Gå til innhold

Første Mac-botnettet

abene

Anbefalte innlegg

Del

Del

Skrevet
Skrevet
Det morsomste er Linux, Mac og BSD brukere som tror at det finnes 100% sikre OS til desktop i dag. Personlig tviler jeg på at de noen gang vil eksistere. Selv OpenBSD har jo hatt 2 sikkerhetshull i default install da siste 10+ åra. Har du noen gang forsøkt å la bestemora de kjøre OpenBSD default install som desktop system? Noe skrint med features, bilingbling og desktop apps kanskje? Det er ikke tilfeldig. Sikkerhetshulli kjernen er sjelden problemet på en up to date WS2008 Core default install heller, som er samme kodebasen som Vista...

 

Så da burde lærdommen være at sikkerhet ikke ligger i OS kjernen på en desktop plattform!

Det kan vi være enige om, men man bør være klar over at det er betydelige forskjeller på plattformene. GNU/Linux er et svært ubehagelig miljø for en orm eller virus, og ormer og virus dør ut hvis de ikke får vokse og gro. Ergo trenger du ikke 100% sikkerhet for å unngå problemet. Sammenligningen med conficker er særs relevant, den krevde kun manglende oppdateringer, men denne som rammer Mac er avhengig av at Mac -brukeren laster ned og installerer piratprogramvare. Det er en verden av forskjell i risiko. Denne distribusjonsformen ville vært svært lite vellykket på GNU/Linux av helt naturlige grunner.
Det er mulig det allerede eksisterer et stort Linux-basert botnet, men ikke på desktopen: http://www.linuxdevices.com/news/NS2300669830.html (mer info: http://dronebl.org/blog)
Igjen er det her viktig å ha et perspektiv. Det finnes kun en GNU/Linux distribusjon som er rammet av denne, og det er OpenWrt (DD-Wrt kan knapt kalles en GNU/Linux distribusjon). Det kan da være betimelig å linke opp den offisielle uttalelsen fra OpenWrt om saken:

http://forum.openwrt.org/viewtopic.php?pid=84492#p84492

Personlig er jeg antagelig skyldig hvis denne har spredd seg, siden jeg egenhendig gjorde det menneskelig å åpne opp ssh og web-interface på OpenWrt her:

http://wiki.x-wrt.org/index.php/HowTo-Enable_Remote_Access

svært få redigerer iptables manuelt, og av de som gjør skal jeg like å se hvor mange som har dårlige passord.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Matsemann

Matsemann

Skrevet
Skrevet (endret)
Hvordan kan den skadelige koden være et PHP script? PHP er jo ren tekst som blir kjørt igjennom en server. Har Mac støtte for kjøring av PHP "out of the box"? Og kan man ikke da bare deaktivere serveren?

Tror ikke du bør uttale deg om PHP med det kunnskapsnivået.

 

PHP er et objekt orientert skript språk med ganske avanserte funksjoner. HTML derimot er ren tekst ;).

Da missforstod du mitt spørsmål. Jeg lurte på hvordan PHP-koden i det hele tatt blir kjørt. PHP er fortsatt ren tekst, ikke noe kompilerte greier. Man trenger en server med PHP for at det skal kjøres. Hvordan kan det da kjøres på vanlige maskiner? Derfor jeg spurte om Mac har "out of the box"-kjøring av PHP dokumenter. I Windows må jeg ihvertfall selv installere programvare for å kjøre dette.

 

Endret: Dessuten skal du ha takk for å kommentere kunnskapsnivået mitt. Jeg har drevet med PHP i flere år...

Endret av Matsemann
Lenke til kommentar
jonnor

jonnor

Skrevet
Skrevet
Det er mulig det allerede eksisterer et stort Linux-basert botnet, men ikke på desktopen: http://www.linuxdevices.com/news/NS2300669830.html (mer info: http://dronebl.org/blog)
Igjen er det her viktig å ha et perspektiv. Det finnes kun en GNU/Linux distribusjon som er rammet av denne, og det er OpenWrt (DD-Wrt kan knapt kalles en GNU/Linux distribusjon). Det kan da være betimelig å linke opp den offisielle uttalelsen fra OpenWrt om saken:

http://forum.openwrt.org/viewtopic.php?pid=84492#p84492

Jeg ser ingen grunn til å ikke kalle DD-wrt en GNU/Linux distro, selv om den potensielt gjør skam på navnet med alle sine lisens-overtredelser og -inkompatibiliteter. Den er forøvrig heller ikke sårbar som standard (selv om det er enklere å åpne ssh på wan der): http://www.dd-wrt.com/dd-wrtv3/community/d...outer-worm.html

Men du glemmer en meget viktig (kanskje den viktigste) gruppe systemer, og det er de komersielle distroene som er basert på GNU/Linux som eksisterer i helt "vanlige" routere. Det skal visstnok eksistere en del av disse, primært i Asia. Dersom disse inneholder sårbare vil brukerene sannsynligvis aldri vite om det. Feilen ligger selvfølgelig hos selskapet som utviklet systemet, men skaden er fortsatt skjedd.

 

Matsemann: dersom programmet har blitt innstalert sammen med tilsynelatende genuin programvare, så er det jo ingenting i veien for at de også kan ha innstalert en php-tolker, eller hva?

Lenke til kommentar
Del

Del

Skrevet
Skrevet (endret)
Jeg ser ingen grunn til å ikke kalle DD-wrt en GNU/Linux distro, selv om den potensielt gjør skam på navnet med alle sine lisens-overtredelser og -inkompatibiliteter. Den er forøvrig heller ikke sårbar som standard (selv om det er enklere å åpne ssh på wan der): http://www.dd-wrt.com/dd-wrtv3/community/d...outer-worm.html

Men du glemmer en meget viktig (kanskje den viktigste) gruppe systemer, og det er de komersielle distroene som er basert på GNU/Linux som eksisterer i helt "vanlige" routere. Det skal visstnok eksistere en del av disse, primært i Asia. Dersom disse inneholder sårbare vil brukerene sannsynligvis aldri vite om det. Feilen ligger selvfølgelig hos selskapet som utviklet systemet, men skaden er fortsatt skjedd.

Tydeligvis er vår forståelse av hva som kan kalles en GNU/Linux distribusjon ganske forskjellig. Jeg glemte ingen, jeg bare gjorde det klart at jeg ikke anså dem som GNU/Linux distribusjoner. Jeg tror tvert imot det er du som glemmer at alle disse routerne du snakker om har read-only filsystem, så denne ormen lever kun i RAM, dvs. den dør ved første strømbrudd. Endret av Del
Lenke til kommentar
8086

8086

Skrevet
Skrevet (endret)
<snip>

(...) men man bør være klar over at det er betydelige forskjeller på plattformene. GNU/Linux er et svært ubehagelig miljø for en orm eller virus, og ormer og virus dør ut hvis de ikke får vokse og gro. Ergo trenger du ikke 100% sikkerhet for å unngå problemet. Sammenligningen med conficker er særs relevant, den krevde kun manglende oppdateringer, men denne som rammer Mac er avhengig av at Mac -brukeren laster ned og installerer piratprogramvare. Det er en verden av forskjell i risiko. Denne distribusjonsformen ville vært svært lite vellykket på GNU/Linux av helt naturlige grunner.

 

Ser ikke helt hvordan du kan si det, Del. Man har da eksempler på Conficker-lignende ormer tidligere på *nix plattformer. F.eks. muliggjorde jo en bufferoverflytsfeil i OpenSSL flere forskjellige ormer som infiserte og spredde seg via forskjellige Linux distroer. Ingen måtte kjøre noe som helst - sårbare systemer ble infisert uten noen som helst interaktivitet.

 

Programmet med sårbarheten trenger jo ikke å kjøre som root for å spre seg, og når man først har fått brukertilgang til maskinen så er ikke veien lang til en (hittil ukjent) root exploit. Det er heldigvis ingen store distroer der Apache kjører med root-rettigheter lenger, men det er da heller ikke nødvendig.

 

I det hele tatt ser jo ikke noen større forskjell på Mac OS X og Linux i dette henseendet - dette kunne da like gjerne skjedd på Linux, forutsatt at vi i en eller annen teoretisk fremtid hadde kommersielle programmer som ikke lå i pakkebrønner. 

sudo Linux_PhotoshopCS5_med_skjult_trojaner

er da ikke noe mindre skadelig/farlig enn å installere programmer på Mac OS X.

 

(Med forbehold om at jeg er på jordet! :p )

Endret av 8086
Lenke til kommentar
Sokkalf™

Sokkalf™

Skrevet
Skrevet

Florerer jo forsåvidt av kommersiell (og fri..) programvare til linux på div. torrentnettsteder også, så dette kunne like gjerne skjedd på linux. Og, som gjentatt flere ganger, blir man rammet av trojanske hester, skyldes det i det store og hele "brukerfeil".

 

Pakkebrønner gir en viss trygghet, men før eller siden installerer man noe som ligger utenom, og da er man i teorien ikke tryggere enn på andre plattformer.

 

En viss kildekritikk er sunt, uansett hva det gjelder. :)

Lenke til kommentar
Del

Del

Skrevet
Skrevet
Ser ikke helt hvordan du kan si det, Del.
Si hva da, du quotet hele avsnittet.
Man har da eksempler på Conficker-lignende ormer tidligere på *nix plattformer. F.eks. muliggjorde jo en bufferoverflytsfeil i OpenSSL flere forskjellige ormer som infiserte og spredde seg via forskjellige Linux distroer. Ingen måtte kjøre noe som helst - sårbare systemer ble infisert uten noen som helst interaktivitet.
Dokumenter påstanden din. Hvilke ormer var det snakk om, og i hvilken grad og hvordan spredde de seg.
Programmet med sårbarheten trenger jo ikke å kjøre som root for å spre seg, og når man først har fått brukertilgang til maskinen så er ikke veien lang til en (hittil ukjent) root exploit. Det er heldigvis ingen store distroer der Apache kjører med root-rettigheter lenger, men det er da heller ikke nødvendig.
Du er klar over at Apache ikke en gang kjører som vanlig bruker? Hvis du ønsker å diskutere sikkerhet til web-servere, så gjerne det, men da er vi rimelig off-topic.
I det hele tatt ser jo ikke noen større forskjell på Mac OS X og Linux i dette henseendet - dette kunne da like gjerne skjedd på Linux, forutsatt at vi i en eller annen teoretisk fremtid hadde kommersielle programmer som ikke lå i pakkebrønner.
Ja, hvis Pelle hadde vært en katt ville verden vært annerledes, men Pelle er ikke en katt.
sudo Linux_PhotoshopCS5_med_skjult_trojaner

er da ikke noe mindre skadelig/farlig enn å installere programmer på Mac OS X.

 

(Med forbehold om at jeg er på jordet! :p )

Hvorfor oppkonstruere noe som ikke fins? Det er nok å åpne ssh med dårlig passord, så er du kompromittert. M.a.o.:

sudo aptitude install ssh
passwd
idiot

Hele poenget med remote access er å gi noen tilgang remote, det vil alltid kunne misbrukes hvis det ikke sikres. Det er lett å sikre seg, men det er klart det finnes, og alltid vil finnes, brukere som ikke sikrer seg. Selvfølgelig kan alle systemer kompromitteres. Det er en akademisk diskusjon. Perspektivet og risikoen er det vesentlige, og det ser verken du eller Sokkalf til å tenke på.

Lenke til kommentar
Sokkalf™

Sokkalf™

Skrevet
Skrevet (endret)
Det er en akademisk diskusjon.

Perspektivet og risikoen er det vesentlige, og det ser verken du eller Sokkalf til å tenke på.

 

Nå er det jo på "akademisk" nivå jeg diskuterer på, da. Når det gjelder hva som skjer i praksis, er det lett å se hvor både Linux og OSX befinner seg i forhold til et visst annet OS. Det jeg mener er at praksis kan endre seg. Man skal ikke ta sikkerhet for gitt.

Jeg har, som linuxbruker, opplevd å bli "eid" og fått et heller uønsket rootkit installert.

Dette er mange år siden, og var en liten vekker om at man ikke er sikker hvis man ikke tenker litt selv, uansett plattform.

Endret av Sokkalf^
Lenke til kommentar
jonnor

jonnor

Skrevet
Skrevet
Tydeligvis er vår forståelse av hva som kan kalles en GNU/Linux distribusjon ganske forskjellig. Jeg glemte ingen, jeg bare gjorde det klart at jeg ikke anså dem som GNU/Linux distribusjoner.

Tydeligvis. For meg er GNU/Linux distro en distro som benytter Linux kjernen og i stor grad GNU userspace verktøy og biblioteker. Meg bekjent oppfyller dd-wrt dette. Hvorfor er ikke dd-wrt en GNU/Linux distro i dine øyne? Hvilke andre kriterier setter du?

 

Jeg tror tvert imot det er du som glemmer at alle disse routerne du snakker om har read-only filsystem, så denne ormen lever kun i RAM, dvs. den dør ved første strømbrudd.

Alle sammen? Det skulle jeg gjerne likt å se deg dokumentere. Selv om jeg ser på det som sannsynlig at mange av systemene har primært read-only filsystemer, så ser jeg ikke bort ifra at det finnes en god del hvor en orm kan la seg innstalere. At man har kommet opp i over 50'000 zombier samtidig vitner jo kanskje også om det?

 

8086: ssh er sjeldent aktivert som standard i en skrivebordsdistro, og for at en vanlig bruker skal bli kompromittert må det typisk også settes opp port-forwarding i router fordi datamaskinen er bak en NAT. Mao; ikke det samme som Conficker.

Lenke til kommentar
Del

Del

Skrevet
Skrevet (endret)
Alle sammen? Det skulle jeg gjerne likt å se deg dokumentere. Selv om jeg ser på det som sannsynlig at mange av systemene har primært read-only filsystemer, så ser jeg ikke bort ifra at det finnes en god del hvor en orm kan la seg innstalere. At man har kommet opp i over 50'000 zombier samtidig vitner jo kanskje også om det?
En av de unike fordelene med OpenWrt er nettopp at filsystemet er rw, hvilket muliggjør pakkesystem. Nå trenger jeg heller ikke dokumentere at dette gjelder absolutt alle MIPS baserte routere som er i faresonen, det holder vel at ormen du snakker om lever i RAM?

 

Når det gjelder hva som er GNU/Linux distribusjon, så høres det ut som du er villig til å plassere OSX i kategorien. Det er for det meste basert på GNU. Jeg mener vel de fire frihetene til RMS står sentralt.

 

EDIT: Bør vel legge til at det ser ut til at denne ormen bare var aktiv et par dager for en måned siden:

This botnet has apparently been shutdown

ref. http://dronebl.org/blog/8

Endret av Del
Lenke til kommentar
jonnor

jonnor

Skrevet
Skrevet (endret)
Nå trenger jeg heller ikke dokumentere at dette gjelder absolutt alle MIPS baserte routere som er i faresonen, det holder vel at ormen du snakker om lever i RAM?

Beklager, jeg ser nå at de skriver på dronebl.org at "to disinfect, simply powercycle the device..."

 

Når det gjelder hva som er GNU/Linux distribusjon, så høres det ut som du er villig til å plassere OSX i kategorien. Det er for det meste basert på GNU. Jeg mener vel de fire frihetene til RMS står sentralt
Sist jeg sjekket benyttet OSX verken Linux kjernen (bruker Darwin, som er delvis adoptert av *BSD) eller GNU userland (selv om mange av verktøyene er tilstedet, så er det meste reimplementert med BSD eller lignende lisenser). Så nei, OSX er langt unna å falle i kategorien GNU/Linux system i mine øyne. Endret av NorthWave
Lenke til kommentar
Ravusy

Ravusy

Skrevet
Skrevet
Da missforstod du mitt spørsmål. Jeg lurte på hvordan PHP-koden i det hele tatt blir kjørt. PHP er fortsatt ren tekst, ikke noe kompilerte greier. Man trenger en server med PHP for at det skal kjøres. Hvordan kan det da kjøres på vanlige maskiner? Derfor jeg spurte om Mac har "out of the box"-kjøring av PHP dokumenter. I Windows må jeg ihvertfall selv installere programvare for å kjøre dette.

 

Endret: Dessuten skal du ha takk for å kommentere kunnskapsnivået mitt. Jeg har drevet med PHP i flere år...

PHP scripts blir lest av med en PHP parser/interpretor, det er en av grunnene for at du ikke ser noe PHP kode om du ser på kildekoden fra en webleser. Dermed er det tjenesten som bruker PHP tillegg som gjør de farlige tingene den får beskjed om å gjøre gjennom PHP scriptet.

 

I dette tilfellet DDoS med en Lua interpreter hvor PHP scriptet lager et server kall mot offeret.

 

http://ithreats.net/2009/01/23/

Lenke til kommentar
Matsemann

Matsemann

Skrevet
Skrevet
PHP scripts blir lest av med en PHP parser/interpretor, det er en av grunnene for at du ikke ser noe PHP kode om du ser på kildekoden fra en webleser. Dermed er det tjenesten som bruker PHP tillegg som gjør de farlige tingene den får beskjed om å gjøre gjennom PHP scriptet.

Ja, jeg vet alt dette...

 

Jeg spurte om hvordan de får kjørt php filene på ofrenes maskiner.

Lenke til kommentar
Ravusy

Ravusy

Skrevet
Skrevet
I dette tilfellet DDoS med en (DETTE ER EN URL ->) Lua interpreter hvor PHP scriptet lager et server kall mot offeret.

 

http://ithreats.net/2009/01/23/

 

 

Jeg spurte om hvordan de får kjørt php filene på ofrenes maskiner.

 

Les hele posten min da vel..

 

 

Les hele posten min da vel..

Når du leser mine. :)

 

Jeg har lest de og du har fått svaret ditt, Lua hint hint, hvor mange skal jeg quote mine? Følg URL'ene om du vil ha større innsikt.

Lenke til kommentar
qualbeen

qualbeen

Skrevet
Skrevet
Ja, de tør bare aldri si at de har blitt smittet. :innocent:

 

Hvordan kan den skadelige koden være et PHP script? PHP er jo ren tekst som blir kjørt igjennom en server. Har Mac støtte for kjøring av PHP "out of the box"? Og kan man ikke da bare deaktivere serveren?

Mac OS X 10.5 (Leopard) comes with both Apache 2.2.6 and PHP 5.2.4 preinstalled, but they're not enabled by default.
http://foundationphp.com/tutorials/php_leopard.php

 

Og Svedge; du burde kanskje tatt deg tid til å undersøke hva han faktisk lurte på...

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...