2anonymous (*) (29.01.2004 20:17:59)

> "Вирус заражает компьютеры под управлением операционной системы Linux с установленным web-сервером Apache. При обнаружении такого компьютера Slapper загружает на него свой исходный, некомпилированный код, используя для этого брешь в системе безопасности программного пакета OpenSSL (переполнение буфера). После доставки исходник загружается в компилятор языка Си (gcc), который практически всегда установлен на Linux, и в результате рождается исполняемый файл. Этот метод позволяет заражать любые версии Linux независимо от производителя дистрибутива и версии ядра."

Ключевые слова: "компилятор языка Си (gcc), который практически всегда установлен на Linux"

Ну и кто на "web-сервере Apache" держит компилятор языка Си (gcc)?

OpenSSL тоже отнюдь не все держат...

Сто пудов. А на пользовательских машинах обычно нет apache :)

Блядь, ребята... Это П....Ц!!!

Пришлось вырубить SMTP и POP3 сервера на работе: после того, как траффик с вирусами перевалил за 1Мбит/с...

Анализ траффика с помощью netwatch показал, что запросы на 25-й порт нашего корпоративного SMTP идут примерно с ПЯТИ ТЫСЯЧ инфицированных сайтов!!! Даже с вырубленным SMTP траффик составляет 100-150 Кбит/с! (DNS-запросы и обращения к 25-му порту).

В общем, финиш... А ведь траффик стоит 0.1$/Мб... Вот и посчитаем, сколько к завтрашнему утру набежит...

Локальное. А толку?
Сейчас господа из rh выпустят fc 2 и в каждом доме появится SELinux - и получайте себе рута хоть до следующего года.

Червь - не вирус.

Да и, вообще, все сервера (web, proxy, database,...) должны сидеть в chroot (или jail :-)

Судя по новостям, сеть еще с утра начала задыхаться.

Это еще ничего - вот то, что письма приходят с сообщениями "в вашем сообщении был вирус" (особенно забавно читать, учитывая, что сообщение: a) не писал b) в винде хз сколько не был).

Какой му.ак придумал рассылылать это г.вно - непонятно.

2R00T (*) (29.01.2004 20:41:09)

Соболезную. Посмотри, можно ли DNS перенести к кому-нибудь без проблем с трафиком, если тебе, конечно, позволит зона ответственности.

>Ну и пусть. Не в ядре же переполнение. Опять же, порты нужно открыть как-то... Ну поползет он, вдруг, и хрен ли? Сносишь рутом мозиллу и все.

ну берем к примеру злонамерный код который попадает через уязвимость в мозилле, через переполнение. То есть , когда юзер заходит на определенный сайт, происходит переполнение при обработке страницы. Таких переполнений в IE масса, и они активо используются определенными личностями для затраянивания и пр. :) Принципиальных отличий win от lin в данном случае не вижу.

Используя это переполнение исполняется определенный код, который делает, что-угодно в пределах юзерских полномочий. Но этих полномочий уже хватит чтоб принести массу "удоволствия"

Знаешь, это неудивительно: у него есть собственная система отсылки по SMTP.

Я почитал логи sendmail'а и обнаружил замечательную особенность: видимо, вирус держит отдельно почтовые имена пользователей и отдельно - почтовые домены...
И отсылает сам себя, компонуя эти параметры!
То есть, если в адресной книги были адреса maria@yahoo.com и pavel@pisem.net, то письма будут разосланы по адресам:
maria@yahoo.com
pavel@pisem.net
maria@pisem.net
pavel@yahoo.com

Алгоритмически это несложно... Но вот результат... Хм... Количество писем (или запросов на отсылку) дожно быть порядка квадрата количества адресов в адресных книгах, помноженных на количество инфицированных машин... МИЛЛИАРДЫ писем...

2bzImage

>Мужик ты хоть чуть-чуть в теме?

>Меня прикалывают идиоты способные такое заявлять.

>Вирус под linux под правами пользователя?

>Подо все дистибутивы и виды установок?

Э-э-э да я смотрю вы даже чуть-чуть не в теме ...

чего нибудь слышали про lion(linux), slapper(linux), scalper(bsd), ramen(linux) ?

Ну хотя бы про червя Моррисона чего нибудь слышали ? (это правда было задолго до появления Linux)

>Вирус под линукс будет поставляться под gpl. Устанавливаться из исходных кодов непосредственно рутом. :)

Почему в будущем времени ? Был уже и именно из исходников ;)

http://www.f-secure.com/v-descs/slapper.shtml

>Червь - не вирус.

Угу, это гораздо хуже ;)

Вирусы это вчерашний день ;)

"The main difference between worms and viruses is persistence and speed. Modifications to files are usually permanent and remain after reboot. On the other hand a virus attached to a host can get active only when that host program is started. A worm takes immediate control of a running process and thus can propagate very fast."

http://www.lwfug.org/~abartoli/virus-writing-HOWTO/_html/

Мнэээ, Может хватит жёлтую прессу препечатывать? Тут, вот, интересную ссылку на ixbt прислали. Там перл всех времен и народов "конечно, сволочи-линуксоиды написали этот вирус, но мы-то с вами знаем, что все российские линуксоиды -- полные кретины". Давайте это опубликуем по заголовком "Эксперты выяснили, что все линуксоиды -- идиоты".

И все-така это fake, к сожалению....

Мда любители QMAIL теперь поймут как полезно проверять
на существование пользователя во время SMTP сессии,
а не после принятия письма.

2004-01-29 21:27:39 H=(infoart.ru) [195.46.101.9] F=<dan@infoart.ru> rejected RCPT <john@????.ru>: Unrouteable address

Такого у меня в логах море.
А если бы я поставил QMAIL в какое кол-во
раз трафик был бы больше?

Ура Ура чтоб SCO сдохли !

БЛИН. ПО ТВ твердят, что вирус 1 февраля нанесет удар по серверам микрософт, тем самым потверждается факт, что СКО и мелкософт одно и тоже :)

Морриса :)

Нет, ты не понял. Ты идиот и я идиот и все, кто сюда заходит - идиоты. А они там умные... Тестирование 3D графики на линуксе...

P.S. Ссылку-то дай - лениво искать.

MyDoom под Linux

Вы будуте смеяться, но у меня запустился MyDoom под Linux с помощью wine прямо из Kmail. В общем пришло письмо с аттачем с расширением scr, я в Kmail кликнул на него, запустился winовский notebook, записал 2 файла в директорию, в которой wine держит системные библиотеки винды (самой винды у меня нет, права на запись в эту директорию мои), и стал коннектиться куда-то в сеть. Как так получилось, что Kmail запустил winовский notebook, понять не могу.

По сообщениям авторитетных источников http://www.ixbt.com/news/hard/index.shtml?hard100978id ФБР уже в пути к Microsoft. Будут выяснять авторов Novarg.B. По всей видимости повяжут всех.

>БЛИН. ПО ТВ твердят, что вирус 1 февраля нанесет удар по серверам микрософт, тем самым потверждается факт, что СКО и мелкософт одно и тоже :) 

по RTVi сказали что если эта вирусяга будет распрастранятся
такими же тэмпами как сейчас до 1-ого февраля, то это может
грозить существованию интернета!!!!

я упал с кресла и 2-а часа плякал :(

Фиг их знает, как у них там ссылку на статью получить. Оно уезжает потихоньку. Может, вот так: http://ixbt.com/news/hard/archive.shtml?hard20040129

Короче, "Четверг, 29 Января, 2004", статья "Новая версия Novarg и новая цель - Microsoft &#8212; Archont @ 16:15". Я, проще, сюда скопирую:

"[...] утверждение, что вирус Novarg - российского происхождения, не кажется очень убедительным. Безусловно, понять, что именно движет вирусописателями, не легче, чем понять психологию террориста, но лично мне кажется маловероятным, чтобы в России нашлись настолько преданные Linux энтузиасты, желающие устроить электронный террор против SCO и Microsoft - мы как-то все еще далеки от мира, где за все технологии приходится платить, хотя хватка законов, ограждающих интеллектуальную собственность от копирования, ощущается все сильнее и у нас."

На Netcraft написали, что у SCO могут быть проблемы с поддержанием работы их web службы в связи с DDoS атаками, т.к. Microsoft вполне может использовать Content distribution networks (CDN) для выживания своего web сервиса, как она уже это делала во время пика атаки MSBlast, но провайдеры такого сервиса используют Linux и, соответственно, должны по мнению SCO платить ей деньги, так что, видимо, будут проблематично SCO с ними договориться :)

2anonymous (*) (29.01.2004 20:51:01): В принципе, на nic.ru у меня зареген вторичный DNS... Но он обновляется как-то раз в сутки с Primary DNS... Да и с теперешней-то загрузкой DNS-серверов, обновление зон DNS, наверное, будет проходить более суток... У меня где-то в логах BIND'а вчерась было сообщение, что корневой сервер k.root-servers.org (так, кажется, пишется) "lame configured"!!! ;-) Надо бы тот лог оставить на память потомкам... Про DNS'ы более низких уровней я вообще молчу... ;-)
Фишка просто в том, что наше начальство уехало в Китай заключать контракты с парнерами. И отказ в работе web-сервера был бы нежелателен.
А то бы я просто выдернул питание из ADSL-модема и не мучался... :-)

2anonymous (*) (30.01.2004 5:57:32): В принципе, да: рухнут коренные DNS-сервера и настанет "ОПЛЯ". Ну, может быть, не рухнут, а просто не будут отвечать на DNS-запросы: ведь предполагаемая атака на SCO и Microsoft - это ещё и DDoS атака на коренные DNS.
Я думаю, что при таком раскладе коренные DNS от греха (чтобы не "забыли" информацию о доменах) отключат от Инета и заставят всех пользователей Инета почистить вирусню, а потом будут назад потихонечку подключать провайдеров. Но это при самом худшем раскладе... Во время вспышек MSBlast'а и Sobig'а соответствующие товарищи утверждали, что DDoS на коренные сервера маловероятна: они небыли загружены даже на треть.

>Морриса :)

Угу ;) вечно я эти фамилии путаю ;)

А ведь похоже что из-за этого червя как-то меньше надоедливого спама приходит.

> А ведь похоже что из-за этого червя как-то меньше надоедливого спама приходит.

Угу. Уроды заняты переустановкой мышевозов, для "работы" времени не остается. ;-)

Ага, Ну прям всё так просто. Линуксоиды - не виндусоиды, они мозиллу переодически патчат. Кроме того, не помню вообще в какой мозилле переполнения буфера было найдено... И ещё - редко кто мозильным почтовым клиентом юзает. Многие мутью, лично я Sylpheed. Посмотрел бы я, как кто-нибудь попытлся ещё письмо прислать, что sylpheed свалит. И кроме того, мож параноик я, но для нета я сделал отдельного юзверя, ему запрещено всё, даже то, что разрешено. И в home у него ничего знаичмого нет.

Вчера по НТВ в "Страна и мир" выступал Касперский. Так он говорил
что судя по географии распространения сей червяк скорей всего
был написан именно в России.

Я тебе могу рассказать - нефиг пускать демон wine.

Он до хрена чего все время говорит.

Меня вот что удивляет.
Неужели ежедневно столько пользователей в инете новых (причем дебилов), что их числа хватает для вирусной эпидемии?
А если кликают все те же - неужто мозгов не кликать на всякую дрянь не хватает?

Нда, неприятно конечно получать Undelivered того-что ты
совсем не писал..

> А если кликают все те же - неужто мозгов не кликать на
> всякую дрянь не хватает?

Ты наивно полагаешь что ктонибудь из знающих меня как
собственного администратора, получив от меня письмо, задумается
над тем: а вирус это или нет ?

Недумаю ...

ЗЫ
Подпись - сильная штука в таких слачаях.

Детишки - не читайте The Register. Ну ни однойц новости, перепечатанной с него советскими журнюшками за последние 2-3 года не было правдивой. А вы повелись. Идите взад в свою песочницу.

А еще кроме записи в БИОС вирус заразит владельца сифилисом и бешенством его кошку, собаку, тещу и аквариумных рыбок. Где вы такую траву берете? Стек TCP + весь код управления сетью(дрова, например) (а у меня модем, а у меня модем. виндовый - его дрова положите в те же 624 байта - ну, регистр флагов вам в руки). Ведь обновляться через инет могут единичные платы.

ЗЫ. Модем у меня, конечно, не win, но у меня и вируса этого нет ;)

ROOT! Траффик 10с за метр? При таком объеме? Беги нахрен от такого прова! 4-6 центов (6 - предел), остальные идут лесом. Хотя, если ты в Москве - там инет дорогой. Может и 10 центов быть.

>Посмотрел бы я, как кто-нибудь попытлся ещё письмо прислать, что sylpheed свалит. Не так давно приходило коллеге такое письмо, отправленное из оутлука валила sylpheed в корку на ура к сожаленю письмо не сохранилось, да и после обновления проги крэш ушел

Ты сам шел бы на хуй со своими "детишками" и "песочницами".
То же мне старичок нашелся, гений русской мысли и отец демократии.

Спросили откуда, я сказал где видел.

От тебя будет подпись только если у кого-то твой емыл в базах или твоя машина уже заражена. Я не думаю, что ты настолько плохой админ, чтобы позволить заразиться своей машине.

Что касается подписи - мне помнится от друга пришло письмо зараженное. Дык мне показалось очень странным, что оно:
1) Не запаковано в архив (или два - мы обычно так делаем).
2) Тело письма пустое
3) Это был jpg.

Сохраняю эту муть - точно exe-шник. Последнюю базу к avp и натравливаю на эту хрень - точно, вирус.

P.s. Было это года два назад. Больше такого дерьма от знакомых не приходило. У чела комб был заражен, как выяснилось - outlook, понимаешь и все такое.

У меня юзер, под которым я сижу, даже в инет звонить не может.

А чтобы письмо отправить - нужно подтверждение ввести.

Писать он может в рамках своей папки - виндовая ro.

Работа бэкапится на другой раздел (благо ее немного - обычно не больше пяти-шести метров) раз в час.

Ну сотрет он мне мой $HOME? И чего? Он у меня забэкаплен (как и /etc). Ну лишусь истории в аське. Да похрен мне на аську.
Ну час работы потеряю.

Да пусть хоть обпишутся.

А можно ли в 624 байта положить мелкую программку, которая будет пользоваться виндовыми компонентами (причем, чтобы она в bios лежала).

P.S. Я может чего пропустил, но насколько я помню, в защищенном режиме обновить биос проблематично?

> ROOT! Траффик 10с за метр? При таком объеме? Беги нахрен от такого > прова! 4-6 центов (6 - предел), остальные идут лесом. Хотя, если ты > в Москве - там инет дорогой. Может и 10 центов быть.

точно! покажите мне плиз прова который на потоке 1Mbit/s (или больше) отдает гиг за $100

> Э-э-э да я смотрю вы даже чуть-чуть не в теме ...

> чего нибудь слышали про lion(linux), slapper(linux), scalper(bsd), ramen(linux) ?

> Ну хотя бы про червя Моррисона чего нибудь слышали ? (это правда было задолго до появления Linux)

Я то как раз в курсе, но мужик говорил про вирусы.

Черви были, но...

Но лично я не видел ни одного зараженного компа. Весь прикол в том что каждый из них заточен по разному. И все эти черви просто обламывались. И как кто-то говорил держать компилятор и сервер в одном месте не будет вообще никто. Все сервера к которым у меня есть доступ сидят вообще в chroot'е. Попробуй сделать что-нибудь со своим червем там. :))))))

>Вирусы под Линукс лишь дело времени.

Без "ИМХО" или указания смысла вкладываемого в "вирус" - бред сивой кобылы.

>Вирус под линукс будет поставляться под gpl. Устанавливаться из исходных кодов непосредственно рутом. :)

...требовать для запуска права root и на некоторых конфигурация не собираться без доработки напильником исходников.