▲ Zwiń komunikat

Wpłać dowolną kwotę na rozwój LinuxPortal.pl

Jeśli LinuxPortal.pl jest dla Ciebie ważnym miejscem w Internecie to prosimy Cię o wpłatę dowolnej kwoty na rozwój portalu.
Nawet 1 zł.
Bardzo dziękujemy!

Wybierz metodę wpłaty

Blog:

azhag

Blog azhaga

Polecasz?+5  
« wróć do listy
Wpis: 16 z 18
Następny Wpis NA LIŚCIE (W DÓŁ)
Rockbox 3.9.1 wydany azhag
7 osób twierdzi: warto przeczytać
Następny Wpis NA LIŚCIE (W GÓRĘ)
Aktualizacja Ruby on Rails w związku z luką XSS azhag
3 osoby twierdzą:: warto przeczytać
Blog: azhag : azhag
Wpis:

Ebury - nowy trojan SSH

Dodano: czwartek, 17 listopad 2011r.

Steinar Gunderson, deweloper Debiana, donosi o odkryciu — jak wszystko wskazuje — nowego trojana podszywającego się pod SSH: http://blog.sesse.net/blog/tech/2011-11-15-21-44_e/.../rojan.html Członek Projektu Debian od września tego roku odnotował kilka systemów zainfekowanych trojanem, rozlokowanych na różnych kontynentach, co może wskazywać na to, iż złośliwe oprogramowanie znajduje się w sprzedaży na czarnym rynku. Ponieważ trojan do tej pory prawdopodobnie nie został opisany, Gunderson postanowił nadać mu nazwę Ebury. Ebury zastępuje programy /usr/sbin/sshd, /usr/bin/ssh oraz /usr/bin/ssh-add własnymi wersjami (w niektórych, nie wszystkich, przypadkach zamienił również sumy kontrolne owych plików, aby oszukać debsums). Podmienione binarki wydają się być kompilowane specjalnie dla maszyny-celu, z różnymi kluczami szyfrującymi. Z programów trojana usunięto obsługę libwrap oraz libselinux, zatem ochrona dawana przez /etc/hosts.deny i podobne jest nieskuteczna. Do wszystkich trzech dodana za to została inna funkcja: zapisują one wszystkie wprowadzone hasła i przechowują je w pamięci współdzielonej. Objawia się to następująco w wyniku polecenia ipcs:

------ Segmenty pamięci dzielonej ----
klucz      id_shm     właściciel uprawn.    bajtów    podłączeń stan
0x0000cf39 98304      root       666        2097220   0
0x0000cd38 131073     root       666        2097220   0
Jak widać segmenty są do zapisu i odczytu dla każdego (prawidłowe uprawnienia to 600). Kolejnym znakiem rozpoznawczym są rozmiary — zależnie od architektury 2097220 lub 2097224 bajty. Zapisane hasła są wysyłane na zewnętrzny serwer w pakietach DNS (a właściwie czymś je przypominającym). Ponadto podmieniony sshd zawiera backdoory — pierwszy z nich pozwala na zalogowanie się bez podania hasła (fakt ten nie zostaje odnotowany w auth.log), drugi odszyfrowuje i wyświetla informacje zapisane w pamięci współdzielonej (jednocześnie usuwa je z niej). Steinar Gunderson nie wie w jaki sposób trojan się rozprzestrzenia — prawdopodobnie włamuje się przez SSH metodą siłową lub korzysta ze zgromadzonych na innych maszynach haseł. Gunderson przygotował prosty, oparty na heurystyce, detektor pozwalający wykryć trojana. Ponadto stara się on odszyfrować informacje zapisane w pamięci podręcznej. Można go pobrać z http://storage.sesse.net/ebury.tar.gz Wszystkim administratorom zaleca się sprawdzenie sum kontrolnych plików podmienianych przez trojana oraz sprawdzenie wyniku polecenia ipcs.
Udostępnij informacje o Wpisie w sieciach społecznościowych:
Polub LinuxPortal.pl:

Komentarze: 2

logo:
Aby dodać komentarz: zaloguj się ikona LinuxPortal.pl ikona Facebook.com ikona Google+
logo:
9 lat temu
Zanim pojawią się pierwsze komentarze \"ZOMG, ZOMG! Wirus na Linuksie! Nikt już nie jest bezpieczny, znikąd pomocy! Wszyscy zginiemy! Mit upadł z hukiem!\" pragnę przypomnieć, że jedyną grupą ludzi, która twierdziła, że GNU/Linux (i w ogóle wszelkie WiOO) jest całkowicie odporne na złośliwe oprogramowanie i takowe wcale tu nie występuje, są ludzie, którzy o tym systemie mają pojęcie bardzo mgliste.

Owszem -- nie jest całkiem odporny, owszem -- trojany, wirusy etc. się zdarzają. Należy jednak zwrócić uwagę na skalę zjawiska.

Tutaj niemal każdy przypadek doczekuje się własnej publikacji w prasie. Tymczasem na Windows bazy antywirusów uaktualniane są nawet po kilka razy dziennie*, zazwyczaj dodawanych jest kilka, kilkanaście a nawet i kilkadziesiąt nowych.

Podsumowując: całkowita beztroska reprezentowana przez pewne grupy użytkowników jest nie na miejscu, ale i nieomal apokaliptyczne wizje roztaczane przez oponentów nijak się mają do rzeczywistości. Wydarzenie może niecodzienne, ale nie aż tak niezwykle. Nie ma powodów do paniki.

___
*) moim ulubionym antywirusem jest ten używany przez znajomą (nazwy niestety nie pamiętam), który za każdym razem uroczym kobiecym głosem oznajmia coś w stylu \"baza wirusów programu XYZ została zaktualizowana\" -- zawsze wywołuje moje ciche parsknięcie :-)
Odpowiedz #174706
logo: m1s13k
9 lat temu
widać dzielnie walczysz o nagrodę :) powodzenia
Odpowiedz #174707
Przejdź na początek komentarzy

Wpisy z bloga/ TOP

Rockbox i Sandisk Sansa Fuze+ - recenzja
20 osób twierdzi: warto przeczytać
„Czysty internet” jako ACTA 2 (lub 3, lub 4)
19 osób twierdzi: warto przeczytać, a 1 , że nie
Dlaczego nie zamienię Rockboksa na nic innego?
19 osób twierdzi: warto przeczytać
Najczęściej popełniane w tekstach błędy
17 osób twierdzi: warto przeczytać, a 2 , że nie
Ebury - nowy trojan SSH
14 osób twierdzi: warto przeczytać
Wpisy z bloga więcej:
Wpis: 16 z 18
W związku z wejściem w życie 25 maja 2018 roku nowego Rozporządzenia o Ochronie Danych Osobowych znanym jako "RODO" pragniemy poinformować Cię,
w jaki sposób przetwarzane są dane osobowe pozostawiane przez Ciebie podczas korzystania z LinuxPortal.pl.
Zapoznaj się z Polityką prywatności.

Klikając „Zamknij”, zamykasz ten komunikat i wyrażasz zgodę na przetwarzanie tych danych, w tym w plikach cookies, przez LinuxPortal.pl sp. z o.o. w celu realizacji usług zgodnie z Regulaminem.
Zamknij »