| |
| 2.27, Аноним (27), 20:33, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Косит под бэкап файла. Если админ лох и файло не чекает, название его не смутит.
| | |
|
| 1.2, Ключевский (?), 11:29, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Что за бред?
/etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
| | |
| |
| |
| 3.11, Аноним (11), 13:08, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Что за бред?
> /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
> это имя приложения
Один бред круче другого. Новость не читай — сразу комментируй!
| | |
|
| 2.6, Аноним (6), 12:23, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Что за бред?
> /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
В /etc/ssh он разве что теоретически может быть (обычно в ~/.ssh), этим и пользуются вредоносы.
| | |
| |
| 3.10, Ключевский (?), 12:54, 11/12/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В /etc/ssh он разве что теоретически может быть (обычно в ~/.ssh), этим
> и пользуются вредоносы.
В ~/.ssh пользовательский, а в /etc/ssh системный, он там не теоретически, а вполне себе бывает на серьезных системах, ты хоть man открой
| | |
| |
| 4.20, Аноним (6), 14:25, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Теоретические предположения обычно расходится с практикой. Глобальный ssh_known_hosts - это очень и очень узкоспециализированные решения для каких нибудь кластеров и типовых ферм, в обычной жизни, на серверах, которые можно взломать подбором пароля или хакнув пять лет не обновлявшийся WordPress, встречаются крайней редко.
| | |
|
|
| 2.15, Аноним84701 (ok), 13:50, 11/12/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >> Например, в некоторых случаев для ведения лога перехваченных паролей использовались такие файлы, как:
>> /etc/ssh/ssh_known_hosts
> Что за бред?
> /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
Как это должно помешать записывать туда "всем желающим" перехваченные пароли?
| | |
| 2.17, 1 (??), 14:20, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну так формат позволяет писать туда свои данные (например, под видом комментариев).
| | |
|
| 1.4, ddd788 (?), 11:54, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
поостерегусь запускать перловый скрипт непонято от кого.
стремные регэкспы, странные строковые константы, подозрительные названия функций
небось еще и рута просит
| | |
| |
| 2.5, none_first (ok), 12:05, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > поостерегусь запускать перловый скрипт непонято от кого.
> стремные регэкспы, странные строковые константы, подозрительные названия функций
> небось еще и рута просит
# This script is a modified and tidied version of the signatures used by the
# Windigo operators to detect OpenSSH backdoors. It has been stripped to keep
# only the relevent parts.
#
# It is not guaranteed to run correctly. It is only to exhibit the full set of
# signatures.
какбэ намекают что пострипали то, что посчитали нужным из малвари, но корректный запуск не гарантируют
| | |
| |
| 3.16, user (??), 14:01, 11/12/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
В Go сделали автоскачивание всего, чтобы облегчить внутригугловую разработку. Хипстеры за пределами гугла это не поняли и сделали себе дыру в безопасности, не говоря уже про усложнение работы в оффлайне.
| | |
| |
| 4.24, Аноним (24), 17:38, 11/12/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
А хипстеры не понимают, как это "работать в оффлайне" (откуда же код еопипастить тогда?)
| | |
|
|
|
| 1.7, osadmin (?), 12:24, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Что-то он даже не запускается (
11.12.2018 11:23:25 root@host:~$./windigo_signatures.pl
./windigo_signatures.pl: line 8: syntax error near unexpected token '('
./windigo_signatures.pl: line 8: 'my %pw = ('
11.12.2018 11:23:28 root@host:~$perl ./windigo_signatures.pl
Can't call method "f" on an undefined value at ./windigo_signatures.pl line 224.
| | |
| |
| 2.18, none_first (ok), 14:21, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Что-то он даже не запускается (
> 11.12.2018 11:23:25 root@host:~$./windigo_signatures.pl
> ./windigo_signatures.pl: line 8: syntax error near unexpected token '('
> ./windigo_signatures.pl: line 8: 'my %pw = ('
> 11.12.2018 11:23:28 root@host:~$perl ./windigo_signatures.pl
> Can't call method "f" on an undefined value at ./windigo_signatures.pl line 224.
читать хотя бы комментарии к коду не принято? ;)
| | |
|
| 1.8, Аноним (8), 12:41, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Используйте YARA правила для описания зловредов!
Использование YARA очень удобно, понятно, наглядно.
И самое главное что написанные вами YARA правила для зловредов срезу станут доступны для использования во многих антивирусах, включая ClamAV.
| | |
| |
| 2.9, Аноним (8), 12:43, 11/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
YARA - рулит!!!
Костыли на перле и сводная таблица - отстой.
| | |
|
| 1.14, Аноним (14), 13:49, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дешёвый пиар от подобия на антивирусное ПО. Так желтит, что аж коричнево
| | |
| |
| 2.19, Аноним (19), 14:25, 11/12/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
После того, как M$ опрокинула рынок "типа антивирусного" ПО, надо же куда-то силы прикладывать ...
| | |
|
| 1.23, Харитон (?), 17:20, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я так понимаю, что для внедрения трояна надо дать права root?
Типичный вирус...)))
Скорее всего "скомпромметированные" - это d-link, tp-link и пр. microtik где был бекдор, а его пароль стал общеизвестным...
| | |
| |
| 2.25, Нанобот (ok), 17:45, 11/12/2018 [^] [^^] [^^^] [ответить]
| –4 +/– |
 >Я так понимаю, что для внедрения трояна надо дать права root?
надо, но, из-за повальной уязвимости операционных систем на базе linux, это не является сколько-нибудь значимой преградой
| | |
| |
| 3.28, Ключевский (?), 21:46, 11/12/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Давай я тебе дам IPшник сервера с ОС на базе ядра Linux, а ты докажешь на его примере повальные уязвимости, положишь мне в /srv/web файл содержимое которого будет заранее известно всему OpenNET. Если ты не сможешь это сделать за 24 часа, то ты выплачиваешь мне 10000 долларов США, если сможешь, то я выплачиваю эту сумму тебе.
А то визжать про уязвимости каждый может, а как спросишь у такого как ты «Ну и где же уязвимость?», так сразу вы в кусты сматываетесь
| | |
| |
| 4.32, Адекват (ok), 10:09, 12/12/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Давай, смелый ты наш, но только не за бабки, а за спортивный интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).
| | |
| |
| 5.35, Ключевский (?), 12:32, 12/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Давай, смелый ты наш, но только не за бабки, а за спортивный
> интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).
То есть за деньги ты боишься, потому что ты точно знаешь, что обгадишься. Без денег мне не интересно.
| | |
|
| 4.37, iPony (?), 16:31, 12/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Давай я тебе дам IPшник сервера с ОС на базе ядра Linux
Ну ты молодец, отличник, медалист 🏅, трудяга и всё такое — спору нет.
А больше половины линуксовых устройств в сети 🕸 не имеют заплаток на дыры, многие небезопасно сконфигурированы и так далее.
Можно хоть обхохочтаться, но это реальность.
| | |
| 4.41, pavlinux (ok), 16:48, 12/12/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > 10000 долларов США
О, давай. Только договор через юриста, чтоб не соскочил.
Если найду файлы обновленные позже даты новости минус 24 часа, а именно 11(10)-Дек-18, 11:16 и такой же аптайм,
то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
За очистку логов, history ещё штраф 5000$
| | |
| |
| 5.46, Ключевский (?), 14:07, 13/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> 10000 долларов США
> О, давай. Только договор через юриста, чтоб не соскочил.
> Если найду файлы обновленные позже даты новости минус 24 часа, а именно
> 11(10)-Дек-18, 11:16 и такой же аптайм,
> то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
> За очистку логов, history ещё штраф 5000$
Павлин, я-то согласен и через юриста, что бы ты не соскочил. Не «не позже даты новости», а запрет на любые ручные обновления с момента, как начинается отсчет суток тебе на взлом. Вот как он настроен, так ты и пытаешься ломать. Сервер при этом реальный и боевой, работает как работает, специально ничего не настраиваю. 10 тысяч с тебя если проиграешь, еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»
| | |
| |
| 6.49, pavlinux (ok), 17:28, 13/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> 10 тысяч с тебя если проиграешь,
Пиши dixlor@gmail.com
> еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»
Нежный, ты не соскакивай с темы, очканул так и пиши. А то детские отмазки, скучно...
Хотя у тебя есть шанс избежать позора "последнего лоха" - сменить аккаунт :)
| | |
|
|
|
|
|
| 1.33, Адекват (ok), 10:13, 12/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я так понимаю, что сервера на базе линукса были взломаны, там чужие дяди и тети хозяйничали, а хозяева сервера ни сном ни духом.
Ну это те админы, что с ухмылочкой говорят "этож линукс, по него полтора вируса и те устанавливать нужно".
Нда, антивирусы под линукс не нужны, ага, как и системы обнаружения вторжений.
Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту, в мессенджер и так далее.
И идея запретить по ssh логиниться руту - уже не кажется бредовой.
| | |
| |
| 2.36, Ключевский (?), 12:39, 12/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту,
> в мессенджер и так далее.
Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/.
> И идея запретить по ssh логиниться руту - уже не кажется бредовой.
Какая разница какой пользователь логинится по ssh с использованием ключа?
| | |
| |
| 3.40, pavlinux (ok), 16:46, 12/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/.
...
> Какая разница какой пользователь логинится по ssh с использованием ключа?
Ты же только что сделал уведомления по СМС?
Сидишь в бане с телочками, тебе смска, а ключик-то дома... опа... додрачивать будешь в маршрутке.
| | |
|
| 2.42, пох (?), 19:50, 12/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> И идея запретить по ssh логиниться руту - уже не кажется бредовой.
современные девляпсы тебя не поймут.
А чуть менее современные заводят юзера vasya (так звали поза-поза-поза-позапрошлого админа) с паролем 123qwe321 , дают ему sudo без ограничений, а логин рутом да, запрещают-запрещают, отлично спрятались, можно годами сервер не проверять, вирусов же не бывает.
осталось догадаться, кто это такие трахают мне 22й порт с интенсивностью полсотни коннектов в минуту (а если б там не было фильтра - то бы и пароли подбирали с той же увлеченностью. Оно, кстати, умудряется подбирать довольно непростые.)
windows, наверное.
и спам с опенрелеев на базе швятого неуязвимого поцфикса тоже видимо винда проклятая шлет.
| | |
|
| 1.39, pavlinux (ok), 16:43, 12/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> сводная таблица с характерными признаками каждого вида SSH-троянов,
Спасибо, что предупредили, будем придумывать новые :)
| | |
| 1.44, Аноним (45), 12:03, 13/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Свой велик с нуля писать конечно нестоит. А вот обвязки разные вокруг ClamAV и прочие полезные вещи, для удобства настроек, развёртывания, интеграции с другими системами поиска вирей и уязвимостей в ГНУ/Линуксе желательны.
Каждый админ городит свои костыли, а сообща можно будет сделать хорошую антивирусную систему для Линукс интегрирующую множество разных аспектов.
Можно завести в форуме OpenNETа тему и начать обсуждать идеи. Своими костылями покруче упоминаемого здесь перлового скрипта готов поделится.
| | |
| 1.51, Аноним (51), 08:37, 17/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
"Воспользовавшись этими признаками представители ESET выяснили, что многие из них не охватывают ранее известные бэкдоры,"
Это должно звучать так
"Воспользовавшись этими признаками представители ESET выяснили, что многие из них охватывают ранее НЕ известные бэкдоры,"
Иначе получается ерунда, и windigo не проверяют что уже установлены старые бэкдоры, и "специалисты" eset не смогли бы по такой подсказке найти новых, известных windigo.
Но вообще хорошо. "специалисты" eset не могут без готовых how-to.
| | |
|
