forum.opennet.ru

Составление сообщения

Исходное сообщение

"В результате атаки Windigo вредоносным ПО поражены более 25 ..."
Отправлено opennews, 19-Мрт-14 12:56

Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../) 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/ope...), 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.

После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра (http://www.opennet.ru/opennews/art.shtml?num=35392) или модифицировались исполняемые файлы http-серверов Apache (http://www.opennet.ru/opennews/art.shtml?num=36810), lighttpd или nginx (http://www.opennet.ru/opennews/art.shtml?num=36917) для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама.
Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.
Сообщается, что нашумевшие взломы cPanel (http://www.opennet.ru/opennews/art.shtml?num=36810), kernel.org (http://www.opennet.ru/opennews/art.shtml?num=32226) и серверов Linux Foundation (http://www.opennet.ru/opennews/art.shtml?num=31726) были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G". Если будет выведено сообщение о недоступности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.
URL: http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=39350

Исходное сообщение
"В результате атаки Windigo вредоносным ПО поражены более 25 ..." Отправлено opennews, 19-Мрт-14 12:56
Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../) 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/ope...), 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО. После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра (http://www.opennet.ru/opennews/art.shtml?num=35392) или модифицировались исполняемые файлы http-серверов Apache (http://www.opennet.ru/opennews/art.shtml?num=36810), lighttpd или nginx (http://www.opennet.ru/opennews/art.shtml?num=36917) для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации. Сообщается, что нашумевшие взломы cPanel (http://www.opennet.ru/opennews/art.shtml?num=36810), kernel.org (http://www.opennet.ru/opennews/art.shtml?num=32226) и серверов Linux Foundation (http://www.opennet.ru/opennews/art.shtml?num=31726) были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G". Если будет выведено сообщение о недоступности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа. URL: http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=39350

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-used-to-attack-over-500000-computers-daily-after-25000-unix-servers-hijacked-by-backdoor-trojan/) 
> 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf), 
> 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на 
> серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В 
> ходе атаки, которой присвоено имя Операция Windigo, за три года был 
> получен контроль над более чем 25 тысячами серверов, из которых 10 
> тысяч в настоящее время остаются поражёнными вредоносным ПО.

> После проникновения, которое осуществлялось с использованием перехваченных или подобранных 
> паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. 
> В частности, программа ssh подменялась  на вариант, перехватывающий пароли при 
> обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули 
> ядра (http://www.opennet.ru/opennews/art.shtml?num=35392) или модифицировались исполняемые 
> файлы http-серверов Apache (http://www.opennet.ru/opennews/art.shtml?num=36810), 
> lighttpd или nginx (http://www.opennet.ru/opennews/art.shtml?num=36917) для подстановки 
> вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; 
> устанавливались компоненты для рассылки спама.

> Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений 
> в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям 
> OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. 
> Бэкдор для SSH поставлялся только для Linux и FreeBSD, в то 
> время как модуль рассылки спама был написан на Perl и работал 
> на любых Unix-системах. Поражались системы не только на базе архитектуры x86, 
> но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры 
> ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей 
> на серверах, для проникновения использовались только перехваченные параметры аутентификации.

> Сообщается, что нашумевшие взломы cPanel (http://www.opennet.ru/opennews/art.shtml?num=36810), 
> kernel.org (http://www.opennet.ru/opennews/art.shtml?num=32226) и серверов Linux 
> Foundation (http://www.opennet.ru/opennews/art.shtml?num=31726) были совершены в 
> рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет 
> установки троянского ssh достаточно запустить "ssh -G". Если будет выведено сообщение 
> о недоступности опции, то система не поражена. В случае выявления факта 
> подмены ssh рекомендуется переустановить операционную систему и приложения на сервере 
> с нуля, а также поменять пароли и ключи доступа.

> URL: http://blog.eset.ie/2014/03/18/operation-windigo-malware-used-to-attack-over-500000-computers-daily-after-25000-unix-servers-hijacked-by-backdoor-trojan/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=39350

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру