rulinux.net - Новости - Security - Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Fri, 20 Dec 2013 13:46:42 +0400

Сейчас ими рулят с помощью твиторов и прочих втентакликов. ИРЦ ввиду малоиспользуемости за давностью лет можно и поблочить, а с этой херотенью тяжко приходится.

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Wed, 18 Dec 2013 15:05:01 +0400

IRC прошлый век вроде, я еще в 2011м смотрел доклады с какой-то секуро-направленной конфы по поводу ботнетов, так уже тогда рулила децентрализация.

И таки да, сегодня наблюдал как комп с WinXP SP2 , без последних обновленгий и файрвола, высунули мордой в инет в обход всего "поработать недельку", да еще на этом компе работает банк-клиент софт с секурными ключами...

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Wed, 18 Dec 2013 14:45:34 +0400

> не знал, что сейчас модно рулить ботнетами по IRC.
Здрасте, ими вроде по другому и не рулили, разве что кто свой велосипед с дуру делал)))

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Wed, 18 Dec 2013 14:26:58 +0400

>Затем скрипт подключился к одному из IRC-каналов...
Что то мне это напоминает, не знал, что сейчас модно рулить ботнетами по IRC.

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Wed, 18 Dec 2013 14:25:12 +0400

>> под видом PDF-файла был загружен perl-скрипт
> Отличный повод запретить perl.
Я бы и PDF запретил)))

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Wed, 18 Dec 2013 14:15:56 +0400

> под видом PDF-файла был загружен perl-скрипт
Отличный повод запретить perl.

Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Wed, 18 Dec 2013 14:04:50 +0400

Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility.

После симуляции уязвимости в CGI-режиме PHP, исправленной в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложений.

За несколько дней в системе удалось наблюдать выполнение достаточно разнородного набора программ, отличающихся как по назначению (майнинг криптовалюты биткоин, осуществление DoS-атак, сканирование хостов на наличие уязвимостей, запуск ботов), так и по содержимому (исполняемые файлы в формате ELF, скрипты на perl и shell). Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников и администраторам следует не забывать о поддержании системы в актуальном состоянии и оперативно устранять уязвимости в web-приложениях.