Перейти к содержанию

ЛК: Времена безопасности *nix-систем давно прошли


Рекомендуемые сообщения

http://www.securitylab.ru/news/379709.php?pagen=10#comment

Здравствуйте. Можно ли увидеть полный листинг кода троянов что-бы заделать дыру с помощью которой они прописываются в автозапуск?

И ещё вопрос. Участвуете ли Вы в такого рода(поиск новых троянов\вирусов) исследованиях? Если участвуете, то в качестве кого?

Изменено пользователем Pupkur
Ссылка на комментарий
Поделиться на другие сайты

http://www.securitylab.ru/news/379709.php?pagen=10#comment

Здравствуйте. Можно ли увидеть полный листинг кода троянов что-бы заделать дыру с помощью которой они прописываются в автозапуск?

И ещё вопрос. Участвуете ли Вы в такого рода(поиск новых троянов\вирусов) исследованиях? Если участвуете, то в качестве кого?

 

Перечитал два раза. Не очень понял вопрос.... "Листинг" - это вас прям на Ассемблере интересно? Или как?

 

Я в Юниксах на прикладном и системном уровне не очень силен... Я с Юниксов на IBM-PC окончательно пересел в 1988-м году...

Ссылка на комментарий
Поделиться на другие сайты

А я с позволения, как юниксоид, скажу, что вопрос топик-стартера некорректен.

На некорректный вопрос нельзя дать ответ.

Что такое автозапуск, про который вы говорите - для меня например загадка.

 

 

Если вы почитаете ту оригинальную статью на веблоге viruslist, на которую ссылается эта публикация в securitylab, и следующую за ней статью на ту же тему, то вы увидите, что ни о каких троянах для Linux речи не идет, а вредоносный код попадает на зараженные сервера, как правило по следующим причинам (цитирую веблог):

" 1. кража пароля от FTP, с помощью вредоносных программ;

2. перебор паролей от FTP, SSH по словарю;

3. проникновение через phpbb.

 

Во всех трёх случаях загрузка спам-бота сопровождалась изменением HTML-файлов и вставкой в них iframe’ов на зараженные сайты."

 

Т.е. речь идет об элементарной безалаберности и пренебрежении основными принципами компьютерной безопасности - такими как стойкие пароли, хранение их в надежном месте... Т.е. закрывать в таких случаях какие то дыры не нужно.

 

"Листинг кода" троянов, если речь идет именно о самом содержимом описанных вредоносных файлов, вам никто не даст, т.к. распространение вредоносного кода является уголовным преступлением.

Если же речь идет просто о *списке* известных на настоящее время зловредов для Linux, то этот список также не даст вам никакой информации для закрытия каких-либо дыр в сервисах и системе в целом.

Изменено пользователем hinote
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

На Security Lab написано следующее "Мифы о полной защищенности *nix-систем постепенно уходят в прошлое. Недавним примером уязвимости *nix-систем стали обнаруженные Лабораторией Касперского трояны Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. "

После этого прочёл http://www.viruslist.com/en/weblog статью здесь. Да, действительно, трояны не упоминаются, а упоминается "malicious programs". Получается Security Lab ввёл меня в заблуждение. Оригинальную статью прочёл трижды и не увидел информацию которую Вы, hinote, процитировали(о распространении, хотя мне это и не важно, это я знал и ранее).

На скриншотах выложеных по ссылке виден кусок кода на перле. Если в трояне не предусмотрен автоматический старт (прописываться в cron или rc.d глупо... У меня например они защищёны и о всех изменениях я узнаю сразу. Так же бесполезно менять index.html. Если надо подробности того как я это оргнанизовал - личка), то после перезагрузки сервера, троян перестанет работать и толку от этого трояна нет. Я неправильно выразился по поводу полного кода, мне нужен только тот кусок который кода котоорый отвечает за запуск и надо только для того, чтобы, если это возможно, превентивно закрыть брешь в системе.

P.S. По поводу списка брешей и троянов... Зная что распространяется можно попытаться найти как оно распространяется и, соответственно, закрыть возможность заражения.

Ссылка на комментарий
Поделиться на другие сайты

--- Статья, которую я процитировал - это вторая статья *на русском языке* в веблоге, посвященная этой теме:

http://www.viruslist.com/ru/weblog?weblogid=207758875

 

--- По поводу Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a - первый это вредоносный payload (рассылка спама), второй - его запускалка.

Как я понимаю, функционал внедрения в них не входит. Я кстати не исключаю, что запускалку просто прописывают в init-скрипты...

 

Лучше бы конечно, если бы откликнулся здесь сам автор статьи Сергей Голованов, т.к. у меня лично знания об этом зловреде сейчас из таких же публичных источников, какие доступны и вам.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sergoborin
      От sergoborin
      Добрый день!
       
      Не получалось вылечить HEUR:Trojan.Multi.GenBadur.genw, после перезагрузки он снова появлялся
      Удалил вручную, прошу проверить, не осталось ли ничего ещё каких-либо подозрительных файлов
      CollectionLog-2025.01.06-00.30.zip
    • E.K.
      От E.K.
      Всем привет, мальчики и девочки!
       
      Уже аж три недели нового 2024-го года прошли, а в "On-the-road-again" тишина какая-то и запустение.. Да, вот такая "се-ля-ви", однако. Времена категорически поменялись в другую сторону, и в начале года ветер путешествий дует уже не так энергично. И если когда-то раньше мне приходилось кувыркаться по миру этому аж с середины января, то где-то с 2019 года по причинам геополитическим отпали аж два важных зимних мероприятия - Экономический форум в Давосе и Мюнхенская конференция по безопасности, - о чём я уже весьма едко отчитывался вон тут.
       
      Если кратно, мне (и не только мне) на этих площадках сейчас не рады - да и лично самому нет никакого желания там светиться, поскольку (цитируя себя, любимого) - "Настоящий Мировой Экономический Форум ... превратился в форум геополитический, где с больших трибун сильные мира сего учат всех остальных [что нельзя "ковыряться пальцем в носу" (с)]. Всё, я больше туда не ездец, хотя и весьма полезная туса была". Именно что "была". Когда-то. Это я про Давос.
       
      А про Мюнхенскую Секюрити-Конференс высказался ещё жёстче: "... основная деятельность этой конференции - дать американцам продемонстрировать свою силу и цели, да прогнуть под них всех остальных. Неприятно каждый раз наблюдать как Америка держит Европу "за яйца". Причём держит крепко и демонстративно. Я в этом "гей-параде" больше участвовать не собираюсь" - а тем более сейчас, когда там полный, абсолютный зашквар... Да и ну это всё на ... куда подальше.
       
      Короче, сижу на ровной пятой точке в Москве, облизываюсь на запланированные на 1й квартал этого нового года путешествия... А их будет у меня! И достаточно разных. Хоть и не в совсем уж самые экзотические направления, где я пока ещё не появлялся, но всё равно будет не совсем скучно, а даже совсем наоборот - обещаю! Типа, оставайтесь на нашей волне
       
      // Хмм... перечитал и задумался. Одно из этих направлений сложно назвать "экзотикой" в смысле блаженства и расслабона... Но мне это же и не свойственно! Короче, будет и "экзотика". Но несколько жёсткая. Обещаю.
       
      Итак, по причинам этого январского "расслабона", по ходу отсутствия командировок и экзотически-туристических тем - и вдруг в начале января (на новогодних каникулах) я совершенно неожиданно обнаружил себя ... на Мальдивах! О как... А это забавно, ведь это совершенно не мой формат! Как так и почему? - ужаснулся я. "Ведь были ж схватки боевые, Да, говорят, еще какие!" (с) - а тут как, да и почему, однако?
       
      Ну, поскольку Мальдивы вошли в тему разговора - то вот и фоток вам тут немного отсыплю. А поскольку пляж-песок-лежаки это совсем пошло и банально, то есть там рядом с тем мальдивским островов песчаная коса, частично заросшая какими-то кустами - частично просто песок с крабами и птичками морскими. От основного острова она не слишком далеко - метров 200-300 идти по пояс или по грудь в воде - а потом шлёпать по колено глубиной. А там на косе песчаной, где цель нашего водохождения - вот так:

       
      Кустики зелёные - значит, эта часть песчаной косы более-менее стационарна.

       
      Птички разноцветного окраса пугливы, увы. От вида пришельцев разлетаются в разные стороны:

       
      "Жить захочешь - и не так раскорячишься" (с) "Особенности национальной охоты".

       
      Очевидно, какое-то растаманское местечко...

       
      Да, не! Просто сюда любопытных туристов на барбекюшки привозят.

       
      РомантИк, однако!

    • Milkuf
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
    • KL FC Bot
      От KL FC Bot
      Три из четырех организаций в мире используют гибридные облака, и три четверти из них называют свои проекты по миграции и обновлению ИТ успешными. Но что такое успех и как успешный ИТ-проект влияет на бизнес и возможности компании? Этим вопросом задались авторы исследования «Модернизация корпоративных приложений» и обобщили доступную информацию о том, как переход к облачной и контейнерной инфраструктуре повлиял на деятельность компаний, совершивших эту трансформацию.
      Экономические аргументы в пользу перехода получились весомые. В изученных организациях в среднем на 31% снизились операционные расходы на ИТ, а инфраструктурные затраты — на 45%, в том числе затраты на рутинное обслуживание уменьшаются на 52%. Что более важно — впервые за многие годы бизнесы смогли разгрузить свои ИТ-команды от задач по техподдержке старого кода в пользу новых разработок. В крупных организациях ИТ-службы тратят до 80% бюджета на поддержку legacy, и переход на современную разработку не только ее ускоряет, но и высвобождает дополнительные кадры для инноваций. Циклы обновлений ПО ускоряются в итоге на 65%, обеспечивая быструю реакцию на рыночные изменения и лучшее удовлетворение нужд пользователей.
      «Тремя китами» эффективности, которые отвечают за все эти радикальные улучшения, авторы называют переход на контейнерные и микросервисные архитектуры в облачной среде, а также автоматизированные сборочные конвейеры.
      Часть исследования посвящена вопросам информационной безопасности. Благодаря этому можно увидеть, какой вклад вносят различные инструменты ИБ в повышение эффективности ИТ-разработки и к каким показателям стоит стремиться в своей организации. Мы решили проанализировать основные принципы и инструменты и объяснить, как они реализованы в обновленной версии Kaspersky Cloud Workload Security.
      Автоматическое применение и отслеживание политик ИБ
      Ключевым вызовом для ИТ и ИБ является сохранение видимости и контроля над всеми ИТ-активами, и эта задача усложнилась с переходом на гибридные облачные инфраструктуры. Разнообразие активов и инструментов управления ими оборачивается для компании ростом расходов и затрат времени на менеджмент этого «зоопарка». Поэтому унификация управления, контроля соответствия (Compliance), создания и применения политик должна быть одной из приоритетных целей в проектах ИТ-трансформации. Если выбранный набор инструментов ИБ способен решать эту задачу в облачной инфраструктуре компании, службы ИТ и ИБ сэкономят 73% времени, затрачиваемого на менеджмент политик и достижение Security Compliance.
      Практическое воплощение этого принципа можно увидеть в новой версии Kaspersky Cloud Workload Security, решения, обеспечивающего комплексную защиту контейнерных инфраструктур, облачных серверов и виртуальных машин. Сразу несколько инструментов упрощают работу с политиками и дают администраторам централизованный обзор и управление всей инфраструктурой.
      Функция анализа безопасности оркестратора и его кластеров помогает быстро находить проблемы, структурируя их по типам проблем. Автоматическое профилирование контейнеров позволяет с минимальным участием людей улучшать политики безопасности, применяемые в инфраструктуре, а также находить аномально работающие контейнеры для детального анализа.
      Унифицированная облачная консоль Kaspersky Security для виртуальных и облачных сред дает общий обзор облачной или гибридной инфраструктуры и позволяет мгновенно обновлять политики для больших групп ИТ-активов или одновременно запускать на них задачи.
      Что касается виртуальных и физических серверов, то легкий агент, осуществляющий их защиту, выполняет несколько функций, связанных с Compliance и Security Posture, в автоматическом режиме: от автоматического патч-менеджмента и харденинга системы до детального протоколирования событий и применения ролевой системы управления доступом (RBAC).
       
      View the full article
    • KeshaKost
      От KeshaKost
      Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.
×
×
  • Создать...