LINUX.ORG.RU

Опубликованный на прошлой неделе эксплоит содержал backdoor

 cve-2010-3081, , , ,


0

0

Разработчики компании Ksplice объявили, что обнародованный на прошлой неделе эксплоит ABftw.c для уязвимости CVE-2010-3081 содержал backdoor, позволяющий злоумышненникам получить административный доступ к системе. Для проверки наличия бэкдора в памяти системы Ksplice предоставляет специальную утилиту. Судя по всему, дыра остаётся в памяти до перезагрузки системы. Всем, кто запускал эксплоит ABftw.c, рекомендуется провериться утилитой diagnose-2010-3081 и если троян обнаружен - перезагрузиться.

>>> Detecting the CVE-2010-3081 high-profile exploit



Проверено: maxcom ()

Кажется, я всегда знал о каком-то другом значении слова «эксплоит» О_о Кто может воспользоваться бэкдором в эксплоите? Метаэксплоит?)

buddhist ★★★★★
()
Ответ на: комментарий от DoctorSinus

> привет, троянчики под линукс?)

Ага, как прямо шутили, чтобы его схватить нужно сначала его самому скачать, скомпилить и запустить. Причём компилиться он не у всех, видимо что-то с зависимостями не то ))

cool_hedin
()

Да это прямо триллер како-то!

Хорошо что я не запускал, так как и не знал об дыре и эксплойте, меньше знаешь - крепче спишь!

anonymous
()
Ответ на: комментарий от maxcom

Не, там же поиск есть.

* x86-64, compat: Test %rax for the syscall number, not %eax
- CVE-2010-3301
* x86-64, compat: Retruncate rax after ia32 syscall entry tracing
- CVE-2010-3301
* compat: Make compat_alloc_user_space() incorporate the access_ok()
- CVE-2010-3081

amorpher ★★★★★
()

Вредоносные программы под Linux все же есть :) Небось некоторые админы на важном серваке это запустили... :) Чем они отличаются от блондинок теперь?

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от AX

раз вынесли в новости, то напишу еще раз тут


паника преувеличена, затроянен только один из вариантов эксплоита опубликованный http://seclists.org/fulldisclosure/2010/Sep/268 тут
желающие могут полюбоваться на обфускацию и обилие бинарных блобов в коде эксплоита

robert_you_suck.c - без троянчика и тоже работает

--------------

на ABwtf.bin.c ссылок не было, жертвами оказались только те, где в новостях ссылались на эксплоит выложеный в seclists.org/fulldisclosure

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

все остальные запускали robert_you_suck.c , который троянский код не содержит

Sylvia ★★★★★
()

Еще добавлю.

рекомендуется провериться утилитой diagnose-2010-3081

А вдруг и она того... боязно становится однако.

anonymous
()

То-то я смотрел на код «эксплойта» и думал: «что это за хрень шестнадцатеричная» O_o

«Вот оно че, Михалыч!» (C)

blackice
()
Ответ на: комментарий от maxcom

вроде как это одна и та же в принципе уязвимость, но первая коснулась всех ядер после 2008 г. вообще (ванильных и основаных на них)
вторая - специфична для redhat которые бэкпортировали дырявый код на 2.6.18 , поэтому отдельная CVE

(особенно не проверяла, сужу по комментариям к эксплоитам, могу ошибаться)

Sylvia ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Не гони, в здравом уме не будут этого делать. Я даже на десктопе не решился проверять. Хотя признаю что было небольшое любопытство, но подумалось «пускай лучше меня параноиком считают». Вот вижу что моя паранойя оправдывает себя.

anonymous
()

А что, в самом деле бывают админы, которые на своих серверах эксплоиты проверяют?

oami ★★
()

рекомендуется провериться утилитой diagnose-2010-3081 и если троян обнаружен - перезагрузиться.


А там какой backdoor ? :-))

splinter ★★★★★
()

Ждем новости: «Опубликованная на прошлой неделе утилита для проверки наличия backdoor-а в эксплоите содержала троян. Рекомендуем проверить ваш компьютер утилитой checkme. Скачать тут.»

mclaudt
()
Ответ на: комментарий от oami

>А что, в самом деле бывают админы, которые на своих серверах эксплоиты проверяют?

Бывают, только потом они идут полы мыть а не серваки одминеть.

Ъ проверяют такие вещи в ВМ.

anonymous
()
Ответ на: комментарий от AX

Каким идиотом надо быть, чтбы пробовать чужой эксплойт? Состряпать свой по описанию уязвимости это да. А чужой эксплойт это... Даже не знаю, как использованный презерватив, причём чужой повторно использовать, наверное...

cairin
()

Ничего не понял. Зачем кто-то запускал сплойт и зачем его вообще запускать? И какой такой бекдор мог установить этот сплойт в системе?

Booster ★★
()

Можно для тупых объяснить, это тот файл который robert_you_suck.c либо что то другое? robert_you_suck.c я запускал, но кода для оставления бекдора на мой взгляд там маловато как-то... Как залечить то что они оставили?

anonymous
()
Ответ на: комментарий от anonymous

Как теперь убрать порнобанер пока ниувидел ноачльник?

fixed

Dimka-Bo
()
Ответ на: комментарий от anonymous

Ужасы какие!

рекомендуется провериться утилитой diagnose-2010-3081

А вдруг и она того... боязно становится однако.



Разработчики компании Osplice объявили, что обнародованая на прошлой неделе утилита diagnose-2010-3081 для проверки наличия бєкдора в эксплоите ABftw.c для уязвимости CVE-2010-3081 содержала backdoor, позволяющий злоумышленникам получить административный доступ к системе. Для проверки наличия бэкдора в памяти системы Osplice предоставляет специальную утилиту. Судя по всему, дыра остаётся в памяти до перезагрузки системы. Всем, кто запускал утилиту diagnose-2010-3081, рекомендуется провериться утилитой fixit-09812 и если троян обнаружен - перезагрузиться.

FiXer ★★☆☆☆
()
Ответ на: комментарий от cool_hedin

>Ага, как прямо шутили, чтобы его схватить нужно сначала его самому скачать, скомпилить и запустить. Причём компилиться он не у всех, видимо что-то с зависимостями не то ))

Ну, что в этом случае не так как ты описал?

Andaril
()
Ответ на: комментарий от Booster

Сильви же русским языком написала, что роберт - без бекдора.. Да я и сам его читал, код там простой и никаких троянов.

redgremlin ★★★★★
()
Ответ на: комментарий от anonymous

чтобы повесить на порт nc+bash или bash добавить в (x)inetd много кода не надо

Reset ★★★★★
()
Ответ на: комментарий от redgremlin

>Сильви же русским языком написала, что роберт - без бекдора.. Да я и сам его читал, код там простой и никаких троянов.
Слава тебе господи. А то я совсем распреживался за него, не спал, не ел, всё думал - Как там наш Роберт?

Booster ★★
()

Как то это все сложно. Жду когда на ЛОРе можно будет подхватить порнобанер на полэкрана. Вот повеселимся.

saturn721
()
Ответ на: комментарий от Booster

потом я читаю эту новость. судя по системным вызовам использованным в сырце роберта ничего плохого быть не должно, но человек не робот, вот и спрашиваю. впрочем сильви уже ответила.

anonymous
()
Ответ на: комментарий от anonymous

>потом я читаю эту новость. судя по системным вызовам использованным в сырце роберта ничего плохого быть не должно, но человек не робот, вот и спрашиваю. впрочем сильви уже ответила.
Ответьте, что Вы с этим Робертом делали? Я не в курсе о чём тут речь идёт.

Booster ★★
()
Ответ на: комментарий от Booster

было два эксплоита. один «от роберта» который я запускал, а другой троян. сильви подсказывает что то что «от роберта» не троян и это радует.

anonymous
()
Ответ на: комментарий от anonymous

>было два эксплоита. один «от роберта» который я запускал, а другой троян. сильви подсказывает что то что «от роберта» не троян и это радует.
Эксплоит запускать? Впервые о таком слышу. Да и вообще компилируемый эксплоит это бред какой-то.

Booster ★★
()
Ответ на: комментарий от Deleted

=) мне было лень качать и пробовать это. я просто пропатчился.

Komintern ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.