Linux + вирусы

Противодействие хакерским угрозам

Модераторы: Olej, adminn, vikos

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Linux + вирусы

Непрочитанное сообщение Olej » 20 мар 2014, 20:23

Это общеизвестно, что "Linux практически вирусами не поражается". ;-)

Но вот есть такая новость::
ESET: Операция Windigo заразила более 25 тысяч серверов на Linux/UNIX

Изображение
Windigo: типичный сценарий получения пароля
Иллюстрация с сайта Welivesecurity.Com


Исследователи из антивирусной компании ESET со своими коллегами из нескольких европейских агентств зафиксировали в сети крупную атаку «Операция Windigo», которая привела к заражению более 25 тысяч серверов, работающих под управлением ОС GNU/Linux и других UNIX-подобных систем.

По данным отчета, операция Windigo началась еще в конце 2011 года и с тех пор успела найти свое «применение» в инфраструктуре многих организаций (в том числе — cPanel и Linux Foundation) и на широком спектре ОС: Linux (около 60 %), FreeBSD, OpenBSD, Mac OS X и даже Windows через Cygwin. В рамках этой операции ESET рассматривает три основных зловредных компонента, заражающих серверные системы:
Ebury — бэкдор к OpenSSH для управления сервером и получения учетных данных системных пользователей;
Cdorked — бэкдор к веб-серверам (Apache, nginx, lighttpd) для перенаправления веб-трафика;
Calfbot — Perl-скрипт для рассылки спама (он «виноват» в ежедневной отправке более 35 миллионов спам-сообщений по всему миру).

Примечательно, что для достижения своих целей злоумышленники не эксплуатируют уязвимости в безопасности программного обеспечения — для этого использовались лишь различные способы получения паролей для SSH-доступа. В связи с этим, авторы исследования высказывают мнение, что аутентификация на серверах по паролю — архаизм, от которого пора отказаться.

Подробное исследование операции Windigo с хронологией событий и техническими деталями обнаруженных проблем опубликованы в этом отчете (PDF; 3,5 Мб).

tundra37
Писатель
Сообщения: 149
Зарегистрирован: 03 мар 2012, 19:26
Контактная информация:

Re: Linux + вирусы

Непрочитанное сообщение tundra37 » 22 мар 2014, 13:50

А какая альтернатива? Электронный ключ. Какая цена вопроса. Просто для меня это очень актуально: особенно для начальника, который продолжает мне хорошую премию платить :-)
Но его всегда волнуют пароли в локалке и он просто не в курсе про Линукс :-)

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Linux + вирусы

Непрочитанное сообщение Olej » 24 мар 2014, 20:38

Symantec: Linux-червь Darlloz заразил более 31 тысячи устройств
сегодня 11:21

Изображение
Популярность Linux-червя Darlloz в разных регионах
Иллюстрация с сайта Symantec

В официальном блоге компании Symantec опубликована заметка, в которой сообщается, что Linux-червь Darlloz, о появлении которого было известно в ноябре прошлого года, заразил уже более 31 тысячи компьютеров.

Для заражения компьютеров червь Darlloz использует уязвимость CVE-2012-1823 (апрель 2012 года) в CGI-редакции PHP (до версии 5.3.12 и до версии 5.4.2), позволяющую злоумышленникам удаленно выполнять произвольный код на системе. Для распространения червь запускает веб-сервер на порту 58455, где размещает свои файлы, доступные для скачивания через HTTP GET-запрос. На данный момент Darlloz использует зараженные Linux-машины для добывания криптовалюты (micoins, dogecoins) — благодаря этому автор червя к концу февраля заработал около 200 USD.

Примечательно, что червь Darlloz не ограничивается платформой Intel x86 и заражает различные Linux-устройства с другими архитектурами (ARM, MIPS, PowerPC), такие как роутеры, развлекательные приставки, IP-камеры, принтеры. По данным Symantec, зараженные устройства, общее число которых достигло отметки в 31716, преимущественно находятся в Азии (Китай, Южная Корея, Тайвань, Индия) и США (30 %).

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Linux + вирусы

Непрочитанное сообщение Olej » 03 мар 2016, 12:43

Linux DDoS-троян скрывается за встроенным руткитом
27 января 2015 в 11:56
...
По сообщениям группы «MalwareMustDie!», в конце сентября 2014 года появилась новая угроза для ОС Linux. Её назвали XOR.DDOS, как видно из названия, она образует ботнет для DDoS-атак.
...
Избавление от трояна XOR.DDoS на Linux-сервере
среда, 6 мая 2015 г.

На сервере (CentOS 6) периодически стали возникать перебои с сетью, большая часть пингов приходила с ошибкой. Кое-как соединился к серверу по ssh, краем глаза зацепил вывод ps и увидел, что на сервере запущены сторонние процессы.
Получив доступ к IPMI я начал разбираться с вирусом. Сразу скажу, что сервер был взломан, просто сбрутфорсили словарный пароль, который клиент не сменил,
...
Словарь: brute force
Полный перебор (или метод «грубой силы», англ. brute force) — метод решения математических задач. Относится к классу методов поиска решения исчерпыванием всевозможных вариантов[en]. Сложность полного перебора зависит от количества всех возможных решений задачи. Если пространство решений очень велико, то полный перебор может не дать результатов в течение нескольких лет или даже столетий.

Любая задача из класса NP может быть решена полным перебором. При этом, даже если вычисление целевой функции от каждого конкретного возможного решения задачи может быть осуществлено за полиномиальное время, в зависимости от количества всех возможных решений полный перебор может потребовать экспоненциального времени работы.

В криптографии на вычислительной сложности полного перебора основывается оценка криптостойкости шифров. В частности, шифр считается криптостойким, если не существует метода «взлома» существенно более быстрого чем полный перебор всех ключей. Криптографические атаки, основанные на методе полного перебора, являются самыми универсальными, но и самыми долгими.
Т.е. в любом случае Linux сервер не подвержен внедрению вредоносного ПО до тех пор, пока не подобран пароль root.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Linux + вирусы

Непрочитанное сообщение Olej » 11 мар 2017, 11:51

Вот такое сообщение:
Один из пользователей Matuntu прислал мне письмо, что у него завёлся вирус в Vivaldi и открылась такая страничка красного цвета
Изображение
Согласившись с возвратом к безопасности, он потерял все свои закладки. С таким явлением мне не приходилось встречаться.
Более подробной информацией не располагаю.
Ждём-с :lol:
Наблюдаем...

Ответить

Вернуться в «Безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя