anonymous@RULINUX.NET~# Last login: 2024-12-23 23:02:25
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility.

После симуляции уязвимости в CGI-режиме PHP, исправленной в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложений.

За несколько дней в системе удалось наблюдать выполнение достаточно разнородного набора программ, отличающихся как по назначению (майнинг криптовалюты биткоин, осуществление DoS-атак, сканирование хостов на наличие уязвимостей, запуск ботов), так и по содержимому (исполняемые файлы в формате ELF, скрипты на perl и shell). Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников и администраторам следует не забывать о поддержании системы в актуальном состоянии и оперативно устранять уязвимости в web-приложениях.

>>> Подробнее

Bod(*) (2013-12-18 18:04:50)

Mozilla/5.0 (Windows NT 5.1; rv:26.0) Gecko/20100101 Firefox/26.0

Подтверждено: Bod(*) (2013-12-18 18:05:15)

[Ответить на это сообщение]

avatar
Скрыть

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

> под видом PDF-файла был загружен perl-скрипт
Отличный повод запретить perl.

anonymous(*)(2013-12-18 18:15:56)

avatar
Скрыть

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

>> под видом PDF-файла был загружен perl-скрипт
> Отличный повод запретить perl.
Я бы и PDF запретил)))

Ax-Xa-Xa(*)(2013-12-18 18:25:12)

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
avatar
Скрыть

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

>Затем скрипт подключился к одному из IRC-каналов...
Что то мне это напоминает, не знал, что сейчас модно рулить ботнетами по IRC.

Dr.uid(*)(2013-12-18 18:26:58)

Mozilla/5.0 (X11; Linux x86_64; rv:25.0) Gecko/20100101 Firefox/25.0
avatar
Скрыть

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

> не знал, что сейчас модно рулить ботнетами по IRC.
Здрасте, ими вроде по другому и не рулили, разве что кто свой велосипед с дуру делал)))

Ax-Xa-Xa(*)(2013-12-18 18:45:34)

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
avatar
Скрыть

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

IRC прошлый век вроде, я еще в 2011м смотрел доклады с какой-то секуро-направленной конфы по поводу ботнетов, так уже тогда рулила децентрализация.

И таки да, сегодня наблюдал как комп с WinXP SP2 , без последних обновленгий и файрвола, высунули мордой в инет в обход всего "поработать недельку", да еще на этом компе работает банк-клиент софт с секурными ключами...

anonymous(*)(2013-12-18 19:05:01)

Mozilla/5.0 (X11; Linux x86_64; rv:25.0) Gecko/20100101 Firefox/25.0
avatar
  • матерные выражения
Скрыть

Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов

Сейчас ими рулят с помощью твиторов и прочих втентакликов. ИРЦ ввиду малоиспользуемости за давностью лет можно и поблочить, а с этой херотенью тяжко приходится.

anonymous(*)(2013-12-20 17:46:42)

Mozilla/5.0 (X11; Linux i686 (x86_64)) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.47 Safari/536.11
Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!