Pierwszy botnet linuksowy
- Dodano: 24 marca 2009
- Wprowadził: strange unknown
- Komentarze: 99
Wykryto pierwszy botnet, w skład którego wchodzą routery i modemy pod kontrolą systemu Linux.
Liczbę zainfekowanych urządzeń szacuje się na ok. 100 tys. Robak zarażał urządzenia, których hasła były łatwe do złamania lub ich wcale nie było. Dzięki temu mógł zalogować się, przejąć kontrolę nad urządzeniem i połączyć się ze specjalnym kanałem IRC aby dołączyć je do botnetu. W Internecie pojawiły się informacje o likwidacji kanału, jednak ciągłe ataki DDoS na DroneBL DNS Blacklist świadczą o tym, iż robak wciąż świetnie sobie radzi.
Dodane przez jella:
Tytuł newsa sugeruje problemy bezpieczeństwa związane z kernelem linuksowym, podczas gdy wspomniany botnet:
- opiera się o sprzęt działający również pod innymi systemami (np. VxWorks),
- wykorzystuje luki w standardowych ustawieniach oprogramowania klienckiego – źle dobranych przez producenta infekowanego sprzętu,
- wykorzystuje brak wiedzy zwykłych użytkowników korzystających z owego sprzętu – co sprowadza się do powyższego punktu, czyli nieprawidłowej konfiguracji domyślnej dostarczonej przez producenta.
Więcej informacji: http://dobreprogramy.pl/index.php?dz=15&...+linuksowy
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
99 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Piszesz o słabych zabezpieczeniach Linuksa, a na dobreprogramy jest napisane jak wół:
"Robak rozprzestrzenił się dzięki bardzo prostym hasłom lub ich brakowi."
Jak zwykle, winę ponosi użytkownik.
Tak, istotna różnica, poprawiłem niusa.
No cóż po coś w końcu różne IP łączą się z 22 (i oczywiście po coś "uwierzytelnienie nie udaje się"
).
Jak w Linuxie może istnieć coś takiego jak brak hasła? Nie da się administrować systemem bez hasła administratora
Normalnie.
Hasło to tylko forma autoryzacji. Jeśli zamiast hasła użyjesz klucza/pendrive'a, jakiejś formy zabezpieczeń biometrycznych czy bardziej pojechanych technik możesz nigdy w życiu nie być zmuszonym do wpisania hasła jako takiego.
Wszystkie te techniki mają swoje wady i zalety. Ale żadna nie zastąpi mózgu u administratora/użytkownika, a większość z nich potrafi nieźle uprzykrzyć życie.
Stosowanie wymienionych przez ciebie technik nie jest równoznaczne z brakiem hasła, tylko z brakiem konieczności ręcznego wpisywania hasła…
Myślenie nie boli!
passwd -d
dziwne, u mnie dziala…
"Nie da się administrować systemem bez hasła administratora" – to ze Ty nie potrafisz, nie oznacza wcale ze "sie nie da sie"
@Stiep
brak hasła -> puste hasło/dowolne hasło
brak autoryzacji -> nikogo nie odrzucamy
Co za problem zmienić sobie reguły pamowe aby wszystkich bez wyjątku wpuszczały na roota?
To jest właśnie jeden z tych pojechanych sposobow autoruzacji.
A o sudo kolega slyszal?
Mozna wszystko zrobic bez hasla, ale zeby az 100K takich matolow bylo w sieci to az mi sie wierzyc nie chce.
Kolejny geniusz…
Jak to bez hasła?
od tak, po prostu…
ALL=(ALL) NOPASSWD: ALL
Geniusz to ty jesteś, tylko genialność bez wiedzy na niewiele się zda…
Stiep: nie uzywales nigdy popularnego OS na litere U?
ale zeby uzyc sudo geniusze musicie najperw sie zalogowac na ktorejs z maszyn
Uruchamiasz system w trybie "single user mode" i administrujesz bez hasła.
w trybie "single user mode" zazwyczaj jest wywolywany sulogin, ktory to pyta o haslo
ale zawsze mozna podac za pomoca bootloadera init=/bin/sh jako parametr kernela
ach, stare czasy, "Linux init 1"…
w tym wypadku to raczej producent, skoro przez wanowski interface na standardowych ustawieniach dalo sie "wbic" na urzadzenie…
IMHO. W instrukcji na pierwszej stronie powinno być dużymi czerwonymi literami "Zmień hasło", a usługi domyślnie zabrane z sieci zew..
Miałem na myśli system zabezpieczeń tych właśnie urządzeń. Dzięki za zwrócenie uwagi, no i za korektę
. Błądzić jest rzeczą ludzką
Tytuł jak w fakcie czy na onecie…
A jaki inny sugerujesz?
coś związanego z głupotą użytkowników(bo inaczej sie tego nie da nazwać), oczywiście wspomniec na jakim sys to działa ale w nazwie newsa? To nic nie ma wspólnego z systemem operacyjnym. Nie wiem może "router + słabe hasło = Botnet"
Jak w Windowsie user coś zwali to wielki krzyk jaki to ten Windows jest zły… W przypadku Linuksa to nie wina tego "wspaniałego, cudownego systemu na którym wszystko wspaniale, cudownie działa", tylko głupi user…
Odnośnie tej sytuacji to system jest tu bez znaczenia, zawinił user/admin, ale coś mi mówi, że gdyby chodziło o windowsowe urządzenia to komentarze przedstawiałyby się nieco inaczej.
@Marcin Dzierzkowski: trochę ciebie nie rozumiem- ostatnia wielka wtopa windowsowa wyszła dosłownie przez to, że userzy używali zainfekowanych penów. Nie nazwałbym tego głupotą usera, bo po coś te cacka istnieją a właśnie problemem systemu. Więc tak może zanim coś skrytykujesz, to sprawdź, czy masz co- jak dla mnie głośne wpady MS miały zawsze mało wspólnego z czynnikiem ludzkim, a bardzo dużo z 'profesjonalnością' OS.
@Tomasz Woźniak: ja z kolei Ciebie nie rozumiem… Skoro to użytkownicy używali zainfekowanych penów to jest to wina systemu czy userów? I nie nazwiesz tego głupotą? To jak dam 'sudo rm -rf /' to też będzie wina systemu a nie moja głupota?
Windows przy wielu zaletach ma też wady. Jedną z nich jest podatność na różne wirusy, robaki itp. Trzeba przyjąć to do wiadomości i nauczyć się unikać zagrożeń. Sam w pracy miałem sporo problemów z wirusami na penach, ale jakoś to posprzątałem. Jeśli jednak dla kogoś to jest to zbyt duży problem to może poprosić o pomoc kogoś kto się na tym zna lub używać innego systemu. Na szczęście jest jakaś alternatywa.
Tak, zważywszy że do niedawna jeszcze mżna było przejąć kontrolę nad windowsem, umieszczając specjalnie spreparowany napę USB. System nawet nie pytał o hasło – nie musiałeś znać nazwy użytkownika, ani żadnego hasła, żeby przejąć kontrolę nad komputerem.
@Marcin Dzierzkowski: a z kolei Ciebie i ja nie rozumiem.
Skoro ten sam głupi user może tego i dowolnego innego pena wsadzić do usb gdzie zamiast wina będzie linux i _NIC_ się nie stanie, to w końcu czyja to będzie wina, bo już zupełnie zwalić na ZU tego się nie da skoro pod innym systemem będzie ok.
A problem braku haseł, lub prostych haseł jest bardzo powszechy i ganić za to trzeba ZU i to ostro, bo powodują oni problemy nie tylko sobie co potwierdza ten news.
W przypadku nerwostrady 95% modemów hasła nie ma, bądź ma '12345' lub 'neostrada', a na torrentach czy emulach latały pliki z powyciąganymi hasłami do samej usługi…
Ale chwila, jest różnica między uruchomieniem nieznanego programu (głupota), a wsadzeniem klucza USB do napędu i zainfekowaniem w ten sposób systemu (błąd systemu – system nie powinien automatycznie uruchamiać programów)
@Ark: Pod linuksami wpisuję "sudo rm -rf /" i mam problem. Pod windowsami _NIC_ się nie stanie. To w końcu czyja wina? Przecież nie ZU. Do dupy te linuksy.
do marcin dzierzkowski
"Jak w Windowsie user coś zwali to wielki krzyk jaki to ten Windows jest zły"
Znaczy się gdzie ja tak kiedyś napisałem? Kto ma trochę mózgu to wie o co chodzi, jesteśmy albo rzetelni albo się będziemy przekrzykiwać
wojtekka: Chyba tylko ubuntu ma sudo zamiast su, a i tak domyślnie pyta o twoje hasło..
@3ed
nie siej herezji sudo i su to dwa różne polecenia a nie zamienniki;]
wojtekka
pod winDOwSem rmdir C: /s /q
bez żadnych uprawnień!! wystarczy dostęp do wiersza polecenia lub skompilowany plik bat do exe… ruszy ;p
w linuxie trzeba mieć prawa…
windows server 2003
:
http://s5.tinypic.com/24zgemw.jpg
warto zauważyć że słabe bezpieczeństwo Windows XP w domach też jest błędem użytkownika który wynika z niewiedzy: mowa o działaniu na koncie administratorskim i w dodatku bez haseł
gdy się te dwie rzeczy dobrze zrobi to i XP jest całkiem bezpieczny ( i jakieś 25 razy bardziej irytujący…).
Jednak Windows XP sugeruje, by pracować na koncie Administratora. Na koncie normalnego użytkownika się przyjemnie pracuje(mniej alertów.. SIC!), jednak większość użytkowników tego nie wie. I tak, to wszystko zależy od antywira. W Windows XP trzeba by wykonać jeszcze szereg czynności, by móc się czuć dosyć spokojnym. Piszę o tak prozaicznych sprawach, jak wyłączenie autostartu z nośników wymiennych. Kto jednak o to sam zadba?
XP to pikuś, jak ładnie na koncie administratora pracuje sie w viście, 1 kliknięcie i już! da się ścierpieć UAC
No właśnie… Zabezpieczenia w Viście czy windows 7 też mnie śmieszą… W Linuxie żeby wykonać jakieś czynności związane z administracją trzeba podać hasło. W windowsie wyświetli się okienko UAC z opcją "uruchom" lub "nie uruchamiaj" – każdy najgłupszy wirus byłby w stanie to obejść symulując reakcję użytkownika…
ale jak masz ustawione hasło, to chyba trzeba je w vista wpisać nie? No przynajmniej znajomy sie mnie pytał jak to wyłączyć, bo ma neta z modemu adsl usb i zawsze po zalogowaniu musiał jeszcze raz wpisywać hasło, bo oprogramowanie od tego modemiku wymagało uprawnień administratora.
Wiesz, to 'okienko UAC' jest wyświetlane na niedostępnym programowo desktopie – tutaj nie zasymulujesz akcji użytkownika. Gdybyś chociaż raz pracował na ViścieSeven to doskonale byś o tym wiedział – system zachowuje się mocno inaczej podczas pytania o podniesienie uprawnień.
Mam propozycję, napisz takiego najgłupszego wira, który to obejdzie. Dam Ci alternatywę – przeproś za swoje zachowanie. Tak się składa, że branża AV nie zna malware'u potrafiącego sobie kliknąć.
Dokładnie tak, okna z UAC są "wywłaszczone" (używałem synergy z serwerem na Linuksie i Vistą obok, i mysz/klawiatura z serwera przestawała działać jeśli pojawiało się okienko UAC)
Żeby ominąć UAC w wielu przypadkach wystarczy odrobina socjotechniki. "Za chwilę zobaczysz prośbę o potwierdzenie uruchomienia programu. Wybierz opcję Kontynuuj."
Co zrobi szary użytkownik, który zainstalował Vistę (bo było to w miarę łatwo zrobić) i pracuje na koncie adminstratora (oczywiście z UAC)? Rzecz jasna pozwoli wirusowi wyłączyć cały mechanizm UAC i wypierniczyć dymki ostrzegawcze. Droga dla szkodnika wolna. Ewentualnie może on wyłączyć przechytywanie ekranu.
Można też przykleić złośliwy kod do instalatora zwykłego programu. Też damy mu "wolną rękę". A na antywirusy pomaga chronione hasłem archiwum self-extracting.
Żeby ominąć sudo w wielu przypadkach wystarczy odrobina socjotechniki. “Za chwilę zobaczysz prośbę o potwierdzenie uruchomienia programu. Wpisz swoje haslo.”
Socjotechnika dziala tez na Linuksach, Macach itd.
A czy ja powiedziałem że to nie zadziała na Linuksie? Wątek był o UAC, więc do niego się odniosłem
Ten groźny (ciężki do usunięcia) wirus wieloplatformowy o nazwie ludzka głupota umożliwia działanie socjotechniki.
"Łamałem ludzi, nie hasła."
ale większe prwdopodobieństwo, że ktoś jednak nad problemem sie zastanowi jest wśród użytkowników systemu linux, bo tego wymaga sam system, a w windowsach większośc rzeczy robi sie "automatycznie" poprzez kliknięcia klawiszy "ok","next->" i "install". kompletny brak logiki myślenia polega na całkowitej automatyzacji pewnych procesów, nad którymi należy sie zastanowić w linuksie
Bardzo intuicyjny, szczególnie z obserwacją kluczy i nadawaniem im uprawnień użytkownika, widać nie wiesz o czym piszesz..
Szczerze mówiąc szkoda, że to żaden bug w kodzie systemu. Taki on nudny, bezpieczny
Dokładnie… Nic się nie dzieje, spokój, wszystko działa, pliki bezpieczne… Nie ma to jak spora dawka adrenaliny przy każdym uruchomieniu waznej pracy pod windowsem
co by nie mówić o viście to ms wprowadził tam sporo ulepszeń bezpieczeństwa podczas Pwn2Own haker(anonimowy gość który wynajduje luki i sprzedaje je twórcą żeby sfinansować swoje studia) stwierdził że hakowanie pod windows teraz jest trudne a pod macos to przyjemność, co ciekawe położyli w mgnieniu oka ff,ie i opere a chrome nie dali rady
revcorey: grsec/pax daje chyba o wiele więcej..
@tomacaster: Niedawno znowu byla zdalna dziura w Linuksowym SCTP. Nawet w Windows takie rzeczy zdarzaja sie rzadziej.
To odsieje trochę linuksowych dzieci neo sądzących, że używany system wyręczy ich od myślenia:)
Dzieci neo odsieje tylko odgórna blokada internetu
Albo IPv6 bez dynamicznego ip. Brak NATa pozwoli z czystym sumieniem rozdawać bany.
No niestety, ale w IPv6 NAT też będzie możliwy, a znając polskich usługodawców na pewno z niego skorzystają.
Sprawiedliwe jest banowanie po nickach : raz zbanujesz – dajmy na to "strange unknown" – i już się nikt nie zaloguje jako "strange unknown"…
… zmienić sobie adres IP (choćby przez jakoweś proxy) nie jest wiele trudniej niż zmienić login. i dzieci neo to umieją.
Nie będzie możliwy, a informacja, która kiedyś na ten temat się pojawiła, była FUDem. Chodziło mianowicie o NATowanie adresów IPv4 do IPv6 (żeby komputer z czwórką mógł korzystać z zasobów nowej sieci). W każdym razie nie będzie sytuacji, że 2 różne komputery korzystają z jednego adresu IPv6, przynajmniej na razie.
W zasadzie jaki są przeszkody techniczne bez IPSec? Podmienia się adres/port, aktualizuje sumę kontrolną (a brak błogosławionśtwa RFC nie zniechęci…).
nat zyje i ma sie dobrze
Albo dekapitacja…
Swoją drogą jakiś taki słaby artykuł na DP. Heise miało to dzień wcześniej – http://www.heise-online.pl/news/Siec-botow-zlozona-z-domowych-routerow–/7991
Co do samego newsa – nie tylko chodzi o hasła… Niektóre routery (głównie D-Link) mają sporo błędów. Opdowiednio spreparowane HTTP zapytanie na port 80 (o zgrozo standardowo dostępny ze świata) i mamy hasło do routera zapisane czystym tekstem…
Powiem tyle po dp nie ma co wiele oczekiwać, po za tym widzę że autor newsa zarejestrował się żeby dać ten news mam nadzieję że to nie jeden z tamtejszych "ekspertów"(czytaj dzieci neo), swoją drogą komentarze na dp pokazują jakie mamy społeczeństwo "informatyczne" które nawet prostego tekstu nie umie przeczytać smutne
Gdyby tylko miały błędy, to można ściągać nowy firmware z łatkami. Tylko, że zazwyczaj wsparcie dla sprzętu domowego kończy się po góra dwóch latach. A co potem? Fanowski firmware? Jest to jakieś rozwiązanie, ale trudno byłoby przyznać, że powinno to właśnie tak wyglądać. D-Link i Linksys produkują pierdyliardy podobnych modeli, niestety kosztem późniejszych aktualizacji, których nie ma po prostu.
Routery D-Link mają domyślnie wyłączony dostęp do strony administracji spoza sieci. Więc nawet jak masz hasło, co ci po nim? (wiem, bo sam mam D-Linka)
Trochę niefortunny tytuł, bo to nie jest pierwszy linuksowy botnet. Nie jest nawet pierwszym co używa routerów. Z jednej strony całkiem skuteczny i fajnie zrobiony, a z drugiej używa najgorszej formy kontroli, najłatwiej ją wykryć i zablokować…
Może raczej: pierwszy botnet linuksowy który udało się wykryć?
Jeśli już, to nie "linuksowy", bo system nie ma żadnego znaczenia. Botnet powstał, bo skretyniali użytkownicy używali standardowych haseł albo wcale ich nie mieli.
Nie słyszałem jeszcze o linuksowym botnecie powstałym dzięki błędom systemu operacyjnego. A tak najczęściej wygląda to w windowsie.
Tytuł jest żałosny, i postuluję o zmianę na jakiś bliższy prawdzie.
jesli juz kogos powinno sie w tej sytuacji nazwac "skretynialym" to raczej producenta, bo po co wiedza techniczna ZU, np. malarzowi pokojowemu?
Chyba nawet producent nie ustawia pustego hasła.
A jak ktoś używa routera, to raczej powinien być na tyle świadom, że hasło musi zmienić. W każdej instrukcji to jest napisane przy sekcji związanej z pierwszym logowaniem do urządzenia.
Poza użytkownik jest usprawiedliwiony, gdy błędy są w systemie (jak w windows), ale jeśli jest to jego własne zaniedbanie, to powinien być odpowiedzialny za szkody wyrządzane przez jego urządzenie.
"Chyba nawet producent nie ustawia pustego hasła."
Chyba nie, ale na większości routerów danej marki hasło jest standardowe, które łatwo znaleźć w instrukcji (do ściągnięcia w pdf)
"A jak ktoś używa routera, to raczej powinien być na tyle świadom, że hasło musi zmienić. W każdej instrukcji to jest napisane przy sekcji związanej z pierwszym logowaniem do urządzenia."
No właśnie nie. Nikt nie czyta instrukcji, a jeszcze producenci starają się ułatwić jak mogą. Mój linksys miał jakiś "one touch config", który oczywiście działał tylko z windowsowym programem, więc siłą rzeczy zmuszony byłem poznać uroki strony konfiguracyjnej.
Domyślnie był też chyba włączony dostęp przez port wan i przez wifi. Ale na 22 się chyba nie da….
A ja słyszałem i nawet używałem
Nawet te "publiczne" błędy systemu pozwalają na stworzenie całkiem zgrabnego botnetu, szybko i łatwo. Błąd z kluczami w debianie, błąd z vmsplice (+marnie napisane webapp w php/mysql). Różne stare błędy które każdy gorion znajdzie w google, a potem nmapem znajdzie 20 podatnych hostów w ciągu godziny.
Bardzo często stosowane dziurawe paczki serwerowe typu LAMP (na szczęście jeszcze nikt nie odkrył 2 dziur które radośnie używam już od ponad roku).
Btw, "windowsowy" botnet też wymaga coś więcej niż kernel32.dll, wiesz?
Nawet jezeli nie ma tu winy systemu, to botnet jest wciaz linuksowy, czy Ci sie to podoba, czy nie.
hehe.. winy
niech ktoś usunie tego newsa bo zrobi zaraz zleci sie banda dzieci XP, banda dzieci Mandrivy/Ubuntu i zacznie sie walka troli tak jak jest to na dp. Tam czytanie komentarzy przypomina oglądanie programu "Duże Dzieci"
nazywanie użytkowników mandrivy i ubuntu, (windowsa z resztą też) trollami nie świadczy o tobie dobrze – a Ty jakiej dystrybucji używasz? Może powinienem ją zainstalować żeby być taki fajny jak ty?
(no chyba zdurniałeś!)
"nazywanie użytkowników mandrivy i ubuntu, (windowsa z resztą też) trollami nie świadczy o tobie dobrze"
chodziło mi o "dzieci Mandrivy/Ubuntu" którzy myślą że jak sobie zainstalują Linuxa i grają w gry przez Cedege to są wielkimi specjalistami od systemów operacyjnych. Normalni ludzie nie biją sie o to który system jest lepszy bo wszystko zależy od potrzeb klienta a nie od jakieś wyższej filozofii
poczytaj komentarze na dp to załapiesz o co chodzi
osoba która "karmi" trola przy każdej możliwej okazji też jest trolem
"a Ty jakiej dystrybucji używasz?"
to nie ma znaczenia
Boisz się, że ci paśnika zabraknie?
A jaki tam pierwszy….
Już dawno była informacja o robaku atakującym linksysy, albo d-linki… w każdym razie jedne z popularniejszych routerów. Tylko że tam to chyba nie byłą kwestia haseł, a firmware'u, któ¶y należało zauktualizować. Co prawda instalacja nie była trwała, bo robak był usuwany z pamięci po restarcie użądzenia, ale jeżeli w sieci lokalnej pozostał chociaż jeden zainfekowany egzemplaż, to w ciągu kilku minut infekował wszystkie świeżo zrestartowane
Ale nadal nie była to wina Linuksa, tylko błędów w dołączonym przez producenta oprogramowaniu (panelu administracyjnym).
czy ktokolwiek zna sposób sprawdzenia czy robak jest zainstalowany jakich urzadzen dotyczy?
Artykuł nie określa co się właściwie stało. Botnet zawiera routery i inne sprzęty sieciowe z firmware z linuxem czy też może normalne komputery? Włamania są przez ssh, http (panel administracyjny sprzętu), czy przez coś innego? Włamania są tylko gdy nie ma hasła (czyli to by były raczej "włamania") czy też jakoś łamane są hasła (jak? słownikiem?)?
Włamania są na porty 23 (telnet), ssh (22) i 80 (http) w sytuacji, gdy dane urządzenie ma
1) domyślne hasło
2) łatwe do złamania hasło (podejrzewam, że najprostsze to będą '1234' albo jakieś imię żeńskie)
3) puste hasło
(o ile dobrze pamiętam).
Po infekcji, bot automatycznie blokuje wyż wym. porty i łączy się na irca, na zadany server i kanał.
Zdarza się. Po prostu te porty, co powyżej, powinny być domyślnie zablokowane ze strony interfejsu zewnętrznego, a w niektórych typach ruterów nie były. I tak dziwnie się składa, że to te z wystawionym http i ssh na zewnątrz padly ofiarą włamywaczy. A że sprzedawane są masowo, to i ilość infekcji jest spora (użytkownicy domowi rzadko kiedy mają pojęcie jak poprawnie skonfigurować sobie komputer, a co dopiero o bezpieczeństwie w Internecie).
Kto jest winien? Autorzy firmware (głównie producenci tych urządzeń;) i użytkownicy, przy czym ciężar winy leży po stronie producenta – dostęp z zewnątrz powinien być domyślnie wyłączony! Użytkownicy (zwłaszcza ci, co się nie znają) często-gęsto w ogóle nie ruszają domyślnych ustawień urządzenia, włącznie z hasłem (o ile jakies domyślne jest ustawione), bo myślą, że skoro tak jest ustawione, to tak ma być…
Dzięki za odpowiedz. Ta informacja __KONIECZNIE__ powinna być w newsie. Wszak dziwnie się czyta antylinuxowy FUD w newsie na linuxnews.
ja w moim zostałem zmuszony do zmiany hasła za co jestem wdzięczny producentowi ;]
A, zgodnie z opisem, bot jest napisany tylko na mipsel (pecety nie są jego celem), łamie hasła (bruteforce), umie skanować sobie za serwerami MySQL i phpMyAdminem (autorzy odkrycia nie podają, czy po LANie czy nie, ale skoro WAN to "cały świat", to chyba jednak LAN) i – co jest chyba najgroźniejsze – zbiera przepuszczane przez przechodzący przez ruter ruch loginy i hasła, korzystając z Deep Packet Inspection.
Wracając do źródeł: "Also, he notes that the bot is “not linux-specific, a couple of the routers we have seen in the botnet are running VxWorks“."
Zaciekawiłeś mnie. Są jakieś tego typu urządzenia przeznaczone dla domu bądź małej firmy, które wykorzystywałyby VxWorks?
Nie wiem, staram się tylko uzupełnić artykuł. Konkretnie to wyczytałem tu – http://www.irc-junkie.org/2009-03-22/psyb0t-a-ste… – może przydałoby się dodać to do treści artykułu. Jest w miarę wyjaśnione co się dokładnie dzieje.
Jest całkiem sporo modemów do ADSL, które działają na VxWorks, np. Asmax Ar-804u, Planet ADE-4000.
@[r4]: Jakis czas temu Linksys zaczal wycofywac Linuksa na rzecz VxWorksa wlasnie.
Aczkolwiek, z tego co sie orientuje, VxWorks w tej wersji umie uruchamiac Linuksowe binarki, wiec worm chodzi rownie dobrze.
ja nie wiem ale botnet mialem 9 lat temu
OpenWRT i Tomato lekarstwem!
tomato? hmmm… widac wypadlem z obiegu
trzeba dogooglac :>
http://www.polarcloud.com/tomato
Również polecam Tomato
etam, i tak wole konfigurowac z uzyciem vi a nie interface www – tak wiec openwrt mi starcza
A akurat wczoraj wieczorem mi wpadło do głowy "moje imię botnet, bo jest nas wielu"
może przyzwałem tym zuo?
Myślę, że to rodzaj proroctwa. Popracuj nad tym – czeka cię świetlana przyszłość w antywirusowym biznesie.
Wlasnie polapalem ze mi od wczoraj ostro net zamula :/ Trzba obadac sprawe, zresetowac router i zmienic haslo.
czyli co konkretnie? d-link są bezpieczne czy nie?
wrt sa bezpieczne czy nie?
czasem trzeba miec dostep zewnatrzny a czasem nie ma jak go wylaczyc.
ja mam Dlink dsl-504T i tam nie ma opcji wylaczenia ruchu z zewnatrz.