"Linuxos webszerverekből álló botnetet fedeztek fel"

Linux

"A weboldalba ágyazott gyanús tartalmat ellenőrző szolgáltatást kifejlesztő Sinegubko vizsgálódása során azonban arra lett figyelmes, hogy az által talált szkript harmadszintű dinamikus DNS szolgáltatásokon keresztül immár több tucat egyedi IP-re csatlakozik, melyek legitim weboldalakat kiszolgáló linuxos szerverek. A vizsgált szerverek Apache webszerver szoftvert futtattak a 80-as porton, emellett azonban a 8080-as porton a pehelykönnyű nginx webszerver figyelt, vagyis a támadók sikeresen telepítették azt a megtámadott gépre." A teljes cikk itt.

( bambano | 2009. 09. 15., k – 13:28 )

Ezt a hírt én már olvastam itt... vagy nem jól emlékszem?

( kl3on v | 2009. 09. 15., k – 13:36 )

,,A tolvajok Adidas cipőben menekültek''

Miért releváns, hogy Linuxos szerverek? :)

--
Keep it simple, stupid.

( samuf v | 2009. 09. 15., k – 13:50 )

Ezek szerint találtak x10 linux-os gépet, amelyek ellátják feladattal a x100.000 windows-os gépeket. A cím nem ezt sugallja.

( uid_6201 v | 2009. 09. 15., k – 14:06 )

Ezkomolyabb fejfájást okozott nekem is a minap a szerveren. Akárhogy is, a usert nehéz lenevelni a Windowsról és a biztonságot mellőző módon elmentett jelszavakról.

http://pcforum.hu/tudastar/57050/A+html+iframe+c+gen+virust+ismeri+vala…

Az eredmény ugyanaz: iframe-et pakoltak az oldalba. Eszembe jutott, nem-e ennek hatásaival is keveredik a fenti cikk "botnet" része? Ugyanis tényleg jelentős volt. Nekem kb. 25 domain esett áldozatul.

( Troppauer | 2009. 09. 15., k – 14:45 )

Sajat tapasztalat:

Nem a webszervert torik fel, hanem a kulonfele webfejleszto windowsos gepet. Foleg total commander altal tarolt jelszokat lopjak (erre van egy szakosodott virus), azzal pedig sima ftp-vel belepnek a webhelyre mintha a fejleszto tenne. Ha ez sikerul, akkor mar egy masik (pl torokorszagi) ip cimrol feltoltik a modositasokat. Az ftp log-ba szepen latszik az esemeny.

Aztan jon a google, hogy veszelyes a lap :)

Az eredeti cikkben/blogposztban szépen le van írva, hogy olyan adminok szervereit toltál fel, akinek a saját desktop windowsáról azért tudták megszerezni a jelszavakat, mert a webes tartalmat is rootként töltötték fel.

Ha a root jelszó ismert, akkor már bármi lehet a bármelyik porton.

"Nem kellene így lennie..."

Pedig egyre inkább így lesz... Egyre több emberhez jut el a linux, egyre olcsóbbak a vasak és a hosting...
Az ember találomra elolvas pár webszerveres topicot a hupon, és elsírja magát.
Lassan már az is rendszergazdának mondja magát, aki hibátlanul le tudja betűzni a HTTPS szót....

Mondhatnám, hogy igen, de nem. :)
Legalábbis az általam ismert HP UX, Tru64, VMS, Windows, Solaris, és egyéb, egzotikus rendszerek üzemeltetőinek a rendszergazdái sokkal kevésbé vannak képben az alapvető biztonsági elvárásokkal, mechanizmusokkal, de úgy általában bármi mással (protokollok, hálózati rész, hiszen az már nem az ő dolguk), mint a "linuxos" emberek.

Szóval hiába ültek ezek végig tízmilliárd forintnyi tanfolyamot, az csak arra volt jó, hogy megtanulják (ha megtanulták) az awk-t, meg az adott rendszer üzemeltetéséhez szükséges robotmunkát (clusterek pld) (windowsnál meg a hová kattintsak-ot, a powershelltől már a hideg rázza őket), de nincs semmi alapjuk.
A legtöbbnek fingja sincs arról, hogy működik egy unix (főleg windows)...

Én épphogy úgy látom, hogy a Linux-szal kezdte el az embereket érdekelni az OS belső világa, és mivel alacsonyabbra tette a lécet (ez akár félreérthető is lehet ;), többen tudtak beszállni, és megismerkedni azokkal a részletekkel, amelyekhez sokkal nehezebben fértek volna hozzá egy kereskedelmi OS-nél.

suckIT szopás minden nap! Ott lesz vajon Lőrinc?

"egzotikus rendszerek üzemeltetőinek a rendszergazdái sokkal kevésbé vannak képben az alapvető biztonsági elvárásokkal"

Ok,de HP UX, Tru64, VMS, Solaris webszerverekből az interneten viszonylag kevés van. Ezek inkább nagyvállalati környezetben léteznek, ott meg. csak saját cégükkel tudnak kicseszni, és másokkal kevésbé.

"Szóval hiába ültek ezek végig tízmilliárd forintnyi tanfolyamot, az csak arra volt jó, hogy megtanulják (ha megtanulták) az awk-t, meg az adott rendszer üzemeltetéséhez szükséges robotmunkát"

Oh, ezzel nincs semmi gond. Szeretjük az ilyet, "belőlük" élünk. :)

Egyébként meg egy nagyvállalati környezetbe gyakran nem is kell több. Mint ahogy te is írtad, ott feladatkörök vannak. Kis cégnél sokszor egy embernek kell érteni oprendszerhez, biztonsághoz, hálózathoz, adatbázishoz. Nagy cégnél ezekre külön ember van. Sok helyen rá is csapnak a unixos kezére, ha túl közel megy a cisco-s rackhez.
Amellett ott van a "védjük a saját seggünket effektus is". "Nem az én területem, még,ha értenék is hozzá nem csinálhatom, mert bármi van én leszek a hibás."

egzotikus rendszerek üzemeltetőinek a rendszergazdái sokkal kevésbé vannak képben az alapvető biztonsági elvárásokkal, mechanizmusokkal, de úgy általában bármi mással (protokollok, hálózati rész, hiszen az már nem az ő dolguk), mint a "linuxos" emberek.

Ó, hát látom én ezeket a nagy Linuxos szakikat nap mint nap a "jól" beállított netfilter szabályaikkal, meg az apache+php konfigjaikkal... Biztos van egy-két lelkes fiatal, aki sok területen penge, de nagyságrendekkel több a "sikerült kiadnom az apt-get install parancsot, úgyhogy elmegyek linux rendszergazdának vagy csinálok egy hosting céget" figura.

Aztán amikor 10. alkalommal törik meg a rendszerét, akkor felkeres, hogy nem segítenék-e neki megcsinálni rendesen azt a Linuxos szervert, mert már idegesek az ügyfelek...

Nem foglalkozom server uzemeltetessel, csak sajat cellal futtatok az itthoni gepemen ssh/web/ftp servert, de alap, hogy ssh-n nincs engedelyezve a root login, es meg lakotarsakon is gondolkodtam, hogy shell-kent a /bint/false-t kapjak, es csak ftp hozzaferesuk legyen.
Ilyeneket nem neveznek server administratornak... :}

Sic Transit Gloria Mundi

Igen. Nekem meg az tűnt fel, hogy adott egy webszerver, amin a kiszolgáló alkalmazás a 80-as porton kommunikál. Én aztán távol állok a szerver üzemeltetéstől, de az azért alap, hogy akkor az összes többi nem használt port zárt. Ezek után meg csak feltűnne, hogy valami kommunikál a 8080-on. :S

>>: sys-admin.hu :<<

( numen v | 2009. 09. 15., k – 14:50 )

harmadszintű dinamikus DNS szolgáltatásokon keresztül

jól sejtem, hogy ezek a feltört gépek akkor ilyen dyndns-es domainnel rendelkező sufniszerverek?

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

tehát tfh a hup linuxot futtat, és akkor elérhető lenne a 80-as porton futó apacsa a http://hup.hu címről, és a gonoszbácsik által telepített ngix szerver a http://linuxosbotnetforsomeniceantilinuxnewsnumber901371.dyndns.org:8080 címről?

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

( mash | 2009. 09. 15., k – 20:50 )

OFF
Amikor tegnap olvastam a hírt a nemzetközi online sajtóban, akkor attól féltem, hogy óriási flame lesz belőle, amikor eljut ide a hupra. Kellemesen kellett csalódnom. Remélem így is marad és szakmai beszélgetés alakul ki. Elnézést az OFF-ért, de ez kikívánkozott belőlem!
ON

( gyrgyvrs | 2009. 09. 15., k – 18:49 )

Nem tartozik a témához, de megjegyzem, múltkorában telepítettem egy huszonvalahány gépből álló windows hálózatot, AD, windows 2003 server stb.
Én csak segítettem, mindenképp a policy-kel korlátoztam volna mindenféle dolgot, csak rendszergazda telepít...stb. Erre a haver, akinek segítettem, mondta, hogy de hát a userek legyenek rendszergazdák a saját gépjeiken, meg mindent be tudjanak állítani stb. Na ebből is egy f*sza zombihálózat lesz (még ha nem nagy is).

( Vladi | 2009. 09. 15., k – 22:23 )

Lassan összeáll a kép. :)
Először arra gondoltam, hogy milyen fasza biznisz lehetne:
Vennék pár olcsó leselejtezett pc-t. Berakom egy host céghez őket. Rakok rájuk valami kamu weboldalt, mintha azt akarnám üzemeltetni, majd eladom a root jelszót és az ip címet a botnet maffiának. :)
Aztán leesett, hogy feltaláltam a spanyol viaszt. :(

>>: sys-admin.hu :<<