Сообщается о закрытии ботнета Mumblehard, включавшего около 4000 Linux-серверов. Ботнет был обнаружен более года назад и использовался преимущественно для рассылки спама. В сотрудничестве с правоохранительными органами разных стран исследователям из компании ESET удалось получить контроль над IP-адресом последнего активного управляющего сервера и инициировать операцию чистки вредоносного ПО. Выявление основного управляющего хоста затрудняло то, что хост предавал команды не напрямую, а через цепочку запутывающих прокси-серверов, которые были размещены в 63 странах.Управляющее ПО Mumblehard написано на языке Perl, но распространяется в зашифрованной форме внутри исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Кроме бэкдора, позволяющего управлять работой хоста, в комплект входит реализация высокопроизводительного SMTP-сервера, способного рассылать большие объемы спама.http://www.welivesecurity.com/2016/04/07/mumblehard-takedown-ends-army-of-linux-servers-from-spamming/Очередная эпическая победа сверхзащищённого швятого линупса.
>>1672596 (OP)Ну закрыли же. Победа.Какие вопросы?
О, явился, работяга. Ну наконец-то.
Не читая новость: ботнет распространялся через брутфорс слабых паролей ssh. Угадал?
>>1672608В том-то и интрига!
>>1672596 (OP)ПЕРДОПОБЕДА
>>1672608Однако, в этот раз с другого бока мог быть шанс:A question left open in our previous report was the initial attack vector used by Mumblehard. We knew some of the victims had been compromised through an unpatched CMS such as WordPress or Joomla, or one of their plugins.То есть помимо тупого пароля там мог быть тупо дырявый плагин от вебсервера
>>1672723Причём именно unpatched, что возвращает нас к вопросу о долбоёбам, которые накатят софт и годами его не обновляют.
>>1672724Зачем сам с собой разговариваешь?
>>1672725Затем, что тут нельзя исправлять/дополнять уже запощенное, это было дополнение вдогонку
Прочитал онли шапку. Вангую слабые пароли в каком нибудь ftp или ssh. Либо кривые cms.
>>1672596 (OP)>4000 Linux-серверов на ДебиланеВангую очередную дыру в этом колясочном пердорешете.
>>1672781Ну зачем ты врешь? Где ты увидел что они все на дебиане?Мимоарчешкольник
>>1672860Арчешколочую этого спермоюзера, как правило там красношляпа стоит или бубнута.
>>1672870И дебиан тоже. Это не дистроспецифичные дыры, но соотношение такое, что там именно шапка/центось, дебиан/убунту.
>>1672723>тупо дырявый плагин от вебсервера Как настроить SELinux@SELINUX=disabled