Azért 10000 webszervert újrainstallálni nem kis feladat.

--==<< ...csütörtökön a lényeg, hogy egyet alszom és péntek! >>==--

Nyilván nem mind ugyanahhoz a szervezethez tartozik, a támadás viszont felhívja a figyelmet arra, hogy a humán faktor továbbra is a leggyengébb pontja az IT-security-nek.

https://www.coreinfinity.tech

Nyilván, de egy webszerveren sem csak egy weboldal van álltalában.
Szóval lesz vele meló.
Egyébbként meg valóban, itt sem a linux-al volt a probléma.

--==<< ...csütörtökön a lényeg, hogy egyet alszom és péntek! >>==--

"... mivel a támadók nem a Linux valamely sebezhetőségét kihasználva jutottak be a rendszerekbe, hanem lopott jelszavak segítségével, a hibás konfigurációk és az alacsony szintű biztonsági előírások kihasználásával."

Öröm az ürömben. Akkor az otthonit nem igazán kell átvizslatni.

Anulu?

[ Szerkesztve ]

tely, baly, fojó, mennyél, mingyárt, telyföl, tolyás, malyd, kapú, egyenlőre, ejsd, jáccani, ahoz, fúj, hüje, muszály, alat, álok, lasan, fojtatás, ál, fontós, költsön, eggyüt, lyob (jobb?), mek, mongyak, milyért - !!! Tanúlyunk már meghejjessen irni... !!!

Csak a lényeg maradt ki a cikkből, hogy hogyan lehet ellenőrízni a fertőzöttséget. Így:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Forrás:
http://blog.eset.ie/2014/03/18/operation-windigo-malware-used-to-attack-over-500000-computers-daily-after-25000-unix-servers-hijacked-by-backdoor-trojan/

"Seems like humanity needs war and famine to correct itself."

Hat aki publikus webszerverre barmi mast tesz, az meg is erdemli.

Szerintem úgy értette, hogy több weboldal van egy szerveren, és annak esetleges egyéni beállításai, adatbázisok, stb..

Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html

,,Egy olyan, mai is aktív kártékony kódra találtak rá biztonsági szakemberek, mely nem elég hatékonyan védett, Linuxot, illetve UNIX-ot futtató gépeket vette célba."

Helyesen:

Olyan, mai is aktív kártékony kódra találtak rá biztonsági szakemberek, mely a nem elég hatékonyan védett, Linuxot, illetve UNIX-ot futtató gépeket vette célba.

VAGY:

Olyan, mai is aktív kártékony kódra találtak rá biztonsági szakemberek, mely a nem elég hatékonyan védett, Linuxot, illetve UNIX-ot futtató gépeket vett célba.

Az a lényeg, hogy ne keverd a kettőt!

A második verzióba nem kell az "a".

Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html

Jó sallang egy cikk lett. Még véletlenül sem az jön le belőle, hogy az elbaltázott módon beállított szerverekkel gond lehet (ezt eddig is tudta mindenki), hanem az, hogy baj van a Linuxszal.

Alcohol & calculus don't mix. Never drink & derive.

Nem vagyok Linux guru ( sot kifejezetten a masik taborba sorolom magam ) megis elsore megertettem, hogy a hanyagsag miatt dontottek be ennyi gepet.

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

a humán faktor továbbra is a leggyengébb pontja

Ez igaz, de az egész információtechnológia emberektől származik és ehhez kapcsolódóan a programozás és a hardverek előállítása is. Vajon létezik olyan tökéletes munka, amelyben nem lehet kárt okozni?

Az anyatermészetben is léteznek "kártevők", betegségek, külső hatásra elrontott biológiai "programok", amelyek nagy pusztítást okoznak.

Lehet, hogy tul erzekeny vagy. Mondom en pont a masik oldalon vagyok es egy pillanatig sem gondoltam volna hogy na tessek hulye pingvinesek hol a biztonsag? A hulyektol minden rendszert vedeni kell.

Sajat pelda cegen belul:

Szigoritottak a belepokartyak hasznalatat mert a lustabbak nem akartak ideiglenes belepo kartyak igenylesekor a formok kitoltesevel vacakolni es a sajat kartyajukkal engedtek be masokat ( oda vissza adogatas az atjarokon stb )

Most mar nem lehet ilyet jatszani veluk mert aki bent van hiaba adja at a kartyat ahhoz ki kell vele menni, hogy megint bemehess. Akinel meg odavissza maszkalas van tovabbra is azt megnezik a logban es visszanezik kameran mit csinalt. A userek ha lustasagrol van szo rendkivul talalekonyak...

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Az i sem

Olyan, mai is aktív -> Olyan, ma is aktív

Még az is lehet, hogy az ESET írta a trójait, csak most 2,5 év után bevallotta, hogy legyen egy kis marketing

[ Szerkesztve ]

"mivel a támadók nem a Linux valamely sebezhetőségét kihasználva jutottak be a rendszerekbe, hanem lopott jelszavak segítségével, a hibás konfigurációk és az alacsony szintű biztonsági előírások kihasználásával."
Nekem ebből a mondatból az derül ki, hogy a felhasználók mellett a rendszergazdák legalább annyira hibásak voltak, sőt.

Ki állította meg az órát? Néha az az érzésem, hogy Magyarországot is Kínában gyártották.

Azon csodálkozom, hogy évekig nem tűnt fel ez a kártevő senkinek

Windowsos szervere van?
Maga hülye!

Mint ahogy több tucat másik sem: Stuxnet, Duqu, Red October stb.

https://www.coreinfinity.tech

Egy nagy halon a rendszergazda is felhasznalo... ( es ha lehet neha meg lustabb es ezert veszelyesebb is mint par user )

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Ne inditsunk flame-et...
Van amire a Linux jobb van amire a Windows, feladata valogatja.

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Mire jo a win a jatekon kivul?

Serverekrol beszelunk nem desktop gepekrol.

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

ott a pont! végre, hogy valaki észrevette. persze javítva még nincs.
Csak azt nem értem, hogy lehet ellopni valakinek a jelszavát és azt, mint biztonsági rést felhasználni. Laikus vagyok, tudom, de ha esetleg én hülye vagyok és mégis kiadom a user jelszavamat, még semmit nem tudok tenni a webszerverrel, hacsak nem root jelszót loptak ki. ez meg a sysadm hibája szvsz.

"Akula Sub, ready for the deep!"

Ez egy kicsit olyan, mint amikor azt írták, hogy bizonyos tárgyú levelekben vírus van és nem szabad megnyitni. Eredetileg "ssh -G"-re hibaüzenetet kell kapni, mert nincs ilyen opció. De ha az eredeti ssh-t felül tudta írni a kártevő, akkor bármikor újból felül lehet írni egy olyan verzióval, ami szintén hibaüzenetet ad "ssh -G"-re.

Ki állította meg az órát? Néha az az érzésem, hogy Magyarországot is Kínában gyártották.

Nekem az sem világos, hogy otthoni gépet miként fertőzhet meg ilyen cucc? Vannak fertőzött csomagok, amiket frissítéskor leszed, vagy mi?

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

nem ez önmagában, ahogy a leírásban is szerepel - hanem úgy, hogy átirányítja a felhasználókat fertőzött weboldalakra, ahonnan települ egy másik - feltehetően szintén a támadók által készített - malware

"fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter

Gondolom ezt nekem szántad válasznak. Jó 0 tartalommal, nem ötleteket vártam, mert nem az érdekel. Linux userként leginkább az a kérdés, hogy a hetente érkező frissítésekkel, vagy hozzáadott tárolókból is lehet-e ilyet összeszedni, vagy mire alapozzák, h home userek gépei is fertőzöttek? Mert linuxon nem szokás a next-next telepítés, mittomén flash játékos oldalból vagy ilyesmiből tudna települni? Fura lenne.

dajkopali: OK, érthetőbb már, de itt a telepítés azért nem olyan egyszerű, gondolom észrevettem volna, ha netezés közben telepíteni akar valamit... vagy van valami titkos silent mód, amit az NSA belehegesztett, mert akkor máris szedem le a é-koreai linuxot. Az biztosan vanilla. ...vagy mehet vissza a buguntu 8.04, akkor ilyen még nem volt.

[ Szerkesztve ]

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Ha valamiben van egy privilege escalation hiba, akkor nem fogod látni a telepítést és nem fog emelt szintű jogosultságok miatt jelszót kérni. Ilyen lehet pl. a xorg.

https://www.coreinfinity.tech

Még jó, hogy 1 hónapja leírtam, amit ESET-ék is megállapítottak.

"...We conclude that password-authentication on servers should be a thing of the past..."

[ Szerkesztve ]

https://www.coreinfinity.tech

Most akkor kell félni vagy nem? Laikusként kérdezem, mert én nem fogok szervert karbantartani, de a céges notit (amin Win7 van) tudom használni egy Live Ubuntus Pendrive-val. Van egy BIOS authorization, ahol passwd-vel be lehet állítani, hogy a HDD-t ne lássa és akkor a flashről bootol. Ezidáig nyugodt voltam, de ha már a Linux is gáz. Nekem csak netezésre, fácséra, emailek nézegetése, skypera volt szükségem a notin. De ezek után hogyan lehet megbízni egy Ubuntuban ami lehúzza a frissítő package-t, kér egy jelszót és jónapot

"Akula Sub, ready for the deep!"

Magyarul nem Linux alapú a hiba, nem egy tátongó biztonsági rés van a szerver op.rendszerekben, ahogy azt a cikk sugallja egészen az utolsó mondatig, hanem ismét a leggyengébb láncszemet használták ki: az emberi tényezőt, a hanyagságot. Annak hibái ellen ha lehetne védekezni...

(#36) Akula: Miért lenne a Linux is gáz? Emberi hibák esetén tök mindegy milyen op.rendszer fut a gépeken. Amúgy szerverekről van szó így te, mint jelen esetben egy kliens használója, bármilyen op.rendszer alatt belefuthatsz a hibába, amit a fertőzött szerverek okoznak. Nem olvasom most hajnali 3-kor már végig a 69 oldalas leírást a dolgokról, de átfutva rajta annyi jött át, hogy a szerver átirányít egy fertőzött helyre, ahol megkaphatod a rendszerednek megfelelő malware-t. Minden asztali és mobil OS belefutott már a fertőzött szerverekbe minden böngészővel. Ha pont egy olyan átirányításba futsz bele, ahol van a rendszered sebezhetőségeit kihasználni képes malware, az akkor lehet feljut a gépedre. Ez észrevehetően nem a világ vége, csak egy átlagos nap az interneten.

Erkölcstelen csíkot húzni a másik krumplifőzelékébe csak azért, hogy legyen egy szünet.

A hivatalos tárolókban a nyíltak közt valószínűtlen, a hozzáadottak meg... bármikor veszélyesek lehetnek. De például egy zárt Flash vagy egy -Java csomag, esetleg a video driver sebezhetőségét kihasználva már okozhatnak problémákat akkor is, ha csak hiteles forrásból telepített csomagjaid vannak, ráadásul azok hibáit se a disztród fejlesztői, se annak közössége nem tudja javítani... illetve észlelni sem, amíg nem kezd ténykedni.

(#16) Dhampir: Egy Hello World-öt nehéz bugosra írni...

Erkölcstelen csíkot húzni a másik krumplifőzelékébe csak azért, hogy legyen egy szünet.

sorry ha lámát kérdezek, de mit csinál
ssh -G ?
ugyanaz mint a -g ?
Allows remote hosts to connect to local forwarded ports.

A tudást mástól kapjuk, a siker a mi tehetségünk - Remember: Your life – Your choices!

A különbség, hogy -G esetén "System clean", -g esetén viszont "System infected" üzenetet kapsz...
Tehát ez egy jó kérdés, mert a manualban nem szerepel G kapcsoló, de biztos nem ugyanaz.

[ Szerkesztve ]

Erkölcstelen csíkot húzni a másik krumplifőzelékébe csak azért, hogy legyen egy szünet.

Nem ugyanaz, pont ez a lényeg, hogy "ssh -G" normális esetben hibaüzenetet okoz, mivel nincs ilyen opció. Ha fertőzött a gép, akkor nem ír ki hibaüzenetet. Ahogy korábban írtam, ez legfeljebb a kártevő régi verzióinak felismerésére jó, az újabbak már ezt a tesztet nagy valószínűséggel ki tudják kerülni.

Ki állította meg az órát? Néha az az érzésem, hogy Magyarországot is Kínában gyártották.

Jó, de mit csinál pontosan?
Manualban nem találtam semmit.

A tudást mástól kapjuk, a siker a mi tehetségünk - Remember: Your life – Your choices!

Oh... tényleg, ahogy csendes írja. Az ssh -G egy hibás parancs. A parancssor, amit az ESET megadott ezt vizsgálja meg.
Vagyis az ssh -G 2>&1 kimenetéből a grep megpróbálja kivágni az illegal vagy unknown részt és átirányítani a kimenetet a /dev/null helyre. Ha sikerül, (vagyis az ssh szerint nincs -G opció [illegal option vagy unknown option]), akkor "System clean", ellenkező esetben "System infected" üzenetet kapsz.

[ Szerkesztve ]

Erkölcstelen csíkot húzni a másik krumplifőzelékébe csak azért, hogy legyen egy szünet.

Nincs olyan opció, mit nem értesz rajta? Nem csinál semmit, csak hibaüzenetet dob.

https://www.coreinfinity.tech