Исследователи из компании ESET опубликовали 43-страничный отчёт с анализом руткита Ebury и связанной с ним активности. Утверждается, что Ebury применяется с 2009 года и с тех пор был установлен на более чем 400 тысяч серверов под управлением Linux и несколько сотен систем на базе FreeBSD, OpenBSD и Solaris. Около 110 тысяч серверов оставались поражены Ebury по состоянию на конец 2023 года. Исследование представляет отдельный интерес с учётом того, что Ebury был задействован при атаке на kernel.org, что открывает некоторые новые подробности компрометации инфраструктуры разработки ядра Linux, выявленной в 2011 году. Ebury также был выявлен на серверах регистратора доменов, криптобиржах, выходных узлах Tor и у нескольких хостинг-провайдеров, имена которых не называются...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61186
Интересно, что более защищено от уязвимостей: роллинг дистрибутивы или стабильные, с старыми пакетами (но в которые пытаются делать патчи)?
Я думаю что всё-таки роллинг.
Во первых они намного оперативнее обновляются.
Во вторых там 100% нет старых уязвимостей, только новые, которые маловероятно найдут среди миллиона других серверов.
роллинг на сервере?
Да.
Я бы руку жал тем, кто использует роллинг на сервере.
> Я бы руку жал тем, кто использует роллинг на сервере.Не получится. У них руки заняты. Не, не тем что вы подумали - они по клаве печатают, чиня факапы.
>они по клаве печатают, чиня факапы.серверы разные бывают. у меня есть один микроскопический на арче, в инет торчит только haproxy и ssh. ничего там не нужно чинить, годами работает.
по теме, очевидно что в rhel/ol8 дырок намного меньше, чем в роллингах. многие дыры в 4.х отсутствуют.
Я не знаю откуда пошло мнение что в стабильных дистрибах дырки чинят. По-моему этот миф неоднократно разоблачали на различных ресурсах. В таких дистрибах (включая и красную шапку) для прода всегда в приоритете стабильность системы, а вовсе не информационная безопасность. Если заплатка что-то ломает, то дыра там надолго останется.
>>в стабильных дистрибах дырки чинят.в стабильных дистрибах - стабильные дырки.
а как иначе???
Попробуйте port knocking на фаерволе настроить чтобы не торчать наружу в ssh. Ну или VPN.
>чиня факапыСледует читать, вовремя закрывают уязвимости.
>>чиня факапы
> Следует читать, вовремя закрывают уязвимости.Да понимаешь - аптгетчики тоже их - закрывают. Только руки у них заняты - очень сильно меньше. Потому что не надо разгребать отвалы после всего этого.
Это одна рука - вторая да-да, тем самым.
> Это одна рука - вторая да-да, тем самым.Да ну ладно тебе, это ж не винды где доменконтроллер может подохнуть от того что вмварь решила версию виртуального диска апгрейднуть, поклав каким-то чудом на корп сервер активации. Вот после этого у виндоадмина руки (и не только) заняты конкретно, конечно. И вазелин за свой счет. Но судить линуксоидов по своим маздайным замашкам - фу таким быть.
На мой вкус линь в виде stable дистро как раз одна из самых беспроблемных штук в проде. То что надо - техническая подложка под задачи и сервисы, где большую часть траблов вообще решили другие люди. Зачастую - нашару даже. И это круто. Так что говоря за себя с неких пор винду не буду админить даже за деньги. Даже за хорошие. Линух мне просто прикольнее.
Проебалась вмварь, а виновата винда.Не дай бог такого админа хоть кому
Только те гентушники которых я знаю кто пользовали роллинг на сервере никогда его не обновляли. Зато дико хвастались какой-то синтетикой работы нжинкса у них на сервере.
Так это люди такие. Есть которые умудряются не обновлять какой-нибудь стабильный дебиан.
Да есть такие люди, которые вообще, не важно какой дистр, ничего не обновляют. "Работает - не трожь."
> "Работает - не трожь."Вот где самый рассадник вирусни и бэкдоров. Например, все ядра с Dirty COW очень даже рабочии.
Можно подумать, те кто НЕ использует на проде роллинг делают обновления. Если раз в год обновят и то хорошо.
>Можно подумать, те кто НЕ использует на проде роллинг делают обновления. Если раз в год обновят и то хорошо.зависит от админа, не? засунь всё за балансировщики и обновляй хоть каждый день
>зависит от админа, не?Ну так это и в случае роллинга также.
А что понимается под роллингом?
Гугл по этому слову даёт странные результаты даже не только на первой странице результатов. Дальше результаты его поиска из-за этого смотреть не интересно уж.
роллинг сервер, на котором нет ничего лишнего кроме контейнеров идёт в зачёт?
В смысле, атомарно обновляемая куберокрутилка, на которой даже ssh by design нет?
Типа контейнеры обновлять не нужно? В любом случае у твоего роллинга будут вульны специфичные для тебя, а не для всех у кого дистр Х.
Могу менять дистрибутив на породных серверах хоть каждые 15 минут по очереди. Не вижу никакой проблемы как минимум в последней Федоре, совсем ролинги не пробовал.
*рофлинг на сервере
А почему нет-то? Или ты из тех, кто накатывает обновления на прод минуя тестовый контур?
По подробнее про тестовый контур. Он же конееечно, имитрует продовый во всех смыслах , да?
Конечно. Включая не только сервера но и стандартные рабочие места.
(я у немцев работал, если такие подробности кого-то шокируют )))) Причём это всё не про линукс а обычную винду.
И?) Просто интересно, как продовый форкфлоу поддерживать в каком-то там закрытом контуре. И все помножить на маштаб. Только вот если там экстраполяция, то это читерство и к тесторованию как -то не очень.
Очень просто - всё железо включая серверное оборудование - закупается в двойном размере, не под один кластер и а именно под 2 кластера. По совместительству железо тестового контура выполняет роль запасного на замену сгоревшим в рабочем кластере (потому что закупка 4-голового сервера могло по контракту занимать до 8 недель).
и лицензии закупаются тоже в двойном размере. В общем всё было как в известном Ералаше про билет на автобус и проездной ))
> я у немцев работалЗавидую.
Тебе бы в России поработать, чисто для расширения эрудиции. Когда денег не дают не то что на тестовый полигон из полноценного сервера с рабочими местами, а просто на персоналку новому сотруднику, которую надо собирать из хлама в кладовке, чтобы человек мог хоть как-то работать, пока начальство расщедрится на нормальный комп.
>100% нет старых уязвимостейВообще нет, некоторые дыры ядра, к примеру, жили на версиях 2.х-6.х
Критические уязвимости в стабильных патчат вполне оперативно, а в роллинг постоянно с новым кодом идут и новые уязвимости, которые могут найти через пару лет или не найти вовсе.
Не так уж оперативно. Активная разработка идёт в новых версиях – выше вероятность, что разработчик заметит ошибку. И не факт что разработчик поймёт, что они исправил уязвимость. Может умолчать.
> роллинг постоянно с новым кодом идут и новые уязвимости, которые могут найти через пару летТак это значит, что хакеры про них тоже не знают. А когда узнают, в роллинге будут уже новые версии. А если в новых версиях не исправят и найдут через пару лет, то роллинг всё равно быстрее обновится – там не надо голову ломать и бекпортировать патч в старый код.
Ещё раз никто не обновляет роллинг. Потому что не хочет потом несколько дней разбираться почему всё сломалось.
Ещё раз говорю: это отдельная категория людей, которая не обновляет ничего, вне зависимости фиксированные релизы или нет.
Обновлять стейбл это не то же что обновить троллинг. Троллинг вполне вероятно придеться дописывать переписывать перенастраивать, а проще плюнуть.
Есть агрессивный роллинг (см. arch), есть роллинг мягкий (см. gentoo), есть вообще лайтовый а-ля centos stream или как там его.
> Так это значит, что хакеры про них тоже не знают. А когда узнают, в роллинге
> будут уже новые версии. А если в новых версиях не исправят и найдут через пару лет,
> то роллинг всё равно быстрее обновится – там не надо голову ломать и бекпортировать
> патч в старый код.Зато бэкдор типа xz роллинги собирают мастерски. А то что бесплатный сыр зарезервирован для ВТОРОЙ мышки - им кажется не сообщали.
Бекдор ≠ ошибка в коде.
> Бекдор ≠ ошибка в коде.Спасибо капитан очевидность! Но тут в топике тоже - про бэкдор если что. Он тоже - не ошибка в программном коде. Даже если ему и помогли пролезть какие-то ошибки.
> Критические уязвимости в стабильных патчат вполне оперативно, а в роллинг постоянно с
> новым кодом идут и новые уязвимости, которые могут найти через пару
> лет или не найти вовсе.В роллинге просто вместе с патчем на вулн - прилетит еще более 9000 патчей, сломавших ваш прод. И попробуйте теперь это от асфальта отскрести вообще. Если конечно вы гибрид девопса с системным интегратором - и наняли тематичную тиму, как NYSE - то и гента продакшн, конечно. Но у тех есть деньги на целую тиму гентушников и это дешевле многих иных вариантов. А у вас такие же расклады? :)
Надо делать бекапы/снапшоты, откатывать версии, если необходимо. Конечно, если отдел разработки состоит из программистов, не видящих ничего дальше своего ide, тогда на выходе получается говнокод, легаси и прибитые к старым пакетам технологии. Таких большинство, к сожалению.
Ну да откатывай назад систему с вульном из бекапа пусть тебя ещё больше взломают.
Конечно, роллинг нельзя по крону обновлять на серверах. Сначала снапшот с фиксацией состояния, потм тест на крысах, потом только раскатка в прод. Собственно это касается любого дистрибутива.
Зачем изначально в такой блудняк влезать, вот вопрос.
>Конечно, роллинг нельзя по крону обновлять на серверахприкинь, apt-ятину тоже нельзя по крону обновлять ) хотя в бубу-нте это делают вроде даже по дефолту.
>новые уязвимости, которые могут найти через пару летЗа эти пару лет использующий роллинги обновится 24 раза, примерно. Если это Gentoo, то добавим, как минимум, 24 раза.
>>новые уязвимости, которые могут найти через пару лет
> За эти пару лет использующий роллинги обновится 24 раза, примерно. Если это
> Gentoo, то добавим, как минимум, 24 раза.Я и смотрю - любители роллингов любезно собрали бэкдоры на xz, оказав услугу для любителей стэйблов - любезно прикрыв их от таких пуль своими тушками. Это было очень мило и приятно с их стороны, вон там ругаются и откатываются выковывыривая эту шляпу. Там гентушники, там фаны дебиан анстейбла, там арчеводы... а любителям более стабильных дистро, вот, не досталось "счастья".
> стабильные, с старыми пакетамиВроде бы в новости есть ответ на этот вопрос:
> Для проникновения на серверы использовались неисправленные уязвимости в сервером ПО
Я бы предположил, что ни то и ни другое ни в какой степени не делает ситуацию лучше. Роллинг только изменяет список уязвимостей на более свежий. Таким образом стейбл/анстейбл/роллинг больше про удобство в рамках конкретной задачи, нежели про защитку.
Более защищён стабильный ibm z on power system. Потому что весь софт начиная от ос до каждого приложения написан одной компанией. И никакой сторонний васян ни строчки туда добавить не в состоянии потому что он даже пользоваться такой системой не умеет.
System Z не работает на IBM power, там своя процесссорная архитектура. на IBM power работает AIX и самый обычный Linux. не знаешь - не выпендривайся
Невежа, узнай разницу между POWER и PowerPC, потом выпендривайся.
Z это же продолжение/переименование линейки 390. Поэтому и на ней Linux может работать.
Ролинг со сборкой из исходников вроде Gentoo
В старых могут быть уязвимости, в ролинг бекдоры как было недавно с xzНо уязвимости правят, и далеко не все там rce. А вот если малварь зарулит...
Как же теперь держать сервер, если нельзя верить хостерам.
Шифруй. Вряд ли кто-то будет заморачиваться и анализировать дампы оперативной памяти.
Селфхост.
> СелфхостНу да.
Я вот в своей текущей жизни кроме селф нигде и не хостил ничего. Ну кроме студенческих времён, когда селф ещё не имел и хостил то на университетских серверах, то на GeoCities там всяких.
Ну ладно. Не всё толкьо на селф. Сейчас несколько почтовых ящиков на почтовых серверах неизвестных мне дядей держу (типа майл ру, яндекс да гмайл) - ну так: порядка ради для. А всё остальное - селф, конечно. :-)
А чем я занимался в жизни не текущей, а в прошлых - эта информация мне ещё не открылась. :-)
> GeoCities*ностальгически всплакнул*
>> GeoCities
> *ностальгически всплакнул*Ага! :-)
А куда в конце 90-х можно было податься для размещения сайта (или как это тогда было модно называть - домашней странички) за пределами университетских серверов? Сперва GeoCities. Потом chat ru (на котором из "серверного" програмирования был только ПХП, который и пришлось поюзать), потом i-connect тоже ру. Потом не помню. Университет окончил, устроился в провайдер поадминить там и свою "домашнюю страничку" разместил на его сервере. Ну там уже не то, что дадут (ПХП), конечно, а то, что надо и то, что сам можешь брать, т.е. Перл божественный для генерации страниц применять начал. А потом уже (когда начали АДСЛи там всякие появляться) "дорос" до "селф" и до размещения не домашней странички "себя любимого", а сайтов организаций.
Я настолько старый, что tripod помню.
Удивительно, что им кто-то когда-то верил. Не иссекает человеческая вера во всякую ерунду. Ну сам подумай - кто работает в хостинг компаниях и почему там должно быть "всё хорошо"?
Все хостеры контролируются ГБней. Они должны следить за переписками и за письмами емейл. А то еще русские независимость получат.
Не независимость, а суверенитет, не коверкайте русский язык лидера.
Сувениретет от Интернета.
Зачем ограничиваться интернетом?
Бери железный сервак. У провайдеров обычно всегда есть дешёвый хлам в загашнике.
и никаких инструментов для проверки мульенов систем на целостность нет?
Миллионы глаз, внимательно следящие за каждым коммитом в открытом исходном коде, можно считать как инструмент?
Которые в прошлом году наконец увидели дыру в иксах и эта дыра старше ядра линукса? Ну такое.
А те два глаза, что прочли «контроль целостности», но послали в мозг какой-то совершенно несвязный сигнал -- они входят в воображаемые миллионы?
Т.е. ты даже не задавался на основании чего сделан отчёт. Или ты думаешь ESET просто опубликовали отчёт того как они сами заразили сервера? Контора к слову наимутнейшая от них можно чего угодно ждать.
Они царское золото вернули?
с АдмраПа спрашивай!
Даже если они сами взломали, как от этого защититься и уцбедиться что твои системы чистые? Или вручную все проверять?
Проверять вручную методика и инструменты описана с пдфке на 43 странцы аш с кодом уязвимых перл скриптов. Если что я не думаю что они сами что-то сломали это художественное преувеличение.
Не надо вводить в заблуждение - это решение для частных случаев. Лучше подумайте, как вообще до такого докатились.
> как от этого защититься и уцбедиться что твои системы чистые?Правило 1. Не устанавливать антивирус ESET.
В таком случае проект Linux можно считать недоверенным и скомпроментированным, если к ним целых два года ходили, как к себе домой кто хотел, да и сейчас ходят.Позорище.
Переходим на gnu hurd?
На MNU Turd. Так-то можно перейти хоть на KolibriOS, хоть на Haiku... на что угодно, чем никто не пользуется, кроме сотни-другой красноглазых студентов. Security through obscurity.
Это называется «Неуловимый Джо», а не Security through obscurity.
Стало быть, меня сбило с толку обычное значение слова obscurity (неизвестность), как, например, во фразе "fallen into obscurity".
> Стало быть, меня сбило с толку обычное значение слова obscurity (неизвестность), как,
> например, во фразе "fallen into obscurity".Любопытный случай. Когда-то это было частью расхожего выражения "security through obscurity is no security at all", что популяризовал Брюс Шнайер (имея ввиду, что всестороннее изучение алгоритмов шифрования даёт надежду на гарантии, а никому неизвестный алгоритм «колхозника» специалисты наверняка разберут). Теперь поисковик выдаёт полное obscurity.
В случае с теми ОС можно ведь выяснить, что используется, и наверняка уязвимостей хватает. Другое дело, что это никому не надо - потому они достаточно безопасны.
нет
касперскиос
А что, переходим на продухты Мелкомягких? Но там мы вообще даже не подозреваем, кто к ним на сервера разработки и сколько ходит и кто из них по особому приглашению.
> А что, переходим на продухты Мелкомягких? Но там мы вообще даже не
> подозреваем, кто к ним на сервера разработки и сколько ходит и
> кто из них по особому приглашению.А если почитать EULA оных - так там вообще, [x] я согласен что я лох, меня можно таво-этого, и вазелин за свой счет, не говоря про какие там кейлоггеры CEIP и что там еще.
Майкрософт начала внедрять шпионские модули в свои продукты ещё в 1990-е гг. По началу, видимо чтобы отслеживать фактическое количество пиратских установок. Ну, так сказать для внутренней "аналитики".
Сейчас, "божественная дисяточка" тупо делает скриншоты твоего экрана, и отправляет снимки куда-то туда. Сидишь ты такой c Tor Browser, выходишь в инет через VPN, а операционка такая, хоп и сняла экран твоего браузера. Причём снимки ведутся по времени с регулярными промежутками.
У вас шапочка из фольги сбилась - поправьте, а то торсионные поля ауру искривят...
У меня шапочка из слоёв фольги, сделанной по нанотехнологиям. Так что, никая торсионка не пролезет.
> У меня шапочка из слоёв фольги, сделанной по нанотехнологиям. Так что, никая
> торсионка не пролезет.В смысле "да не голый король! не голый! это специальная нанотехнологическая одежда!"?
> У вас шапочка из фольги сбилась - поправьте, а то торсионные поля ауру искривят...Вся аура майкрософта - прописана в их EULA. Благо по законодательству США и прочих европ они таки - обазяны рассказать клиенту за кого именно они его держат и как именно.
Я вот как-то это дело почитал и честно спросил себя - а что, я и правда agree со всем этим булшитом?! Так и свалил на пингвина, пусть майкрософт сам agree с этим всем будет.
>> У вас шапочка из фольги сбилась - поправьте, а то торсионные поля ауру искривят...
> Вся аура майкрософта - прописана в их EULA. Благо по законодательству США
> и прочих европ они таки - обазяны рассказать клиенту за кого
> именно они его держат и как именно.
> Я вот как-то это дело почитал и честно спросил себя - а
> что, я и правда agree со всем этим булшитом?! Так и
> свалил на пингвина, пусть майкрософт сам agree с этим всем будет.Но ссылки на EULA'у и информации об отправке скришнотов конечно же не будет, да?
скриншоты делала Preview версия, в релизе не делалабольше меня удивляет, что они пишут про хеширование 4 байтовых айпи адресов для "анонимизации"
интересно как быстро можно построить таблицу хешей на моем нотбуке - 10 минут? ))
У них же с солью! Никто не подберёт. ;)
Пацанов не пускали коммитить нужные вещи, вот им и пришлось серваки сломать :)
"...распространялся в виде разделяемой библиотеки, которая после установки..."
Каким способом, простите, установки? Через спам-письмо?
Dirty Cow и ты рут. Ну а потом wget эту самую пропатченную библиотеку куда-нибудь в /usr/lib вместо нативной и наслаждайся.
Dirty Cow неактуален с 2016-го года.
Цитирую новость:Утверждается, что Ebury применяется с 2009 года и с тех пор был установлен на более чем 400 тысяч серверов под управлением Linux и несколько сотен систем на базе FreeBSD, OpenBSD и Solaris. Около 110 тысяч серверов оставались поражены Ebury по состоянию на конец 2023 года. Исследование представляет отдельный интерес с учётом того, что Ebury был задействован при атаке на kernel.org, что открывает некоторые новые подробности компрометации инфраструктуры разработки ядра Linux, выявленной в 2011 году.
Вроде как даты заражения в ней указанные более ранние чем 2016.
А в статье кликбэйт."Ebury is alive but unseen: 400k Linux servers compromised for crypto theft and financial gain
One of the most advanced server-side malware campaigns is still growing, with hundreds of
thousands of compromised servers, and it has diversified to credit card and cryptocurrency
theft.""still growing". По этому вопрос - как?
Да хоть правильным плагином под вордпресс. Главное на сервак попасть, а права поднять вообще не проблема, это же линукс.
То есть нужно ещё полезный плагин разработать для wordpress, чтоб web-developer захотел его прикрутить к своему сайту, без гарантии, что тот захочет...
Если верить авторам вордпресса, на нём работает 43% сайтов. Даже если на твой плагин клюнет хотя бы один из тысячи, то улов нормальный получится. Ну а чтобы вероятность клёва повысить есть старые проверенные методы, например "платный плагин с кучей возможностей, мы его взломали, качайте на халяву пока не удалили!".
К сайту одной печально известной автономной ОС прикрутили, его аж два раза подряд ломали. Так что не проблема, как показывают факты.
>Около 110 тысяч серверов оставались поражены Ebury по состоянию на конец 2023 года.Это сервера тех самых админов #работает-нетрожь. Возможно, что ещё с того 2009.
на таких серверах обычно ссх отключен (локдаун своего рода)
Порядок действий с точностью до наоборот. Сначала нужно Ebury-библиотечку для хищения хешей рядовых пользователей как-то в системе установить. Потом подобрать, перехватить пароль локально юзера. До Dirty Cow добраться можно только локальным юзером.
Не факт. Просканировать сервак на тему что там наружу висит и свеженький сплойт на него натравить обычно проще - вот тебе и права пользователя дырявого сервиса (апач, tftpd и тому подобное). А от них можно уже и Dirty Cow запустить и после успеха хоть Ebury ставить, хоть GobRAT, хоть Stantinko.
> Каким способом, простите, установки?У них там множество способов использовалось. Надо понимать, пробовали все дыры, которые всплывали.
И с ядром десятилетней давности, да? Интересно другое: зачем они, внезапно, тестируют систему эксплоитом "столетней" давности? Ничего посвежей не нашли? Реклама-заказуха, ИМХО.
Кто-то запрещает на подопытную машину натравить все имеющиеся эксплойты по очереди? Сработал десятилетней давности - отлично, нет - берём следующий пока не поломаем (вариант что эксплойты кончатся раньше не рассматривается как ненаучно-фантастический, это линукс).
Эксплоиты может и не кончатся, жизнь кончиться.
Это же не руками делается, запустил скрипт и жди неизбежно положительный результат. Часа два скорее всего хватит, ты же не мейнфрейм ломаешь.
Сделай одолжение, запуси скрипт. Вот мой IP 77.34.106.122
Мой профит в этом бизнесе в чём? Особо с учётом того, что ты скорее всего за натом сидишь.
> Мой профит в этом бизнесе в чём? Особо с учётом того, что
> ты скорее всего за натом сидишь.А на нате тоже линукс - чем тебе он не ломается, раз все так просто? В общем позорный слик...
Мне не лениво повторить свой вопрос: мой профит в этом бизнесе в чём? Доказать что-то опеннетному анониму, о существовании которого я до сегодняшнего дня не подозревал и о котором забуду завтра, потратив на это время, профитом НЕ является. Читать этому самому анониму лекцию по сетевым технологиям на тему того что нат может быть организован не только серваком на дырявом, но и на более интересных вещах тоже вроде как профита не приносит.
В трёпе твоём тоже никакого профита. Но ты треплешься. :)
До тех пор пока меня это развлекает.
> Мне не лениво повторить свой вопрос: мой профит в этом бизнесе в чём?Увы, призывы к незаконным действиям модераторы все же наверное потрут. Но можешь посмотреть на пример anna senpai. Правда, стоит посмотреть и на конец этой истории, до того как.
> Доказать что-то опеннетному анониму, о существовании которого я до сегодняшнего
> дня не подозревал и о котором забуду завтра, потратив на это
> время, профитом НЕ является. Читать этому самому анониму лекцию по сетевым
> технологиям на тему того что нат может быть организован не только
> серваком на дырявом, но и на более интересных вещах тоже вроде
> как профита не приносит.Блаблаблаблабла. Это то что в фидохе называли "оппонент слил, засчитано".
> Увы, призывы к незаконным действиям модераторы все же наверное потрут.А что тут незаконного? Вася предложил себя попентестить бесплатно, я не снизошёл.
> Блаблаблаблабла. Это то что в фидохе называли "оппонент слил, засчитано".
Датычо:) Ты фидоху-то видел вообще? Мне, бывшему пойнту 2:5019/24 про тамошние порядки и прочие вещи рассказывать будешь? Ну ок, попробуй удивить, а то есть подозрение что когда фидоха была ещё живая, твои родители не сомневались что в этот раз они предохраняются надёжно.
Поскольку мне с интересной мне эхи (или как там оно называлось) Фидо приносили файлики на дискетке, добрые люди всё за тебя сделали. Вот страничка того Васи https://github.com/podvornyakva Заливать что-либо в качестве пруфов они не будут, их же не просили. ;)
ты путаешь целевой взлом и не целевой. В сабже не целевой.
> Сделай одолжение, запуси скрипт. Вот мой IP 77.34.106.122Цены на пентест ты уже погуглил?
Зачем?
Ты же хочешь чтобы тебя поломали. Будешь знать сколько это стоит и надо ли оно тебе за такие деньги.
Типа "смотрите кака - 10 лет прошло, фу-фу - дырявое мно мамонта"
> и несколько сотен систем на базе FreeBSD, OpenBSD и SolarisЭти-то с какого боку сюда относятся?
Для масштаба сколько в процентах осталось этих забытых систем. Которые все бояться трогать.
Почему же бояться трогать? И трогаем и работаем и дыры замазываем.
Есть скрипт для проверки системы на наличие этого бекдора?
Проверить исходящий трафик, когда не запущен браузер, не происходит обновление? Но если у вас белый адрес, то, возможно, это Ebury может и пассивно ждать входящего соединения.
тот случай, когда настроенный фаервол оказывается не лишним
Есть.
./configure && make && make install
> Есть скрипт для проверки системы на наличие этого бекдора?Да. Постоянно работает на серверах авторов, в режиме 24*7 проверяет доступные через Интернет системы на наличие этого бекдора.
> EburyC таким названием, это точно наши ))
Eset, Ebury... Совпадение?
Палится товарищ майор...
Та не. Гуглятся научно-академические журналисты.
Анонимная анонимность - крипта и Тор браузер подтверждают. Интерпол рулит - педофилам страдать.
А с криптой что не так?
Помнится на каждом углу вещали про конфеденциальность крипты,а в статье сказано про криптобиржы в том числе.
Страшно подумать где эти углы и зачем ты их слушал. Похоже ты целевая аудитория. Хорошо что ты не про ставки на спорт слушал.
И про три топора слышал,с иксбет в каждом видосике обещавшие 100500 иксов сверху - делать ничего не надо только карман подставляй. Вот только я им что-то не поверил как и в копателей. Так что ты либо только из пещеры вылез так как не в курсе или от Вскода не отрываешься,а на улице уже теплеет между прочим.
Криптовалюта должна храниться на холодных кошельках, а не на криптобиржах. Bitcoin Core через Tor работает вполне конфиденциально.
Приколист.) Ну,хранишь крипту на флешке,а переводить в фиат все равно будешь через крякнутую биржу с паленого нода. Сам правда я не пользуюсь,а потому просто посчитаю твой коммент за прыжок веры.
Зачем переводить в фиат, да ещё и на бирже? Сейчас оплату в криптовалюте предлагает все больше и больше сервисов. Свой электрокар Tesla покупал в Чехии за биткойны.
Значит есть варианты и без бирж и Тор. Норм.
> Приколист.) Ну,хранишь крипту на флешке,а переводить в фиат все равно будешь через
> крякнутую биржу с паленого нода.А это все зачем? При желании - есть немало типков который за свой процент от сделки на много чего готовы в серой зоне. Любой каприз - за ваши деньги. И да, вполне анонимно. Глупые вопросы не задают. Кто и что им не интересно. Просто они на те эн процентов со сделки - живут, и довольно неплохо.
когда нет механизма контроля целостности системы, вот такая хрень и будет.Обновляйтесь говорят они, кек, самое лучшее обновление - сносить к чертям собачим всю систему и ставить новый роллинг релиз.
Самое смешное, если бы оно не было так грустно - это выявлял бы пакетный менеджер, сделанный по уму.
Сильно это помогает продвижению MS Active Directory? ^_^
> Сильно это помогает продвижению MS Active Directory? ^_^зачем хомяку MS Active Directory?
Ну, вообще-то mtree с совсем-совсем горбатых времен доступен же - бери и пользуйся, пуркуа бы не па?
Механизмы - есть, пользоваться ими - нет, "и так сойдет!"(ТМ)
> Ну, вообще-то mtree с совсем-совсем горбатых времен доступен же - бери и
> пользуйся, пуркуа бы не па?
> Механизмы - есть, пользоваться ими - нет, "и так сойдет!"(ТМ)"""
To detect system binaries that have been "trojan horsed", it is recommended that mtree be run on the file systems, and a copy of the results stored on a different machine, or, at least, in encrypted form.
"""Где взять вторую машину? И верифицировать зараженность машины на зараженной машине теоретически не возможно, ибо по определению в модели зараженности троян на зараженной машине может проспуфить (выдать за истину) любые проверки, как он это сделает - не важно, в этой модели зараженности.
>[оверквотинг удален]
> """
> To detect system binaries that have been "trojan horsed", it is
> recommended that mtree be run on the file systems, and a
> copy of the results stored on a different machine, or, at
> least, in encrypted form.
> """
> Где взять вторую машину? И верифицировать зараженность машины на зараженной машине теоретически
> не возможно, ибо по определению в модели зараженности троян на зараженной
> машине может проспуфить (выдать за истину) любые проверки, как он это
> сделает - не важно, в этой модели зараженности.А. Ну да, неразрешимая проблема - админу на ноутбук донатов наклянчить...
> А. Ну да, неразрешимая проблема - админу на ноутбук донатов наклянчить...а где доказательство, непротрояненности этого ноутбука? эталон безопасности должен быть доказуем, а не принят на веру.
>> А. Ну да, неразрешимая проблема - админу на ноутбук донатов наклянчить...
> а где доказательство, непротрояненности этого ноутбука? эталон безопасности должен быть
> доказуем, а не принят на веру.А. Ну если нет 100% верифицируемости надежности железа начиная с verilog'а - то и делать-то ничего не нужно, ясно-понятно.
> А. Ну если нет 100% верифицируемости надежности железа начиная с verilog'а -
> то и делать-то ничего не нужно, ясно-понятно.Почему нет? верификация - это сопоставление с эталоном. Эталон принимается "на веру" и обязуется быть иммутабельным (неизменным) и атомарным, то есть не должен состоять из частей которые в свою очередь требуют верификации (второй ноутбук к примеру). Как этого достичь отдельная тема.
примитивный пример: чтобы проверить неизменность какого-нибудь искодного кода программы, хранящегося на компьютере в виде цифровой изменяемой информации, необходимо сопоставить этот код с эталонным кодом написанным на обычной бумаге, свойтвенным программисту почерком. Почему на бумаге? да потому-что чисто физически ни одна цифровая программа не изменит информацию на листе бумаги. (Да, да, распечатает на принтере используя шрифт подчерка программиста, создаст ИИ какой-нить, который создаст робот манипулятор, который в свою очередь подменит листок бумаги с кодом, о боже - скайнет неизбежен)
Даже в этом случае нужно думать о неизменяемости эталона. Человек до сих пор не придумал метода сохранения эталлонной информации (написанной один раз и неизменяемой во все века).
Ну, т.е. "идеал недостижим сансара=нирвана, ничего делать не нужно, а если что случилось - то кысмет!"
Ну, тоже логика конечно.
> Ну, т.е. "идеал недостижим сансара=нирвана, ничего делать не нужно, а если что
> случилось - то кысмет!"
> Ну, тоже логика конечно.квантовый запрет клонирования возможно может быть решением, надо думать.
>> Ну, т.е. "идеал недостижим сансара=нирвана, ничего делать не нужно, а если что
>> случилось - то кысмет!"
>> Ну, тоже логика конечно.
> квантовый запрет клонирования возможно может быть решением, надо думать.Вот AI еще помочь может, да. Злые языки из корпорациев ЗЛА клевещут, что найм админов на зарплату вместо погроммиздов-за-донаты помогает - но то ж ерунда какая-то.
> А. Ну если нет 100% верифицируемости надежности железа начиная с verilog'а -
> то и делать-то ничего не нужно, ясно-понятно.Вот поэтому никто и любителей «не такого свободного как бесплатное пыво» ничего и не сделал? Под Windows инструментов вагон и маленькая тележка. Вам дали открытым помимо всего остального - ядро. И не стыдно?
>> А. Ну если нет 100% верифицируемости надежности железа начиная с verilog'а -
>> то и делать-то ничего не нужно, ясно-понятно.
> Вот поэтому никто и любителей «не такого свободного как бесплатное пыво» ничего
> и не сделал? Под Windows инструментов вагон и маленькая тележка. Вам
> дали открытым помимо всего остального - ядро. И не стыдно?Ээээ... а инвектива точно по адресу? Персонально у меня _все_ есть - включая регламент использования afick под гребанной астрой, кто мешал Ъ-кернел-девелопер-админ-сайтодержателю воспользоваться какой-нибудь tripwire или там mtree для контроля целостности ОС мне не известно.
Предполагаю - близкая к терминальной неспособность (современных) программистов к эксплуатации чего-нибудь сложнее чайника (Уже с кофеваркой возникают проблемы - её _периодически_ чистить надо), но может и ошибаюсь, да.
>>> А. Ну если нет 100% верифицируемости надежности железа начиная с verilog'а -
>>> то и делать-то ничего не нужно, ясно-понятно.
>> Вот поэтому никто и любителей «не такого свободного как бесплатное пыво» ничего
>> и не сделал? Под Windows инструментов вагон и маленькая тележка. Вам
>> дали открытым помимо всего остального - ядро. И не стыдно?
> Ээээ... а инвектива точно по адресу?Не знаю, априори здесь все за свободу и так далее. И через одного участники мега-проектов.
> Персонально у меня _все_ есть
> - включая регламент использования afick под гребанной астройТак Астра несвободная же, как и СЗИ Девянина.
> кто мешал Ъ-кернел-девелопер-админ-сайтодержателю
> воспользоваться какой-нибудь tripwire или там mtree для контроля целостности ОС мне
> не известно.Первая очевидно из описания не обеспечивает целостность ОС, лишь файловой системы. Драйвер не нахожу, а герой новости использует LD_PRELOAD - стало быть потенциально не обнаруживается. 6 лет не обновлялась на гитхапе. Поиск "notify" в репозитории ничего не дал. cron скрипт? tripwire_periodic_check? Надеюсь, я просто за 5 минут не понял, как это обвешанное красивой генерацией ключей чудо «работает». Вторую после этого мне смотреть боязно.
> Предполагаю - близкая к терминальной неспособность (современных) программистов к эксплуатации
> чего-нибудь сложнее чайника (Уже с кофеваркой возникают проблемы - её _периодически_
> чистить надо), но может и ошибаюсь, да.Программист и не обязан уметь чистить кофеварку, да и кодить ему не надо уметь -- за него мейнтейнеры исправляют ошибки, как меня учили эксперты.
> In all cases, the LD_PRELOAD environment variable is injectedГде все эти эксперты, что задавали вопросы? Уже прочитали отчёт, или всё еще гуглят непонятные слова?
Ничего не понял, мне уже начинать нервничать?
Не стоит. Пусть нервничают эксперты, что одной рукой писали «антивирус не нужен», а второй автономно «разрабатывали» операционные системы и «программировали» сборочные сценарии.
> Не стоит. Пусть нервничают эксперты, что одной рукой писали «антивирус не нужен»,
> а второй автономно «разрабатывали» операционные системы и «программировали»
> сборочные сценарии.одна антивирусная компания разрабатывает ОС которой оный не нужен :)
Они то знают, чем отличается сигнатурный анализ от поведенческого. :)
Можешь начинать если у тебя сервак на линуксе, но вообще-то незачем. Ботнетом больше, ботнетом меньше - какая разница? Это под виндой лет 10-15 лет назад одни вирусы могли удалять другие (для простоты вирусом называю любой вредонос, не деля их на собственно вирусы, троянцы, черви и так далее), в линуксе они нормально дружат.
Конкуренция делает продукт лучше!
любой, у кого сервАК, а не сервер, изначально заражон через межушный ганглий
Судя по вполне грамотному уточнению «для простоты вирусом называю любой вредонос, не деля их...», он просто постеснялся писать «сервант».
> 400 тысяч серверов под управлением Linux и несколько сотен систем на базе FreeBSD, OpenBSD и SolarisВесьма наглядно отражает реальную популярность серверных ОС. Но фан-клуб маргинальных ОС нам сейчас расскажет, что это всё от того, что разные сорта БСД и Солярис неуязвимы, а те «несколько сотен», что не смогли избежать заражения настраивали линуксоиды, а не настоящие шотландцы.
> Весьма наглядно отражает реальную популярность серверных ОС. Но фан-клуб маргинальных
> ОС нам сейчас расскажет, что это всё от того, что разные15% мирового траффика идет через фрю, но Свидетели Святого Пингвнина так и бубнят про маргинальность ...
> 15% мирового траффика идет через фрю, но Свидетели Святого Пингвнина так и бубнят про маргинальность ...А через что идет остальные 85%, а? Может через виндочку или макось?
Не, ну раз ты сказал А, то скажи и В. Нам приятно будет)))Ну и да, про целых 15% неплохо бы пруфы предоставить. А то как-то слишком много получается...
>>> Весьма наглядно отражает реальную популярность серверных ОС. Но фан-клуб маргинальных ОС
>> 15% мирового траффика идет через фрю, но Свидетели Святого Пингвнина так и бубнят про маргинальность ...
> А через что идет остальные 85%, а? Может через виндочку или макось?Кто о чем, а вшив^W сектанты о фетише. Заодно и неуклюже спрыгивая с неприятной темы результатов "онализа" и логических выводов типа "ветер дует, потому что деревья качаются!"
> Ну и да, про целых 15% неплохо бы пруфы предоставить. А то как-то слишком много получается...
https://www.statista.com/chart/15692/distribution-of-global-.../
https://focusonbusiness.eu/en/news/netflix-eats-up-15-of-glo...
https://www.marketresearchfuture.com/news/netflix-for-the-wo...
> А через что идет остальные 85%, а? Может через виндочку или макось?
> Не, ну раз ты сказал А, то скажи и В. Нам приятно будет)))Экие вы неудобные вопросы то задаете сэр. И заметьте, они меряются трафиком - из-за нетфликса. Мне вот интересно, если и нетфликс их вслед за ixsystem выкинет на мороз, что они делать будут? :). Это всего 1 фирма - наглая, коммерческая и с заскоками манагерья.
Ну а я писал что нужно вкладываться в Колибри или в новую ОС с нуля. Именно потому что никто никогда не знает что ещё запрятано в недрах западной ОС Линукс. И то, в связи с тем что в Колибри помогли с запада своим кодом — под вопросом. Кто-то писал об ОС на Оберон, но я её даже в глаза не видел — сделайте хоть обзор и выложите в видеохостинг. Мне отвечали что это иррационально, но на самом деле вопрос времени — может изначально это и странно, неудобно, мало всего, а вот через 10 лет могут только об этом и говорить, потому что наука не стоит на месте - те же ИИ, чем ОС для них и на них не ниши?
Или виртуализация — много устройств на одном. Что мешает сделать один компьютер на целый детский класс или на мощную ноду суперкомпьютера? Архитектуру чипов и ОС разработать можно, литографы вроде будут.
Забыл добавить что множество устройств на одном уже есть как 10 демонстрации через телефоны (как джойстик для игр). Но я имею в виду полноценный ПК.
часть текста стерлась, простите мой глюченный телефон
Дружище, свою ось написать - это вообще ни разу не проблема. Но вот дрова под всякое железо, на котором она работать будет ты осилишь? А софт сложнее sed, grep, awk и vi? Браузер, например, или что-то вроде гимпа или лепраофиса? В своё время одной из причин смерти той же полуоси как раз стало то, что годной прикладнухи именно под неё так и не появилось, а написанное под дос и Win16 на 95 винде не хуже работало.
> сделайте хоть обзор и выложите в видеохостингНа западный?
> Ну а я писал что нужно вкладываться в Колибри или в новую ОС с нуля.Так вкладывайся, фигли. А мы посмотрим что у тебя в недрах будет спрятано. С безопасного расстояния. Если это вообще заработает когда-нибудь для начала.
И да, конкретно в случае колибри - удачи тебе в аудите легиона кода на асме...
Ну как бы «ОС на Оберон» вполне находится поисковиком, в том числе и здесь: https://opennet.ru/56339-a2Полагаю, вместо советов вкладываться в Колибри, стоит потренироваться в поиске, в том числе и печальной истории с этой Колибри.
Такой вот вопрос — а OpenWRT тоже этой заразой заражён?
Это смотря откуда вы левые пакеты устанавливали. А Грязной Коровы нет, там ядра 5.x версии.
Я не понял. Это что, прохладную историю 2007 года откопали?
Написано же,что до сих пор крутятся скомпрометированные сервера с того самого времени.
Не в бровь а в глаз. У системных администраторов есть одно свойство - переходить в замороженный режим. Некоторые типы могут до 10 лет находится в замороженном режиме. У кого крутятся древние ядра пусть размораживаются.
Работает не трожь. Начнёшь что-нибудь обновлять - рискуешь сломать всю систему. Особенно сочно узнать что надо откатываться после недельного тестинга из-за малюсенькой свистоперделки, которая вдруг сломалась. Именно поэтому в тенденциях разбивать монолит на микросервисы и засовывать в докервдокере, прекладывая ответственность за обновления на девляпсов или сразу на разработчиков. А как только админ переложил ответственность, у него весь день уходит на танчики.
> Написано же,что до сих пор крутятся скомпрометированные сервера с того самого времени.А, ну тогда пусть следующую новость фигачат про CIH, найдя гденить 95 винду живую. Что, на всей планете не найдется чтоли такого мусора?! Это уже раритет, конечно, но так даже прикольнее.