Комментарии 23
Дайте подробное описание как это могут сделать, у меня началась паранойя!
+8
Подробно есть тут, но тут такое описание, которое я как гуманитарий переведу так, что у вас, помимо паранойи, эпилепсия начнется.
Но, кстати, там в статье слишком много всяких "Кажется, руткит использует", "Видимо, потом начинается", "Скорее всего, это происходит"… и прочее, видимо, со стопроцентной уверенностью пока что-то трудно сказать.
Но, кстати, там в статье слишком много всяких "Кажется, руткит использует", "Видимо, потом начинается", "Скорее всего, это происходит"… и прочее, видимо, со стопроцентной уверенностью пока что-то трудно сказать.
+6
Изучив принцип работы этого «руткита» можно констатировать, что для его запуска нужно скачать его к себе на сервер, дать ему права суперпользователя и запустить от root'а. Как и для большинства вирусов под Linux, могут возникнуть проблемы при его установке, поэтому стоит запастись терпением.
* К сожалению, ссылку на скачивание и howto по установке не нашел. Распространяться самостоятельно он не умеет, без прав рута не встанет.
* К сожалению, ссылку на скачивание и howto по установке не нашел. Распространяться самостоятельно он не умеет, без прав рута не встанет.
+14
ждём ебилдов (с)
+24
Читаем комменты и убеждаемся какой это злобный руткит, за исключением одного НО: ничего не описано как же руткит _попадает_ на целевую систему (конкретнее комментарии barefoot)
+11
В теории при атаке типа «человек-посередине» такое возможно и заражать сервер с сайтами не обязательно — пакетик изменить вон маршрутизатор может банальным NAT'ом, менять пакетики уровнями выше в принципе тоже никто не мешает.
с HTTPS начинаются ньюансы
с HTTPS начинаются ньюансы
+1
Ага — «нюансы». Мелкие такие, незначительные.
+5
Смею предположить, что если у Вас получится вставить сервер в канал доставки информации между хостинг-оператором и пользователями сайтов данного хостинга и делать такую подмену контента, HTTPS протокол будет не самой важной проблемой в данном случае.
-2
Если он не будет проблемой в этом случае, какого чёрта от вообще тогда нужен?
0
Самая важная проблема — внедриться в канал между конечным пользователем и сайтом, хоть это скрипты на поломанном сервере, хоть это прокси или еще какая гадость на клиентских ПК. Если происходит такое внедрение, то какой тип трафика будет изменяться, уже не столь важно — компрометация уже есть, а заметит ли её операционная система, брандмауер, антивирус, броузер или еще какое-то п/о, пользователь или администратор системы — это уже качество проникновения и уровень обслуживания системы — если оно низкое и уровень пользователя/администратора низкий, боюсь, что даже большой значок броузера о неверном(подменённом) сертификате не поможет и данные налево уйдут.
-1
Можно устроится админом в дата-центр. Не знаю, как там с защитой, но нутро подсказывает, что данные перехватить более, чем реально.
Ну а если вы, зайдя на палку, не обращаете внимание на всякого рода предупреждения, то уж извините — ССЗБ.
Ну а если вы, зайдя на палку, не обращаете внимание на всякого рода предупреждения, то уж извините — ССЗБ.
+1
Я работал не в одном ISP и видел не один ДЦ. Не поверите, но мне было совсем не до того, чтобы лазить по пользовательским сайтам, рыться в их каталогах и подменять данные.
Это слишком точечная атака должна быть. А так — у меня N-тысяч клиентов и энная туча пользовательских запросов, которые чаще всего где-то к полуночи заканчивала разгребать уже пришедшая ночная смена.
Ночные тикеты и запланированные акции для них тоже никто не отменял.
Хотя это я сознательный, некоторые админы за некоторую сумму… Хотя от таких случаев инсайда тоже есть методы. И это скорее исключение из правил.
Опять же, распределение ролей — в отличие от администратора сети, на уровне подмены пакетов я как админ хостинга мало что могу сделать, как минимум по тому что максимум куда я могу включиться — это в физический линк между сервером и коммутатором, а для этого надо знать vlan'ы, по которым бегает траффик и так далее…
Недавно рассказывалось на лекии про безопасность Azure — так там вообще просто — контейнер с оборудованием при уходе на определенную сумму мощности, в районе половины — снимался и уходил под пресс.
Так что перед тем как минусовать, стоит спросить у автора комментария, на основании чего он выдал свою точку зрения
Это слишком точечная атака должна быть. А так — у меня N-тысяч клиентов и энная туча пользовательских запросов, которые чаще всего где-то к полуночи заканчивала разгребать уже пришедшая ночная смена.
Ночные тикеты и запланированные акции для них тоже никто не отменял.
Хотя это я сознательный, некоторые админы за некоторую сумму… Хотя от таких случаев инсайда тоже есть методы. И это скорее исключение из правил.
Опять же, распределение ролей — в отличие от администратора сети, на уровне подмены пакетов я как админ хостинга мало что могу сделать, как минимум по тому что максимум куда я могу включиться — это в физический линк между сервером и коммутатором, а для этого надо знать vlan'ы, по которым бегает траффик и так далее…
Недавно рассказывалось на лекии про безопасность Azure — так там вообще просто — контейнер с оборудованием при уходе на определенную сумму мощности, в районе половины — снимался и уходил под пресс.
Так что перед тем как минусовать, стоит спросить у автора комментария, на основании чего он выдал свою точку зрения
+1
Мне всегда казалось, что руткит это софтинка, которая помогает оставаться незамеченым на взломнном сервере, типа скрытие лишних процессов, подмена файлов их размеров.
+2
Так и есть, не понимаю такой бурной реакции сообщества. Ведь основный риск по-прежнему заключается в угоне рута.
+1
А тупо подменить nginx не проще чем модуль для ядра колбастить?
+1
Если машина сломана, можно хоть nginx подменять, хоть модуль ядра, это уже не важно
+1
И при первом апдейте наш руткит превратится в тыкву.
0
О, так это еще они не знают, что таким же образом можно ELF-файл в процессе передачи с сервера в сеть инфицировать вирусом. Или в исходники свою строчку с backdoor-ом добавлять.
Офигеть, в этом рутките они даже поддержку chunked-encoding сделали и «Content-Encoding: gzip». Маньяки.
Офигеть, в этом рутките они даже поддержку chunked-encoding сделали и «Content-Encoding: gzip». Маньяки.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новый руткит против серверов на Linux