A Mare.D névre hallgató worm többszörös backdoor-t hagy maga után. A worm nagy részét C-ben írták, és gcc-vel fordították. - mondta Erdélyi Gergely az F-Secure kutatója.
A cikk itt.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
trey mester, kerem kommentalja...
- A hozzászóláshoz be kell jelentkezni
Mit? Nem használok szerveren Linuxot. Desktop gépemen se PHP, se Mambo-t, se XML-RPC-t. :-D
Kommentálni max. azt tudom, hogy C helyett biztos, hogy inkább Perl-ben vagy egyéb szkript nyelvben kellett volna megírni, mert akkor nagy eséllyel működne több rendszeren. De a lame lelkem C-ben írta. Ügyes volt. :-))
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Már megint hazudsz, azt ugye tudod? ;)))))
A féreg a Mambót támadja. A Mambo Linuxon fut. Tehát a Linux szaaaaar! QED. :))))))
- A hozzászóláshoz be kell jelentkezni
;-(
:-DD
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
És ha - atyavilág! - ez a Mambo egy Makkosiksz szerveren fut, akkor, akkor az azt jelenti - gasp! -, hogy az OS X szar?! :)))
- A hozzászóláshoz be kell jelentkezni
Nem, mert C-ben írta a majom, és ez ott nem fog működni. Csak akko', ha lefordítja arra is. Pont ezért nem fog futni FreeBSD-n, OpenBSD-, meg a többi máson se. Ezért írtam, hogy nagyobb károkozásra lenne képes szerintem, ha valami gyakran használt szkriptben írta volna.
Újabban a Perl a divat...
:-)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
erdekes modon a morris worm is kepes volt terjedni annak idejen mindenfele unixon, pedig a "lamer allatja" nem spagettiszarban irta, hanem c-ben. persze ez ne'mi trukkozest es a hoston torteno forditast jelent, de ettol fuggetlenul meg mukodhet.
- A hozzászóláshoz be kell jelentkezni
Még ha le is fordítja...
Javíts ki ha tévednék... A perl szkript lefut noexec /tmp (ahova az ilyeneket a PHP esetén szemetelni szokták) esetén is, mivel nem a szkript fut, hanem maga a perl. Ugyanez C-ből fordított bináris esetén mondjuk libsafe esetén nem játszik? Hm?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
noexec-el mountolt particiorol valoban nem fog futni a binaris, amennyiben az adott OS-nel ez a funkcio tisztessegesen implementalt (linux eseten jo sokaig siman felul lehetett biralni ezt a viselkedest).
viszont, ezen a vonalon tovabbmenve, megfeleloen ACL-ezett rendszeren a perl scriptet se fogod futtatni, akar noexec a particio, ahova tudsz irni, akar nem. persze ilyenkor a forditot se igen tudod meghivni, mar ha van egyaltalan.
egyebkent szerintem azon rendszerek donto tobbsegen, ahol ez a hiba kihasznalhato, se noexec-es /tmp, se ACL nincs.
a libsafe hogy jon a kepbe?
- A hozzászóláshoz be kell jelentkezni
De a legtöbbön fordító se biztos, hogy van. Perl meg az esetek nagy részében van (Linuxnál talán nincs is olyan disztró, amiben ne lenne benne).
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ha ugyanarra a libsafe-re gondolunk, akkor annak nincs koze a noexec mounthoz. a noexec mount linux alatt amugy is benan van megcsinalva (mi nem ;P), nem tul nehez kijatszani (pl. i386 trivialis, az ELF program headers-bol ki kell szedni a PF_X biteket, ettol mar atmegy a noexec ellenorzesen viszont tovabbra is vegrehajthato marad a kod).
- A hozzászóláshoz be kell jelentkezni
az athekkelt header miatt (nem futtathatonak jelolt szegmens, de megis futni akar) a pax kigyilkolja?
- A hozzászóláshoz be kell jelentkezni
ja, azt nem mondtam, hogy PaX alatt persze rendesen mukodik a noexec, se PF_X kiszedese, se a trukkosebb 'ramap-pelek a stack-re es egy ret2libc-vel raveszem az ld.so-t, hogy csinaljon egy mprotect(PROT_EXEC)-t' nem mukodik. ha jol emlekszem, akkor meg a NetBSD az, ahol megcsinaltak ezt (de ott is csak azokon az architekturakon, ahol van igazi PROT_EXEC tamogatas, tehat pl. i386-on nem).
- A hozzászóláshoz be kell jelentkezni
Hmm, lehet, hogy nem libsafe a neve...? Most nem ugrik be. A red hatos Ulrich Drepper-nek volt valami patch-e.
Erre gondolok:
-
# cp /usr/bin/ls /tmp
# /tmp/ls
/tmp/ls: Permission denied
# /lib/ld-linux.so.2 /tmp/ls
vs.
-
# /lib/ld-linux.so.2 /tmp/ls
/tmp/ls: error while loading shared libraries: /tmp/ls: failed to map
segment from shared object: Operation not permitted
"nem tul nehez kijatszani"
Igen, de azt vegyük figyelembe, hogy script kiddiek-ről van szó. Nagy részüknek a 2.6-os Linux kernel "noexec" mountja is feladja a leckét. A 2.4-esé jóval gyengébb volt.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
emlekeim szerint 2.4-be backportoltak a drepper-fele noexec fixet annak idejen
- A hozzászóláshoz be kell jelentkezni
ja, az nem libsafe, a Drepper bacsi irta par eve azt a kernel patch-et, ami elvileg noexec mountot hivatott csinalni, de szokasos Red Hat modon csak felig sikerult (anno megirtam neki es Linusnak, hogy miert rossz, de nem volt ra erdemi reakcio). tehat amit fent irtal, az ugy igaz, viszont az csak a dolog egyik fele (ja es 2.4-ben is megvan mar egy ideje).
a masik fele meg tenyleg nem nagy ugy, a gyakorlatban EGYETLEN BITET kell modositani a binarisban, es maris megy noexec mount alatt is (legalabbis ahol nincs rendes PROT_EXEC tamogatas, pl. a legtobb i386-on). ha most irok egy par soros progit, ami ezt megteszi es elkuldom bugtraq-re, akkor a script kiddie-knek is trivialis lesz ;-)? amugy meg dailydave-en mar majd 2 eve publikussa valt: http://marc.theaimsgroup.com/?l=dailydave&m=111000644730805&w=2 .
- A hozzászóláshoz be kell jelentkezni
"ha most irok egy par soros progit, ami ezt megteszi es elkuldom bugtraq-re, akkor a script kiddie-knek is trivialis lesz ;-)"
Abban az esetben, ha olyan programot írsz ami így működik:
./mambonuke <target>
:-D
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ha jol remlik, a thread eredetileg egy wormrol szolt, es hogy szerinted miert volt luzer a szerzoje.
- A hozzászóláshoz be kell jelentkezni
Igen, amit továbbra is fenntartok, hogy ha szkriptben írta volna, akkor nagyobb esélye lenne rá, hogy nagyobb kárt csináljon. Szerinted nem?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
leirtam.
- A hozzászóláshoz be kell jelentkezni
Ez nem volt válasz a kérdésre.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
azt hittem, legalabb atlagos a kombinacios keszseged.
tehat: velemenyem szerint a "celkozonseget" (ertsd: ahol a hiba kihasznalhato es egyeb korulmenyek is kedveznek a terjedesnek) tekintve teljesen mindegy, hogy miben irodott, mert nincs lenyeges elteres az okozott kar merteket illetoen (v.o. "balfasz a gyerek, mer' C-be' irta").
- A hozzászóláshoz be kell jelentkezni
Tehát szerinted nincs különbség aközött, hogy egy worm C-ben van írva, csak Linuxra van fordítva (erről szól a cikk), és úgy van eleresztve, és aközött, hogy ugyanaz a worm meg van írva Perl-ben, és akár futhat Linuxon, FreeBSD-n, OpenBSD-n, és bármilyen operációs rendszeren, amin van Perl interpreter, akár még Windowson is...
Érdekes elképzelés.
PS: ne adj a számba olyan szavakat (balfasz a gyerek), amit nem használtam. Azt mondtam lamer és majom.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
talan ennyit arrol, hogy ki ad szavakat kinek a szajaba. :-)
- A hozzászóláshoz be kell jelentkezni
a linux szervereket kivaltottad a tobbszaz jogtiszta windowsos botnettel?
- A hozzászóláshoz be kell jelentkezni
Humm, nemtom' miről beszélsz, a saját internetes szervereim évek óta FreeBSD-t futtatnak. Előtte meg Solarist futtattak.
(gyors volt az anyag?)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Mostmar hobbi celokra sem jo a linux? Pedig eddig folyamatosan a linux-security-enterspajz-kox-roi(-xtc-thc-lsd) eljenzes ment. ;)
- A hozzászóláshoz be kell jelentkezni
A Linuxszal nincs semmi baj. Én ettől még most is azt mondom, amit évek óta (keress az archívumban). Mindent a maga helyére ;-)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Linuxot a kávédarálóba, pc-t a kukába? :-D
--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.
- A hozzászóláshoz be kell jelentkezni
"Tiszta vizet a pohárba, igazgatót a mocsárba!" :))
- A hozzászóláshoz be kell jelentkezni
Kicsit régiek ezek a Mambo és PHP XML-RPC hibák, nem? Majd egy éves. Aki eddig nem frissített, az ..... így járt ha rátalál a kukac.
- A hozzászóláshoz be kell jelentkezni
valoban eleg regi..
es a hibajavitas egyszeru mint a pofon
kiadtak rola egy doksit hogy hogyan lehet egyszeruen..
sot mar hupon is volt korabban :)
itt >> http://hup.hu/node/10465
es itt a "gyorsjavitas" mukodik ..
aki meg annyit nem kepes megtenni a szervereert annak pedig ugy kell ..
- A hozzászóláshoz be kell jelentkezni
Most nem kötekedni akarok, de nem lehetne hasonló helyzetben Erdélyi Gergelyt írni?
Asszem eléggé látszik, hogy magyar névről van szó...
Üdv.: Tamaas
- A hozzászóláshoz be kell jelentkezni
Nem, mert nem tudom, hogy magyar-e. Az, hogy valakinek magyarnak látszó neve van, az nem jelenti azt automatikusan, hogy magyar vagy hogy annak vallja magát. A magyarok szeretnek mindenkiből magyart csinálni. Például Jules Gabriel Verne (Verne Gyula)...
Egyébként neked ez miért fáj?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szerintem a volt munkatársamról van szó, aki épp az F-Secure-hoz ment ki dolgozni, akkor viszont magyar. Persze az is lehet, hogy nem, de akkor minimum két Erdélyi Gergely dolgozik ott :)
- A hozzászóláshoz be kell jelentkezni
Jó, de ezt nekem honnan kellene tudni? :-)
Van a Linux kernel listán egy teljesen magyar nevű tag. Leveleztem vele, majd a negyedik levélváltás után rákérdeztem, hogy mit csinál az Államokban. Azt mondta világ életében ott élt, és azt sem tudja hol van Magyarország. Szóval nem 100% az, hogy ha valahol magyar nevet találsz, akkor mögötte magyar ember van. Sőt, annak idején volt olyan is, aki elment innen, és le is tagadta, hogy magyar. Így jobb az óvatosság. De ha te állítod, hogy magyar, és ez annyira fontos, akkor kijavítom. Bár nem értem, hogy min változtat. Ha az én nevemet leírják angolul, az nekem nem szokott fájni. :-)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
1: nem mondtam, hogy tudnod kéne
2: én nem ragaszkodom hozzá, hogy kijavítsd, ő meg már szerintem hozzászokott :)
- A hozzászóláshoz be kell jelentkezni
Trey hogy van angolul?
- A hozzászóláshoz be kell jelentkezni
He's fine, thanks. :)
- A hozzászóláshoz be kell jelentkezni
Erdélyi Gergely aka Dyce 6-7 éve tiplizett a finnekhez.
- A hozzászóláshoz be kell jelentkezni
:-)
Valóban szokás volt magyarítani a neveket egy időben, így lett pl. Alexandros makedón uralkodóból Nagy Sándor, vagy ahogy mondtad Verne nevét is lefordították. Ez szerintem is helytelen, nem kell minden nevet magyarítani, ebben igazad van. Nem fogom pl. Bush W. Györgynek írni az adott G.W.Bush nevét.
De a Gergely Erdelyi azért fájhatna (de nem fáj, csak a szépérzékem zavarja ugyanúgy, mint egy helyesírási hiba), mert azért ilyen névvel azért nagy valséggel tényleg magyarról van szó. Ha pl. John Erdelyi lenne, akkor nem kértem volna, hogy fordítsd le Erdélyi Jánosra, bármennyire is magyar a családnév...
Szóval nem fáj, de szerintem így helyesebb, elvégre ha magyarul írunk, akkor ha csak lehet a magyar neveket is írjuk magyarul. De csak a magyar neveket.
Ez szerintem nem elvakult dolog, hanem éppenséggel érthető érv.
Üdv.: Tamaas
- A hozzászóláshoz be kell jelentkezni
Ok, legközelebb magyarul írom. De ha valaki reklamál, akkor megmondom, hogy te mondtad :-D
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
hulljon a férgese
>> hogy C helyett biztos, hogy inkább Perl-ben vagy egyéb szkript nyelvben kellett volna megírni
vagy stílszerűen spagettiben :)
- A hozzászóláshoz be kell jelentkezni
Ez a spagetti az én szövegem. :-)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
oh. de te is A Web Visual Basicjére használod?
- A hozzászóláshoz be kell jelentkezni
Nem. Én nem tudok programozni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ez ne keserítsen el, ettől még sikeres php fejlesztő lehetsz :)
- A hozzászóláshoz be kell jelentkezni
Nem keserít el. Egy dolgot nem csinálnék életemben, az a programozás. Untat. Ha biorobot akarnék lenni, elmennék a győri kekszgyárba a szalag mellé babapiskótát rakodni. :-)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ne keseredj el ettol meg nyugottan fikazhatod a programozokat (is) :-) A rendszergazdak ugyis beloluk elnek
- A hozzászóláshoz be kell jelentkezni
Akkor a júzereket is fikázhatjuk, elég "jól" hoznak a konyhára ;-)
--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.
- A hozzászóláshoz be kell jelentkezni
errol az jut eszembe, hogy sok az eszkimo keves a foka. a nezopont tetszoleges:
eszkimo: rendszergazda/juzer
foka: programozo /rendszergazda
most velemenyem szerint az eszkimok fognak csokkenni, sajnos barmelyik aspektusbol nezve is igaz
- A hozzászóláshoz be kell jelentkezni
Ezt a VB-t ne is emlegessétek! Még most is fáj amit a KIR.hu-nevű hányadékon összetákoltak a fent említettben..grr!
- A hozzászóláshoz be kell jelentkezni
Trey semmi gond ha akkarod még ma kezdhetsz :DD.Esetleg Győri Édes ?:D vagy inkább maradsz a Szintézisbe? :D.
- A hozzászóláshoz be kell jelentkezni
Hehe, voltam már ott nem is egyszer dolgozni az általános iskolából "termelési gyakorlat" címszóval. Éppen a piskóta soron, de néha felnéztünk az export osztályra is. Ott valamiért jobb dolgok voltak :-D
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
És most akkor onnét fogod igazgatni a portált? :-D
--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.
- A hozzászóláshoz be kell jelentkezni
"Linuxos szervereket támad meg egy új féreg" ezzel a címmel jelent meg egy másik portálon ugyanez cikk.
--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.
- A hozzászóláshoz be kell jelentkezni
És persze a prog.hu megint lereagálta...
Linuxos szervereket támad meg egy új féreg
Komolyan nem tudom, mit gondoljak ilyenkor...
- A hozzászóláshoz be kell jelentkezni
azért öngyi ne légy... ;P
- A hozzászóláshoz be kell jelentkezni
te olvasol proghu-t? mi a turonak?
informaciotartalma kozel nulla, a cikkek stilusa idegesito, raadasul minden kattintasoddal tovabb tamogatod, hogy ezt csinalja.
en minden magyar info linknel ellenorzom nem mutat-e be valamelyik undormany site-ra.:)
ha igen, es eredekel, akkor inkabb elolvasom angolul.
- A hozzászóláshoz be kell jelentkezni
Hmmm...
Én is csak azt tudom kérdezni, hogy ugyanmár miért olvasol olyan oldalt mint a prog.hu/pcforum.hu?
Én nem csak, hogy egy-másfél éve nem olvasom "Sting" kreálmányait, de már az eredeti Sting-et sem hallgatom mert "alias" Sting (vagy aljas Sting? :-) jut eszembe róla.
- A hozzászóláshoz be kell jelentkezni