>пустой пароль тоже уязвимость. А там не пустой, там дефолтный.И все-таки в среде хацкеров и безопасников под шеллкодом обычно подразумевается полезная нагрузка *эксплойта*.А это - троян + червяк самоходный.Если использовать вашу логику - если допустим я залил какому-то олуху со слабым паролем троян, троян от этого становится шеллкодом?Так вроде безопасники и хацкеры не говорят :)
>Нет, управляющий блок udhcpc.env, рассмотренного в новости ботнета, поддерживает только
>Linux,
Это - факт.Впрочем блок - жирно сказано.Как я понимаю обычный ELF компильнутый под MIPS и упакованый UPXом.Банальный троянец с некоторыми червячными функциями.Шеллкодом называть это больно жирно, по сути обычная программа, просто нехорошая по назначению :)
А так - я про использованную технологию говорил, по ней можно что угодно ломать, лишь бы пароль был слабый.Например, судя по логам ssh какие-то китайцы уже давно, много месяцев долбятся на вполне себе х86 бокс у хостера тщетно надеясь найти стандартных юзеров и дефолтные пароли.Эти гаврики ищут слабые пароли, нехило ищут, видимо уделяя особое внимание диапазонам айпи хостеров.Подозреваю что тоже с протрояненых машин.Т.к. у меня пароли нормальные я так и не узнал что будет если хацкеры все-таки пролезут, но похоже подобная технология в ходу и для х86 :).Обычно перебирают аккаунты кучи стандартны системных юзеров типа FTP, mail, ... (т.е. эта атака явно не против роутеров).
>рассмотрен не общий подход, а конкретная реализация.
У меня собственно нет претензий к заголовку новости, это кто-то из рьяных фанатов видимо обиделся.
Единственное что я хотел бы заметить - подозреваю что технология не нова и судя по долбежке в SSH это не первые кто додумался до таких атак (остальные видимо просто менее успешны или меньше светились).
>основе Linux требует внимания.
Мне кажется что тут некоторые просто не очень внимательно читают логи или же качественно отгородились файрволом.Иначе они бы скорее всего заметили много интересного в сетевой активности, особенно если машина где-то на хостерских площадках с характерными айпи.Почему-то у меня подозрение что это - не первый ботнет.
>Для распространения с тем же успехом
>могли бы использовать регулярно находимые в Firefox дыры,
Файрфокс то в нормальной системе у юзера регулярно апдейтится - окно возможноси эксплойтирования получается крохотное, сотни тыщ юзеров так не порутаешь. В отличие от дсл-роутеров, где обычно доисторические версии софта и раздолбайство производителей и пользователей во весь рост по части секурити (половина сервисов - под рутом, etc).Думаю что дальше возможны эксплойты (уже настоящие) эксплуатирующие уязвимости в древних версиях софта (вот это уже будут настоящие эксплойты - с шеллкодом и прочим).В этом плане у хаксоров главная проблема - как раз неумение писать эксплойты и шеллкод для MIPS.
А скомпилять из сорцев обычный ELF-бинарь и зайдя по дефолтному паролю на устройство качнуть оны бинарь wget'ом и запустить стандартными средствами системы - ума много не надо.Это вообще не эксплойт а использование тупости юзера\производителя.Более того - я регулярно так делаю с той лишь разницей что роутер - мой а софт - не malicious, а простой, нужный мне :).Кто из этого - шеллкод в итоге?Сам ssh чтоли?Ну тогда линухи, бзди и прочие снабжены злостным шеллкодом в виде ssh получается :)
>сам интерес к данной платформе важен.
Согласен.И производителям всего этого и подобного давно пора отсыпать в бубен за НИКАКОЕ отношение к секурити.Они юзают линух удивительно безбашенно и несекурно.
>системы, ситуация была бы иной и заголовок другим."
Ну, видимо фанов это напрягает.Я отношусь к данной проблеме спокойно.Не вижу проблем "поломать" таким манером *BSD, Windows, MacOS, да и в общем то любую систему способную выполнять файлы и обладающую местом для скачки оного файла.Это не показатель несекурности системы, это показатель идиотизма в ее использовании.То что раздолбайство в плане секурити стали использовать - интересный факт, но реализация - уныла и банальна.Для x86 такое уже давно было судя по всему.Кроме слабых паролей знаю как минимум случаи раздачи обманом заранее скомпиленного трояна для i386 Linux под видом кульной приватной хакерской проги на которую никак не можно выдать сорцы.Ессно кульная прога на поверку оказывается обычным бэкдором по типу этой байды на DSL модемах.
