- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем привет!
За неделю в руки попадает второй порученный сервер, где с запуска сервера отдельный бинарник /lib/libudev.so (md5 7a891a96d6af45865e5fe6142b40eb77) генерирует другие бинарники и начинает ддосить полученный от c&c IP адрес жертвы. Скрипты запуска висят в /etc/crontab, /etc/init.d/, /etc/cron.hourly/, бинарники в /bin и /usr/bin
Отличительная особенность - оба сервера были под управлением ubuntu 14.04, все файлы залиты от рута, возможно повышение прав? из актуального нашел только это и очень сильно похоже на правду: https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-1000367.html
больше интересует как именно эскалировать проблему, так как оба сервера имели разный набор софта и факт что это сделал сам пользователь - минимальный. В первом случае были подозрения на панель vestacp, однако во втором случае её просто не было.
есть у кого какая-нибудь информация по этому поводу и кто готов ею поделиться?
спасибо
https://en.wikipedia.org/wiki/Xor_DDoS ?
http://www.securitylab.ru/news/474860.php
Xor.DDoS способен инфицировать устройства благодаря взлому простых паролей, защищающих командную оболочку компьютеров на базе Linux. Получая доступ с правами суперпользователя к системе, злоумышленники запускают вредоносный скрипт, который устанавливает и выполняет двоичный файл. В настоящее время нет информации, что XOR DDoS инфицирует устройства, эксплуатируя уязвимости в самой ОС Linux.
https://en.wikipedia.org/wiki/Xor_DDoS ?
http://www.securitylab.ru/news/474860.php
по симпотиматике очень похоже, однако пароли у юзеров стояли не простые
https://ru.wikipedia.org/wiki/Bashdoor ?
У юзеров и на компах вирусы могли быть. Хотя версия убунты древняя, за столько лет немало уязвимостей было.
Хотя версия убунты древняя
14.04 - lts, еще поддерживается
Дейл Купер, а юзеры разве спешат все вовремя обновлять ? в основном как я встречаюсь с клиентскими серверами, так как поставили так и стоит все без каких либо обновлений годами.
Дейл Купер, а юзеры разве спешат все вовремя обновлять ? в основном как я встречаюсь с клиентскими серверами, так как поставили так и стоит все без каких либо обновлений годами.
сервера были свежеустановленные, разница - 1-2 месяца. ПО достаточно обновленное, указанные выше уязвимости не эксплуатируются.