LINUX.ORG.RU

Обнаружен троян Linux.BackDoor.Xnote.1.

 ,


0

4

Компания «Доктор Веб» предупреждает о появлении многофункциональной вредоносной программы. Зловред получил обозначение Linux.BackDoor.Xnote.1

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).
Для получения инструкций зловред осуществляет последовательный опрос управляющих серверов по списку. Перед передачей пакетов троян и управляющий сервер сжимают их с использованием библиотеки zlib.
Сначала троян отправляет на сервер злоумышленников информацию об инфицированной системе, после чего переходит в режим ожидания команд от удалённого сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создаётся отдельный процесс, устанавливающий собственное соединение с управляющим сервером.

Вредоносная программа по команде киберпреступников может назначить заражённой машине уникальный идентификатор, начать DDoS-атаку на удалённый узел с заданным адресом (среди возможных типов атак — SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя.
Кроме того, предусмотрен широкий набор функций для работы с файловыми объектами: это создание, отправка, приём, переименование и запуск файлов, а также различные действия с каталогами.

Подробности

Перемещено Pinkbyte из security

★★★★

Какая-то желтизна. Каким образом этот конь педальный может проникнуть на машину, ещё и быть запущен с правами суперпользователя?

toney ★★★★★ ()
Последнее исправление: toney (всего исправлений: 1)
Ответ на: комментарий от Classic

путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Решето у человека в голове, если он не установил дохуа длинный пароль или не настроил защиту от брутфорса.

Valdor ★★ ()

Я джвадцать лет ждал!

anonymous ()
Ответ на: комментарий от anonymous

Вы внимательно читайте новость? Это очередное фишинговое говно, аля ZIP.EXE. Как оно проникнет в центральный репозиторий, раз? Два, с какого члена его кто-то вообще скачает и вообще запустит от суперпользователя? Линуксойды не такие идиоты, как виндузятники, и всякую ерунду с рута не запускают. Три, как оно подберет пароль состоящий из букв и цифр вперемешку? Это не винда, где пароль можно сбросить без всего. Т.е вирусов на Linux (и на Android) кстати тоже, не существует. Все «Вирусы» под Linux-ы и Android-ы - это плод невнимательности пользователя. Читать список разрешений и думать, куда вводить пароль-вот и все. А вот винда ваша даже при этом случае может заразится.

anonymous ()

Мало того оно подбирает, так ещё и рут нужен? Скучно совсем.

a1batross ★★★★★ ()

А на мак придется ставить homebrew и перепихаться с компиляцией :((((

bookman900 ★★★★★ ()

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH.

Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

Я правильно понимаю, что для того, чтобы этот вирус заработал малолетний долбозавр хакер должен сначала взломать систему, а система должна работать исключительно под рутом?

Компания «Доктор Веб»

А, тогда все понятно.

gill_beits ★★★★ ()

Традиционно считается, что:

1. операционная система Linux и программы, работающие под ее управлением, не подвержены инфицированию в силу совершенства кода и его открытости;

2. вредоносные программы могут попасть на компьютер только в связи с крайней беспечностью пользователей.

Это заблуждение! Итогом такого отношения становится потеря контроля над незащищенным компьютером, а вредоносные программы получают безопасное убежище в системе.

Как же я жил то без него! Пошел качать Айболита Дохтор Веба!

anonymous ()

В чем отличие от сотен других «червей», которые на регулярной основе стучатся на мою VPS и пытаются залогиниться под рутом, не зная, что он отключен?

Poisoned ★★★ ()

Да. Это наверное одно из слабых мест линуксов, незащищенность перед сторонним софтом.

Рекламная пауза...

Sejval ()

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

То есть нужен пользователь-дебил с рутовым доступом по SSH и паролем типа «qwerty»

Valkeru ★★★★ ()
Ответ на: комментарий от anonymous

Как оно проникнет в центральный репозиторий, раз?

Какой нахрен репозиторий, болезный?

взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Все «Вирусы» под Linux-ы и Android-ы - это плод невнимательности пользователя

А если ты внимательно прочитаешь новость - то поймёшь, что нет никакого вируса - есть троян. И, да, распространения троянов таки действительно основано исключительно на человеческом факторе.

Valkeru ★★★★ ()
Последнее исправление: Valkeru (всего исправлений: 1)

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

Надо быть сказочным идиотом, чтобы оставить root доступ по ssh по паролю, да еще который можно подобрать.

mandala ★★★★ ()
Ответ на: комментарий от Sejval

Да. Это наверное одно из слабых мест линуксов, незащищенность перед сторонним софтом.

Научись читать, теоретик.

mandala ★★★★ ()

Если постить новость о каждом быдлотрояне под онтопик - никаких новостей не хватит. Если б он эксплуатировал какие-то уязвимости для доступа к пользовательским системам - это еще куда бы ни шло. Но он тупо брутит пароль - это уныло.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Unununij

Ну так пусть будут средством к существованию ботнетчиков, а мы за них за всех порадуемся.

найдутся

Они регулярно появляются уже поломанные в соответствующем разделе этого сайта (в который мы только что переехали). Еще и спрашивают: а чёито? и чё теперь делать?

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Lavos

Высунь ssh с рутом наружу, поставь простой пароль, он сам тебя найдет, без всяких ебилдов.

mandala ★★★★ ()
Ответ на: комментарий от Valkeru

То есть нужен пользователь-дебил с рутовым доступом по SSH и паролем типа «qwerty»

Ты и представить себе не можешь сколько человек в мире вот прям в эту секунду думают «так, щас попырому поставлю на ссх пароль querty, дам доступ рута, добегу до универа, замучу презентацию быстро, чтоб с паролями не возиться и сразу все выключу». А за этот час к нему уже 5 таких вот вирусов залезло :)

anonymous ()

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя

только дебилы разрешают вход руту и/или используют пароль. Случай «И» — клинические идиоты.

emulek ()
Последнее исправление: emulek (всего исправлений: 1)
Ответ на: комментарий от Valdor

не настроил защиту от брутфорса.

это как? В OpenSSH оно по умолчанию.

emulek ()
Ответ на: комментарий от gill_beits

Я правильно понимаю, что для того, чтобы этот вирус заработал малолетний долбозавр хакер должен сначала взломать систему, а система должна работать исключительно под рутом?

1. поставить OpenSSH, поднять sshd, разрешить доступ.

2. использовать порт 22

3. разрешить вход по паролю, а не по ключу

4. разрешить вход руту(тоже по паролю)

5. установить пароль из 3х букв/цифр (или двух)

6. отключить защиту от перебора

7. ????

8. PROFIT

emulek ()

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Лол, ок.

Deleted ()
Ответ на: комментарий от anonymous

Ты и представить себе не можешь сколько человек в мире вот прям в эту секунду думают «так, щас попырому поставлю на ссх пароль querty, дам доступ рута, добегу до универа, замучу презентацию быстро, чтоб с паролями не возиться и сразу все выключу». А за этот час к нему уже 5 таких вот вирусов залезло :)

Я даже представить не могу, каким же сказочным кретином надо быть, чтобы так делать.

Deleted ()
Ответ на: комментарий от emulek

1. поставить OpenSSH, поднять sshd, разрешить доступ.

2. использовать порт 22

3. разрешить вход по паролю, а не по ключу

4. разрешить вход руту(тоже по паролю)

5. установить пароль из 3х букв/цифр (или двух)

6. отключить защиту от перебора

7. ????

8. PROFIT

Хорошо хоть компилять не надо :D

Deleted ()
Ответ на: комментарий от emulek

не настроил защиту от брутфорса.

это как? В OpenSSH оно по умолчанию.

О чем ты?

kwinto ()
Ответ на: комментарий от emulek

Я в одном месте подрабатываю приходящим админом. Главным там такой амбициозный борзенький юноша с большим животом, тонкими ногами и шеей. Сразу запретил мне заходить в его отсутствие в серверную. Но недавно возникла критическая ситуация и я всё-таки зашёл. И нашёл там самбу, бэкап базы и ещё что-то с открытым рутовым доступом.

Теперь ищу замену, чтобы уволится.

Deleted ()
Ответ на: комментарий от mandala

Спасибо, что вы указали на несоответствие, просто здесь скорее коментарий к вольному размышлению над информацией, чем непосредственно.

Sejval ()

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH

Ужасная угроза, ребята! Хосспаде, опять же, чтобы прострелить себе ногу, надо быть настолько дебилом, чтобы запустить ЭТО от рута.

DeadEye ★★★★★ ()
Ответ на: комментарий от Sejval

Ну кто тащит в систему пакеты или исходники с какой-то помойки заранее ССЗБ. И об этом даже не говорят, это подразумевается. Ты думаешь почему при добавлении репозиториев нужно добавить ключи? И почему все пакеты подписаны?

mandala ★★★★ ()
Ответ на: комментарий от mandala

Хорошо, я к примеру стараюсь пользоваться чистыми репами, а некий ссзб сидит под оффтопом, и тянет из сети прон, который пытается подменить файл xyz. Так вот, шансов что этот xyz будет у него подменен меньше, чем если бы я тянул этот норп. Соответственно безопапасность в линукс системах в большей мере зависит от конечного юзера.

Sejval ()

Обнаружен троян Linux.BackDoor.Xnote.1.

Линуксокапец.

sergio1204 ★★ ()
Ответ на: комментарий от emulek

Мне казалось, что нет, а настраивать - это fail2ban, например.

Valdor ★★ ()

взламывает ssh подбором
нужен рут

Троян уровня /b/.

Deleted ()
Ответ на: комментарий от sergio1204

Подобным новостям не хватает ссылки на «чудотворную» утилиту для проверки не заражёна ли уже система трояном. «Скачать и запустить от рута.»

grem ★★★★★ ()
Ответ на: комментарий от grem

ссылки на «чудотворную» утилиту для проверки не заражёна ли уже система трояном.

А как же: http://www.freedrweb.com/cureit/ — с пылу с жару, от компании рекламодателя производителя?

gill_beits ★★★★ ()

подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH

Зачем тогда злоумышленникам троян, если подобрали пароль?

TGZ ★★★★ ()
Ответ на: комментарий от Valdor

Решето, если ssh стоит голой ж. в сеть и вход на него по паролю (ключ сложнее сломать). Настраивать надо не только защиту от брута, но и желательно залочить iptables-ом все что стучит на порт ssh кроме как с конкретных ip или подсети, если нет веских причин оставить возможность войти на сервер с любого ip.

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

Да ладно, если врубить хотя бы простейшую защиту от брута, то мой привычный двадцатизначный пароль перебирать будет крайне мучительно.

Valdor ★★ ()
Ответ на: комментарий от Valdor

Нафиг 20 знаков набирать? Ключ же проще юзается. Это на email я пароли по 15-25 символов делаю, а тут зачем?

peregrine ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.