Комментарии 23
Дайте подробное описание как это могут сделать, у меня началась паранойя!
Подробно есть тут, но тут такое описание, которое я как гуманитарий переведу так, что у вас, помимо паранойи, эпилепсия начнется.
Но, кстати, там в статье слишком много всяких "Кажется, руткит использует", "Видимо, потом начинается", "Скорее всего, это происходит"… и прочее, видимо, со стопроцентной уверенностью пока что-то трудно сказать.
Но, кстати, там в статье слишком много всяких "Кажется, руткит использует", "Видимо, потом начинается", "Скорее всего, это происходит"… и прочее, видимо, со стопроцентной уверенностью пока что-то трудно сказать.
Изучив принцип работы этого «руткита» можно констатировать, что для его запуска нужно скачать его к себе на сервер, дать ему права суперпользователя и запустить от root'а. Как и для большинства вирусов под Linux, могут возникнуть проблемы при его установке, поэтому стоит запастись терпением.
* К сожалению, ссылку на скачивание и howto по установке не нашел. Распространяться самостоятельно он не умеет, без прав рута не встанет.
* К сожалению, ссылку на скачивание и howto по установке не нашел. Распространяться самостоятельно он не умеет, без прав рута не встанет.
ждём ебилдов (с)
Читаем комменты и убеждаемся какой это злобный руткит, за исключением одного НО: ничего не описано как же руткит _попадает_ на целевую систему (конкретнее комментарии barefoot)
В теории при атаке типа «человек-посередине» такое возможно и заражать сервер с сайтами не обязательно — пакетик изменить вон маршрутизатор может банальным NAT'ом, менять пакетики уровнями выше в принципе тоже никто не мешает.
с HTTPS начинаются ньюансы
с HTTPS начинаются ньюансы
Ага — «нюансы». Мелкие такие, незначительные.
Смею предположить, что если у Вас получится вставить сервер в канал доставки информации между хостинг-оператором и пользователями сайтов данного хостинга и делать такую подмену контента, HTTPS протокол будет не самой важной проблемой в данном случае.
Если он не будет проблемой в этом случае, какого чёрта от вообще тогда нужен?
Самая важная проблема — внедриться в канал между конечным пользователем и сайтом, хоть это скрипты на поломанном сервере, хоть это прокси или еще какая гадость на клиентских ПК. Если происходит такое внедрение, то какой тип трафика будет изменяться, уже не столь важно — компрометация уже есть, а заметит ли её операционная система, брандмауер, антивирус, броузер или еще какое-то п/о, пользователь или администратор системы — это уже качество проникновения и уровень обслуживания системы — если оно низкое и уровень пользователя/администратора низкий, боюсь, что даже большой значок броузера о неверном(подменённом) сертификате не поможет и данные налево уйдут.
Можно устроится админом в дата-центр. Не знаю, как там с защитой, но нутро подсказывает, что данные перехватить более, чем реально.
Ну а если вы, зайдя на палку, не обращаете внимание на всякого рода предупреждения, то уж извините — ССЗБ.
Ну а если вы, зайдя на палку, не обращаете внимание на всякого рода предупреждения, то уж извините — ССЗБ.
Я работал не в одном ISP и видел не один ДЦ. Не поверите, но мне было совсем не до того, чтобы лазить по пользовательским сайтам, рыться в их каталогах и подменять данные.
Это слишком точечная атака должна быть. А так — у меня N-тысяч клиентов и энная туча пользовательских запросов, которые чаще всего где-то к полуночи заканчивала разгребать уже пришедшая ночная смена.
Ночные тикеты и запланированные акции для них тоже никто не отменял.
Хотя это я сознательный, некоторые админы за некоторую сумму… Хотя от таких случаев инсайда тоже есть методы. И это скорее исключение из правил.
Опять же, распределение ролей — в отличие от администратора сети, на уровне подмены пакетов я как админ хостинга мало что могу сделать, как минимум по тому что максимум куда я могу включиться — это в физический линк между сервером и коммутатором, а для этого надо знать vlan'ы, по которым бегает траффик и так далее…
Недавно рассказывалось на лекии про безопасность Azure — так там вообще просто — контейнер с оборудованием при уходе на определенную сумму мощности, в районе половины — снимался и уходил под пресс.
Так что перед тем как минусовать, стоит спросить у автора комментария, на основании чего он выдал свою точку зрения
Это слишком точечная атака должна быть. А так — у меня N-тысяч клиентов и энная туча пользовательских запросов, которые чаще всего где-то к полуночи заканчивала разгребать уже пришедшая ночная смена.
Ночные тикеты и запланированные акции для них тоже никто не отменял.
Хотя это я сознательный, некоторые админы за некоторую сумму… Хотя от таких случаев инсайда тоже есть методы. И это скорее исключение из правил.
Опять же, распределение ролей — в отличие от администратора сети, на уровне подмены пакетов я как админ хостинга мало что могу сделать, как минимум по тому что максимум куда я могу включиться — это в физический линк между сервером и коммутатором, а для этого надо знать vlan'ы, по которым бегает траффик и так далее…
Недавно рассказывалось на лекии про безопасность Azure — так там вообще просто — контейнер с оборудованием при уходе на определенную сумму мощности, в районе половины — снимался и уходил под пресс.
Так что перед тем как минусовать, стоит спросить у автора комментария, на основании чего он выдал свою точку зрения
Мне всегда казалось, что руткит это софтинка, которая помогает оставаться незамеченым на взломнном сервере, типа скрытие лишних процессов, подмена файлов их размеров.
А тупо подменить nginx не проще чем модуль для ядра колбастить?
О, так это еще они не знают, что таким же образом можно ELF-файл в процессе передачи с сервера в сеть инфицировать вирусом. Или в исходники свою строчку с backdoor-ом добавлять.
Офигеть, в этом рутките они даже поддержку chunked-encoding сделали и «Content-Encoding: gzip». Маньяки.
Офигеть, в этом рутките они даже поддержку chunked-encoding сделали и «Content-Encoding: gzip». Маньяки.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новый руткит против серверов на Linux