The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Эксперимент по изучению деятельности вредоносного ПО, нацеле..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от opennews (??), 18-Дек-13, 11:52 
Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать (http://sempersecurus.blogspot.com/2013/12/a-forensic-overvie... за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility (https://code.google.com/p/volatility/).


После симуляции уязвимости в CGI-режиме PHP, исправленной (http://www.opennet.dev/opennews/art.shtml?num=33765) в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложений.


За несколько дней в системе удалось наблюдать выполнение достаточно разнородного набора программ, отличающихся как по назначению (майнинг криптовалюты биткоин, осуществление DoS-атак, сканирование хостов на наличие уязвимостей, запуск ботов), так и по содержимому (исполняемые файлы в формате ELF, скрипты на perl и shell). Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников и администраторам следует не забывать о поддержании системы в актуальном состоянии и оперативно устранять уязвимости в web-приложениях.


URL: http://sempersecurus.blogspot.com/2013/12/a-forensic-overvie...
Новость: http://www.opennet.dev/opennews/art.shtml?num=38683

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 11:52 
PHP же, причем тут Линукс.
Ответить | Правка | Наверх | Cообщить модератору

3. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –5 +/
Сообщение от IMHO (?), 18-Дек-13, 12:03 
Потому что *BSD пока нет программ для майнинга, а так сам в инете где то читал, как системный админ расспрашивал про майнинг на линуксе биткоинов, потому что сервера толком не нагружены, а их можно немного нагрузить
Ответить | Правка | Наверх | Cообщить модератору

12. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –5 +/
Сообщение от asavah (ok), 18-Дек-13, 12:54 
Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй.
Спасибо за идею :)
Ответить | Правка | Наверх | Cообщить модератору

15. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +4 +/
Сообщение от Аноним (-), 18-Дек-13, 12:57 
> Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй.
> Спасибо за идею :)

Насколько мощные видеокарты на ваших серверах?

Ответить | Правка | Наверх | Cообщить модератору

18. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +10 +/
Сообщение от Аноним (-), 18-Дек-13, 13:22 
Обломал неудавшегося биткоинового магната :)
Ответить | Правка | Наверх | Cообщить модератору

82. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 19-Дек-13, 06:14 
> Обломал неудавшегося биткоинового магната :)

Для лайткоинов в принципе и CPU не совсем плох: там скорость работы с RAM роялит. Правда, GPU все-равно эффективнее. Насколько эффективнее будут ASIC? В принципе сделать можно, но алгоритм таков что эффективность ASIC будет как минимум заметно ниже чем в bitcoin, т.к. алгоритму нужно много оперативки.

Ответить | Правка | Наверх | Cообщить модератору

19. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 13:31 
Видеокарты уже прошлый век, сейчас в тренде использовать ASIC
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

20. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 13:34 
> Видеокарты уже прошлый век, сейчас в тренде использовать ASIC

Я ему хотел про лайты сказать (если бы карты мощные были).

Ответить | Правка | Наверх | Cообщить модератору

33. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от IMHO (?), 18-Дек-13, 15:28 
майнить можно не только видео картой
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

36. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 15:45 
Да, есть еще азики и фпга.
Ответить | Правка | Наверх | Cообщить модератору

37. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от anonymousZ (?), 18-Дек-13, 15:46 

Можно еще ASIC-ками.
А майнить на процессоре - все равно что копать котлован чайной ложкой.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

39. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 18-Дек-13, 15:50 
> А майнить на процессоре - все равно что копать котлован чайной ложкой.

Суть ботнетов - собрать миллион ботов с чайными ложками, авось чего выкопают.

Ответить | Правка | Наверх | Cообщить модератору

58. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –2 +/
Сообщение от anonymousZ (?), 18-Дек-13, 18:52 

Не выкопают.
Время когда ботнэты могли что-то выкопать закончилось где-то в конце 2011-го, сейчас они могут разве что паразитную нагрузку создавать. Знаю, потому как сам админил пул некоторое время.
Ответить | Правка | Наверх | Cообщить модератору

80. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 19-Дек-13, 06:10 
> Не выкопают.

Выкапывают. Было бы это не так - никто б не заморачивался.

Ответить | Правка | Наверх | Cообщить модератору

93. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от anonymousZ (?), 19-Дек-13, 16:23 
Вот за что я люблю школьных аналитиков с опеннет. Нихрена не умею, ничего никогда полезного не делали, но все знают, и на все у них свое экспертное мнение))).
Мощность одного процессорного ядра ~1МХеш. То есть сеть из 10000 ядер будет равна по мощности одному асику за 350 баксов. А что по вашему сделает админ пула увидев 10000 подключений сжирающих канал и имеющих мощность ~0? Правильно - забанит их нахрен.)

>Выкапывают. Было бы это не так - никто б не заморачивался.

Сейчас этим никто и не заморачивается. Ботнеты с майнингом появились в конце 2010, начале 2011. В конце 2012 для майнинга их уже никто не использовал (пытались выбивать деньги с пулов через дос, но, насколько мне известно, успеха это не имело)). Сейчас это просто легаси софт.

Ответить | Правка | Наверх | Cообщить модератору

99. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Хвост (?), 20-Дек-13, 13:15 
>Вот за что я люблю школьных аналитиков с опеннет...... В конце 2012 для майнинга их уже никто не использовал.

Смотри 5.85 и думай кто на самом деле "аналитик".

Ответить | Правка | Наверх | Cообщить модератору

100. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от anonymousZ (?), 20-Дек-13, 16:59 

>Смотри 5.85 и думай кто на самом деле "аналитик".

Ты наверное?) На заре его существования и биткоин можно было спокойно майнить на проце. Это вопрос не используемой железки, а общей мощности сети, не важно по какому алгоритму ты майнишь. Валют-однодневок по мимо биткоина, было до хрена и больше, только лайткоин набрал какую-то популярность. Никто ради очередной такой валюты ботнеты разворачивать не будет.

Ответить | Правка | Наверх | Cообщить модератору

81. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 19-Дек-13, 06:12 
> А майнить на процессоре - все равно что копать котлован чайной ложкой.

Поскольку этим занимаются тысячи железяк и они никуда не торопятся - нехай копают. Через недельку, глядишь, уже солидная яма образуется, а через месяц - вполне себе котлован.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

85. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Хвост (?), 19-Дек-13, 11:05 
Смотрим Праймкоин (Primecoin XPM) - криптовалюта, расчитанная на майнинг на процессорах. Если 64 разрядные сервачки с кучей ядрышек, то можно на приличное пиво накопать.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

77. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 19-Дек-13, 06:07 
> Потому что *BSD пока нет программ для майнинга,

Это примерно как "у меня нет штанов, поэтому их никто не сопрет, вау!".

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

94. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –2 +/
Сообщение от Аноним (-), 19-Дек-13, 17:58 
> PHP же, причем тут Линукс.

В данном случае php - это только способ распространения. Главное другое - под линукс написано столько вредоносных программ в формате ELF, а также скриптов на perl и shell, что они выполнялись аж несколько дней! А некоторые до сих пор продолжают утверждать, что под линукс вирусов нет.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

95. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от fi (ok), 19-Дек-13, 18:23 
> до сих пор продолжают утверждать, что под линукс вирусов нет.

Ну и где они эти ваши вирусы? все что в статье - НЕ вирус.

Ответить | Правка | Наверх | Cообщить модератору

97. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от Аноним (-), 20-Дек-13, 09:52 
>> до сих пор продолжают утверждать, что под линукс вирусов нет.
> Ну и где они эти ваши вирусы? все что в статье -
> НЕ вирус.

Почему же, это вполне себе вирус. Единственное, он работает на очень малом количестве систем, которые давно не обновлялись и при "правильной" настройке php. На сервер успешно загружается произвольный скрипт "a,pdf" и работает в /var/tmp/ (до ближайшей перезагрузки). Скрипт не получил root-права (это не обязательно), скрипт не остался в системе навечно (это тоже не обязательно). Скрипт смог загрузить стороннее ПО (в том числе и ELF) и выполнить его (а значит при желании он сможет получить и root-права и остаться навечно). Вполне себе сойдет за trojan-loader по классификации популярных антивирусных систем...

Вопрос в другом - хороший способ защиты от таких уязвимостей не установка антивируса. Он вряд ли спасет в случае всяких bash- и perl-скриптов, которые легко может переписать до неузнаваемости программист уровня CodeMonkey. Ну и регулярные обновления всей системы и грамотный подход к организации безопасности системы более логичны, чем регулярное обновление только антивируса + дырявая система.


P.S. Самое неприятное в этой статье - вредоносное ПО на сервак загружали(!), т.е. есть злоумышленники, которые заинтересованы в эксплуатации linux-серверов (им есть чем занять эти сервера). Значит вопрос только в наличии доступной "дырки" для распространения ну и в количестве таких злоумышленников.

Ответить | Правка | Наверх | Cообщить модератору

98. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Orduemail (ok), 20-Дек-13, 10:21 
> Почему же, это вполне себе вирус.

Нет. Давайте оставим хомячковую терминологию хомячкам. Это червь, бекдор, всё что угодно ещё, но не вирус. Вирусной активности сия малварь не проявляла. Хотя, в общем-то, могла бы. Но под линуксами это действительно гемор, поэтому под линуксом и нет вирусов.

Ответить | Правка | Наверх | Cообщить модератору

2. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +7 +/
Сообщение от Аноним (-), 18-Дек-13, 11:59 
> Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников

Т.е. если установить Apache + PHP на оффтопик, то всё будет пучком? Внатуре, причем тут Линукс то?

Ответить | Правка | Наверх | Cообщить модератору

5. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –6 +/
Сообщение от Аноним (-), 18-Дек-13, 12:14 
При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. С тем же успехом сканируются типовые пароли по SSH, проверяются дыры в популярных web-приложениях на python, perl, ruby. После взлома загружаются не только скрипты, но и бинарники в сборках для Linux.
Ответить | Правка | Наверх | Cообщить модератору

13. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +3 +/
Сообщение от Аноним (-), 18-Дек-13, 12:54 
> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер.

Повторяю вопрос: при чем здесь Linux?

Ответить | Правка | Наверх | Cообщить модератору

16. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –5 +/
Сообщение от Miha (??), 18-Дек-13, 13:00 
>> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер.
> Повторяю вопрос: при чем здесь Linux?

Повторяю ответ: читай пост выше!

Ответить | Правка | Наверх | Cообщить модератору

21. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +5 +/
Сообщение от Аноним (-), 18-Дек-13, 13:35 
>  Повторяю ответ: читай пост выше!

Там какой-то поток сознания, никак не относящийся к заданному вопросу.

Ответить | Правка | Наверх | Cообщить модератору

41. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –3 +/
Сообщение от wooz (ok), 18-Дек-13, 16:19 
>>  Повторяю ответ: читай пост выше!
> Там какой-то поток сознания, никак не относящийся к заданному вопросу.

Специально для упоротых до измененного восприятия:

> бинарники в сборках для Linux.

Ответить | Правка | Наверх | Cообщить модератору

47. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +4 +/
Сообщение от Аноним (-), 18-Дек-13, 17:26 
> бинарники в сборках для Linux.

А еще бывают в сборках для винды и фрибсд. Так чего сказать-то хотел?

Ответить | Правка | Наверх | Cообщить модератору

64. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от Аноним2 (?), 18-Дек-13, 21:01 
Ты это, братан, к чему клонишь?
Ответить | Правка | Наверх | Cообщить модератору

79. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 19-Дек-13, 06:09 
> Ты это, братан, к чему клонишь?

Наверное намекает что у половины местных бсдшников "без вирусов" - винды в дуалбуте.

Ответить | Правка | Наверх | Cообщить модератору

69. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –2 +/
Сообщение от Аноним (-), 18-Дек-13, 22:39 
Что все вирусы используют уязвимости в софте и линукс тоже им подвержен т к умеет запускать софт. А вообще, смысл в прекращении глупой уверенности в собственной безопасности только по причине того, что установлен линукс.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

67. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 21:42 
>бинарники в сборках для Linux

Рация на бронепоезде.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

17. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –4 +/
Сообщение от Аноним (-), 18-Дек-13, 13:02 
> Повторяю вопрос: при чем здесь Linux?

Данная ОС в свете своей популярности на серверах становится хорошей средой для обитания вирусов. Это и была цель исследования.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

22. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 18-Дек-13, 13:36 
> Данная ОС в свете своей популярности на серверах становится хорошей средой для
> обитания вирусов. Это и была цель исследования.

Хорошей средой для обитания вирусов ОС делает не популярность на серверах, а что-то другое. Домашнее задание: подумать, что именно.

Ответить | Правка | Наверх | Cообщить модератору

45. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –9 +/
Сообщение от linux must __RIP__ (?), 18-Дек-13, 17:17 
это мы уже слышали :) но как показывает практика - дыры в Linux не фиксятся годами.
И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через которые можно получить админа.

но да лана - можете верить с свой придуманный мир :)

Ответить | Правка | Наверх | Cообщить модератору

48. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 18-Дек-13, 17:28 
> это мы уже слышали :) но как показывает практика - дыры в Linux не фиксятся годами.

Скажу по секрету - срок надо считать не с момента появления, а с момента обнаружения.

> И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через
> которые можно получить админа.

Куда уж им до великих спецов из мелкософта!

Ответить | Правка | Наверх | Cообщить модератору

92. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от Аноним (-), 19-Дек-13, 16:23 
Момент обнаружения != момент обнародования.

С уважением, ваш кэп.

Ответить | Правка | Наверх | Cообщить модератору

59. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –2 +/
Сообщение от Аноним (-), 18-Дек-13, 18:57 
> это мы уже слышали :) но как показывает практика - дыры в
> Linux не фиксятся годами.
> И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через
> которые можно получить админа.
> но да лана - можете верить с свой придуманный мир :)

А что бы легче было разглядеть реальность можно просто посмотреть на то как исправляют многие ошибки. Например glibc который до сих пор содержит ошибки которые были исправлены в дистрибутивах но не исправлены в основной ветке. Я не говорю сейчас о каких то специфичных для дистрибутива исправлениях, я говорю об ошибках которые в основной ветке живут, даже после того как они были выявлены. Получается что вроде все трудятся над одним и тем же но песочница у всех своя. И так поступают не только разработчики glibc так что отвергать реальность не имеет смысла.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

63. "Эксперимент по изучению деятельности вредоносного ПО,..."  +1 +/
Сообщение от arisu (ok), 18-Дек-13, 20:52 
такие слова в приличном обществе принято сопровождать пруфлинками. это, конечно, опеннет — но ты можешь поспособствовать тому, чтобы опеннет стал немного приличней.

намёк ясен?

Ответить | Правка | Наверх | Cообщить модератору

68. "Эксперимент по изучению деятельности вредоносного ПО,..."  –1 +/
Сообщение от Аноним (-), 18-Дек-13, 22:17 
> намёк ясен?

Конечно ясен, Вам нужен пруф того о какой ошибке я говорил, но на данный момент я не говорил о какой то недавней ошибке, я говорил цикле и оперативности исправлений в целом. На оперативность так же влияют и сами разработчики которые иногда некоторым ошибкам или уязвимостям ставят низкий приоритет и вот только когда припрет, тогда и появляется патч. А некоторые ошибки живут годами, и выявляют их чаще всего не сами разработчики, а какие нить известные эксперты. Наличие исходного кода и повышение популярности, должно так же повышать чистоту кода и оперативность исправления ошибок. Ответственность растет по мере роста популярности

Ответить | Правка | Наверх | Cообщить модератору

87. "Эксперимент по изучению деятельности вредоносного ПО,..."  +/
Сообщение от ПлюшевыйМишка (?), 19-Дек-13, 12:38 
Сышишь, Анон, ты братишка часом не путаешь бекпорт патчи дистрибутивов когда какойнить glibc-2.12 по факту дотягивается патчами до 2.16.0 но при этом продолжает гордо реять версией 2.12-p100500, нет?
Ответить | Правка | Наверх | Cообщить модератору

91. "Эксперимент по изучению деятельности вредоносного ПО,..."  +1 +/
Сообщение от arisu (ok), 19-Дек-13, 15:28 
вместо этой портянки мог сразу написать: «я балабол».
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

78. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 19-Дек-13, 06:07 
> дыры в Linux не фиксятся годами.

Покажи мне дыры в текущем ядре Linux, которым уже годы? Очень интересно.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

88. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от slowpoke (?), 19-Дек-13, 13:11 
Просто ему дали венду и сказали что это Linux
Ответить | Правка | Наверх | Cообщить модератору

29. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 14:39 
Средой для обитания чего?
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

50. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +2 +/
Сообщение от Аноним (-), 18-Дек-13, 17:30 
> Средой для обитания чего?

Вирусов. Эта такая программа, которая встраивает свой код в EXE-файлы.

Ответить | Правка | Наверх | Cообщить модератору

74. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 19-Дек-13, 01:47 
В DLL тоже.
Ответить | Правка | Наверх | Cообщить модератору

70. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –2 +/
Сообщение от Куяврик (?), 19-Дек-13, 00:01 
> дыра в PHP
> С тем же успехом сканируются типовые пароли по SSH

в голове админа должен быть набор каштанов десяти сортов, чтобы использовались пароли, да ещё типовые, да ещё с тем же успехом, что и дыры в PHP.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

25. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Организация Объединённых Тюленей (?), 18-Дек-13, 14:20 
> всё будет пучком

Пучок вирусов в оффтопике будет, ага.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –14 +/
Сообщение от Аноним (-), 18-Дек-13, 12:08 
При том, что кто-то уже 20 лет упорно кукарекает про какую-то "архитектуру", которая спасает от уязвимостей by design
Ответить | Правка | Наверх | Cообщить модератору

6. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +7 +/
Сообщение от Аноним (-), 18-Дек-13, 12:22 
От уязвимостей спасает не дизайн а способ разработки
Стыдно, юноша
Ответить | Правка | Наверх | Cообщить модератору

9. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –5 +/
Сообщение от клоун Стаканчик (?), 18-Дек-13, 12:34 
И каким же образом? В лицензию написали что нельзя пакостить?
Ответить | Правка | Наверх | Cообщить модератору

14. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +5 +/
Сообщение от Аноним (-), 18-Дек-13, 12:56 
> И каким же образом?

Таким, как вы, объяснять бесполезно. Ваши хозяева и не подозревают, что написание кода можно отдавать не только индусам на аутсорс.

Ответить | Правка | Наверх | Cообщить модератору

24. "Эксперимент по изучению деятельности вредоносного ПО,..."  +1 +/
Сообщение от arisu (ok), 18-Дек-13, 14:07 
> И каким же образом? В лицензию написали что нельзя пакостить?

очень простым образом: удержанием подобных тебе подальше. нет вас — нет и дырок.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

56. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 18:08 
От уязвимостей спасает дизайн.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от piteri (ok), 18-Дек-13, 12:26 
Какие 20? Пхп только в 1995 появился. Да и про "архитектуру" его даже сам автор высказался скептически.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

57. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –2 +/
Сообщение от Аноним (-), 18-Дек-13, 18:09 
> Какие 20? Пхп только в 1995 появился. Да и про "архитектуру" его
> даже сам автор высказался скептически.

Можешь писать сервер на C? Пиши.

Ответить | Правка | Наверх | Cообщить модератору

71. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от Куяврик (?), 19-Дек-13, 00:04 
> Можешь писать сервер на C? Пиши.

кроме пыха есть ещё стопиццот способов что-то пожевать и выплюнуть контент. не очень умно приплетать сюда C.

Ответить | Правка | Наверх | Cообщить модератору

89. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от slowpoke (?), 19-Дек-13, 13:15 
И че? Какие-то проблемы писать на C web приложения?
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

10. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +8 +/
Сообщение от анонимен (?), 18-Дек-13, 12:38 
Вы понимаете разницу между прикладным ПО и системными компонентами ? Нет ? Тогда могу вас поздравить, вы сели в лужу.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +3 +/
Сообщение от jOKer (ok), 18-Дек-13, 12:25 
>и администраторам следует не забывать о поддержании системы в актуальном состоянии

Спасибо, конечно, Кэп, но знаешь, для такого "гениального" вывода нужны не исследования веб серверов, а исследования должностной инструкции сис. админа. В ней, если ее по-исследовать, обязательно найдешь пункт о своевременном обновлении ПО.

Ответить | Правка | Наверх | Cообщить модератору

75. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от pavlinux (ok), 19-Дек-13, 02:17 
> В ней, если ее по-исследовать, обязательно найдешь пункт о своевременном обновлении ПО.

Вот в демьяне, в своё время, обновилось ядро с 3.2.18 до 3.2.22 в котором есть дыра!
Уверен, что нужно обновляться без мозга в голове? Все одмины вкуривают устройство ядра?
Все могут проверить, создать эксплойт на основании описания?  

Ответить | Правка | Наверх | Cообщить модератору

86. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от jOKer (ok), 19-Дек-13, 11:26 
>уверен, что нужно обновляться без мозга в голове

Без моска - не стоит даже пытаться за комп садиться.

Но, вообще-то, вдумчивые да аккуратные админы не забывают смотреть в бюллетени безопасности. Например, сюда http://www.linuxsecurity.com

Ответить | Правка | Наверх | Cообщить модератору

96. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от pavlinux (ok), 19-Дек-13, 23:31 
>>уверен, что нужно обновляться без мозга в голове
> Без моска - не стоит даже пытаться за комп садиться.
> Но, вообще-то, вдумчивые да аккуратные админы не забывают смотреть в бюллетени безопасности.
> Например, сюда http://www.linuxsecurity.com

Ну вот, чтоб долеко не ходить, лезем http://www.linuxsecurity.com/content/view/160621/

Засекаем время: 23:17

Package        : pixman
Vulnerability  : integer underflow
Problem type   : remote
Debian-specific: no
CVE ID         : CVE-2013-6425

23:18 - Ищем CVE-2013-6425:
https://security-tracker.debian.org/tracker/CVE-2013-6425 ,     есть в stable

23:21 - Лезем в систему:

# ldconfig -p | grep libpixman
    libpixman-1.so.0 (libc6) => /usr/lib/i386-linux-gnu/libpixman-1.so.0
    libpixman-1.so (libc6) => /usr/lib/i386-linux-gnu/libpixman-1.so

есть такое...

23:25 # apt-get install apt-rdepends (пока вспомнишь, чем зависимости искать...)

смотрим кому нужна эта либа

23:26 # apt-rdepends -r libpixman-1-0

23:30 Считаем и куеем.
# apt-rdepends -r libpixman-1-0 | grep -v 'Reverse Depends' | sort -u | wc -l
5212 пакетов

23:31 Лезем искать патч.

23:32 Нашли http://patchwork.freedesktop.org/patch/14769/

23:33 Ушли изучать

http://cgit.freedesktop.org/pixman/commit/?id=5e14da97f16e42...
http://cgit.freedesktop.org/pixman/commit/?id=2f876cf86718d3...

Описалово

Opening the attached file with LibreOffice with enabled anti-aliasing will crash the Intel Xorg driver
(see launchpad bug for details). While a crashing driver is not our bug, it might still be worth a
look to see if we are asking anything illegal from X or if we can workaround the driver bug easily.

Уже легче, юзеры Nvidia спят спокойно.
С отключённым AA, тоже ....

23:38 надо качать соурсы, искать кто юзает # define pixman_trapezoid_valid()

23:44
# cd /tmp/
/tmp # git clone http://anongit.freedesktop.org/git/pixman.git
...
23:45
# grep -r pixman_trapezoid_valid ./

./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:        if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:        if (!pixman_trapezoid_valid (trap))
./pixman/pixman.h:#define pixman_trapezoid_valid(t)        

23:47 ... ля-ля-ля

pixman_add_trapezoids()

Прекрасно...


for (i = 0; i < ntraps; ++i)
    {
        const pixman_trapezoid_t *trap = &(traps[i]);

        if (!pixman_trapezoid_valid (trap))
            continue;

        pixman_rasterize_trapezoid (image, trap, x_off, y_off);
    }


// *traps перед чтением никто не проверял на NULL !!! Отправляем репорт?
Или пороем код, мож там все нормально? Хрен, мне за это не платят.

А тем временем уже  23:50

23:50 роем дальше...

pixman_rasterize_trapezoid()
pixman_add_trapezoids()
get_trap_extents()

23:54  Вот эти 4 нужно искать
23:56 pixman_rasterize_trapezoid()  юзается в cairo

Сколько рыть софта, чтоб нарыть возможную багу от этого исправления?! Почти все на GTK ?

23:57 - 23:17 = 50 минут на поверхностный анализ ОДНОЙ баги!

Ещё 6 баг + обед и рабочий день закончен! А в дверь ломятся юзера, начальники, посредники,
баба Клава провод перегрызла шваброй, пинг тормозит, ддосят твари, спамботы шарются по сайам,
почта оверхедется от спамассасина с кламавом....


Ответить | Правка | Наверх | Cообщить модератору

11. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 12:46 
Нужно было wallet.dat сконифолить у кулхацкеров )
Ответить | Правка | Наверх | Cообщить модератору

27. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –1 +/
Сообщение от Пиу (ok), 18-Дек-13, 14:28 
для майнинга не обязателен кошелек - всё равно все сидят в пуле
Ответить | Правка | Наверх | Cообщить модератору

83. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 19-Дек-13, 06:15 
> Нужно было wallet.dat сконифолить у кулхацкеров )

Чтобы майнить - не обязательно кошелек притаскивать. Можно к пулу прицепиться. Совсем кстати не факт что хацкерскому.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

30. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от ip1981 (ok), 18-Дек-13, 14:40 
Загрузил BOINC, и начал искать *своих*
Ответить | Правка | Наверх | Cообщить модератору

40. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –4 +/
Сообщение от Аноним (-), 18-Дек-13, 16:11 
> поддержании системы в актуальном состоянии

Ну например с самыми энтерпрайзными промышленными стабильными дистрибутивами типа Debian или RH это невозможно в принципе.

Ответить | Правка | Наверх | Cообщить модератору

43. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +3 +/
Сообщение от Аноним (-), 18-Дек-13, 16:51 
У них есть security updates вообще-то.
Ответить | Правка | Наверх | Cообщить модератору

46. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  –8 +/
Сообщение от linux must __RIP__ (?), 18-Дек-13, 17:19 
> У них есть security updates вообще-то.

это где redhat бывает добавляет новые дыры ?

Ответить | Правка | Наверх | Cообщить модератору

49. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 18-Дек-13, 17:29 
> это где redhat бывает добавляет новые дыры ?

Почему во множественном числе?

Ответить | Правка | Наверх | Cообщить модератору

84. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +2 +/
Сообщение от Аноним (-), 19-Дек-13, 06:17 
> это где redhat бывает добавляет новые дыры ?

Не ошибается лишь тот кто ничего не делает. Пользуйся DOS 1.0, там уж точно новых дыр никто не добавит.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

65. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +2 +/
Сообщение от sirGreyemail (?), 18-Дек-13, 21:28 
Долбодятел?

Обновления безопасности в Дебиане бывает и раньше апстрима появляются.
http://www.debian.org/security по десятку-два фиксов в неделю.

Ну иногда и SSH патчат, не без того :)

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

90. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от slowpoke (?), 19-Дек-13, 13:21 
вообще то есть Debian unstable который стабильней всех остальных и при этом актуальный
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

60. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от EuPhobos (ok), 18-Дек-13, 19:47 
Нужно понимать, где chroot-тить, где монтировать ro, где монтировать noexec, где следить rkhunter-ом, и вообще иметь голову и прямые руки, и всё будет хорошо даже на дырявой венде.
Ответить | Правка | Наверх | Cообщить модератору

61. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +1 +/
Сообщение от Аноним (-), 18-Дек-13, 20:33 
Как в дырявой винде чрутнуться? А как смонтировать раздел с noexec? А rkhunter там будет работать?
Ответить | Правка | Наверх | Cообщить модератору

66. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 18-Дек-13, 21:29 
> Как в дырявой винде чрутнуться? А как смонтировать раздел с noexec? А
> rkhunter там будет работать?

Мне понравился этот вопрос. Только одна поправка слово дырявая применимо не только к винде, не расценивайте это как троллинг. Это отражение суровой реальности. Но ваш вопрос действительно классный даже настроение подняли

Ответить | Правка | Наверх | Cообщить модератору

72. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от EuPhobos (ok), 19-Дек-13, 00:22 
На виндузе свои приблуды, о которых мне увы не известно.
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

76. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."  +/
Сообщение от Аноним (-), 19-Дек-13, 04:40 
Какое актуальное и свежее исследование. Еще немного поисследует парень и откроет миру руткиты.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру