РЕШЕТО!

man systemtap

Посмотрел и что? Вот вам пример. Есть apache и около 200 сайтов на нём. Сайты на php, режим работы mod_php (встроен в апач). Один из сайтов взломали, где-то там есть вредоносный скрипт, который запускает системный вызов bind и вешает прокси. Чем мне поможет ваш Systemtap? Скажет что bind выполняет apache? Ну и что? Как найти где в каком месте из 200 сайтов лежит говно? А никак!

$ sudo aptitude install systemtap

Следующие НОВЫЕ пакеты будут установлены:        
  libdw1{a} systemtap systemtap-common{a} systemtap-runtime{a} 
0 пакетов обновлено, 4 установлено новых, 0 пакетов отмечено для удаления, и 4 пакетов не обновлено.
Необходимо получить 1 838 kБ архивов. После распаковки 5 977 kБ будет занято.
Хотите продолжить? [Y/n/?] y
Получено: 1 http://ru.archive.ubuntu.com/ubuntu/ raring/main libdw1 amd64 0.153-2ubuntu1 [201 kB]
Получено: 2 http://ru.archive.ubuntu.com/ubuntu/ raring/universe systemtap-runtime amd64 2.1-1~experimental1 [151 kB]
Получено: 3 http://ru.archive.ubuntu.com/ubuntu/ raring/universe systemtap-common all 2.1-1~experimental1 [545 kB]
Получено: 4 http://ru.archive.ubuntu.com/ubuntu/ raring/universe systemtap amd64 2.1-1~experimental1 [941 kB]
Получено 1 838 kБ в 0с (2 538 kБ/с)
Выбор ранее не выбранного пакета libdw1:amd64.
(Чтение базы данных … на данный момент установлено 254167 файлов и каталогов.)
Распаковывается пакет libdw1:amd64 (из файла …/libdw1_0.153-2ubuntu1_amd64.deb) …
Выбор ранее не выбранного пакета systemtap-runtime.
Распаковывается пакет systemtap-runtime (из файла …/systemtap-runtime_2.1-1~experimental1_amd64.deb) …
Выбор ранее не выбранного пакета systemtap-common.
Распаковывается пакет systemtap-common (из файла …/systemtap-common_2.1-1~experimental1_all.deb) …
Выбор ранее не выбранного пакета systemtap.
Распаковывается пакет systemtap (из файла …/systemtap_2.1-1~experimental1_amd64.deb) …
Обрабатываются триггеры для man-db …
Настраивается пакет libdw1:amd64 (0.153-2ubuntu1) …
Настраивается пакет systemtap-runtime (2.1-1~experimental1) …
Adding stapdev group...
Adding stapusr group...
Adding stapsys group...
Настраивается пакет systemtap-common (2.1-1~experimental1) …
Настраивается пакет systemtap (2.1-1~experimental1) …
Обрабатываются триггеры для libc-bin …
ldconfig deferred processing now taking place

$ man systemtap
Нет справочной страницы для systemtap

Хнык-хнык! ;(

Способ 1 (простой, в лоб):

1. Делаем модуль к апачу, аналогичный mod_env, но только позволяющий выставлять sysenv переменные.

2. В каждый vhost конфиг пишем что-то типа SetSEnv VHOSTID <vhostid>

3. Пишем systemtap скрипт, который ловит bind, смотрит в sysenv процесса апача и ищет VHOSTID

4. Если выставлен, то это уже скрипт работает с сокетами

5. ....

6. Профит

Способ 2 (сложный):

1. Читаем в доке на systemtap раздел про userspace probing

2. Пишем скрипт, который при ловле bind анализирует процесс апача, выясняет не пхп-ли, и путь до скрипта или еще какие подробности из внутренностей mod_php

3. ...

4. Профит

Еда тут: https://sourceware.org/systemtap/documentation.html

А не проще просто ИМЕТЬ программу, которая запрещает все потенциально опасные действия? Все эти exec, bind и прочее. Да, апач тоже такие сисколы делает, но на конкретные порты или в конкретный путь - это разрешить. Вот я и возмущаюсь, что хакеры пишут такие вещи для целей взлома, а в комьюнити ещё никто не написал подобного для целей защиты. Да SELinux, да AppArmor но это всё ядро.

Данные зашифрованы шифром Blowfish

Т.е. симметричный ключ захардкожен? А опубликовать, чтобы все пользовались?!

осуществляется перехват паролей и SSH-ключей пользователей, подключающихся к поражённой системе.

Интересно, а какие он ключи собрался перехватывать, если они машины клиента не покидают?

прав

а ещё это решето пытаются припихивать на десктопы
со всякими suid костылями как вяленд

Сейчас придёт касперский и всех нас спасёт.

Решето !!!!

Ваще это жесть ! Линукс сплошь дырявый - выключу лучше все компы! Пойду лес рубить!

Вот я и возмущаюсь, что хакеры пишут такие вещи для целей взлома

А я вот возмущаюсь тому, что ты распространяешь бредни журнашлюшек, хакеры НЕ пишут такие вещи!

Внешне напоминает на организацию Системы Telex

Вопрос на засыпку: как данная малварь загрузит свою либу вместе с серверным процессом, если у неё не будет необходимых прав на это? Бэкдор - это ПО для удалённого управления поражённым компьютером. Источника проникновения подобного ПО на атакуемый узел, по сути, два. В новости написано, что подробности установки бэкдора не сообщаются. Вас это не смутило? Кто сказал, что злоумышленники заюзали эксплоит, получили рут-доступ, и закпрепившись в системе, установили бэкдор для повторного доступа к поражённой системе? Может, потому подробности заражения и скрывают, что админы просто опростоволосились? Попались на удочку хакера, заюзавшего метод социальной инженерии? Иначе чего им скрывать? Stil

А где это вы специалиста увидели? Какое вообще отношение я имею к безопасности и системному администрированию? Я разве утверждал, что я что-то в этом смыслю?

Что касается моего комментария, то установка ПО из сомнительного источника - основной способ установки различной малвари на атакуемые машины. Именно на это я и хотел указать. Самое простое объяснение причины взлома обычно самое вероятное.

В новости написано, что подробности установки бэкдора не сообщаются. Вас это не смутило?

А что тут необычного? Может они сами ещё не нашли, или не успели закрыть уязвимость.

установка ПО из сомнительного источника - основной способ установки различной малвари на атакуемые машины

facepalm

Что касается моего комментария, то установка ПО из сомнительного источника - основной способ установки различной малвари на атакуемые машины. Именно на это я и хотел указать. Самое простое объяснение причины взлома обычно самое вероятное.

ага, вот про это и был мой комментарий «про специалиста».

как ты сам думаешь - много бородатых админов, которые работают с продакшн серверами, ставят на эти сервера ПО «из сомнительных источников»?

а если, вдруг, не ставят - как происходит заражение?

Да мало ли причин может быть... Уязвимости в различном ПО, позволяющие атаковать систему, и так или иначе запустить произвольный код, уязвимости в скриптах веб-приложений и т.п. Если администратор баклан, и не уследил где-то за правами на доступ к тому или иному файлу, то даже не самая серьёзная уязвимость позволяет успешно закрепиться в атакованной системе. Если уязвимость была в коде, который выполнялся от имени пользователя с широким набором привилегий - то всё становится совсем печально. Ну и не будем забывать, что эксплуатируя определённые уязвимости, атакующий, уже работающий из-под непривилегированного пользователя может повысить свой уровень привилегий. Да что я вам говорю - вы же специалист. Это вы мне должны такие интересные истории на ночь рассказывать.

Или админы у них не совсем компетентные. По любому спрашивать с админов надо. Если за системой следить, вовремя обновлять, настраивать, использовать патчи, закрывающие серьёзные уязвимости - такого фейспалма не случится...

Если за системой следить, вовремя обновлять, настраивать, использовать патчи, закрывающие серьёзные уязвимости

Это всё прописные истины, известные любому школьнику, только от того же 0-day эксплоита они не спасут. На каждый хитрый замок всегда найдётся ещё более хитрая отмычка.

со всякими suid костылями как вяленд

Эмм. weston может работать без рута. Вообще. Уже сейчас. А Xorg — суидный.

Да SELinux, да AppArmor но это всё ядро.

И? Что в этом плохого?

Кто будет писать твою гипотетическую юзерспейсную программу, если есть ядерные механизмы, которые делают всё и даже больше? И юзерспейсная реализация, имхо, будет гораздо медленнее.

запрещает все потенциально опасные действия

Ты неправильно понимаешь MAC. Суть его — разрешить только необходимый минимум действий для работы. Всё остальное — запрещено. В отличии от прав на файлы, которые тут рекламируют некоторые товарищи. Список того, что нужно конкретной программе, составить проще, чем список потенциально опасных действий.

«Да мало ли причин может быть... Уязвимости в различном ПО, позволяющие атаковать систему, и так или иначе запустить произвольный код»

А как же мифическая неуязвимость Линукса и опенсоурса?

http://www.cnews.ru/top/2013/11/18/obnaruzhen_samyy_izoshhrennyy_troyan_dlya_...

Про 0-day никто и не говорит. От них нет адекватной защиты. Но очень часто для атаки используют довольно известные уязвимости. Просто потому, что на многих серверах очень старые, протухшие версии серверного ПО.

В мире не было, и никогда не будет ПО, которое немного сложнее «Привет Мир!», и при этом не имеет какой-то уязвимости. Линукс не неуязвим. Линукс, если его вовремя обновлять, и хорошо настраивать, очень надёжная ОС. Ну и вирусни под неё не особо много. Те, кто верит в неуязвимость какой-либо ОС - наивные школьники. Опенсорс более надёжен, чем большая часть проприетарного ПО. Потому, что уязвимости чаще находят(найти их легче, исходники то доступны для изучения), и чаше фиксят(опять же, потому, что исходники открыты, и любой может прислать патч, закрывающий уязвимость).