LINUX.ORG.RU

Опубликованный на прошлой неделе эксплоит содержал backdoor

 , , , ,


0

0

Разработчики компании Ksplice объявили, что обнародованный на прошлой неделе эксплоит ABftw.c для уязвимости CVE-2010-3081 содержал backdoor, позволяющий злоумышненникам получить административный доступ к системе. Для проверки наличия бэкдора в памяти системы Ksplice предоставляет специальную утилиту. Судя по всему, дыра остаётся в памяти до перезагрузки системы. Всем, кто запускал эксплоит ABftw.c, рекомендуется провериться утилитой diagnose-2010-3081 и если троян обнаружен - перезагрузиться.

>>> Detecting the CVE-2010-3081 high-profile exploit



Проверено: maxcom ()

btw, кто-нибудь понимает CVE-2010-3081 и CVE-2010-3301 это разные уязвимости или нет?

maxcom ★★★★★ ()

Кажется, я всегда знал о каком-то другом значении слова «эксплоит» О_о Кто может воспользоваться бэкдором в эксплоите? Метаэксплоит?)

buddhist ★★★★★ ()
Ответ на: комментарий от DoctorSinus

> привет, троянчики под линукс?)

Ага, как прямо шутили, чтобы его схватить нужно сначала его самому скачать, скомпилить и запустить. Причём компилиться он не у всех, видимо что-то с зависимостями не то ))

cool_hedin ()

Сколько народу тогда эксплоит попробовало? Где-то полЛОРа? :D

AX ★★★★★ ()

Да это прямо триллер како-то!

Хорошо что я не запускал, так как и не знал об дыре и эксплойте, меньше знаешь - крепче спишь!

anonymous ()
Ответ на: комментарий от maxcom

Не, там же поиск есть.

* x86-64, compat: Test %rax for the syscall number, not %eax
- CVE-2010-3301
* x86-64, compat: Retruncate rax after ia32 syscall entry tracing
- CVE-2010-3301
* compat: Make compat_alloc_user_space() incorporate the access_ok()
- CVE-2010-3081

amorpher ★★★★★ ()

Вредоносные программы под Linux все же есть :) Небось некоторые админы на важном серваке это запустили... :) Чем они отличаются от блондинок теперь?

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от AX

раз вынесли в новости, то напишу еще раз тут


паника преувеличена, затроянен только один из вариантов эксплоита опубликованный http://seclists.org/fulldisclosure/2010/Sep/268 тут
желающие могут полюбоваться на обфускацию и обилие бинарных блобов в коде эксплоита

robert_you_suck.c - без троянчика и тоже работает

--------------

на ABwtf.bin.c ссылок не было, жертвами оказались только те, где в новостях ссылались на эксплоит выложеный в seclists.org/fulldisclosure

Sylvia ★★★★★ ()
Ответ на: комментарий от Sylvia

все остальные запускали robert_you_suck.c , который троянский код не содержит

Sylvia ★★★★★ ()

Эх, не зря я отказался от скачивания файла .c, который почему-то был .bin

annoynimous ★★★★★ ()

Еще добавлю.

рекомендуется провериться утилитой diagnose-2010-3081

А вдруг и она того... боязно становится однако.

anonymous ()

То-то я смотрел на код «эксплойта» и думал: «что это за хрень шестнадцатеричная» O_o

«Вот оно че, Михалыч!» (C)

blackice ()
Ответ на: комментарий от AX

А теперь посчитай, скольким было лень его пробовать :}

Deleted ()
Ответ на: комментарий от maxcom

вроде как это одна и та же в принципе уязвимость, но первая коснулась всех ядер после 2008 г. вообще (ванильных и основаных на них)
вторая - специфична для redhat которые бэкпортировали дырявый код на 2.6.18 , поэтому отдельная CVE

(особенно не проверяла, сужу по комментариям к эксплоитам, могу ошибаться)

Sylvia ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Не гони, в здравом уме не будут этого делать. Я даже на десктопе не решился проверять. Хотя признаю что было небольшое любопытство, но подумалось «пускай лучше меня параноиком считают». Вот вижу что моя паранойя оправдывает себя.

anonymous ()

А что, в самом деле бывают админы, которые на своих серверах эксплоиты проверяют?

oami ★★ ()

рекомендуется провериться утилитой diagnose-2010-3081 и если троян обнаружен - перезагрузиться.


А там какой backdoor ? :-))

splinter ★★★★★ ()

Ждем новости: «Опубликованная на прошлой неделе утилита для проверки наличия backdoor-а в эксплоите содержала троян. Рекомендуем проверить ваш компьютер утилитой checkme. Скачать тут.»

mclaudt ()
Ответ на: комментарий от oami

>А что, в самом деле бывают админы, которые на своих серверах эксплоиты проверяют?

Бывают, только потом они идут полы мыть а не серваки одминеть.

Ъ проверяют такие вещи в ВМ.

anonymous ()
Ответ на: комментарий от AX

Каким идиотом надо быть, чтбы пробовать чужой эксплойт? Состряпать свой по описанию уязвимости это да. А чужой эксплойт это... Даже не знаю, как использованный презерватив, причём чужой повторно использовать, наверное...

cairin ()
Ответ на: комментарий от Sylvia

Блин, добавьте уже в новость то, что Sylvia говорит, хватит будоражить народные массы ;)

zenith ★★★ ()

Ничего не понял. Зачем кто-то запускал сплойт и зачем его вообще запускать? И какой такой бекдор мог установить этот сплойт в системе?

Booster ★★ ()

nexus@nexus-gentoo ~/Downloads/111 $ ./a.out Diagnostic tool for public CVE-2010-3081 exploit — Ksplice, Inc. (see http://www.ksplice.com/uptrack/cve-2010-3081) $$$ Kernel release: 2.6.35-zen2 !!! Error in setting cred shellcodes

и как это расценивать?

nexus86 ()

Можно для тупых объяснить, это тот файл который robert_you_suck.c либо что то другое? robert_you_suck.c я запускал, но кода для оставления бекдора на мой взгляд там маловато как-то... Как залечить то что они оставили?

anonymous ()
Ответ на: комментарий от anonymous

>robert_you_suck.c я запускал
Как ты его запускал? Как вылечить читай в первом посте - перезагрузиться. ^)

Booster ★★ ()

эксплоит, содержащий backdoor, это очень забавно :) посмеялся

Klayman ()
Ответ на: комментарий от anonymous

Как теперь убрать порнобанер пока ниувидел ноачльник?

fixed

Dimka-Bo ()
Ответ на: комментарий от anonymous

Ужасы какие!

рекомендуется провериться утилитой diagnose-2010-3081

А вдруг и она того... боязно становится однако.



Разработчики компании Osplice объявили, что обнародованая на прошлой неделе утилита diagnose-2010-3081 для проверки наличия бєкдора в эксплоите ABftw.c для уязвимости CVE-2010-3081 содержала backdoor, позволяющий злоумышленникам получить административный доступ к системе. Для проверки наличия бэкдора в памяти системы Osplice предоставляет специальную утилиту. Судя по всему, дыра остаётся в памяти до перезагрузки системы. Всем, кто запускал утилиту diagnose-2010-3081, рекомендуется провериться утилитой fixit-09812 и если троян обнаружен - перезагрузиться.

FiXer ★★☆☆☆ ()
Ответ на: комментарий от cool_hedin

>Ага, как прямо шутили, чтобы его схватить нужно сначала его самому скачать, скомпилить и запустить. Причём компилиться он не у всех, видимо что-то с зависимостями не то ))

Ну, что в этом случае не так как ты описал?

Andaril ()
Ответ на: комментарий от Booster

Сильви же русским языком написала, что роберт - без бекдора.. Да я и сам его читал, код там простой и никаких троянов.

redgremlin ★★★★★ ()
Ответ на: комментарий от anonymous

чтобы повесить на порт nc+bash или bash добавить в (x)inetd много кода не надо

Reset ★★★★★ ()
Ответ на: комментарий от redgremlin

>Сильви же русским языком написала, что роберт - без бекдора.. Да я и сам его читал, код там простой и никаких троянов.
Слава тебе господи. А то я совсем распреживался за него, не спал, не ел, всё думал - Как там наш Роберт?

Booster ★★ ()
Ответ на: комментарий от anonymous

>Как? С помощью gcc и bash.
Фееричненько. И что потом?

Booster ★★ ()

Как то это все сложно. Жду когда на ЛОРе можно будет подхватить порнобанер на полэкрана. Вот повеселимся.

saturn721 ()
Ответ на: комментарий от Booster

потом я читаю эту новость. судя по системным вызовам использованным в сырце роберта ничего плохого быть не должно, но человек не робот, вот и спрашиваю. впрочем сильви уже ответила.

anonymous ()
Ответ на: комментарий от anonymous

>потом я читаю эту новость. судя по системным вызовам использованным в сырце роберта ничего плохого быть не должно, но человек не робот, вот и спрашиваю. впрочем сильви уже ответила.
Ответьте, что Вы с этим Робертом делали? Я не в курсе о чём тут речь идёт.

Booster ★★ ()
Ответ на: комментарий от Booster

было два эксплоита. один «от роберта» который я запускал, а другой троян. сильви подсказывает что то что «от роберта» не троян и это радует.

anonymous ()
Ответ на: комментарий от anonymous

>было два эксплоита. один «от роберта» который я запускал, а другой троян. сильви подсказывает что то что «от роберта» не троян и это радует.
Эксплоит запускать? Впервые о таком слышу. Да и вообще компилируемый эксплоит это бред какой-то.

Booster ★★ ()
Ответ на: комментарий от Deleted

=) мне было лень качать и пробовать это. я просто пропатчился.

Komintern ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.