормоза сетки огромнейшие уже после месяца работы сервера
дамп правил более 2MB
короче не надо трали вали..
fail2ban - это наколенная поделка, работающая как костыль для ограниченного набора случаев
и ни разу не панацея, как было озвучено
> причем тут ipset, если fail2ban сам контролирует правила...Какие правила (action rules) настроишь, так и будет контролировать, так что не так уж и сам. А одна проверка ipset с хеш-таблицей, очевидно, много быстрее линейного списка (который там в настройках по умолчанию используется).
> я всего лишь указал блокировать перманентно при достижении определенных условий
> CentOS 7, 400 MBit/s канал...И какой при этом actionban прописал? Или даже не заглядывал в соответствующий конфиг, но оценочные суждения про наколенные поделки высказываешь? Такой подход — не дело.
> через месяц тормоза сетки огромнейшие уже после месяца работы сервера
«Сдуру можно и не только конечность сломать». Не говоря уж о том что такие вещи численно нужно приводить.
> и ни разу не панацея, как было озвучено
Панацеи вообще нет, решения приходится применять в комплексе.
>[оверквотинг удален]
>> я всего лишь указал блокировать перманентно при достижении определенных условий
>> CentOS 7, 400 MBit/s канал...
> И какой при этом actionban прописал? Или даже не заглядывал в соответствующий
> конфиг, но оценочные суждения про наколенные поделки высказываешь? Такой подход —
> не дело.
>> через месяц тормоза сетки огромнейшие уже после месяца работы сервера
> «Сдуру можно и не только конечность сломать». Не говоря уж о том
> что такие вещи численно нужно приводить.
>> и ни разу не панацея, как было озвучено
> Панацеи вообще нет, решения приходится применять в комплексе.в данном случае отключение логина по паролю как раз и является той самой панацеей.. быстро, просто, без флуда в логах, и никаких тормозов по дефолту.
> fail2ban решает массу проблемфакт
> fail2ban решает массу проблемПохоже сабж (или кого я уже несколько дней в логах попыток подключений по SSH вижу) на этот счёт продуман: пришло с одного IP соединение, после трёх неудачных попыток перебора было отключено, всё, больше с этого IP он в ближайшее время не ходит, но вскоре приходит пытаться со следующего (из совершенно другой подсети).
>или юзайте ключи (меньше спама в логах)Никуда спам в логах не денется. Попытки входа по паролю будут в логе.
>>или юзайте ключи (меньше спама в логах)
> Никуда спам в логах не денется. Попытки входа по паролю будут в
> логе.он имеет в виду, что когда ключ защищенный суперпаролем 213 утекет - в логах вообще ничего не будет (главное, интерактивную сессию не открывать)
если вход по паролю запрещен - не будет
>>или юзайте ключи (меньше спама в логах)
> Никуда спам в логах не денется. Попытки входа по паролю будут в
> логе.если отключена аутенфикация по паролю разве они пишет попытку соеденения?
чёт не помню я такого, надо проверить...
Пишут.
> Пишут.но даже если это так, то хотя бы не пишется число неудачных соединений во время старта сеанса SSH
сообщение по идее все равно меньше
одним ботнетом больше, одним меньше, как разница. у меня на всех мощности хватит.
fail2ban после его установки сразу решает массу проблем
Кроме отсутствия мозга.
Ну, кто там утверждал, что на go ничего не написано?
Попутал? Это на Расте ничего не написано. Но го полно годноты написано.
О какой годноте речь, если сам Google отказался от Go в своей ОС? https://fuchsia.dev/fuchsia-src/contribute/governance/policy...
Не бредь, пожалуйста.
Это не я, это Google:The Fuchsia Platform Source Tree has had negative implementation experience using Go. The system components the Fuchsia project has built in Go have used more memory and kernel resources than their counterparts (or replacements) the Fuchsia project has built using C++ or Rust. Decision: Go is not approved.
Да, Go не для resourse constrained приложений, это факт. Go - это компромис между удобством написания более-менее сложной логики и производительности. В fuschia его попытались применить в месте, где нужна была производительность без компромиссов, и получили негативный экспириенс.Однако Dart у них заапрувлен. Т.е. то, что Go мог конкурировать с Dart, вместо Rust, им в голову не пришло.
Жаль.
>> то, что Go мог конкурировать с Dart, вместо Rust, им в голову не пришлоНе понимаю логики. Почему "вместо Rust", если Rust как раз подходит для resource constrained приложений? Dart и Rust здесь никак не конкурируют. Насколько я понимаю, Dart там на правах языка чтоб быстро окошки писать.
Я имел в виду, что Go не может конкурировать с C, C++ и Rust на поле максимальной производительности.Go может конкурировать с Java и Dart, т.е. там, где нужно и относительно быстро, и относительно удобно.
Авторы же fuschia пытались его применить там, где нужна максимальная производительность. Закономерно поимели негативный опыт, и несправедливо забанили.
А может еще и подковерная борьба: известно, что Dart с самого начала предполагался прикладным языком в fuschia. Видимо, воспользовавшись негативным фидбэком от написания реализации сети на Go, команда, лоббирущая Dart решила придержать внутреннего конкурента.
О куче годноты, которая не является операционной системой :)
Ну, кто там утверждал, что на go ничего не написано?> Вот потому его и обнаружили. А был бы на Rust, то и не нашли бы
Естественно. Как можно найти вирус на rust, если на нём никто не пишет? Мозилла не в счёт, она делает вид что это кому-то надо.
На Haskell, может быть, кто-то бы и написал что-то, но всем лень, даже языку.
А Amazon, Facebook, Microsoft в счёт?
> Мозилла не в счёт, она делает вид что это кому-то надоКонечно надо, разработчикам KAV и Я.Бар
Если это ирония, то какая-то тонкая, раскрой чтоли? Если не ирония, то поделись инфой, а то по сабжу ничего не находится
ничего хорошего не написано) второй раз желания писать не возникает, корявый язык
Ты прав Раст еще та раскоряка. Один раз попробовав второй раз писать на Расте не захочется никому.
Ну почему, если выбирать между ним и крестами… Крестовикам захочется, вероятно.
Удавиться, что бы не писать на ржавом
Пасибо, порадовал)
"что эта новость делает на опеннете?! Где исходники?!"(ну или хотя бы где собранный-то скачать для некоммерческого использования исключительно в целях ознакомления, я ж тоже хочу из г0вна на курорт!)
Это такой троллинг поверивших в руткит Дроволом https://www.opennet.dev/openforum/vsluhforumID3/121575.html#434
Ну я поверил, чо - как обычно, русские делали - нахер ненужно, никому не видно, очередная подкованная блоха.Вон, назови свой процесс php-fpm, и незачем его прятать. Похоже, тому червю даже рут необязательно получать.
Так что вот эту хрень - явно какой-то умный поляк писал. Не слишком умный, ровно настолько чтоб сделать все из обычных деталей (небось еще и 90% - готовые модули игогошечки), хорошо и надежно.
Но исходники, сволочь, зажал. А у меня, между прочим, даже список к кому подобрать пароль - готовый есть.
> Где исходники?!"https://github.com/guardicore/labs_campaigns/tree/master/Fri...
ну что за г-но ты нашел?
This repository contains a list of IoCs and a detection tool for the FritzFrog campaign.
Repository ContentsNames and hashes of files dropped as part of the attack
Source IP addresses from which attacks on Guardicore Global Sensors Network were seen
IP addresses of connect-back machines, allegedly infected by the malware
Public SSH key used by the attacker as a backdoorОт последнего еще есть какая-то польза, но реверсить компилированный игогошник будет совершенно унылым занятием.
> ну что за г-но ты нашел?
> От последнего еще есть какая-то польза, но реверсить компилированный игогошник будет совершенно унылым занятием.говна дай, ложку дай...
ты совсем обленился.
> Все узлы ботнета поддерживают распределённую БД с информацией об атакуемых и скомпрометированных системах.Ну норм. Получили доступ к одной машине — можно одновременно ребутнуть все зараженные или выполнить на них код для одновременного удаления червя.
> Ну норм. Получили доступ к одной машине — можно одновременно ребутнуть все зараженные или
> выполнить на них код для одновременного удаления червя.с чего ты взял? Судя по тому как аккуратненько, в лучших традициях курсовиков сделано - получив доступ к одной машине, ты можешь только зачистить ее. Данные червяка - в памяти, и как к ним добраться ты не в курсе, апи для таких умных тоже не предусмотрено, он для кого-то у кого есть ключи.
А если бы они у меня были - нахрена мне там выполнять какой-то код для удаления? Надо просто поменять номерок кошелька.
Если это классический червь, который распространяется сам, без взаимодействия с командным центром, то в каждой копии должена быть не только открытая часть ssh ключа, но и закрытая. Так что достаточно получить физический доступ к одной зараженной машине с рут доступом и, где бы там этот ключ не хранился, его можно выковырять, тем самым получив доступы ко вем остальным.А уж что делать с этими машинами: менять номер кошелька или удалять с них червя, это уже на совести каждого человека.
У вас не хватает воображения предположить наличие фиксированного набора непривилегированных команд для заражения, и произвольных команд по подписи?
Автор, похоже, не дурак, и вполне мог предусмотреть подписывание команд.
подключение тупо по паролю - зло
Подключайся штекером.
о, я бы с радостью, чувак
Брут идёт адский на сегменте IPv4, даже если сменить порт 22 на другой - боты всё равно находят и как стая собак накидываются.
На v6 однако тишь да гладь да админско благодать.
Ну все пора отменять IPv4
Пиши в личку.
Недорого продам 127.73.84.0/24.быстрый пинг. доступ в любой точке мира.
У меня порт на ssh четырёх значный, вообще никто не лезет, уже 3 года.
192.168.0.1:2222
Почти, 5522, и не в локалке, как в твоих маняфантазиях, а на ovh-ном дедике. Впрочем твой скорее всего вообще будет в подсети 192.168.122.0/24
Ты как тот Анон, который удалил антивирус и говорит что у него нет вирусов.
а может и правда нет, кому он нахрен нужен? Там в новости внятно описано что в круг интересов этого трояна входят банки, дорогие компы подаренные вузам и прочее, где есть чем поживиться в плане ресурсов. А "дедики" из мусора в ovh его не интересуют, на каком бы порту там не слушало ненужно.На них ничего не намайнишь, только лишняя ненужная засветка ботнета.
Лорчую этого адеквата. В нынешнее время крипту майнят только на взломанных супер-компьютерах. i9, amd epyc годятся только сайти на WP держать.
Каким местом я на того анона похож? Смотрю логи sshd - только мои авторизации. Ты мне хочешь доказать что если ко мне никто не лезет, значит у меня через сервер пол китая уже ходит? Я просто твоей логики не вижу абсолютно.
Кали хакер в треде. Все гасите свои вайфаи
>даже если сменить порт 22 на другойНеправда, на всех серверах ssh на порту 65533 и НИКОГДА нет брутов.
Теперь будет.
Я так понял если юзать fail2ban и подобное то все ок?
Лучше отключить парольную авторизацию в конфиге и пользоваться ключами. Тогда переборы не страшны. Fail2ban сверху стоит тоже включить, для большей безопасности. Или sshguard.
если не юзать linux то все ок
Нет.
чего это только линукс? Игогошечные программы прекрасно и под виндой запускаются - главное, не забыть оставить открытым ssh'ный сервис.
Скорее x86. :)
> Скорее x86. :)неуловимый джо нахер никому не нужен, да.
И, кстати, сколько там у тебя xmrig показывает? (а, ну да, ну да, он же ж не собирается на попиломатериалах, ты в безопастносте)
А я и не пробовал хлам собирать, даром что в репозиторий кто-то засунул.
Чому сразу хлам-то. Может, и не очень хороший, но и всё-таки не самый плохой бенчмарк для сравнения архитектур и компиляторов, уже ради этого можно собрать и запустить. Вдруг какие-то узкие места вылезут.
Есть и более полезные ;-)
Брутфорс работает не только на x86, но также на arm, mips, riscv, avr, power, amd64, и многих других. Если он не работает на эльбрусе, то прими мои сожаления.
> Брутфорс работает не только на x86, но также на arm, mips, riscv,да нахер он нужен, неуловимый джо-то, если на нем ДАЖЕ майнить нельзя?
Хакнут мишин ель-брус, понюхают - фу, бесполезные дрова, и пойдут искать цель пожырнее.
Вот научится Го под Эльбрус компилировать и безопасности конец.
не. неуловимый джо по прежнему будет нахрен никому не нужон.
Там в том xmrig'е ажно промеряется глубина кэша, и задействуются не все подряд ядра, а так чтоб за этот кэш не вываливаться (то есть от лишних ядер толку по мнению автора много меньше чем от потерь на копировании из памяти - а аффтар, заметь, не лох, и 10% майнит в свой карман). Как ты ЭТО собрался портировать на проц с закрытой архитектурой?А без кэша оно ничего тебе не намайнит, да еще на процессоре с на редкость неэффективной системой команд (опять же - пооптимизировать под нее может и было бы можно, но товарищмайор не велят), так все твои монетки гораздо раньше откопают ломанувшие модные i9 где там... в образовательных учреждениях (все равно студни там только в танчики др-ат) банках и прочих местах.
/уходит пересобирать ведро для менее икс-клюзивной архитектуры. Вроде даже майнить можно.
> Как ты ЭТО собрался портировать на проц с закрытой архитектурой?(терпеливо) Написал же -- я ЭТО даже на сборку не стал отправлять.
> А без кэша оно ничего тебе не намайнит, да еще на процессоре
> с на редкость неэффективной системой командЭто когда трёхсотмегагерцовый камушек на вылизанном под него госте вздрючивает полуторагигагерцовый c2d? Ну да, конечно, зелен виноград.
> так все твои монетки гораздо раньше откопают
Мои -- нет: они вообще физические; а на поле чудес копайтесь сами.
А код под эльбрус скомпилирован?
Во-от.Собственно, потому и упомянул [!]x86, а не именно e2k.
И да, с неуловимостью вполне согласен -- причём я помню, как тот же человек, который нынче подписывается здесь "пох.", учил меня применять и этот метод (конкретно "редкая архитектура") как действенный для построения труднопрошибаемых систем. Лет двадцать уж назад, наверное... тогда речь была про альфу в качестве примера.
> как действенный для построения труднопрошибаемых систем.да, но речь не шла о врагах в виде ЦРУ, NSA, и "друзьях" из КПК, а об обычных дол..ах, которые на самом деле обламываются уже на том что id_rsa у тебя называется id.rsa
Те-то, полагаю, давным-давно себе купили по три эльбруса, каждый. И консультации разработчиков тоже оплатили заранее.
> Те-то, полагаю, давным-давно себе купили по три эльбруса, каждый.Припоминая КОКОМ -- вполне вероятно.
> И консультации разработчиков тоже оплатили заранее.
А вот здесь -- максимум Бабаяна с Пентковским и иже с ними. Бишь какой там уровень -- ~середины нулевых?
Ну а че б и не Бабаяна? Я, ещё будучи студентом МФТИ в самом начале нулевых, слушал в МЦСТ лекции о VLIW архитектурах как раз на примере тогдашнего (ещё бумажного) e2k. Судя по недавно опубликованным на сайте МЦСТ материалам, принципиально ничего не изменилось.
> опубликованным на сайте МЦСТ материалам, принципиально ничего не изменилось.неисключено что потому, что и не очень получится.
Как оно там...
Расчёты-то от профессора остались, но без самого профессора лично я бы не рисковал ими воспользоваться.
> Расчёты-то от профессора остались, но без самого профессора лично
> я бы не рисковал ими воспользоваться.Профессор-то другой был, что характерно.
А для них отлично работает метод неуловимого Джо.
> А для них отлично работает метод неуловимого Джо.к сожалению, даже мне в свое время немного удалось вляпаться в сферы, где этот метод от них не работает, поскольку выполняемые задачи представляли собой их прямой оплачиваемый интерес.
А уж специалистам по сделаноунасам, как Михаил, другие темы, в общем-то, и не светят (потому что выберут не их)
Разумеется, можно надеяться что метод неуловимого джо сработает глобально, и страна с экономикой чуть поменьше испанской вообще нафиг не уперлась, но вот насчот китайских друзей я как-то не уверен - ибо опять же сталкивался что им совсем не лень нагнуться за любой мелочью, если плохо лежит.
> А уж специалистам по сделаноунасам, как Михаил, другие темы, в общем-то, и не светят (потому что выберут не их)Ну есть же административный метод, применяемый как родным, так и неродным правительством. Вот видите, как радостно Кетай сейчас переходит на свои процессоры.
> Разумеется, можно надеяться что метод неуловимого джо сработает глобально
Это точно нет.
>> Разумеется, можно надеяться что метод неуловимого джо сработает глобально
> Это точно нет.в моем случае вот вполне сработало, хотя там поинтереснее можно было сыграть чем какие-то фейки в пейсбуке через британских вчоных распространять.
Ну, правда, время было тогда послевоенное, а сейчас я очень рад что не связан с той лавочкой.
> страна с экономикой чуть поменьше испанскойКаждый раз при таких сравнениях интересно: и чё же Вы лично не в Испании? Или тогда бы долги на душу населения сравнивали? ;]
> Каждый раз при таких сравнениях интересно: и чё же Вы лично не в Испании?Я надеялся что мне дадут дожрать мою долю нефтяной ренты, и подохнуть спокойно (можно и в Испании), а проблемы потомков все промотавших отцов меня не колебут.
Но нет, восхотела ведьма старая быть владычицею морскою. Прое...ла все - уважение, место за мировым столом, хоть какое-то доверие, ну и все деньги, разумеется, тоже - почем там сегодня ржубль? А, ну да...
А я уже старый и здоровье не позволит жить пять лет в помойном бачке, зимой даже в любимом мной Сантъяго +3 по ночам. И бегаю от полиции плохо. Так что миграционной амнистии не дождаться, а других способов там легализоваться нету - я выяснял.
Кто помоложе и порезвее - бегите, глупцы!
> Но нет, восхотела ведьма старая быть владычицею морскою.Вы бы там раскопали старые марксистские учебники - в них вообще-то рассказывается, что капитализм приводит к глобальному кризису так или иначе. А кончается всё первой мировой или чем-то подобным.
И без всяких там восхотела - там довольно жёстко всё детерминировано.
> А я уже старый и здоровье не позволит жить пять лет в
> помойном бачке, зимой даже в любимом мной Сантъяго +3 по ночам.С деньгами везде хорошо.
> старые марксистские учебники - в них вообще-то рассказываетсяспасибо, но я помню этот бред и так.
Нет в современной экономике никаких "кризисов перепроизводства", последний кризис был в 30е годы прошлого века, да и тот не совсем соответствовал мраксовым теоретизированиям, а ни о каких других кризисах Мракс не писал. Это вы с Мальтусом перепутали. Вот его теории может и действуют - правда, тоже нуждаются в явной коррекции, темпы роста населения цивилизованной части мира - отрицательные, ему такое и присниться не могло. А в нецивилизованной - снижаются. Причем так, что рабовладельцы уже изпереживались все - вырисовываются явные проблемы.> С деньгами везде хорошо.
хорошо, но недолго - купить испанское резидентство даже за очень большие деньги невозможно - наличие у тебя виноградников и домика уточки не позволяет даже национальной визой долгоиграющего действия разжиться, как в почти любой другой стране загнивающей гейропы. (Ну то есть теоретически можно, а практически получают гражданство любой другой европейской страны в десять раз быстрее и дешевле.)
То есть купить домик (взяв на него кредит в испанском же банчке - так можно) ты можешь. Но жить в нем можешь только 180 дней в году, с перерывом на пшелвон. И то в условиях до ковидлы - а теперь даже навестить его не получится, а вдруг там крыша протекла.А вот лет пять в помойном баке - и попадешь под миграционную амнистию (их потому и объявляли регулярно, чтоб хоть как-то разрулить ситуацию). Если раньше пинком в зад, конечно, не отправят (вот тут ковидла очень пригодитсо).
Ничо-ничо, то-то вот сейчас затяжной кризис на несколько лет начнется, превосходящий те самые 30-е годы...
У меня просто вход по ключу и ssh включается по крону на два часа в день
Очень удобно, а дальновидно-то как. Лол.
Ну если сутки простоя не страшны, то почему нет.
Работаете с ним по графику?
>fail2banЕсли пароль не 123qwerty то и fail2ban не нужен.
fail2ban ненужность, т.к. переборы распределенные.
А вот порт поменять это тру.
У меня пароль: тёща собака жизни точка нет. Ещё никто не взломал)
А на Wi-Fi сосед с перфоратором собака дома жизни точка нет.
>По данным исследователей ботнет уже насчитывает около 500 узловFail2ban у меня за последний месяц за брутфорс забанил 1,8 тысячи ip.
иппать ты лох!Вон, учись у чуваков, ЧТО надо делать с теми ip!
(а, ну да, ты ж не умеешь кодить...)
Ну не у каждого же цель существования -- "нацарюваты сто рублыкив".
> Ну не у каждого же цель существования -- "нацарюваты сто рублыкив".конечно нет. Я полагаю, там чуваки уже пару десятков тыщ $$ намайнили в свою пользу, и это вовсе не цель существования, а так, на мелкие расходы.
У меня, если что, цель тоже не в этом. Это - средство.
Уже лучше, но и Вы, надеюсь, не менее толстый намёк поняли.
У меня на нестандартный порт вообще никто не лазит
А у меня на нетрадиционный.
Вот и пожалуйста - начали писать вирусы на го
А вы говорили - недоязык
Вирус на Расте в процессе разработки. Пока из фич только выдает Хеллоу ворлд в консоль атакующему.
>Вирус на Расте в процессе разработки.Что угодно на расте - "в процессе разработки"(С).
Навечно, без шансов к завершению :)
А можно приватный ключик от того, что кладётся в authorized_keys ?Лень мне самому брутфорсить.
> Лень мне самому
У меня готов антивирус:chattr +i ~/.ssh/authorized_keys
Можно и проще.
PasswordAuthentication no
Ух ты!
SkyNet, зародыш
сколько уже таких было.. начиная с червя Морриса
Нет этот особый. Это зародыш SkyNet-а из фильма Терминатор.
> Нет этот особый. Это зародыш SkyNet-а из фильма Терминатор.Терминатор-сколькотам-9 ? Из будущего пачками прибывают терминаторы, которым нахрен не вcpaлась Саня Коннор, повсюду ищут и отжимают биткойн-кошелки, после чего быстро сваливают в туман, архивировать и ныкать в arctic vault под видом ценного кода с гитшлака - потому что в будущем биток стоит миллиард долларов, а новых намайнить нельзя уже всеми мощностями скайнета. Человечество будущего поробощено не оружием, а тем что скайнет просто скупил все подряд.
Главный герой - одноногая трансгендерная нигра, пытающаяся сныкать последние принадлежащие человечеству 0.00001btc.
Барыга пох. кривит и ёрничает. Скатился он до плинтуса. Дурачёк пох. ты прекрасно понял о чем написал, тот кому он съязвил.
Достаточно не иметь на сервере nginx и php-fpm - и зловред как на ладони.
Да и ifconfigd порадовал.
> Да и ifconfigd порадовал."опять этот поцтеринг какую-то новую хрень запилил, видать после последних автообновлений появилась", тоже мне, палево прям.
Но вообще, конечно, надо под [kworker/ниипать] маскироваться - его вообще никто не спалит, потому что никто не знает что это такое, зачем и от чего, но все давно привыкли что он есть и чем-то непонятным занят, причем в количестве миллионтыщ штук.
И приоритет себе -20, зачем выделяться из толпы.
У аффтара новости AES стал АСсимметричным шифром. Браво.
в оригинале "AES for symmetric encryption"...просто переводчик лох
>Для коммуникации используется штатный SSH - вредоносное ПО дополнительно запускает локальный "netcat", привязывающийся к интерфейсу localhost и слушающий трафик на порту 1234, к которому внешние узлы обращаются через SSH-туннель, используя для подключения ключ из authorized_keysиными словами, приватный ключ есть где-то в бинарнике червя...так вот...достать его оттуда, просканировать 0.0.0.0/0 на возможность подключения этим ключём и угнать/уничтожить весь ботнет (или бОльшую его часть)
> иными словами, приватный ключ есть где-то в бинарнике червя...так вот...достать его оттуда,дык, давай! Только ботнет не поломай.
(от него есть небольшая польза - неудавшиеся авторизации по ключам не так явно палятся в логах, поэтому шухера будет меньше чем от попыток самому начать с нуля)Но, кстати, если все правильно сделать - его не будет в бинарнике. Он в памяти будет. Передаваясь только уже запущенному инстансу, причем - шифрованным. И без механики для извлечения.
> Но, кстати, если все правильно сделать - его не будет в бинарнике.
> Он в памяти будет. Передаваясь только уже запущенному инстансу, причем -
> шифрованным. И без механики для извлечения."Для коммуникации используется штатный SSH".
> "Для коммуникации используется штатный SSH".для начала надо как-то попасть на твою машинку - и он это делает не ключом, а просто подобрав пароль. Дальше кладет туда открытый ключик, и, видимо, какую-то бутстрапалку бинарника, после чего заходит уже штатным образом (в бинарнике никаких ключей держать необязательно), и вот теперь, установив сессию и проверив что его слушает именно кто надо, а не васян пытающийся спереть данные - скармливают ему те самые динамические данные, включая закрытые ключи для возможности дальнейшего распространения, номер кошелочки для монерок и так далее. На диск они не пишутся, после ребута - спокойно подождет, пока заново запустят и заново зальют данные с другой ноды.
Если все сделать аккуратно - хрен подкопаешься.
>> "Для коммуникации используется штатный SSH".
> Если все сделать аккуратноЭто т.н. "white-box cryptography". Грубо говоря, алгоритм + ключ трансформируются в нечто другое с эквивалентным побочным эффектом.
> хрен подкопаешься.
Коммуникации -- это не "попасть на машину", а связь между пирами. Если "используется штатный SSH", значит работает имплементированный в SSH криптоалгоритм, соответственно есть и точка в потоке данных, где ключ собран в традиционное представление.
> Коммуникации -- это не "попасть на машину", а связь между пирами.думаешь, оно _клиента_ использует из /usr/bin, а не встроенного? (встроенный там обязан быть, не бесконечными ж перезапусками обычного ssh оно пароли подбирает)
Впрочем, и в этом случае достаточно ему подставить agent socket - и ключик никогда-никогда не окажется на диске.
> есть и точка в потоке данных, где ключ собран в традиционное представление.
Ну с добрым утречком, блин! В ssh-протоколе ключ не передается.
Я не верю что такой аккуратный (и теперь еще и богатый) польский студент в этом месте внезапно облажался.
>> Коммуникации -- это не "попасть на машину", а связь между пирами.
> думаешь, оно _клиента_ использует из /usr/bin, а не встроенного?Написано же "штатный", значит который в системе имеется.
> (встроенный там обязан
> быть, не бесконечными ж перезапусками обычного ssh оно пароли подбирает)Брут и коммуникацию осуществляют различные модули (Cracker и CryptoComm + Parser).
> Впрочем, и в этом случае достаточно ему подставить agent socket - и
> ключик никогда-никогда не окажется на диске.Угу, и по почте сам никуда не отправляется. Вот же редиски, заставляют в дампе поискать.
>> есть и точка в потоке данных, где ключ собран в традиционное представление.
> Ну с добрым утречком, блин! В ssh-протоколе ключ не передается.На том уровне абстракции, поток команд (control flow) -- это последовательность инструкций, которую исполняет процессор. Поток данных (data flow) -- это то, что указанная последовательность команд обрабатывает. Это не те потоки, которые с каналами передачи данных связаны. Проще говоря, я и не утверждал, что ключ передаётся.
> Я не верю что такой аккуратный (и теперь еще и богатый) польский
> студент в этом месте внезапно облажался.
> Угу, и по почте сам никуда не отправляется. Вот же редиски, заставляют в дампе поискать.ну ищи, чо - благо, публичный ключ у тебя есть, так что не придется терять время на опознание тот или не тот ботнет заглянул на огонек.
Я, увы, уже четыре года не имею возможности злоупотреблять адресным пространством "банков, промышленности и государственных учреждений" для исследовательско-некоммерческих целей в области блокчейнов и средств безопастности, а унылые виртуалки в ovh этого бота, похоже, не привлекают (зачем зря светиться ради ерунды), так что помочь тебе дампом не смогу.
Но, полагаю, ничего полезного найти бы все равно не вышло. Уж больно аккуратно все распланировано, хрена с два такой облажается на ерунде. Проще и быстрее самому написать по готовой спецификации ;-)
500 узлов, которые админят идиоты. Может теперь они наконец узнают, что подключаться к серверу по логину и паролю плохая идея. Про внезапно открытые новые порты я вообще молчу.
а что ждать от тех, кто пьёт смузи и пишет на расте?
> Может теперь они наконец узнают, что подключаться к серверу удаленно по интернету плохая идея.Пофиксил, не благодори
Так не зря же гузпром вложился в квантовые сети и уже (вроде как) лет пять их насилует.
> Так не зря же гузпром вложился в квантовые сети и уже (вроде
> как) лет пять их насилует.Да ладно - это не панацея. Когда-то и замена telnet на ssh казалась панауей - все шифровано, пароли не убегут... И каков итог? Ну да - читаем выше :)
Да, в стоплист все IPv4/6 пытающиеся 22 и 1234. Ещё и Related connection заблочить в придачу.
1234 - он на локалхосте открывает.
Превентивно все входящие, кроме действительно нужных, заблочить нетфильтром. Авось, авторы червя не предусмотрели правку правил.
> Да, в стоплистахаха, стоплист! Ржу не могу. Заморозьте меня обратно, пожалуйста.
Это Drovorub на Go, расходимся
sshd_config:PasswordAuthentication no
AuthorizedKeysFile /etc/ssh/keys/%u
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.comи большинство червей просто ломается от таких настроек, обычно ещё на этапе kex.
А закрыть доступ к порту с SSH из сетей хостеров и облаков.
Девопсам видать не судьба...Странно, что только 500 набролось.
Вот этот рапорт уже похож на настоящий, в отличие от Дровогрепа.
Настроил себе SSH на 48*** порт с логином по паролю, даже китайские боты перестали брутфорсить.
Тьфу ты, очипятка. С логином по ключам, по паролю выключил.
Еще правило nftables, если кому нужно:tcp dport <порт> ct state new meter ssh-meter { ip saddr limit rate 3/hour } accept
Логи выключи, вообще ничего больше не надо будет настривать.
> Логи выключи, вообще ничего больше не надо будет настривать.ssh пусть выключит, так быстрее и проще (все равно после третьего захода сам себя зобанит по ip)
Если тебе нужно коннектится по ssh к VPS'ке каждую минуту - мне тебя жаль.
ооо последние коментарии от бывалых одминов, все как одно агрессивно умничающим тоном: "а вот я так умею и этот вирус меня не возьмёт... или, нехрен надо было так делать как дулают они... или, 500 одминов лохов". Читать аж тошно.
> ооо последние коментарии от бывалых одминовлокалхостов.
Ну в принципе все примерно так и есть, неуловимые джо нахрен не сдались.
А даже если его и поимеют - он не заметит, так что и не расстроится.
а мне смешно> новость - реклама ноунейм шарашки
> целых 500 admin:admin роутеров заражено! голактеко опасносте!
> 129 комментариев
вот, смотри - пальчик! Смейся.> новость - реклама ноунейм шарашки
новость - о довольно занятном ботнете, но ты дальше названия шарашки не смог прочитать. Типикал контингент впопеннета, чо.
> целых 500 admin:admin роутеров заражено
вот-вот, новость дальше первой строчки ниасилена, но надо немедля написать свое ценное мнение.
(не интересуют этот ботнет роутеры и прочий хлам)
а ты сам-то новость осилил?> голактеко опасносте! не интересуют этот ботнет роутеры и прочий хлам!! заражаются университеты и промышленные корпорации!!! банки и государственные учреждения!!!!
> запускается майнинг Monero
> маскируясь под php-fpm, nginxничего не смущает?
> а ты сам-то новость осилил?Он о технологии, а Вы и впрямь вообще ничего не поняли.
> Он о технологии, а Вы и впрямь вообще ничего не поняли.Да просто, похоже, товарищ искренне верует, что в перечисленных местах нет nginx и fpm. Ну пусть дальше верует, у нас за оскорбление чуйств верующих кизяки могут и нагайкой.
>> а ты сам-то новость осилил?
> Он о технологии, а Вы и впрямь вообще ничего не поняли.какой технологии? P2P ботнетам уже много лет, включая ботнеты под линукс, брутфорсящие SSH и майнящие крипту. единственная инновация тут - что в этот раз его написали на го.
майнинг крипты на "университетах, банках и правительственных учреждениях" - это самое тупое, что можно было придумать - выхлоп минимальный, палево максимальное. аккаунты на заводах-газетах-параходах используются для фишинга и кражи информации, и их банальная продажа приносит в десятки и сотни раз больше денег, чем майнинг.
последствия заражения - это тоже тихий ужас - слушающий порт 1234 и php-fpm.
масштаб заражения - просто лол, 500 серверов. скан одного только 22го порта с пятёркой самых популярных паролей даёт около 30 тысяч аккаунтов. конечно, в большинстве своём это роутеры, но суммарная мощность майнинга будет выше, чем с 500 аккаунтов на реальных серверах.
а есть ещё порт 222, 2222, и так далее.
учитывая вышесказанное, тут может быть только три варианта:
- бот был написан самой этой конторой для саморекламы и не существует вне лабораторных условий;
- бот существует, но был найден на каком-то богом забытом сервере с китайско-российским зоопарком, а про банки-госсайты было написано для громких заголовков новостей и для рекламы ноунейм конторы;
- бот существует, но был написан тупыми американцами, которые брутят подсети банков-заводов-газет-пароходов только для того, чтобы майнить на них крипту.лично я склоняюсь к первому варианту.
> единственная инновация тут - что в этот раз его написали на го.нет, это вообще совершенно неинтересно (и вряд ли ново), хоть на gwbasic, ново в нем именно повышенная беспалевность. Ты опять демонстрируешь и неумение читать, и невладение темой.
> крипты на "университетах, банках и правительственных учреждениях" - это самое тупое, что можно
> было придуматьты не работал нигде из перечисленного (кроме может лаборанта в классе писюков в заборостроительном, тут верю, но он на таких не майнит).
> аккаунты на заводах-газетах-параходах используются для фишинга и кражи информации, и их
угу, фишинг студней в университете и кража свежайших разработок в области гендерных штудий. Вот это высокий полет!
> банальная продажа приносит в десятки и сотни раз больше денег, чем майнинг.
Их продажа приносит существенный шанс сесть за решетку и (даже не или) познакомиться с неигрушечным криминалом, который денег-то может и заплатит, но с тебя уже не слезет. Поскольку если и купят, то явно не для коллекции. А то бы я тебе свой продал, и не надо было бы никаких ботнетов. (Отдельный вопрос что продажа учетки test/test без всяких админских прав (а больше тому и не надо) на плохо админимой слишком мощной тачке (то есть где-то в дальнем углу инфраструктуры или вообще изолированной) сама по себе денег не принесет, потому что оттуда разьве что можно уже поискать более существенных и специфичных брешей, а это уже надо делать руками и специальными инструментами. Опять же с риском засветиться.
> масштаб заражения - просто лол, 500 серверов
для кого-то просто летная погода, а кому - 500000h/s (хммм... а ведь и вправду неплохо, время, затраченное на разработку точно окупилось) - и никаких ведущих к хозяину бота нитей, транзакции монеры плохо трассируемы, можно даже просто перевести на соседний кошелек без долгих волнительных процедур.
Причем ты опять не дочитал - 500 это тех, которые эта штука сочла подходящими - непалевными, достаточно мощными и т д. Их и не будет много, торчащих голым задом. С остальных она тихо смылась, и в этом и была задумка, а не в зомбонете на миллион бесполезных роутеров.
> лично я склоняюсь к первому варианту.
"Как понять что русский сейчас будет врать? Рот открыл - сейчас будет!" И всех других, разумеется, подозревают в том же.
> ново в нем именно повышенная беспалевностьвот именно, что
> невладение темой.если ты не встречал таких ботов, это не значит, что их нет.
> угу, фишинг студней в университете и кража свежайших разработок в области гендерныхфишингом отнюдь не студентов занимаются. опять у тебя
> невладение темой.
> Их продажа приносит существенный шанс сесть за решеткуа собирание ботнета такой шанс не приносит)
> оттуда разьве что можно уже поискать более существенных и специфичных
> брешей, а это уже надо делать руками и специальными инструментами.именно этим люди и занимаются.
> с риском засветиться.
а 100% CPU от майнинга не даёт риска засветиться)
> миллион бесполезных роутеров.это пятизначные суммы в месяц от продажи их в виде соксов. можно ещё дудосить, но это убивает роутеры и приносит намного меньше денег и намного больше гемора.
> И всех других, разумеется, подозревают в том же.
а ты чьих кровей будешь, раз в каждом
> невладение темой.подозреваешь?
> а собирание ботнета такой шанс не приносит)конкретно этого - нет, не приносит, тем и прекрасен.
Тут нет никаких вообще концов. И в этом заметное отличие.
Его связывает с автором только кошелек, который может выкапываться из под йолки вообще раз в году.Потому что автор нигде не светится, центра управления тут нет, данные он не ворует и соответственно ни с кем не имеет стремных дел по продаже, деньги не ворует - не попадется на обналичке и опять же связях с мутными ребятами, не продает даже сам ботнет, и тот сознательно крайне ограничен в распространении, чтоб его не спалили раньше времени.
> а 100% CPU от майнинга не даёт риска засветиться)
полагаю, столь аккуратный студент и тут проявил аккуратность, и не приближается к ста процентам, либо просто не использует машины, где обнаружены средства мониторинга или регулярная админская активность.
(на машине с забытым test/test маловероятные)>> угу, фишинг студней в университете и кража свежайших разработок в области гендерных
> фишингом отнюдь не студентов занимаются. опять у тебяопять ты не осилил прочитать новость? ЭТОТ интересуют универские компьютеры - фишить там нечего, а мощностей может оказаться избыток, и никого, кто помнит, зачем это вообще было поставлено.
> ./detect_fritzfrog.sh
>FritzFrog Detection Script by Guardicore Labs
>./detect_fritzfrog.sh: 17: netstat: not found
>[*] The machine seems clean.
>> ./detect_fritzfrog.sh
>>FritzFrog Detection Script by Guardicore Labs
>>./detect_fritzfrog.sh: 17: netstat: not found
>>[*] The machine seems clean."обожаю" погромистов, которые не проверяют коды возврата (и вообще доступность функций) _:D
> Antivir - модуль подавления конкурирующих вредоносных программ,Ну хоть какая-то польза от вируса.
Дайте сорсы, на работе заинтересовались=)