OpenForum RSS: Червь P2PInfect, атакующий серверы Redis https://opennet.dev/openforum/vsluhforumID3/131041.html Исследователи из группы Unit 42 обнаружили новый червь P2PInfect, создающий свою P2P-сеть для распространения вредоносного ПО без применения централизованных управляющих серверов. После компрометации хост подключается к созданной P2P-сети, загружает образ с реализацией P2PInfect для необходимой операционной системы (поддерживается Linux и Windows) и переходит в режим сканирования других уязвимых хостов для совершения на них атаки и включения их в цепочку распространения червя. При сканировании выявляются уязвимые серверы Redis и проверяется наличие доступа по SSH. Код червя написан на языке Rust...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59473<br> Червь P2PInfect, атакующий серверы Redis (Анониссимус) https://opennet.dev/openforum/vsluhforumID3/131041.html#107 Thu, 27 Jul 2023 20:11:15 GMT Вот не совсем понял этот момент, в новости написано, что именно из-за динамического связывания уязвимость проявилась.<br> Червь P2PInfect, атакующий серверы Redis (пох.) https://opennet.dev/openforum/vsluhforumID3/131041.html#106 Thu, 27 Jul 2023 04:41:17 GMT Ну вот я осмотрелся в отсеках - нет у меня ни миллиона ни хотя бы одной причины.<br>Можно спать дальше.<br><br>А так - уже аж почти тыща штук нашлась. Из 300000 висящих голым задом в интернет.<br>Т.е. из трех сотен находится не всегда целый один ловкий мальчик, таки ухитряющийся притащить lua.<br><br> Червь P2PInfect, атакующий серверы Redis (Аноним) https://opennet.dev/openforum/vsluhforumID3/131041.html#105 Wed, 26 Jul 2023 20:40:35 GMT Так луа может уже стоять по миллионы причин.<br> Червь P2PInfect, атакующий серверы Redis (Аноним) https://opennet.dev/openforum/vsluhforumID3/131041.html#104 Tue, 25 Jul 2023 19:47:47 GMT спать спокойно могут тольто те, кто сам всё проверил, а не понадеялся на экспердов, т.е. никто<br> Червь P2PInfect, атакующий серверы Redis (ivan_erohin) https://opennet.dev/openforum/vsluhforumID3/131041.html#102 Mon, 24 Jul 2023 09:34:11 GMT &gt; редис совершенно не для васянов с опеннета, они понятия не имеют что <br>&gt; это и как этим пользоваться (да и некуда им его пихать <br>&gt; на самом-то деле)<br><br>все три тезиса ошибочные. контрпример:<br>dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=32&CHAPTER_ID=05360<br> Червь P2PInfect, атакующий серверы Redis (пох.) https://opennet.dev/openforum/vsluhforumID3/131041.html#101 Mon, 24 Jul 2023 07:59:04 GMT она просто вообще не ставится, если вручную не поставить.<br><br>И зависимости такой у редиса - нет, даже опциональной. <br>(логично, кривые дебиановские скрипты 96го года не умеют в динамические модули)<br><br>Так что пока сам себе яйца не отстрелишь - ничего не произойдет.<br><br><br> Червь P2PInfect, атакующий серверы Redis (Аноним) https://opennet.dev/openforum/vsluhforumID3/131041.html#100 Mon, 24 Jul 2023 06:55:22 GMT Чего они решили?<br>Ты думаешь, там отдельный пакет типа redis-lua, без которого Lua не ставится? Нет.<br> Червь P2PInfect, атакующий серверы Redis (пох.) https://opennet.dev/openforum/vsluhforumID3/131041.html#99 Sun, 23 Jul 2023 08:29:53 GMT &gt; так стоит ли им заниматься ? или выгоднее потратиться на хардэнд всех хостов ?<br><br>или забить болт - авось пронесет на этот раз.<br>Вон, сотня тыщ ло...гениальных разработок трудами ребят из дебиан оказалась таки неуязвима. <br><br>&gt; это же не ftp. предполагаю, его можно легко обернуть в SSL, а где SSL - там и ключи и <br>&gt; сертификаты.<br><br>это не ftp. Там ключи, сертификаты, бесконечная бессмысленная й06ань. И длинный-длинный геморрой с установлением сессии и ее очисткой после завершения. Что просто вот кол в ж-пу для быстрого in-mem кэша, заточенного под максимальную возможную скорость ответа и вероятный stateless на том конце.<br><br>Даже стандартная редисовая авторизация (которая в стиле "дерни деточка за веревочку", и максимальная скорость ответа там тоже очень "удачно" легла в тему, рядом с паролями от всего плейнтекстом) создает проблему, а защищает такой замок только от честных людей, а никак не от упорных лесников.<br><br> Червь P2PInfect, атакующий серверы Redis (пох.) https://opennet.dev/openforum/vsluhforumID3/131041.html#98 Sun, 23 Jul 2023 08:15:07 GMT &gt; - отправить пулл-реквест с динамической линковкой в апстрим;<br><br>даже если он будет принят - это произойдет этак через три версии. Дистрибутиву нужен работающий пакет даже не сегодня а вчера - потому что все это еще и тестируется, а обновления ради обновлений - это вон вам в rolling, каждый день сломано что-то новое.<br><br>Т.е. это совершенно неэффективный подход даже если бы гордые разработчики не отшвыривали подобные патчи неглядя ровно по тому же принципу который ты приписываешь debian - "уменявсеработаит", "зачем мне лишние строчки" и вообще я у мамы самый умный.<br><br>&gt; Глупо: плохо разбираясь в коде, исключительно из соображений "у нас такие правила" наклепать<br>&gt; патч, который не ревьюил ни один разбирающийся в данной кодовой базе человек<br><br>значит не больно и хотели. Большинству вероятнее всего вообще не придет в голову включать там lua.<br><br>И, напоминаю, все это было не зря, гораздо более серьезную проблему с багом в самом редисе - не требующую никаких специально подобравшихся в /lib библиотек - таким образом