Pupkur Опубликовано 27 мая, 2009 Опубликовано 27 мая, 2009 (изменено) http://www.securitylab.ru/news/379709.php?pagen=10#comment Здравствуйте. Можно ли увидеть полный листинг кода троянов что-бы заделать дыру с помощью которой они прописываются в автозапуск? И ещё вопрос. Участвуете ли Вы в такого рода(поиск новых троянов\вирусов) исследованиях? Если участвуете, то в качестве кого? Изменено 27 мая, 2009 пользователем Pupkur
E.K. Опубликовано 27 мая, 2009 Опубликовано 27 мая, 2009 http://www.securitylab.ru/news/379709.php?pagen=10#commentЗдравствуйте. Можно ли увидеть полный листинг кода троянов что-бы заделать дыру с помощью которой они прописываются в автозапуск? И ещё вопрос. Участвуете ли Вы в такого рода(поиск новых троянов\вирусов) исследованиях? Если участвуете, то в качестве кого? Перечитал два раза. Не очень понял вопрос.... "Листинг" - это вас прям на Ассемблере интересно? Или как? Я в Юниксах на прикладном и системном уровне не очень силен... Я с Юниксов на IBM-PC окончательно пересел в 1988-м году...
hinote Опубликовано 27 мая, 2009 Опубликовано 27 мая, 2009 (изменено) А я с позволения, как юниксоид, скажу, что вопрос топик-стартера некорректен. На некорректный вопрос нельзя дать ответ. Что такое автозапуск, про который вы говорите - для меня например загадка. Если вы почитаете ту оригинальную статью на веблоге viruslist, на которую ссылается эта публикация в securitylab, и следующую за ней статью на ту же тему, то вы увидите, что ни о каких троянах для Linux речи не идет, а вредоносный код попадает на зараженные сервера, как правило по следующим причинам (цитирую веблог): " 1. кража пароля от FTP, с помощью вредоносных программ; 2. перебор паролей от FTP, SSH по словарю; 3. проникновение через phpbb. Во всех трёх случаях загрузка спам-бота сопровождалась изменением HTML-файлов и вставкой в них iframe’ов на зараженные сайты." Т.е. речь идет об элементарной безалаберности и пренебрежении основными принципами компьютерной безопасности - такими как стойкие пароли, хранение их в надежном месте... Т.е. закрывать в таких случаях какие то дыры не нужно. "Листинг кода" троянов, если речь идет именно о самом содержимом описанных вредоносных файлов, вам никто не даст, т.к. распространение вредоносного кода является уголовным преступлением. Если же речь идет просто о *списке* известных на настоящее время зловредов для Linux, то этот список также не даст вам никакой информации для закрытия каких-либо дыр в сервисах и системе в целом. Изменено 27 мая, 2009 пользователем hinote 1
Pupkur Опубликовано 28 мая, 2009 Автор Опубликовано 28 мая, 2009 На Security Lab написано следующее "Мифы о полной защищенности *nix-систем постепенно уходят в прошлое. Недавним примером уязвимости *nix-систем стали обнаруженные Лабораторией Касперского трояны Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. " После этого прочёл http://www.viruslist.com/en/weblog статью здесь. Да, действительно, трояны не упоминаются, а упоминается "malicious programs". Получается Security Lab ввёл меня в заблуждение. Оригинальную статью прочёл трижды и не увидел информацию которую Вы, hinote, процитировали(о распространении, хотя мне это и не важно, это я знал и ранее). На скриншотах выложеных по ссылке виден кусок кода на перле. Если в трояне не предусмотрен автоматический старт (прописываться в cron или rc.d глупо... У меня например они защищёны и о всех изменениях я узнаю сразу. Так же бесполезно менять index.html. Если надо подробности того как я это оргнанизовал - личка), то после перезагрузки сервера, троян перестанет работать и толку от этого трояна нет. Я неправильно выразился по поводу полного кода, мне нужен только тот кусок который кода котоорый отвечает за запуск и надо только для того, чтобы, если это возможно, превентивно закрыть брешь в системе. P.S. По поводу списка брешей и троянов... Зная что распространяется можно попытаться найти как оно распространяется и, соответственно, закрыть возможность заражения.
hinote Опубликовано 28 мая, 2009 Опубликовано 28 мая, 2009 --- Статья, которую я процитировал - это вторая статья *на русском языке* в веблоге, посвященная этой теме: http://www.viruslist.com/ru/weblog?weblogid=207758875 --- По поводу Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a - первый это вредоносный payload (рассылка спама), второй - его запускалка. Как я понимаю, функционал внедрения в них не входит. Я кстати не исключаю, что запускалку просто прописывают в init-скрипты... Лучше бы конечно, если бы откликнулся здесь сам автор статьи Сергей Голованов, т.к. у меня лично знания об этом зловреде сейчас из таких же публичных источников, какие доступны и вам.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти