» »

Linux/Apache kot vektor napada...

Linux/Apache kot vektor napada...

denial ::

Tole novico sem poslal danes na ST, vendar so jo gladko zavrnili z obrazložitvijo, da je žaljiva in spodbuja flamewar. Odnosa "linux inkvizitorjev" ne bi komentiral. Seveda bi jo lahko moderirali vendar so jo preprosto zavrnili. Zadeva se mi zdi pomembna in mogoče bo informacija prav prišla administratorjem linux sistemov:



Povezave iz novice:
http://www.cpanel.net/security/notes/random_js_toolkit.html
http://www.webhostingtalk.com/showthread.php?t=651748
http://www.linux.com/feature/125548
http://www.phrack.org/issues.html?issue=59&id=8&mode=txt
SELECT finger FROM hand WHERE id=3;
  • spremenil: denial ()

Atos ::

OK, razen ene besede pa resno ne vidim nobene potrebe, da bi objavo te novice preprečili! Tisto besedico bi pa komot lahko zbrisali, glede na to, da se mi je že zgodilo, da je k moji novici naenkrat prirasel cel odstavek.

Očitno pa nekomu ne paše novica, ki prikazuje luknjo v Linux. Drugega razloga resno ne vidim! Shame on you Omega.

OmegaBlue ::

Ja res.. shame on me.. ker nočem moderirat potem 5 stranskega izliva žolča na forum ker je (l)user napisal novico. Nihče ti ne preprečuje da novico popraviš tako kot vsi ostali, da je potem primerna za objavo - pač greš raje pizdit ob prvem komentarju.
Never attribute to malice that which can be adequately explained by stupidity.

denial ::

Meni novica ustreza v obliki kakor sem jo napisal, tebi očitno ne ustreza, zato jo ti moderiraj. No, še vedno lahko uporabiš priljubljene metode tajne policije, in preprosto pobrišeš post.

Mogoče v svoji "superiornosti" nisi opazil, da je bila novica mišljena kakor kritika "visoko opevani" računalniško-varnostni zavesti, pa tudi varnosti, OS aplikacij. Dejstvo je, da se po dveh mesecih odgovornim ša sanja ne kaj je vzrok kompromitiranj in razen s strani CPanel še nisem zasledil uradnih izjav, kar lahko enačimo s pristopom "security through obscurity".

Glede izlivov žolča. Prosim, sprehodi se malce skozi novice kjer so opisane pomankljivosti v Windows okolju, pa poglej malce komentarje in pripombe...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

OmegaBlue ::

Ah kje, brisal ne bom posta ker so taki izpadi enostavno preveč srčkani, da bi jih izgubili. Tole ni nobena kritika je navadni FUD in flamebait.

P.S.
"security through obscurity" ne pomeni da skomigneš z rameni in rečeš "ni luknje".
Never attribute to malice that which can be adequately explained by stupidity.

kopernik ::

Drugi odstavek iz prvega od podanih linkov je zelo pomemben. Naj si ga natančno prebere predvsem avtor neobjavljene novice ...

denial ::

Veliko novic, predvsem o Windows ranljivostih, je bilo FUD. Mogoče sem nekatere napisal celo sam, čeprav sem Windows (l)user. Vse so bili objavljene. Nemudoma. Kako tudi ne, saj so bile kritične do funny Wintendo OS-a.

Novica je mogoče flamebait (kaj tale mogoče ni?), FUD pa je samo za linux fundamentaliste. Zanimivo, kajti novica je dovolj pomembna za Slashdot ne pa tudi za "elitni" ST.

V glavnem, definitivno gre za root compromise. Entry point ni še natančno določen, distribucija zlobne kode pa se izvaja z vrivanjem zlonamerne kode v Apache proces (via RPI).
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

kopernik ::

V več linkih, ki si jih podal, pravijo da je bil najverjetneje dostop do kompromitiranih strežnikov dosežen s tako ali drugačno krajo gesel in ne z vdorom oz. ranljivostjo ssh procesa. In ko imaš enkrat dostop, lahko narediš precej štale. Mimogrede, to je zanimivo v luči neobjavljene novice, iz tvojega linka :

...with malware that turns their Windows machines into unwitting bots...


To je kar huda ranljivost, če lahko neka js skripta prevzame nadzor nad mašino. Da ne bomo mlatili samo po linux strežnikih.

imagodei ::

denial,

mimogrede - v neobjavljenem besedilu je velik manjko pravilno postavljenih vejic in občuten višek buzzwordov oz. kratic, tako da je tudi iz tega stališča primerna za popravek.

Res pa tovrstno moderiranje ni ravno v čast skrbnikom slo-techa. Vrli moderatorji in sploh TP bi lahko že vedeli, da od ljudi občasno lahko pričakujejo tudi nekoliko preveč začinjene novice. Če je novica aktualna, se to pač odpravi in objavi. Ne pa, da se meša formo in vsebino. S tem ste skrbniki ST preprečili ne le en flamewar, pač pa objavo dovolj pomembne novice.
- Hoc est qui sumus -

denial ::

@kopernik
Ponavljam, entry point še ni natančno definiran. Kraja gesel, Apache/SSH/CPanel vuln so le predpostavke, ki niso tudi (uradno) potrjene. V novici je napisano, da Linux/Apache strežnik postane odskočna deska za nadaljnje komprimiranje Windows mašin. V Apache proces vrinjen JS ne prevzame nadzor nad Win boxom, temveč zgolj poskrbi, da se na mašino naloži/zažene exe koda, ki za to poskrbi. To ni nič novega. Napredna je izključno uporaba RPI (Runtime Process Infection).

@imagodei
Kakor sem že omenil, napisal sem že nekaj novic za ST. Seveda so bile moderirane, vendar v temu ne vidim nikakršnih težav oz. ovir. Dejstvo je, da novica ni bila odstranjena, ker bi bila flamebait temveč zato, ker je anti-linux. Res upam, da se motim, zato bi bil zelo vesel, da mi nekdo posreduje link do novice kjer se kritizira linux...
SELECT finger FROM hand WHERE id=3;

kopernik ::

Saj proti sami novici (kompromitiranost teh strežnikov) nimam nič proti, da smo si na jasnem. Ne zdi se mi le, da lahko krajo gesel (če se to izkaže za resnično) pripišemo slabi varnost sistema, kar se tiče napadov od zunaj. Glede novice pa me zanima še, zakaj nisi pač vrgel ven tistega prvega dela v drugem odstavku ? Najbrž bi jo zatem objavili.

Daedalus ::

Očitno jim je (vsaj glede na Cpanel link) nekdo pobral kup root passwordov in se pol šal installfest. To je edin pameten podatek iz onih povezav, tako da novica je spisana zavajajoče. Če nekdo ne zna poštimati osnovne varnosti sistema, pol to pač ni problem Apacha/Cpanel-a al pa kake tretje aplikacije.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Primoz ::

denial ... tvoja novica je glede na tvoje lastne linke VSEBINSKO NAPAČNA. Očitno si porabil toliko časa za zafrkavanje, da ti je zmanjkalo časa z branje lastnih polinkanih virov.

Sedaj, če se nam novica res zdi vredna objave, jo pač nekdo spiše na novo. Ampak v primeru, kjer je v novico potrebno vložiti več dela, kot ga je vanj vložil avtor, se novica izvirnega avtorja zavrne in nekdo pač napiše novo.

Kar se mene tiče ... bi ti luserje in ostale zadeve še nekako pobrisal ven. Tudi v slovenščino bi ti jo prevedli. Ampak za to bi morali imeti kak razlog. Recimo ... vsebinsko korektnost novice.
There can be no real freedom without the freedom to fail.

Primoz ::

Drugače pa evo tvoje zadnje besedilo ... da ne bomo une grde slike gor gledal:

Nekatere distribucije Linuxa (med drugim RedHat, Fedora, CentOS) z nameščenim Apache strežnikom so tarča napredne zlonamerne kode. Kompromitiranih strežnikov naj bi bilo nekaj deset tisoč, služili pa naj bi kakor odskočna deska za nadaljno kompromitacijo Windows sistemov. Vrinjeni JavaScript payload namreč izrablja znane pomankljivosti v Windows okolju (IE, QuickTime, Yahoo Toolbar, AOL Toolbar,...)

Celotna zgodba sploh ne bi bila zanimiva, če ne bi "udarila" ravno po segmentu v katerem se Linux uporabniki počutijo tako superiorne nad Windows (l)uzerji - varnosti. V javnost so prve informacije o kompromitiranih sistemih pricurljale že 25.11.2007 iz česar lahko sklepamo, da se je zlonamerna koda pojavila ITW že nekoloko prej. V teh dveh mesecih odgovornim ni uspelo odkriti vzroka, načina in vira okužb. Ugibanja tako nihajo od 0-day vrzeli v Apache/SSH strežniku do pomanjkljivosti v CPanel aplikaciji. Tudi sam način kompromitacije in distribucije trojanske kode je bil precej časa nejasen. Možni kandidati so tako bili zlonamerni kernel moduli (LKM), zapisovanje v /dev/kmem in končno RPI (Runtime Process Infection). Slednje naj bi končno bilo tudi (neuradno) potrjeno.

Seveda tudi sedaj ni popolnoma jasno katere distribucije/aplikacije so dejansko ranljive.


Mi znas povedat, kaj je sploh vsebina tega besedila?
There can be no real freedom without the freedom to fail.

denial ::

Lep odziv s strani ST "pol-božanstev". Očitno je nepomembni luser stopil nekomu na žulj. Neverjetno kaj vse lahko pričakuješ: slovnične napake, vsebinsko neprimernost, oznako, da je novica flamebait, žaljivka in zavajajoča. Seveda nihče ne pomisli na (morebitno) 0-day ranljivost v linuxu oz. določeni aplikaciji. To se na linux platformi seveda ne dogaja...

@Deadalus:
Lepo si povedal. Če nekdo ne poskrbi za osnovno varnost sistema to ni problem razvijalca. Se strinjam. Vendar profesionalen pristop in uzance velevajo, da razvijalec izda uradno izjavo. Nekaj podobnega kakor so storili pri CPanel bi pričakovali tudi s strani Apache in omenjenih linux distribucij. Mimogrede, Microsoft ob večjih incidentih to vedno stori...

@kopernik
Zakaj nisem navrgel ven tistega drugega odstavka. Zato ker je zavajajoč. Ukradena gesla namreč niso entry point.

EDIT: Ups, verjetno misliš iz same novice. Po pravici povedano, pričakoval sem, da bodo to moderirali, nato pa so novico preprosto preprečili, kar me je zelo razhudilo. Nepristranskost pa taka...

@Primož
In ti misliš, da se zafrkavam. Motiš se. Zelo sem resen. Komentarje, da nisem prebral linkanih novic raje zadrži zase. Verjemi, prebral sem jih. Pa tudi nekatere druge. Mogoče bi jih moral tudi ti...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

denial ::

Mimogrede, moje zadnje besedilo je šlo takole:

Nekatere distribucije Linuxa (med drugim RedHat, Fedora, CentOS) z nameščenim Apache strežnikom so tarča napredne zlonamerne kode. Kompromitiranih strežnikov naj bi bilo nekaj deset tisoč, služili pa naj bi kakor odskočna deska za nadaljno kompromitacijo Windows sistemov. Vrinjeni JavaScript payload namreč izrablja znane pomankljivosti v Windows okolju (IE, QuickTime, Yahoo! Messenger, AOL Toolbar,..).

Celotna zgodba sploh ne bi bila zanimiva, če ne bi "udarila" ravno po segmentu v katerem se Linux uporabniki počutijo tako superiorne nad Windows (l)userji - varnosti. V javnost so prve informacije o kompromitiranih sistemih pricurljale že 25.11.2007 iz česar lahko sklepamo, da se je zlonamerna koda pojavila ITW že nekoliko prej. V teh dveh mesecih odgovornim ni uspelo odkriti vzroka, načina in vira okužb. Ugibanja o entry pointu tako nihajo od 0-day vrzeli v Apache/SSH strežniku do pomanjkljivosti v CPanel aplikaciji. Tudi sam način kompromitacije in distribucije trojanske kode je bil precej časa nejasen. Možni kandidati so tako bili zlonamerni kernel moduli (LKM), zapisovanje v /dev/kmem in končno RPI (Runtime Process Infection). Slednje naj bi končno bilo tudi (neuradno) potrjeno. Vsekakor gre za root compromise, zlonamerna koda pa se distribuira z vrivanjem kode v Apache proces.

Seveda tudi sedaj ni popolnoma jasno katere distribucije/aplikacije so dejansko ranljive, večina odgovornih pa se je zatekla k " security through obscurity" pristopu in ne daje uradnih izjav.

Omenjeni incident je tako le še eden v seriji udarcev, ki spodbijajo mit o "zanesljivem in varnem" sistemu.

Seveda je tudi tokrat brez vsebine.

No, kje so linki do novic kritičnih do linuxa?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

denial ::

Prilagam še dva linka. Če bi kdo dejansko imel željo izvedeti kaj več o omenjeni zlobnikodi bi jih lahko tudi sam odkril:

http://www.channelregister.co.uk/2008/01/16/mysterious_web_infection_continues/
http://www.theregister.co.uk/2008/01/11/mysterious_web_infection/

Nekaj definitivno drži kakor pribito: odgovornim v dveh mesecih ni uspelo odkriti entry pointa, pa najsi bodo to odtujeni passwordi ali 0-day!

Lahko si predstavljam kaj bi se zgodilo, če bi nastala podobna situacija na "drugi strani".

Kakopak, novica še vedno ni vredna omembe... Ne dirajte nam pingvina!
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Gandalfar ::

"odgovornim"? Kdo je po tvojem to v tem primeru?

Pa od kdaj je register vir varnostnih novic?

denial ::

@gandalfar:
Kdo naj bi bil odgovoren odkrij sam. Če se potrudiš ti bo uspelo.

Tako Register kakor Slashdot ter ostali objavljeni linki niso vir varnostnih novic. Na žalost na SI-CERT še nič ne piše o omenjeni tematiki...
SELECT finger FROM hand WHERE id=3;

jype ::

denial> Novica je mogoče flamebait (kaj tale mogoče ni?)

Ne, ta prav zagotovo ni. Faktualno opiše eno napako in niti ne postreže s hudomušno pripombo, ki bi si jo napaka vsekakor zaslužila.

Sicer pa - ker se s tem primerom pomagam ubadat (ker nobena od mojih številnih web mašin ni okužena in tako omogočajo izločanje vektorjev napada) lahko potrdim, da je problem kritičen in da bi bilo prav, če bi kdo novico spisal - ampak ker se trenutno še ne ve, kako zla koda konča na mašinah tudi ne bo škode, če se počaka na več informacij.

denial ::

@jype
Kapo dol. Končno nekdo, ki zna oceniti situacijo in vidi 2 cm dlje od tipičnega pingvinarja.

Na žalost pa se ne strinjam, da bi bilo potrebno z novico počakati. Res je celotna zadeva precej konfuzna. Zanesljive informacije pritekajo zelo počasi. Vendar so nekatera dejstva znana in ta so navedena v novici...

Ne vidim razloga zakaj bi si nek nepomemben (non-exploitable) bug v Excelu zaslužil novico, kompromitacija linux strežnikov ter napredno propagiranje zlonamerne kode pa si ne zasluži niti omembe. Razen seveda v primeru dvojnih meril...
SELECT finger FROM hand WHERE id=3;

denial ::

CPanel je objavil nov blog entry v katerem je zapisano, da je vzrok kompromitiranj večje število odtujenih gesel.

Zadevo so omenili tudi SANS, Sophos in ScanSafe.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Gandalfar ::

The cPanel security team also recognized that a majority of the affected servers come from a single undisclosed data-center. All affected systems have passwordbased authentication enabled. Based upon these findings, the cPanel security team believes that the attacker has gained access to a database of root login credentials for a large group of Linux servers. Once an attacker manually gains access to a system they can then perform various tasks.


Pa si prebral ta blog? Nekdo je ukradel neko bazo root gesel in rocno skopiral/namestil okuzene javascript file na te streznike.

Kje ti tu vidis kaksno varnostno pomanjkljivost LAMP stacka?

denial ::

@Gandalfar
Ne, jaz novic ne berem temveč zgolj posredujem linke.

Tebi se zdi sprejemljivo, da nekdo potrebuje dva meseca, da pride do podobnega zaključka?! Mogoče seveda je, ne pa tudi sprejemljivo.

Tisto o potencialni 0-day ranljivosti v linuxu oz. različnih aplikacijah ni zraslo na mojem zeljniku temveč je bilo omenjeno v nekaterih novicah.

JavaScript koda ni fizično nameščena na kompromitirane linux strežnike, temveč dinamično ustvarjena ter vrinjena v Apache process. Vsekakor zelo napredna zlobnakoda...
SELECT finger FROM hand WHERE id=3;

jype ::

Žal gre še vedno le za sklepanje cPanel security teama, tako da 100% ne moremo biti.

Zaradi zelo omejene okužbe seveda ta možnost obstaja, vendar je druga možnost (da so napadalci prenehali z napadanjem, dokler se iskanje načina okužbe ne poleže) tudi povsem verjetna.

denial> Mogoče seveda je, ne pa tudi sprejemljivo.

Hja, saj ni trajalo dva meseca, da so prišli do takega zaključka. Problem teh vdorov je komplicirana izsledljivost. Dobra reklama za shranjevanje zgolj hashov gesel, zaenkrat, pa žal nič kaj prida več od tega.

Noben honeypot še ni ujel te reči, zato si nihče še ne drzne napovedovati kako sploh pride do vdora.

Novica, ki povzame vse blodnje, ki so se v tem času pojavile v zvezi s to rečjo, pa ni prav dosti vredna in se mi zdi prav, da je uredniki niso objavili.

denial ::

@jype
Good point. Če bi jaz to omenil bi me zopet napadel trop pobesnelih urednikov, ki (vsaj v večini) sploh ne dojame globine problema.

Novica, ki bi povzela vse te blodnje ne bi bila nič kaj drugačna od večine ostalih novic objavljenih na ST. S to razliko, da bi bil tokrat v vlogi "grešnega kozla" nekdo drug in ne Microsoft.

Verjeten scenarij: čez čas, ko bodo odkriti vsi aspekti probelma, se bo na ST pojavila novica o tem kako so strokovnjaki za informacijsko varnost z združenimi močmi odkrili in zajezili propagiranje izredno napredne trojanske kode, ki je inficirala (itak) le windows mašine.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

jype ::

denial> Novica, ki bi povzela vse te blodnje ne bi bila nič kaj drugačna od večine ostalih novic objavljenih na ST.

Ššššt :)

denial> S to razliko, da bi bil tokrat v vlogi "grešnega kozla" nekdo drug in ne Microsoft.

Saj v tem je problem, ane? :)

No, jaz se bom zavzel za objavo novice, ko bo enkrat jasno, da je reč "remote" oziroma da ni. V vsakem primeru je tehnologija zelo zanimiva in ponuja en kup dobrih razlogov za bolj široko uporabo tehnologij, ki z Linux jedri pridejo poleg, ali pa se jih našraufa nanje in preprečujejo takšne reči. Tu ne gre le za direktno pacanje po kmem ampak tudi za elegantno in precej konsistentno izvedeno injectanje kode, ne da bi se to kakorkoli poznalo (razen seveda dodatnega javascripta).

No, vseeno si v novico napisal par stavkov, ki tja ne sodijo - vsaj dokler niso v tistem poševnem komentarju ob koncu zagotovo ne.

Atos ::

@denial

Par stavkov je res takih, ki v samo novico ne sodijo (mogoče v poševen tisk, čeprav niti temu nisem osebno naklonjen preveč).

Da ni zadosti podatkov in da zaradi tega nebi mogli spisati novice je bedarija. Že samo dejstvo, da po dveh mesecih ni še rezultatov je zadosti dobra novica.

Kot sem že omenil: če komu ni odgovarjalo tistih par stavkov novice potem bi jih naj zbrisal in novico objavil (se mi je poleg novice pojavil že CELI odstavek!! - tako da izbris enega stavka ni nič proti temu), ne pa da se celotna novica briše. Je dosti več novic naperjenih proti marsikateri drugi tehnoloviji, OS-u, nevem čemu še pa so čisto vse objavljene. Sicer pa na trenutke na Slo-Techu primanjkuje novic, tako da kaka mogoče ne tako odmevna, kot si Slo-techovci želijo, tudi ne škodi (čeprav mora biti napisana kvalitetno in nekaj povedat).

Kdo je kriv za nastalo luknjo, če to sploh je luknja, če je, kdaj potem bo izdan popravek, itn. pa je po mojem osebnem mnenju bolj stvar bralca, kot pa editorja. Čim več ljudi izve za stvar tem bolje, saj se bodo lažje zaščitili oz. bo popravek prej izdan. To se bo pa zgodilo le, če bo novica objavljena na prvi strani, ne pa v nekem oddelku foruma, ki je manj obiskan kot severni tečaj pozimi.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nič popravkov za okužen Windows (strani: 1 2 )

Oddelek: Novice / Varnost
5011139 (8980) Jst
»

Analiza vdora v Ubuntu strežnik

Oddelek: Novice / Varnost
224239 (2423) kekz
»

Odkrita varnostna luknja v privzeti namestitvi OpenBSD

Oddelek: Novice / Varnost
193815 (2750) Matthai
»

Microsoft trdi, da je varnost Linuxa mit (strani: 1 2 3 )

Oddelek: Novice / Ostala programska oprema
1299941 (6702) _n00b_
»

Nova luknja Internet Explorerja

Oddelek: Novice / Brskalniki
372460 (2460) Gigabit

Več podobnih tem