Linux/Apache kot vektor napada...

OK, razen ene besede pa resno ne vidim nobene potrebe, da bi objavo te novice preprečili! Tisto besedico bi pa komot lahko zbrisali, glede na to, da se mi je že zgodilo, da je k moji novici naenkrat prirasel cel odstavek.

Očitno pa nekomu ne paše novica, ki prikazuje luknjo v Linux. Drugega razloga resno ne vidim! Shame on you Omega.

Meni novica ustreza v obliki kakor sem jo napisal, tebi očitno ne ustreza, zato jo ti moderiraj. No, še vedno lahko uporabiš priljubljene metode tajne policije, in preprosto pobrišeš post.

Mogoče v svoji "superiornosti" nisi opazil, da je bila novica mišljena kakor kritika "visoko opevani" računalniško-varnostni zavesti, pa tudi varnosti, OS aplikacij. Dejstvo je, da se po dveh mesecih odgovornim ša sanja ne kaj je vzrok kompromitiranj in razen s strani CPanel še nisem zasledil uradnih izjav, kar lahko enačimo s pristopom "security through obscurity".

Glede izlivov žolča. Prosim, sprehodi se malce skozi novice kjer so opisane pomankljivosti v Windows okolju, pa poglej malce komentarje in pripombe...

Drugi odstavek iz prvega od podanih linkov je zelo pomemben. Naj si ga natančno prebere predvsem avtor neobjavljene novice ...

V več linkih, ki si jih podal, pravijo da je bil najverjetneje dostop do kompromitiranih strežnikov dosežen s tako ali drugačno krajo gesel in ne z vdorom oz. ranljivostjo ssh procesa. In ko imaš enkrat dostop, lahko narediš precej štale. Mimogrede, to je zanimivo v luči neobjavljene novice, iz tvojega linka :

...with malware that turns their Windows machines into unwitting bots...

To je kar huda ranljivost, če lahko neka js skripta prevzame nadzor nad mašino. Da ne bomo mlatili samo po linux strežnikih.

@kopernik
Ponavljam, entry point še ni natančno definiran. Kraja gesel, Apache/SSH/CPanel vuln so le predpostavke, ki niso tudi (uradno) potrjene. V novici je napisano, da Linux/Apache strežnik postane odskočna deska za nadaljnje komprimiranje Windows mašin. V Apache proces vrinjen JS ne prevzame nadzor nad Win boxom, temveč zgolj poskrbi, da se na mašino naloži/zažene exe koda, ki za to poskrbi. To ni nič novega. Napredna je izključno uporaba RPI (Runtime Process Infection).

@imagodei
Kakor sem že omenil, napisal sem že nekaj novic za ST. Seveda so bile moderirane, vendar v temu ne vidim nikakršnih težav oz. ovir. Dejstvo je, da novica ni bila odstranjena, ker bi bila flamebait temveč zato, ker je anti-linux. Res upam, da se motim, zato bi bil zelo vesel, da mi nekdo posreduje link do novice kjer se kritizira linux...

Očitno jim je (vsaj glede na Cpanel link) nekdo pobral kup root passwordov in se pol šal installfest. To je edin pameten podatek iz onih povezav, tako da novica je spisana zavajajoče. Če nekdo ne zna poštimati osnovne varnosti sistema, pol to pač ni problem Apacha/Cpanel-a al pa kake tretje aplikacije.

Drugače pa evo tvoje zadnje besedilo ... da ne bomo une grde slike gor gledal:

Nekatere distribucije Linuxa (med drugim RedHat, Fedora, CentOS) z nameščenim Apache strežnikom so tarča napredne zlonamerne kode. Kompromitiranih strežnikov naj bi bilo nekaj deset tisoč, služili pa naj bi kakor odskočna deska za nadaljno kompromitacijo Windows sistemov. Vrinjeni JavaScript payload namreč izrablja znane pomankljivosti v Windows okolju (IE, QuickTime, Yahoo Toolbar, AOL Toolbar,...)

Celotna zgodba sploh ne bi bila zanimiva, če ne bi "udarila" ravno po segmentu v katerem se Linux uporabniki počutijo tako superiorne nad Windows (l)uzerji - varnosti. V javnost so prve informacije o kompromitiranih sistemih pricurljale že 25.11.2007 iz česar lahko sklepamo, da se je zlonamerna koda pojavila ITW že nekoloko prej. V teh dveh mesecih odgovornim ni uspelo odkriti vzroka, načina in vira okužb. Ugibanja tako nihajo od 0-day vrzeli v Apache/SSH strežniku do pomanjkljivosti v CPanel aplikaciji. Tudi sam način kompromitacije in distribucije trojanske kode je bil precej časa nejasen. Možni kandidati so tako bili zlonamerni kernel moduli (LKM), zapisovanje v /dev/kmem in končno RPI (Runtime Process Infection). Slednje naj bi končno bilo tudi (neuradno) potrjeno.

Seveda tudi sedaj ni popolnoma jasno katere distribucije/aplikacije so dejansko ranljive.

Mi znas povedat, kaj je sploh vsebina tega besedila?

Mimogrede, moje zadnje besedilo je šlo takole:

Nekatere distribucije Linuxa (med drugim RedHat, Fedora, CentOS) z nameščenim Apache strežnikom so tarča napredne zlonamerne kode. Kompromitiranih strežnikov naj bi bilo nekaj deset tisoč, služili pa naj bi kakor odskočna deska za nadaljno kompromitacijo Windows sistemov. Vrinjeni JavaScript payload namreč izrablja znane pomankljivosti v Windows okolju (IE, QuickTime, Yahoo! Messenger, AOL Toolbar,..).

Celotna zgodba sploh ne bi bila zanimiva, če ne bi "udarila" ravno po segmentu v katerem se Linux uporabniki počutijo tako superiorne nad Windows (l)userji - varnosti. V javnost so prve informacije o kompromitiranih sistemih pricurljale že 25.11.2007 iz česar lahko sklepamo, da se je zlonamerna koda pojavila ITW že nekoliko prej. V teh dveh mesecih odgovornim ni uspelo odkriti vzroka, načina in vira okužb. Ugibanja o entry pointu tako nihajo od 0-day vrzeli v Apache/SSH strežniku do pomanjkljivosti v CPanel aplikaciji. Tudi sam način kompromitacije in distribucije trojanske kode je bil precej časa nejasen. Možni kandidati so tako bili zlonamerni kernel moduli (LKM), zapisovanje v /dev/kmem in končno RPI (Runtime Process Infection). Slednje naj bi končno bilo tudi (neuradno) potrjeno. Vsekakor gre za root compromise, zlonamerna koda pa se distribuira z vrivanjem kode v Apache proces.

Seveda tudi sedaj ni popolnoma jasno katere distribucije/aplikacije so dejansko ranljive, večina odgovornih pa se je zatekla k " security through obscurity" pristopu in ne daje uradnih izjav.

Omenjeni incident je tako le še eden v seriji udarcev, ki spodbijajo mit o "zanesljivem in varnem" sistemu.

Seveda je tudi tokrat brez vsebine.

No, kje so linki do novic kritičnih do linuxa?

"odgovornim"? Kdo je po tvojem to v tem primeru?

Pa od kdaj je register vir varnostnih novic?

denial> Novica je mogoče flamebait (kaj tale mogoče ni?)

Ne, ta prav zagotovo ni. Faktualno opiše eno napako in niti ne postreže s hudomušno pripombo, ki bi si jo napaka vsekakor zaslužila.

Sicer pa - ker se s tem primerom pomagam ubadat (ker nobena od mojih številnih web mašin ni okužena in tako omogočajo izločanje vektorjev napada) lahko potrdim, da je problem kritičen in da bi bilo prav, če bi kdo novico spisal - ampak ker se trenutno še ne ve, kako zla koda konča na mašinah tudi ne bo škode, če se počaka na več informacij.

CPanel je objavil nov blog entry v katerem je zapisano, da je vzrok kompromitiranj večje število odtujenih gesel.

Zadevo so omenili tudi SANS, Sophos in ScanSafe.

@Gandalfar
Ne, jaz novic ne berem temveč zgolj posredujem linke.

Tebi se zdi sprejemljivo, da nekdo potrebuje dva meseca, da pride do podobnega zaključka?! Mogoče seveda je, ne pa tudi sprejemljivo.

Tisto o potencialni 0-day ranljivosti v linuxu oz. različnih aplikacijah ni zraslo na mojem zeljniku temveč je bilo omenjeno v nekaterih novicah.

JavaScript koda ni fizično nameščena na kompromitirane linux strežnike, temveč dinamično ustvarjena ter vrinjena v Apache process. Vsekakor zelo napredna zlobnakoda...

@jype
Good point. Če bi jaz to omenil bi me zopet napadel trop pobesnelih urednikov, ki (vsaj v večini) sploh ne dojame globine problema.

Novica, ki bi povzela vse te blodnje ne bi bila nič kaj drugačna od večine ostalih novic objavljenih na ST. S to razliko, da bi bil tokrat v vlogi "grešnega kozla" nekdo drug in ne Microsoft.

Verjeten scenarij: čez čas, ko bodo odkriti vsi aspekti probelma, se bo na ST pojavila novica o tem kako so strokovnjaki za informacijsko varnost z združenimi močmi odkrili in zajezili propagiranje izredno napredne trojanske kode, ki je inficirala (itak) le windows mašine.

@denial

Par stavkov je res takih, ki v samo novico ne sodijo (mogoče v poševen tisk, čeprav niti temu nisem osebno naklonjen preveč).

Da ni zadosti podatkov in da zaradi tega nebi mogli spisati novice je bedarija. Že samo dejstvo, da po dveh mesecih ni še rezultatov je zadosti dobra novica.

Kot sem že omenil: če komu ni odgovarjalo tistih par stavkov novice potem bi jih naj zbrisal in novico objavil (se mi je poleg novice pojavil že CELI odstavek!! - tako da izbris enega stavka ni nič proti temu), ne pa da se celotna novica briše. Je dosti več novic naperjenih proti marsikateri drugi tehnoloviji, OS-u, nevem čemu še pa so čisto vse objavljene. Sicer pa na trenutke na Slo-Techu primanjkuje novic, tako da kaka mogoče ne tako odmevna, kot si Slo-techovci želijo, tudi ne škodi (čeprav mora biti napisana kvalitetno in nekaj povedat).

Kdo je kriv za nastalo luknjo, če to sploh je luknja, če je, kdaj potem bo izdan popravek, itn. pa je po mojem osebnem mnenju bolj stvar bralca, kot pa editorja. Čim več ljudi izve za stvar tem bolje, saj se bodo lažje zaščitili oz. bo popravek prej izdan. To se bo pa zgodilo le, če bo novica objavljena na prvi strani, ne pa v nekem oddelku foruma, ki je manj obiskan kot severni tečaj pozimi.