Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-11-21 18:59:43

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

HTTP iframe Injecting rootkit dla Linuksa.

Cześć, w dniun 13.ego listopada nieznany wcześniej rootkit, wysłany został na listę mailingową Full Disclosure (dostępnej poprzez http://seclists.org)  przez anonimową osobę. Rootkit został odkryty na serwerze WWW, który jak się okazało dodawał nieznanego typu iframe do każdej odpowiedzi HTTP wysyłanej przez owy serwer. Ofiara odzyskała plik modułu rootkita i dołączyła go do wiadomości na liście dyskusyjnej, prosząc o wszelkie informacje dotyczące tego zagrożenia. Podobno moduł jądra został skompilowany dla jądra w wersji 2.6.32-5. Jak doskonale wiemy, najnowszy kernel Debiana Squeeze ma właśnie numer 2.6.32-5.

Full Disclosure oryginalna wiadomość nt. rootkita.
IFRAME-injecting Linux rootkit analiza i informacje odnośnie tego zagrożenia.

Co o tym myślicie? Administrujecie ważne maszyny, które wykorzystują kernel 2.6.32-5? Jeśli tak, co zamierzacie zrobić?

Skoro już jesteśmy w tej tematyce; przypominam o skompromitowaniu dwóch klastrów FreeBSD w dniu 11.ego listopada. Dotknięte maszyny zostały postawione w tryb offline w celu analizy. Nie stwierdzono natomiast żadnych zmian, które mogłyby wystawiać użytkowników na jakiekolwiek ryzyko; report.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#2  2012-11-21 19:50:04

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: HTTP iframe Injecting rootkit dla Linuksa.

o FreeBSD wszyscy wiemy. Nadal trwa audit z tego co zauważyłem.

Offline

 

#3  2012-11-21 19:54:16

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: HTTP iframe Injecting rootkit dla Linuksa.

Ja na serwerkach (kilka różnych), mam różne jajka, z czego najstarsze, to 3.2.32-grsec.

Pozdrawiam


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Online

 

#4  2012-11-27 20:29:55

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: HTTP iframe Injecting rootkit dla Linuksa.

To bardzo dobrze, Jacku! Ten rootkit zaprojektowany został, jak się okazało, z myślą o systemach 64.ro bitowych. Odniósł jako-taki "sukces", przede wszystkim z powodu niezwykłej funkcjonalności infekowania stron internetowych obsługiwanych na atakowanym serwerze. Okazuje się również, że zapewnia sobie bytność, dodając wpis do skryptu /etc/rc.local w postaci; insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko. Zresztą, więcej informacji; KLIK. Zaskoczyło mnie, to kim jest autorka wpisu; Kaspersky Lab Expert.

Mnie, powyższy problem nie dotyczy.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#5  2012-11-28 14:22:50

  bns - unknown

bns
unknown
Zarejestrowany: 2005-12-25
Serwis

Re: HTTP iframe Injecting rootkit dla Linuksa.

Nie dostyczy też tych którzy nie chodza po stronach www na serwerze :)


Pozdrawiam,
bns

Offline

 

#6  2012-11-28 14:38:12

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: HTTP iframe Injecting rootkit dla Linuksa.

W squeeze 2.6.32-5 to jest nazwa paczki jadra. Tak na prawde to jest ostatnia stabilna wersja z tej serii, nastepny co glupoty pisze i wprowadza zamet.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#7  2012-11-28 16:38:59

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: HTTP iframe Injecting rootkit dla Linuksa.

W tych zgłoszeniach z linków jest mowa o 2.6.32-5-amd64 z Debiana Squeeze właśnie.

Offline

 

#8  2012-12-05 22:08:20

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: HTTP iframe Injecting rootkit dla Linuksa.

Cześć, dokładnie Arn, masz rację. Nie brak w tych postach, szczegółów jeszcze bardziej zdumiewających od; Our OS is debian squeeze (...). Jeśli przyjmiemy, że ta wypowiedź, to coś przeciwstawnego kulturze, to oto macie głupotę w wielkim stylu, głupotę nowoczesną! I pomyśleć; wystarczyło, tylko kliknąć i przeczytać. Być może powinienem wspomnieć, że użytkownik stack trace wymienił Squeeze'go, ale chyba wątpiłem w rezultaty, już wtedy byłem sceptykiem. Hop!


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#9  2012-12-05 22:16:32

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: HTTP iframe Injecting rootkit dla Linuksa.

:)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)