форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Результаты анализа бэкдора, используемого при взломе серверо..."	+/–
Сообщение от opennews (ok) on 15-Окт-14, 09:45
Опубликован (https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-lin.../) анализ бэкдора, который в результате взлома (http://www.opennet.dev/opennews/art.shtml?num=40585) серверов IRC-сети Freenode был внедрён для оставления скрытого входа в систему. Для активации доступа злоумышленников к бэкдору использовалась техника "port knocking", при которой после отправки специально оформленного набора пакетов, сервер инициировал канал связи к заявившему о себе узлу злоумышленников. Для  скрытия информации в канале связи применялось шифрование. Такой подход позволил не привязывать бэкдор к IP-адресам управляющих узлов. Выявлением в трафике активирующей бэкдор последовательности пакетов занимался специально подготовленный модуль ядра ipt_ip_udp,  использующий подсистему netfilter для перехвата пакетов. <center><a href="https://www.nccgroup.com/media/481525/dc-blog-1.png">... src="http://www.opennet.dev/opennews/pics_base/0_1413350904.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center> URL: https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-lin.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=40829
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Результаты анализа бэкдора, используемого при взломе серверо..."	+3 +/–
Сообщение от SCIF (ok) on 15-Окт-14, 09:45
Бэкдор, порткнокинг, это всё прекрасно, но как они получили шелл, да ещё и рутовый (чтобы правила для iptables рисовать)??
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Результаты анализа бэкдора, используемого при взломе серверо..."	+/–
	Сообщение от piteri (ok) on 15-Окт-14, 16:23
	Ну как обычно такое делают? Наверняка кто-то из админов использовал putty.exe.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Результаты анализа бэкдора, используемого при взломе серверо..."	+/–
	Сообщение от Аноним (??) on 10-Ноя-14, 13:57
	putty.exe сам транслирует логины и пароли рутовые? А если намек на то что раз putty.exe значит винда, а раз винда значит кейлогер/троян. То в общем от аппаратного кейлогера вообще никто не защищен  =) А еще гораздо проще просто с людьми договорится/запугать/заплатить и получить нужные данные. И тогда хоть путти.ехе хоть пусси.ехе...
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Результаты анализа бэкдора, используемого при взломе серверо..."	+8 +/–
Сообщение от Аноним (??) on 15-Окт-14, 09:56
>  специально подготовленный модуль ядра ipt_ip_udp Нормально так :). Теперь пропатчить немного троян, чтобы отгружал злодею пробэкдореные или фэйковые файлы и сделать вид что бэкдор не нашли. Попутно делая за кадром троллфэйс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Результаты анализа бэкдора, используемого при взломе серверо..."	+1 +/–
Сообщение от Аноним (??) on 15-Окт-14, 14:03
А сорцы ipt_ip_udp где?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Результаты анализа бэкдора, используемого при взломе серверо..."	+/–
	Сообщение от Dobro on 17-Ноя-14, 14:40
	Реверс-инжиниринг, же.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема