цикл статей о создании linux-ботнета

на рутерах от DLink?

Сам спросил @ сам ответил

Неа, все серьезно

Дальше по определенным ключевым словам нагуглил несколько серверов которые по прежнему подвержены этой уязвимости, такие запросы на сленге называются дорками (dorks), их часто можно найти в комментариях к эксплоитам на exploit-db.

а по-моему это очередной кулцхакер.

А все из-за кулцадминов, которые, осилив дефлотную установку посчитали себя крутыми

/me однажды на серверной слаке встретил /etc/shadow с правами 777

А я давно добавил этот блог в rss читалку, за множество полезных заметок по тем направлениям, которые мне интересны.

Ты оставайся при своём мнении, я - при своём. А с циклом статей дальше будет видно

Согласен, но тут не только школоло проблема, а ещё и

• дефолтные настройки, которые по умолчанию не всегда безопасны даже в уважаемых и авторитеных дистрибутивах.
• свежие уязвимости. 0day часто становятся неприятным сюрпризом.
• рост возможностей софта. больше места для дыр и закладок

Очередной кулхацкер.

Пусть на hardened-gentoo с selinux ботнет построит, а потом будет свой голос со стороны ббпп.. занесло. Ну ты понял.

Очередной кулхацкер.

А что ты сделал, сынок?

Пусть на hardened-gentoo с selinux ботнет построит

Т.е. все инсталляции с линуксом - сплошь hardened gentoo c включенным и грамотно настроенным selinux? Если ты невнимательно читал, речь идёт не о том что линукс дырявая система. Миф про неуязвимость линукса приводит к беспечности, а она в свою очередь - к незащищённым домашним компам и серверам.

/me однажды на серверной слаке встретил /etc/shadow с правами 777

О майн гот.
//набил шишку об стол

И еще пусть догонит Неуловимого Джо, да?

Т.е. все инсталляции с линуксом - сплошь hardened gentoo c включенным и грамотно настроенным selinux?

Нет, просто чуть менее, чем все инсталляции харденед генты надежно защищены от внешнего мира роутером фирмы ДЛинк, купленным за мамины деньги. Это делает их невзламываемыми снаружи, но одмины локалхоста успешно разламывают их самостоятельно из чорной консоли.

спасибо, судя по всему выходит неплохое развлекательное чтиво для админов.

Часть шестая. О том почему я считаю Linux столь же небезопасной ОС как и Windows, а местами еще и более уязвимой.

надеюсь, товарищ, проанилизует и сравнить ядра двух систем и что-то нам докажет, а то, очень толсто получается.

пусть лучше сравнит дефолтную семёрочку(без антивируса) и убунту на предмет, кто больше уязвим.

нафига, на нормальных серверах можно ботнет устроить

лично видел hardened-gentoo с selinux, который не устоял перед 0деем (помоему это был abftw.c он же robert_you_suck.c)

дык слака ссзб, они pam не используют. Пам бы долго на это ругался.

Вот и решил я потратить это время с пользой, а именно восполнить свой пробел знаний в области информационной безопасности.

Очередной школоло не ходил в школу и почитал что такое уязвимости. :)

Но все равно радует, что подрастающее поколение не только во вконтакте хотят сидеть.

Очередной школоло не ходил в школу и почитал что такое уязвимости. :)

Иннокентий, ты не прав! (с)

Я уже давно не школоло и в теме 5 лет, проекты от наколенных до $300k+ (захотите нагуглите мое резюме), как я и писал специально ИБ никогда не занимался.

Шестая статья прольет много говн на мою голову, это точно.

router спасибо на добром слове :)

наверное, бота самому надо будет установить через configure && make && make install (заодно исправив ошибки компиляции), затем написать конфиг, написать к нему инит-скрипты и так запустить :)

Если админ забил болт на сервак и не обновляет его, то понятно там будет куча дыр

Пффт. Даже форум не осилил настроить
http://stproject.info/forum

Очередной школьник с манией величия.

0day отменили? каждый год крупные всплывают

вот сразу видно - человек в теме

наверное, бота самому надо будет установить через configure && make && make install (заодно исправив ошибки компиляции), затем написать конфиг, написать к нему инит-скрипты и так запустить :)

Может ты удивишься, но на большинстве *nix установлен perl. Необходимые модули ( те что не core ) можно распространять вместе с самим троянцем ( класть файлы рядом с твоим .pl и подключать через use lib ( «<путь>» );

Написание init скрипта заменяется добавлением одной стоки в rc.local.

Кроме того, в наш век виртуализации никто не мешает зананее собрать c/c++/что-там-ещё троянца под заданную архитектуру и заданную ОС и загружать уже готовый бинарник.

статья прольет много говн на мою голову, это точно.

Точно, и не только на лоре. На хабаре, чувствую, будет такая же реакция. Ну нет в этих тусняках нормальных спецов, только интеллектуальные снобы сидят. Но ты нибаись, ты все делаешь правильно.

перл, допустим, есть, но вот

Написание init скрипта заменяется добавлением одной стоки в rc.local.

а у меня в Gentoo нету rc.local, мне троян не опасен :) 111

Кроме того, в наш век виртуализации никто не мешает зананее собрать c/c++/что-там-ещё троянца под заданную архитектуру и заданную ОС и загружать уже готовый бинарник.

а этих ОС и архитектур 100500 штук в разных сочетаниях

Добавить в любой init скрипт. Или в inittab. Была бы ось хорошая, а способ найдётся ;)

You made my day!

router спасибо на добром слове :)

Сам в эту тему влез, теперь держись :) Я только на ЛОР ссылку забросил

Сам в эту тему влез, теперь держись :) Я только на ЛОР ссылку забросил

Не понял :)

Пытался запостить новость на opennet, но пока висит, не подтвердили.

Парни если у кого есть возможность сделайте репост, очень хочу получить комментарии по теме и привлечь как можно больше людей.

Хотелось бы чтобы и на послесловие сил хватило, интересно было бы почитать.
Также интересно было бы узнать эффективно ли для nagios, git и прочих прикладных софтин организовывать доступ через vpn.

Бинарники это зло если вы пишете малварь для Linux, зато скриптовые языки это зло для безопасности Linux.

С init скриптами долго парится, проще в локальный crontab засунуть, интерфейс почти во всех nix одинаковый. Есть еще пару вариантов, о них будет в 3ей статье ;)

эффективно ли для nagios, git и прочих прикладных софтин организовывать доступ через vpn

Эммм...не понял что вы имеете ввиду. Лучше комментируйте на блоге, там я лучше отслеживаю комментарии.

Мне как автору не нравится Хабр за то что он заставляет создавать статьи только в пределах Хабра. Меня там забанили на пол года за то что я опубликовал топик ссылку на свой пост. Недавно топики ссылки стали исключительно корпоративной фичей, в общем не торт.

Отвечу пока здесь, чтобы контекст не потерять.
Nagios и git я зря сюда приплел, я имел в виду, что к некоторым вещам с потенциальным наличием уязвимостей нужен доступ с удаленных компьютеров, например к бд, делевелоперской версии сайта, админке, внутреннему IM, итп. Достаточно ли надежно будет давать доступ к этим вещам только через VPN?

То что вы описываете называется DMZ и это один из best practice.

Для того чтобы повысить безопасность, серверам внутри DMZ лучше всего закрыть доступ в Интернет. Я находил сервера на которых были уязвимости но вот сделать я с ними ничего не мог и толку от них небыло, т.к. инета нет и попадаю я на них через некий proxy.

Расскажут о том, как ломать одминов, ниасиливших ман хотя бы по основным компонентам системы, вроде AllowUsers в конфиге ssh или сколько-нибудь настроенного iptables? Безусловно, из-за таких пользователей весь линукс решето.

Админ локалхоста, я подозреваю? Проблема в том, что современные дистры не только не помогают, но и напротив мешают строить надежные системы и примеров тому много:

• например, debian не позволяет сделать noexec на /var, поскольку не будет работать установка пакетов - нужно изменять настройки apt
• проблема 1024 порта присутствует во всех дистрибах: куча демонов запускается из под рута, хотя можно это реализовать нормально.
• selinux и apparmor поддерживаются спустя рукова: в том же debian 5 нельзя было пользоваться exim из коробки с selinux.
• lxc есть почти везде, но почти нигде нет пока развитой структуры шаблонов с возможностью запуска каждого сетевого демона в своей readonly песочнице.

Все вышеперечисленное решается прямыми руками админа и его временем, но почему это не делается из коробки мне не понятно. На мой взгляд частично из-за традиций (как 1024 рутовых порта - привет меинфреймы), но частично из-за легенды, что линукс круче и безопаснее. Поэтому, несмотря на очивидность того, что будет написано в этом блоге, его автор - молодец.

Я и не говорил ничего про дистры. Debian, в частности, страдает иногда весьма кривым переписыванием апстримовых конфигов (например, инитскрипт mongodb вообще переназначает некоторые настройки из конфига). Кстати, такую полезную настройку, как AllowUsers или ключ для ssh, в дефолтный конфиг не впишешь.

По моему мнению, единственное, что делает линуксы потенциально более безопасными - возможность более глубокой настройки по сравнению с офтопиком. Остальное в основном эффект «неуловимого Джо».

Почему я придрался к сабжу - из-за без сомнения толстых заявлений сложилось впечатление, что будут расписывать про то, как ломали лентяев с простыми паролями. Почитаю следующие части, надеюсь, автор не ударится в толстоту.

P.S. И да, меряться серверами я не буду.

zloelamo спасибо, кое-что из перечисленного вами я внес, кое-что вы мне подкинули, с вашего разрешения я воспользуюсь :)

Да пожалуйста - это все очевидные вещи, только я там лажанулся не /var, а /tmp.

По моему мнению, единственное, что делает линуксы потенциально более безопасными - возможность более глубокой настройки по сравнению с офтопиком. Остальное в основном эффект «неуловимого Джо».

Глубокая настройка это хорошо, но я не понимаю почему мелкие, очевидные вещи не сделаны из коробки?

Fletch ваш комментарий очень по теме, он содержательный и веский :D

А демонстрация работы ботнета будет?

ЕМНИП, все же /var - там скрипты различные у dpkg

стандартно настроенный JBoss позволяет получить shell к вашему серверу через web-интерфейс JMX-консоли.

лол, дальше не читал. Если он считает, что в джаве подсунуть код на исполнение так же легко как в PHP, на этого человека не стоит тратить время.

Пусть на hardened-gentoo с selinux

да фиг с ним, с гентой, пусть хотя бы один ап-ту-дейт дебиан сломает. Или найдет хотя бы одну уязвимость собственными руками, а не тупо использовать готовые уязвимости.

Если ставить по дефолту - оно конечно. Сервера разумеется нужны непременно со средствами разработки внутре (особенно с теми, которые не нужны для задачи), а нужные интерпретаторы должны вертеться не в безопасной песочнице :)

ОС и архитектур 100500

две оси и две архитектуры, остальные 0.01% никому не нужны.

под ОС подразумеваются в данном случае конкретные версии дистрибутивов

т.к. эксплойт для какой-то софтинки, протестированный на одном дистрибутиве может не работать на другом, ибо софтинка скомпилирована по-другому (другой версией GCC, с другими библиотеками) и там в бинарном коде функции, переменные и т.д. по другим адресам располагаются