Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Саморазмножающийся linux-троян Rex атакует сайты, создавая p2p-ботнет  (Прочитано 4265 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн luu

  • Автор темы
  • Активист
  • *
  • Сообщений: 674
  • шта?
    • Просмотр профиля
Специалисты «Доктор Веб» предупреждают об обнаружении новой угрозы для Linux-систем. Троян Linux.Rex.1 написан на языке Go, и атакует сайты, работающие под управлением различных CMS, включая Drupal. Вредонос способен осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.

Первыми новую угрозу заметили пользователи форума Kernelmode и сочли трояна «вымогателем для Drupal» (Drupal ransomware), что оказалось не совсем верно. Специалисты «Доктор Веб» выяснили, что Linux.Rex.1 действительно атакует сайты, работающие на популярном движке Drupal, но этим его возможности не ограничиваются.

Эксперты объясняют, современные ботнеты условно делятся на два типа. Ботнеты первого типа  получают команды с управляющих серверов, а ботнеты второго типа работают вообще без них. Такие сети напрямую передают информацию от одного зараженного узла к другому. Linux.Rex.1 как раз организует ботнет второго типа. Такие ботнеты называются одноранговыми, пиринговыми или P2P-сетями. В архитектуре Linux.Rex.1 имеется собственная реализация протокола DHT, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет. После заражения трояном, компьютер работает как один из узлов этой сети.

Linux.Rex.1 принимает управляющие директивы по протоколу HTTPS от других инфицированных компьютеров и при необходимости передает их дальше, другим узлам ботнета. По команде троян начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля, используя библиотеку github.com/natefinch/pie, троян способен сканировать сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, WordPress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS.



Если это возможно, Linux.Rex.1 использует известные уязвимости в перечисленных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах.

На платформе WordPress троян ищет уязвимые плагины WooCommerce, Robo Gallery, Rev Slider, WP-squirrel, Site Import, Brandfolder, Issuu Panel и Gwolle Guestbook. Сайты на базе Magento проверяются на уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399.

Еще одна функция Linux.Rex.1 — рассылка сообщений с угрозами по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, атакующие просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в биткоин эквиваленте.



Специалисты «Доктор Веб» пишут, что для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость CVE-2014-3704. Если баг не исправлен, с помощью SQL-инъекции троян авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация.

Источник

Оффлайн alsoijw

  • Старожил
  • *
  • Сообщений: 4073
  • Fedora 25 GNOME 3 amd64
    • Просмотр профиля
Ничего нового, расходимся.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Оффлайн skameykin22

  • Зарегистрировавшийся
  • *
  • Сообщений: 0
    • Просмотр профиля
    • флагшток купить
Берем на вооружение.

Оффлайн soarin

  • Старожил
  • *
  • Сообщений: 1474
  • ubuntu 18.04
    • Просмотр профиля
Ничего нового, расходимся.
> Троян написан на языке Go

А что раньше были? По моему Go совсем не в почёте был в это области.

Оффлайн alsoijw

  • Старожил
  • *
  • Сообщений: 4073
  • Fedora 25 GNOME 3 amd64
    • Просмотр профиля
soarin, а какая разница? Под винду очень много на js пишут. Просто авторы go выучили. емнип го линкует статически и как следствие бинарник должен работать на любой системе и дополнительно зависимости ставить не надо.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

 

Страница сгенерирована за 0.067 секунд. Запросов: 25.