Vlákno názorů k článku
Nový rootkit útočí na webové servery
od advanced beginner - Nový rootkit útočí je bombastický titulek, ale dohromady...
-
advanced beginner (neregistrovaný)
Nový rootkit útočí je bombastický titulek, ale dohromady nevíme nic.
Jak se ta věc dostane na můj server?
Je to vůbec něco nebezpečného, nebo jen jakási kuriozita, co se náhodou našla na jednom serveru?
Abych poznal, že je server nakažený, stačí se podívat do /etc/rc.local, jestli je tam "insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko"?
Když nepoužívám nginx, tak mě to nemusí zajímat?
-
Netolish (neregistrovaný)
Viz zprávička na abíčku http://www.abclinuxu.cz/zpravicky/analyza-linuxoveho-rootkitu-provadejiciho-iframe-injection
Tady jsou nějaké analýzy:
http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html
https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections
-
mpel (neregistrovaný)
To je na tom nejvic zarazejici. Media po vsech internetech rozhlasuji, ze "rootkit utoci", ale nikde neni napsano, jak se vlastne siri (lepe receno, ze se vlastne sam nesiri). Zepta se na to pokazde asi tak jeden clovek z cele diskuse.
Az budu mit v ruce kus kodu, co mi ten virus na serveru pusti, bude teprve o cem psat. Tohle ma vyznam maximalne pokud uz vas server nekdo cracknul drive a jen si nekam poznamenal pristupove udaje :-)
Uz si od vcerejska nepamatuju jak presne to funguje, ale myslim, ze to hookovalo i casti volani readdir(".../sound/") a read("/etc/rc.local"), takze podivat se tam jen tak z potencialne napadeneho jadra nepomuze. (mozna by pomohlo namountovat svazek pres NFS, ale to je jen moje neoverena hypoteza)
