Tedy ta detekce architektury v decrypt.php je dělaná dost strašně, ale možná to znamená, že na něčem jiném než platformě Intel je uživatel chráněn by obscurity :-)
[ten linkovaný článek se moc nezmiňuje o tom, jak vypadá kód toho malware]
Bohuzel obe tyto informace jsou dostatecne anonymizovane, URL je ve skutecnosti pouze pristup k "hidden service" v siti TOR pomoci verejne brany "onion.to", neni pomoci ni mozne jednoduse zjistit realne umisteni serveru. Stejne tak bitcoinovy ucet neni mozne jednoduse propojit s konkretni osobou nebo pocitacem.
Nemám s tím zkušenost tak mě zajímá ochrana.
Co data na jiných partišnách? Ty to zacryptuje taky?
Ten bod 5 "/" .... to znamená že to prochází všechny adresáře?
Způsob šíření : přes webové stránky?
Co třeba truecryptový container s nějakou šílenou koncovkou např. *.fds, je v bezpečí?
Jiné partitions, které nejsou namountované, nenajde a nechá být.
Ano, poté co projde "zajímavější adresáře" se pustí do všech adresářů. Nejspíš jde o pojistku, aby aspoň něco "pro uživatele cenného" bylo zašifrovano dřív než si někdo všimne podivné aktivity a šifrovaní zastaví. Tímto způsobem se pak může dostat i na namountovaná sdílená úložiště apod.
Z nám dostupných dat (dešifrovací balíček) způsob šíření zjistit nejde, podle jiných zdrojů se tento malware šíří zneužitím zranitelnosti CMS Magento.
Analyzovaná verze nechá všechny přípony mimo uvedený seznam být, obecně na to spoléhat nelze.
To bude fungovat, dokud bude tenhle software psaný lamami. Jakmile někdo napíše modul pro transparentní šifrování, které bude probíhat na pozadí třeba půl roku, tak jsi v háji. Přes FUSE by to ani nemělo být nic zas tak moc těžkého.
Nehledě tedy na to, že i kdybys data náhodou obnovil, tak jsi stejně přišel o aktuální, což může být katastrofa sama o sobě.
omyl, nejjistější způsob je mít řádného admina a nepoužívat tyhle divné CMS.
1. webserver nikdy nesmí mít přístup jinám než k aplikaci (ani ke svým configům)
2. webserver a ani aplikace sama nesmí mít právo se přepsat (ideálně jí mít mountlou na read-only fs)
3. všechna místa, kam aplikace zapisuje musí být samostatně s řádnými právy (to bohužel je občas s CMS obrovský problém, když mají přepis vlastních souborů jako jednu z funkcí) a ideálně na copy-on-write fs
4. nutností je mít aplikaci a datové složky nad noexec fs
5. appArmor či jiné "chrániče" jsou více než vhodné, můžete s nimi přesně vymezit zdroje a příkazy, které aplikace a webserver může dělat
Správně nastavený server totiž nikdy nedovolí ani samotné aplikaci, aby se samovolně zničila nebo mohla kompromitovat systém. Smutné je, už připravené obrazy s apachem a wordpressem jsou k pláči (zdravím český oblíbený hosting).
Zdravím,
tohle jenom potvrzuje dávno známou věc, že i linux je napadnutelný (stejně jako všechny ostatní systémy).
Pokud je správce blbec, který na bezpečnost kašle nebo bezpečnost "zajistí" instalací linuxu, tak to dopadne přesně tímto způsobem.
Těchto "odborníků" je bohužel více než dost.
Už jsem viděl i případy kdy podobný odborník "zabezpečil" firemní server tím, že ho přeinstalovat na linux. Bohužel v kvalitě odpovídající danému odborníkovi. Firewall připouštějící prakticky vše, primitivní root heslo, open relay mailserver a squid, apache běžící pod rootem a další podobné chuťovky.
P.S.: Dotyčná firma už o linuxu nechce ani slyšet. Nijak se jim nedivím.
Budete se možná divit, ale tohle chápu. Jde mi jen o to, že se v rámci závislostí balíků nainstaluje kdejaký brak (byť je situace na linuxu nestovnatelně lepší než na Windows), takže by mě zajímalo, nakolik je tento děravý software unikátní (= pokud ho explicitně nenainstaluji, tak ho v počítači nemám), nebo zda může být, přes nějaké knihovny např., vázán i na jiné programy.
Na CMS s největší pravděpodobností žádný jiný software záviset nebude, je to komplexní aplikace, která se naopak skládá z mnoha částí a knihoven. Navíc by vám těžko CMS běžel bez vašeho vědomí, obvykle je nutné jej alespoň minimálně nakonfigurovat.
Unikátní ale Magento určitě není, CMS systémů existuje spousta, a spousta z nich má bezpečnostní díry (proslulé jsou tím CMS systémy napsané v PHP, které z nepochopitelných důvodů běžně používají konstrukce, které jsou bezpečnostním dírám velmi náchylné).