Re: Linuxos webszerverekbõl álló botnetet fedeztek fel

Re: Linuxos webszerverekbõl álló botnetet fedeztek fel Értékeld a témát:

#1 HWSW

HWSW

Csoport: Stábtag
Hozzászólások: 4.651
Csatlakozott: 2009. márc. 17.

Elküldve: 2009. 09. 15. 14:20

Legitim Linux webszerverekbõl álló zombihálózat fertõz, állítja Denis Sinegubko szoftverfejlesztõ blogján. Javasolt a linuxos gépek ellenõrzése.
http://www.hwsw.hu/h...ver-botnet.html' target='_blank'>http://www.hwsw.hu/h...ver-botnet.html

${lang:go_to_top}$
Tetejére of the page up there ^

#2 gedezoli

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 20
Csatlakozott: 2009. máj. 11.

Elküldve: 2009. 09. 15. 14:20

Itt mintha azért kevernének pár dolgot... Iframe beszúrás az OK, ez létezik széles körben. DE! A weboldalak hozzáféréseit általában tárolt total commander-ekbõl lopják, majd 1 napon belül pár perc alatt több tucat hostról kapcsolódnak be, és az index*.* fájlokba szúrják be. CMS rendszereknél többnyire rosszul, rossz helyre illesztik be és a php fordító hibára fut miatta, így a továbbfertõzés meghiúsul. A beillesztett forrásnak is 3 verziója legalább létezik. Az egyik ilyen a normál HTML 1x1 pixeles iframe-t szúr be és eddig .in, .ru, .cn TLD-s domainekre mutattak. A következõ lépcsõfokon a javascriptes olvasható formátumú verziója állt, majd felbukkant egy eval() -os js-es változat is. A szerver oldalon is több fajta trójai volt megtalálható, az elsõket a NOD megfogta már weboldal letöltésekor, de volt olyan verzió, amit a NOD lazán benyelt, és csak a lokális fertõzést tudta megállítani, de az adatlopást nem.
Az alap iframe-mel "dúsított" oldalak csak a terjesztésben szerepelnek, a trójaik lelõhelye pedig valószínû a cikk szerint említett fertõzött gépek. A cikkben is említett dyndns-ek nem okvetlen kell hogy mutassanak szerverekre, lehet hogy közvetlenül internetre kötött egyszerû gépek (nat-olást végzõ adsl routerek nélkül), amikre sikerült normálisan telepednie a fertõzésnek.

${lang:go_to_top}$
Tetejére of the page up there ^

#3 Chronos.hun

Csoport: Fórumtag
Hozzászólások: 309
Csatlakozott: 2009. júl. 01.

Elküldve: 2009. 09. 15. 16:19

"Javasolt a linuxos gépek ellenõrzése." - Höp. Azért ne essünk túlzásokba.

${lang:go_to_top}$
Tetejére of the page up there ^

#4 Szabcsi

félping

Csoport: Fórumtag
Hozzászólások: 6.573
Csatlakozott: 2001. jan. 02.

Elküldve: 2009. 09. 15. 16:32

Idézet: Chronos.hun - Dátum: 2009. szept. 15., kedd - 17:19

"Javasolt a linuxos gépek ellenõrzése." - Höp. Azért ne essünk túlzásokba.

Ja, ha meg esetleg találunk valamit akkor forduljunk el szemérmesen, mint ha ott se lenne...

"A gugliban rákeresve porcos hal is és emlõs is."/"Megoldás: keress rá a hal.dll fájlra, és töröld ki, majd indítsd újra a gépedet. Utána jó lesz!"/"mutasd meg a gyakorlatban ezt a technológiát és esküszöm dollármilliárdost csinálok belõled ! "/"Rakjunk egy jo kib@szottnagy KERESS gombot a kepernyo kozepere es csumi"

${lang:go_to_top}$
Tetejére of the page up there ^

#5 bakagaijin

Csoport: Alkalmi fórumtag
Hozzászólások: 365
Csatlakozott: 2009. júl. 06.

Elküldve: 2009. 09. 15. 20:13

lsof -i :8080
vagy mire gondoltak?

Egyébként mi az hogy ftp-hez root belépõ? ftpd-k többsége be sem enged root-ként...

${lang:go_to_top}$
Tetejére of the page up there ^

#6 Jahno

vérképkeretezés occsón

Csoport: Fórumtag
Hozzászólások: 47.097
Csatlakozott: 2001. jan. 15.

Elküldve: 2009. 09. 15. 20:25

"melyek kivétel nélkül legitim weboldalakat kiszolgáló linuxos szerverek. A vizsgált szerverek Apache webszerver szoftvert futtattak a 80-as porton, emellett azonban a 8080-as porton a pehelykönnyû nginx webszerver figyelt, vagyis a támadók sikeresen telepítették azt a megtámadott gépre."

Ezdehülye. Honnan tudja ezer százalékra, hogy legális tartalmat szolgál ki a webszerver? Vagy ha csak ugródeszkának használja, a beágyazott tartaomban is van beágyazott tartalom?

Különben meg Jahno ne szórakozz, ez nem az a topic.