-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/16/2014 01:54 AM, Ondrej Mikle wrote:
Doporucuji napriklad analyzu Ebury backdooru: http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/
Wow,
to je docela sofistikovany... tady uz se asi neda pochybovat, ze tohle nebude prace nejakyho upocenyho nactiletyho nerda bez socialniho zivota.
No, vsak to uz jsme akceptovali vsichni, ze Internet je jedno velky bojiste a ze se ten boj kapku zprofesionalizoval, s tim jak se pres Internety zacly tocit realny penize.
Za posledni mesice/rok vidim opravdu raketovej narust hacknutejch VPS u nas, to driv nebejvalo (to mluvim jak pametnik, ale ono na Internetu ubiha cas trochu jinak, no :D)
Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim, jak se tomu vyhnout, krome prevence/osvety... Coz ale proste nefunguje, protoze tu svobodu mit svuj server maji i ti, co je to proste nezajima a jenom potrebujou, aby jim ten jejich eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na to jdou stylem "install&forget", coz u systemu vystavenych do internetu nejde, no.
Automatizovat vyhledavani zastaralejch verzi baliku napric kontejnerama stejne nezachrani deravy wordpressy nachazejici se na tech nejnestandardnejsich mistech, prohledavat FS kazdyho kontejneru takhle se neda. Nevim, moc se s tim asi delat neda no.
Nicmene to je celkem dost OT uz, ale kdyby te k tomu neco napadlo, urcite uvitam input :)
/snajpa
Nad tim kodem se nekdo zamyslel a stravil na tom pravdepodobne nezanedbatelny cas. Krome featur jako pouzivani obskurnich gcc atributu "__attribute__((constructor))" to sleduje, jestli je sitovka v promiskuitnim rezimu (a pak nic neposila) a zaroven exfiltruje hesla pres DNS (kdo filtruje DNS?).
Tady treba rkhunter nezabere, protoze to exploituje vlastnosti dynamickeho linkeru. Patchuje to instrukce v binarce a ma dokonce vlastni SIGSEGV handler, coz se moc casto nevidi.