forum.opennet.ru - "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..." (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."	+/–
Сообщение от opennews (ok) on 26-Сен-14, 12:16
Представлен (http://draios.com/shellshock-sysdig/) новый выпуск утилиты sysdig (http://www.sysdig.org/), предназначенной для диагностики проблем и изучения особенностей работы системы. В новом выпуске добавлен (https://github.com/draios/sysdig/releases/tag/0.1.89) режим shellshock_detect для выявления активности в системе, вызванной совершением успешных атак, эксплуатирующих уязвимость в Bash (http://www.opennet.dev/opennews/art.shtml?num=40667) (Shellshock). Кроме того, добавлена опция spy_file для отслеживания всех операций чтения и записи для любых файлов. Подробнее о возможностях sysdig можно прочитать в тексте первого анонса (http://www.opennet.dev/opennews/art.shtml?num=39492) данной программы. В случае успешной атаки запуск "sysdig -c shellshock_detect" покажет примерно такой вывод: <font color="#461b7e"> TIME PROCNAME PID FUNCTION 13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd 13:52:31.459230424 dhclient 2896 () { :;} ; echo busted </font> С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах Linux и подверженности уязвимости таких систем, как CPanel, опасность проблемы оценивается некоторыми экспертами безопасности как сопоставимая с Heartbleed-уязвимостью (http://www.opennet.dev/opennews/art.shtml?num=39518) в OpenSSL. Например, в логах HTTP-серверов уже активно наблюдаются попытки эксплуатации уязвимости через передачу модифицированных Cookie или User-Agent, продемонстрированы (https://www.trustedsec.com/september-2014/shellshock-dhcp-rc.../) успешные атаки на DHCP-клиентов и публичные репозитории Git/Subversion с доступом по SSH. URL: http://draios.com/shellshock-sysdig/ Новость: http://www.opennet.dev/opennews/art.shtml?num=40678
Ответить \| Правка \| Cообщить модератору

Оглавление

Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..., iZEN, 12:16 , 26-Сен-14, (1) –2

Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..., Аноним, 19:41 , 26-Сен-14, (5) +1

Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..., Журналовращатель, 12:38 , 26-Сен-14, (3)
Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..., Аноним, 14:11 , 26-Сен-14, (4) –1

Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..., Аноним, 19:42 , 26-Сен-14, (6)

Выпуск sysdig 0.1.89 с возможностью выявления активности, св..., Аноним, 19:43 , 26-Сен-14, (7)
Выпуск sysdig 0.1.89 с возможностью выявления активности, св..., pavlinux, 21:34 , 26-Сен-14, (8)

Выпуск sysdig 0.1.89 с возможностью выявления активности, св..., Аноним, 22:06 , 26-Сен-14, (9)
Выпуск sysdig 0.1.89 с возможностью выявления активности, св..., Аноним, 22:53 , 26-Сен-14, (10)

Выпуск sysdig 0.1.89 с возможностью выявления активности, св..., pavlinux, 05:45 , 28-Сен-14, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..." –2 +/–

Сообщение от iZEN (ok) on 26-Сен-14, 12:16

>С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах
Но зачем? Чем неподходящий /bin/sh?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..." +1 +/–

Сообщение от Аноним (??) on 26-Сен-14, 19:41

Зачем вы ездите на этих небезопасных и ломких автомобилях? На моей телеге сложно убиться и я могу ее отремонтировать прямо в сарае!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..." +/–

Сообщение от Журналовращатель on 26-Сен-14, 12:38

даже 10 лет назад это было уже не удобно. А в эмбеддовке - да, sh из состава бузибоха

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..." –1 +/–

Сообщение от Аноним (??) on 26-Сен-14, 14:11

И в большинстве дистров его нет. А утилита для поиска уязвимостей и следов взлома же мастхев.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..." +/–

Сообщение от Аноним (??) on 26-Сен-14, 19:42

> И в большинстве дистров его нет. А утилита для поиска уязвимостей и
> следов взлома же мастхев.
Утилита вообще умеет уйму всего - крутота.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..." +/–

Сообщение от Аноним (??) on 26-Сен-14, 19:43

> как сопоставимая с Heartbleed-уязвимостью в OpenSSL.
Хуже! Достаточно получить IP с вражеского DHCP - и все, пиндык.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..." +/–

Сообщение от pavlinux (ok) on 26-Сен-14, 21:34

> Installation
> curl -s https://s3.amazonaws.com/download.draios.com/stable/install-... | sudo bash
Угу, а рута им не показать?
---
Йопт, ещё им trace на сервере включить!!!
sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)

Нунах, rm -f /bin/bash безопаснее будет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..." +/–

Сообщение от Аноним (??) on 26-Сен-14, 22:06

Чуть ниже manual install не додумался смотреть, сразу кричать в комменты полез?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..." +/–

Сообщение от Аноним (??) on 26-Сен-14, 22:53

> Угу, а рута им не показать?
Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит. Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.
> Йопт, ещё им trace на сервере включить!!!
Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)
> Нунах, rm -f /bin/bash безопаснее будет.
Да что уж там, dd -if=/dev/zero -of=/dev/sdX будет надежнее. А то вдруг после твоего патча Барм... Баклана умрет не все? :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..." +/–

Сообщение от pavlinux (ok) on 28-Сен-14, 05:45

>> Угу, а рута им не показать?
> Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит.
> Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.
>> Йопт, ещё им trace на сервере включить!!!
> Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)
Пля, прикинь, а мужики на наноядрах отлаживают, там не то что трассировки,
там дамп памяти хрен сделаешь и брякпоинты не поставишь.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."	–2 +/–
Сообщение от iZEN (ok) on 26-Сен-14, 12:16
>С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах Но зачем? Чем неподходящий /bin/sh?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."	+1 +/–
	Сообщение от Аноним (??) on 26-Сен-14, 19:41
	Зачем вы ездите на этих небезопасных и ломких автомобилях? На моей телеге сложно убиться и я могу ее отремонтировать прямо в сарае!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."	+/–
Сообщение от Журналовращатель on 26-Сен-14, 12:38
даже 10 лет назад это было уже не удобно. А в эмбеддовке - да, sh из состава бузибоха
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

4. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."	–1 +/–
Сообщение от Аноним (??) on 26-Сен-14, 14:11
И в большинстве дистров его нет. А утилита для поиска уязвимостей и следов взлома же мастхев.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."	+/–
	Сообщение от Аноним (??) on 26-Сен-14, 19:42
	> И в большинстве дистров его нет. А утилита для поиска уязвимостей и > следов взлома же мастхев. Утилита вообще умеет уйму всего - крутота.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

7. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."	+/–
Сообщение от Аноним (??) on 26-Сен-14, 19:43
> как сопоставимая с Heartbleed-уязвимостью в OpenSSL. Хуже! Достаточно получить IP с вражеского DHCP - и все, пиндык.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

8. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."	+/–
Сообщение от pavlinux (ok) on 26-Сен-14, 21:34
> Installation > curl -s https://s3.amazonaws.com/download.draios.com/stable/install-... \| sudo bash Угу, а рута им не показать? --- Йопт, ещё им trace на сервере включить!!! sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0) sysdig_probe: Unknown symbol tracepoint_probe_register (err 0) sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0) sysdig_probe: Unknown symbol tracepoint_probe_register (err 0) sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0) sysdig_probe: Unknown symbol tracepoint_probe_register (err 0) Нунах, rm -f /bin/bash безопаснее будет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."	+/–
	Сообщение от Аноним (??) on 26-Сен-14, 22:06
	Чуть ниже manual install не додумался смотреть, сразу кричать в комменты полез?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."	+/–
	Сообщение от Аноним (??) on 26-Сен-14, 22:53
	> Угу, а рута им не показать? Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит. Кстати достаточно несложно билдуется из сорцов, если уж на то пошло. > Йопт, ещё им trace на сервере включить!!! Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :) > Нунах, rm -f /bin/bash безопаснее будет. Да что уж там, dd -if=/dev/zero -of=/dev/sdX будет надежнее. А то вдруг после твоего патча Барм... Баклана умрет не все? :)
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."	+/–
	Сообщение от pavlinux (ok) on 28-Сен-14, 05:45
	>> Угу, а рута им не показать? > Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит. > Кстати достаточно несложно билдуется из сорцов, если уж на то пошло. >> Йопт, ещё им trace на сервере включить!!! > Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :) Пля, прикинь, а мужики на наноядрах отлаживают, там не то что трассировки, там дамп памяти хрен сделаешь и брякпоинты не поставишь.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору