Forum Debian Users Gang

remi · 2012-11-21 18:59:43

Cześć, w dniun 13.ego listopada nieznany wcześniej rootkit, wysłany został na listę mailingową Full Disclosure (dostępnej poprzez http://seclists.org) przez anonimową osobę. Rootkit został odkryty na serwerze WWW, który jak się okazało dodawał nieznanego typu iframe do każdej odpowiedzi HTTP wysyłanej przez owy serwer. Ofiara odzyskała plik modułu rootkita i dołączyła go do wiadomości na liście dyskusyjnej, prosząc o wszelkie informacje dotyczące tego zagrożenia. Podobno moduł jądra został skompilowany dla jądra w wersji 2.6.32-5. Jak doskonale wiemy, najnowszy kernel Debiana Squeeze ma właśnie numer 2.6.32-5.

Full Disclosure oryginalna wiadomość nt. rootkita.
IFRAME-injecting Linux rootkit analiza i informacje odnośnie tego zagrożenia.

Co o tym myślicie? Administrujecie ważne maszyny, które wykorzystują kernel 2.6.32-5? Jeśli tak, co zamierzacie zrobić?

Skoro już jesteśmy w tej tematyce; przypominam o skompromitowaniu dwóch klastrów FreeBSD w dniu 11.ego listopada. Dotknięte maszyny zostały postawione w tryb offline w celu analizy. Nie stwierdzono natomiast żadnych zmian, które mogłyby wystawiać użytkowników na jakiekolwiek ryzyko; report.

Yampress · 2012-11-21 19:50:04

o FreeBSD wszyscy wiemy. Nadal trwa audit z tego co zauważyłem.

Jacekalex · 2012-11-21 19:54:16

Ja na serwerkach (kilka różnych), mam różne jajka, z czego najstarsze, to 3.2.32-grsec.

Pozdrawiam

remi · 2012-11-27 20:29:55

To bardzo dobrze, Jacku! Ten rootkit zaprojektowany został, jak się okazało, z myślą o systemach 64.ro bitowych. Odniósł jako-taki "sukces", przede wszystkim z powodu niezwykłej funkcjonalności infekowania stron internetowych obsługiwanych na atakowanym serwerze. Okazuje się również, że zapewnia sobie bytność, dodając wpis do skryptu /etc/rc.local w postaci; insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko. Zresztą, więcej informacji; KLIK. Zaskoczyło mnie, to kim jest autorka wpisu; Kaspersky Lab Expert.

Mnie, powyższy problem nie dotyczy.

bns · 2012-11-28 14:22:50

Nie dostyczy też tych którzy nie chodza po stronach www na serwerze :)

mati75 · 2012-11-28 14:38:12

W squeeze 2.6.32-5 to jest nazwa paczki jadra. Tak na prawde to jest ostatnia stabilna wersja z tej serii, nastepny co glupoty pisze i wprowadza zamet.

ArnVaker · 2012-11-28 16:38:59

W tych zgłoszeniach z linków jest mowa o 2.6.32-5-amd64 z Debiana Squeeze właśnie.

remi · 2012-12-05 22:08:20

Cześć, dokładnie Arn, masz rację. Nie brak w tych postach, szczegółów jeszcze bardziej zdumiewających od; Our OS is debian squeeze (...). Jeśli przyjmiemy, że ta wypowiedź, to coś przeciwstawnego kulturze, to oto macie głupotę w wielkim stylu, głupotę nowoczesną! I pomyśleć; wystarczyło, tylko kliknąć i przeczytać. Być może powinienem wspomnieć, że użytkownik stack trace wymienił Squeeze'go, ale chyba wątpiłem w rezultaty, już wtedy byłem sceptykiem. Hop!

ArnVaker · 2012-12-05 22:16:32

:)

Forum Debian Users Gang

Ogłoszenie

#1 2012-11-21 18:59:43

remi - amputować akrobatów

HTTP iframe Injecting rootkit dla Linuksa.

#2 2012-11-21 19:50:04

Yampress - Imperator

Re: HTTP iframe Injecting rootkit dla Linuksa.

#3 2012-11-21 19:54:16

Jacekalex - Podobno człowiek...;)

Re: HTTP iframe Injecting rootkit dla Linuksa.

#4 2012-11-27 20:29:55

remi - amputować akrobatów

Re: HTTP iframe Injecting rootkit dla Linuksa.

#5 2012-11-28 14:22:50

bns - unknown

Re: HTTP iframe Injecting rootkit dla Linuksa.

#6 2012-11-28 14:38:12

mati75 - Psuj

Re: HTTP iframe Injecting rootkit dla Linuksa.

#7 2012-11-28 16:38:59

ArnVaker - Kapelusznik

Re: HTTP iframe Injecting rootkit dla Linuksa.

#8 2012-12-05 22:08:20

remi - amputować akrobatów

Re: HTTP iframe Injecting rootkit dla Linuksa.

#9 2012-12-05 22:16:32

ArnVaker - Kapelusznik

Re: HTTP iframe Injecting rootkit dla Linuksa.

Stopka forum