[vpsFree.cz: community-list] Zmeny inode numbers u souboru na FS
Pavel Snajdr
snajpa at snajpa.net
Sun Mar 16 02:34:07 CET 2014
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 03/16/2014 01:54 AM, Ondrej Mikle wrote:
> Doporucuji napriklad analyzu Ebury backdooru:
> http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/
Wow,
>
to je docela sofistikovany... tady uz se asi neda pochybovat, ze
tohle nebude prace nejakyho upocenyho nactiletyho nerda bez socialniho
zivota.
No, vsak to uz jsme akceptovali vsichni, ze Internet je jedno velky
bojiste a ze se ten boj kapku zprofesionalizoval, s tim jak se pres
Internety zacly tocit realny penize.
Za posledni mesice/rok vidim opravdu raketovej narust hacknutejch VPS
u nas, to driv nebejvalo (to mluvim jak pametnik, ale ono na Internetu
ubiha cas trochu jinak, no :D)
Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim, jak se
tomu vyhnout, krome prevence/osvety...
Coz ale proste nefunguje, protoze tu svobodu mit svuj server maji i
ti, co je to proste nezajima a jenom potrebujou, aby jim ten jejich
eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na to jdou
stylem "install&forget", coz u systemu vystavenych do internetu nejde, no.
Automatizovat vyhledavani zastaralejch verzi baliku napric
kontejnerama stejne nezachrani deravy wordpressy nachazejici se na
tech nejnestandardnejsich mistech, prohledavat FS kazdyho kontejneru
takhle se neda. Nevim, moc se s tim asi delat neda no.
Nicmene to je celkem dost OT uz, ale kdyby te k tomu neco napadlo,
urcite uvitam input :)
/snajpa
>
> Nad tim kodem se nekdo zamyslel a stravil na tom pravdepodobne
> nezanedbatelny cas. Krome featur jako pouzivani obskurnich gcc
> atributu "__attribute__((constructor))" to sleduje, jestli je
> sitovka v promiskuitnim rezimu (a pak nic neposila) a zaroven
> exfiltruje hesla pres DNS (kdo filtruje DNS?).
>
> Tady treba rkhunter nezabere, protoze to exploituje vlastnosti
> dynamickeho linkeru. Patchuje to instrukce v binarce a ma dokonce
> vlastni SIGSEGV handler, coz se moc casto nevidi.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlMk/4wACgkQMBKdi9lkZ6rokQD9HVwiIrklbBcNflLFbmdgrng8
LxZl2Ye5v3ca67S2LnABAKfy1tO3exfqkSV2Nl+pN4NV6ofEtadBM2nfjxik/E2u
=hlEq
-----END PGP SIGNATURE-----
More information about the Community-list
mailing list