Перейти к содержимому


Kernel.org был заражен в течение 17 дней


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 7

#1 Гость_SunLab_*

Гость_SunLab_*
  • Гости
Репутация: 0

Отправлено 01.09.2011 - 12:32

Начиная с 12 августа на серверах kernel.org находился троян, который записывал пароли, действия пользователей,
предоставлял root-доступ и модифицировал ПО на сервере.
Только через 17 дней троян был обнаружен на машине одного из разработчиков ядра H Peter Anvin.
Далее на серверах kernel.org Hera и Odin1.
Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.
Разработчики уверяют, что все файлы ядра подписаны SHA-1 и подменить их невозможно, но на всякий случай проверяют дальше.
Троян удалось обнаружить по сообщению об ошибке в Xnest на машине в которой не должно быть X window.
Разработчики настоящие профессионалы, они сразу догадались, что такого не должно быть.

Источник новости

Подключайтесь к голосовым конференциям ogo.in.ua Обсудим эту и другие новости из мира высочайший технологий ;)

#2 bazzzilio

bazzzilio

    Опытный

  • СуперМодераторы
  • 4232 сообщений
  • Откуда :Чернігівська обл
  • Регион услуги:Чернігів
Репутация: 624
Профи

Отправлено 01.09.2011 - 19:32

Опаньки... ВоД вам и незаражаемые вирями системы...
TP-Link TD-W8901N (bridge mode) "Двадцятка" DHCP + Mikrotik RB750

#3 storm3128

storm3128

    (;,,;)

  • Администраторы
  • 2131 сообщений
  • Откуда :АТС 413
  • Регион услуги:Київ
Репутация: 562
Профи

Отправлено 02.09.2011 - 11:30

bazzzilio, а что, известно, что у того разработчика стояло на рабочей станции?
Разница между вирем (самостоятельное распространение) и трояном (провокация пользователя, человеческий фактор) есть?
Паранойя - ни разу не болезнь, а критерий профпригодности. Для непараноиков есть масса позиций объединенных термином "офисный планктон" -- akmal_d (linux.org.ru)
ASUS AM602 + Netgear WNDR3800 (OpenWRT, r33741 + patches) - Укртелеком+Киевстар
Есть вопрос - задайте его на форуме. В личке общие вопросы не обсуждаю.
Конвертор списка воспроизведения IPTV в udpxy-совместимую форму

#4 bazzzilio

bazzzilio

    Опытный

  • СуперМодераторы
  • 4232 сообщений
  • Откуда :Чернігівська обл
  • Регион услуги:Чернігів
Репутация: 624
Профи

Отправлено 02.09.2011 - 19:20

Просмотр сообщенияstorm3128 (Сегодня, 12:30) писал:

а что, известно, что у того разработчика стояло на рабочей станции?
Ну каГбе я сделал вывод из того, что

Просмотр сообщенияSunLab (Вчера, 13:32) писал:

Троян удалось обнаружить по сообщению об ошибке в Xnest на машине в которой не должно быть X window.
Насчет человеческого фактора - он, ИМХО, и в распространении вирусов не последнюю роль играет:-?
TP-Link TD-W8901N (bridge mode) "Двадцятка" DHCP + Mikrotik RB750

#5 storm3128

storm3128

    (;,,;)

  • Администраторы
  • 2131 сообщений
  • Откуда :АТС 413
  • Регион услуги:Київ
Репутация: 562
Профи

Отправлено 02.09.2011 - 21:15

Вывод по-моему в корне неверный. Xnest на машине разраба не очень-то и нужен - он же не в голой консоли красноглазит - у него нормальное рабочее окружение. Под виндой с троянями :)
Надо бы с первоисточником свериться...
Паранойя - ни разу не болезнь, а критерий профпригодности. Для непараноиков есть масса позиций объединенных термином "офисный планктон" -- akmal_d (linux.org.ru)
ASUS AM602 + Netgear WNDR3800 (OpenWRT, r33741 + patches) - Укртелеком+Киевстар
Есть вопрос - задайте его на форуме. В личке общие вопросы не обсуждаю.
Конвертор списка воспроизведения IPTV в udpxy-совместимую форму

#6 storm3128

storm3128

    (;,,;)

  • Администраторы
  • 2131 сообщений
  • Откуда :АТС 413
  • Регион услуги:Київ
Репутация: 562
Профи

Отправлено 03.09.2011 - 18:44

На kernel.org пишут, что (мой вольный перевод):
  • Был получен root-доступ к серверу hera, предположительно через скомпроментированную учетку пользователя. Как удалось поднять привилегии до root - пока непонятно. (Прим. переводчика: Скомпроментированная учетка - это не дырка в линуксе, это человек флешку с ssh-ключом незапароленным потерял, или пароль на мониторе записал)
  • Были подменены файлы, относящиеся к серверу и клиенту ssh
  • Скрипт запуска трояна был добавлен в стартовые скрипты
  • Собиралась активность пользователей
  • Троян был обнаружен по ошибкам Xnest–сервера
Итого, самое интересное - подъем привилегий. Остальное непосредственно к линуксу не имеет отношения.
Паранойя - ни разу не болезнь, а критерий профпригодности. Для непараноиков есть масса позиций объединенных термином "офисный планктон" -- akmal_d (linux.org.ru)
ASUS AM602 + Netgear WNDR3800 (OpenWRT, r33741 + patches) - Укртелеком+Киевстар
Есть вопрос - задайте его на форуме. В личке общие вопросы не обсуждаю.
Конвертор списка воспроизведения IPTV в udpxy-совместимую форму

#7 bazzzilio

bazzzilio

    Опытный

  • СуперМодераторы
  • 4232 сообщений
  • Откуда :Чернігівська обл
  • Регион услуги:Чернігів
Репутация: 624
Профи

Отправлено 03.09.2011 - 19:55

Просмотр сообщенияstorm3128 (Вчера, 22:15) писал:

Вывод по-моему в корне неверный. Xnest на машине разраба не очень-то и нужен - он же не в голой консоли красноглазит - у него нормальное рабочее окружение. Под виндой с троянями

Не флейма ради, но в той фразе для меня ключевым словом было не  Xnest, а X window. Да и текущий раздел какбы намекает :)
Опять же,

Просмотр сообщенияstorm3128 (Сегодня, 19:44) писал:

Был получен root-доступ к серверу hera, предположительно через скомпроментированную учетку пользователя.
Т.е., не факт, что именно таким образом.
Ну и, даже если так, человек, имеющий рутовый доступ к серверу неподвендой (т.е., по идее, таки немного параноик), и потерявший флешку с ssh-ключами, ИМХО, должен был в первую очередь позаботиться о смене ключей, да и проверить, не входил ли кто, пока его не было. Но это, ессно, снова человеческий фактор. Или таки ключи/пароли поломали (отснифили/расшифровали)?
Я как день свою флеху не мог найти, уже собирался поменять все ключи и пароли :) Но нашлась:dance:
Сорри за оффтоп:eu:
TP-Link TD-W8901N (bridge mode) "Двадцятка" DHCP + Mikrotik RB750

#8 storm3128

storm3128

    (;,,;)

  • Администраторы
  • 2131 сообщений
  • Откуда :АТС 413
  • Регион услуги:Київ
Репутация: 562
Профи

Отправлено 03.09.2011 - 20:05

Просмотр сообщенияSunLab (01.09.2011 - 13:32) писал:

Троян удалось обнаружить по сообщению об ошибке в Xnest на машине в которой не должно быть X window.

Просмотр сообщенияbazzzilio (Сегодня, 20:55) писал:

Не флейма ради, но в той фразе для меня ключевым словом было не Xnest, а X window. Да и текущий раздел какбы намекает :)
Что-то я этого тонкого троллинга не догоняю :-/ Троян обнаружили на сервере. Его туда кто-то подложил (не вирус же). На сервере нет X Window,
Все равно не догоняю.

Просмотр сообщенияbazzzilio (Сегодня, 20:55) писал:

Т.е., не факт, что именно таким образом.
Не факт. Обсуждать нечего :)


Просмотр сообщенияbazzzilio (Сегодня, 20:55) писал:

и потерявший флешку с ssh-ключами, ИМХО, должен был в первую очередь позаботиться о смене ключей, да и проверить, не входил ли кто, пока его не было.
Не успел! :ek::bk:


Просмотр сообщенияbazzzilio (Сегодня, 20:55) писал:

Или таки ключи/пароли поломали (отснифили/расшифровали)?
Ну, это вряд ли, как мне кажется. Тогда бы одни уже вопили про фундаментальную проблему OpenSSH, а другие ломали бы направо и налево. Я ставлю на раздолбайство.
Паранойя - ни разу не болезнь, а критерий профпригодности. Для непараноиков есть масса позиций объединенных термином "офисный планктон" -- akmal_d (linux.org.ru)
ASUS AM602 + Netgear WNDR3800 (OpenWRT, r33741 + patches) - Укртелеком+Киевстар
Есть вопрос - задайте его на форуме. В личке общие вопросы не обсуждаю.
Конвертор списка воспроизведения IPTV в udpxy-совместимую форму




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 скрытых пользователей