С середины декабря 2008 (минимум) формируется неизвестный массивный ботнет. Назовем его «Кубик«. Троянятся не клиентские машины, а сервера на могучих каналах.
«Кубик» потому что в качестве основы проникновения используется некая уязвимость в RoundCube. Который, в свою очередь в открытом виде поставляется на сервера с панелью DirectAdmin.
Все проникновения однотипны. Эксплуатируя уязвимость, атакующий бот загружает на сервер перловый или бинарный скрипт в /tmp или /var/tmp. Оттуда скрипт выполняется (если нет опции монтирования noexec) и докачивает целый букет хакрских утилит.
В первую очередь, устанавливается и выполняется IRC-бот. Именно по этому я решил что формируется ботнет. Далее, если повезет с уязвимостью ядра 2.6.18-53 (или другим способом повышения привилегий), взломщик получает рута и устанавливает RootKit.Linux.Agent.v или подобную заразу.
Читать далее…
Теги: directadmin,rootkit,roundcube,ботнет,взлом,вирус,руткит,уязвимость,шелл
13.02.2009
Автор
admin |
Безопасность, Происшествия |
no comments
Если у вас стоит Linux, и вдруг ни с того ни с сего некоторые ключевые команды перестают работать:
# top
top: error while loading shared libraries: libncurses.so.4: cannot open shared object file: No such file or directory
То это АХТУНГ. Похоже вам впарили RootKit.
Вначале я конечно пытался правильно залинковать libncurses, пока не дошло что системный файл «top» а так же много других, были подменены.
А дело было так.
На сервер одного из моих клиентов по инициативе хостера был поставлен некий софт – «Veritas Netbackup«.
Спустя какое то время сервер крешнулся и после ребута начались чудеса. Команда «top» не работает, dmesg матерится на Hz и т.д. В остальном все вроде как работает. Покопавшись, с измулением обнаружил на сервере какую то версию RootKit. (ссылка в помощь – http://www.chkrootkit.org/).
Откуда на серваке взялся руткит, трудно было предположить. Левых сервисов взял за правило не держать. Но потом вспомнил что хостер ставил этот NetBackup и нашел в нем много уязвимостей.
При попытке почистить руткит по сети, процессы руткита отреагировали жестко и начали тушить мои процессы. Не долго думая, набрал команду «shutdown now» и отослал инструкции (с матюками) хостеру о загрузке с livecd.
Довольно много системных файлов было подменено и руткит довольно хорошо пролез в startup. По сему было принято решение о полном реинсталле системы.
Вывод: не стоит доверять софту хостера.
PS. Хостер довольно крупный и там хостится хз сколько серверов… И все потенциально затрояненые… Ужос нах.
Теги: exploit,linux,netbackup,rootkit,trojan
16.07.2008
Автор
admin |
Безопасность, Происшествия |
one comment
