The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."  +/
Сообщение от opennews (ok) on 26-Сен-14, 12:16 
Представлен (http://draios.com/shellshock-sysdig/) новый выпуск утилиты sysdig (http://www.sysdig.org/), предназначенной для диагностики проблем и изучения особенностей работы системы. В новом выпуске добавлен (https://github.com/draios/sysdig/releases/tag/0.1.89) режим shellshock_detect для выявления активности в системе, вызванной совершением успешных атак, эксплуатирующих уязвимость в Bash (https://www.opennet.ru/opennews/art.shtml?num=40667) (Shellshock). Кроме того, добавлена опция spy_file для отслеживания всех операций чтения и записи для любых файлов. Подробнее о возможностях sysdig можно прочитать в тексте первого анонса (https://www.opennet.ru/opennews/art.shtml?num=39492) данной программы.


В случае успешной атаки запуск "sysdig -c shellshock_detect" покажет примерно такой вывод:


<font color="#461b7e">
   TIME                  PROCNAME              PID     FUNCTION
   13:51:18.779785087    apache2               2746    () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd
   13:52:31.459230424    dhclient              2896    () { :;} ; echo busted
</font>

С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах Linux и подверженности уязвимости таких систем, как CPanel, опасность проблемы оценивается некоторыми экспертами безопасности как сопоставимая с Heartbleed-уязвимостью (https://www.opennet.ru/opennews/art.shtml?num=39518) в OpenSSL. Например, в логах HTTP-серверов уже активно наблюдаются попытки эксплуатации уязвимости через передачу модифицированных Cookie или User-Agent, продемонстрированы (https://www.trustedsec.com/september-2014/shellshock-dhcp-rc.../) успешные атаки на DHCP-клиентов и публичные репозитории Git/Subversion с доступом по SSH.


URL: http://draios.com/shellshock-sysdig/
Новость: https://www.opennet.ru/opennews/art.shtml?num=40678

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."  –2 +/
Сообщение от iZEN (ok) on 26-Сен-14, 12:16 
>С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах

Но зачем? Чем неподходящий /bin/sh?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."  +1 +/
Сообщение от Аноним (??) on 26-Сен-14, 19:41 
Зачем вы ездите на этих небезопасных и ломких автомобилях? На моей телеге сложно убиться и я могу ее отремонтировать прямо в сарае!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."  +/
Сообщение от Журналовращатель on 26-Сен-14, 12:38 
даже 10 лет назад это было уже не удобно. А в эмбеддовке - да, sh из состава бузибоха
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."  –1 +/
Сообщение от Аноним (??) on 26-Сен-14, 14:11 
И в большинстве дистров его нет. А утилита для поиска уязвимостей и следов взлома же мастхев.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выпуск sysdig 0.1.89 с поддержкой выявления активности, связ..."  +/
Сообщение от Аноним (??) on 26-Сен-14, 19:42 
> И в большинстве дистров его нет. А утилита для поиска уязвимостей и
> следов взлома же мастхев.

Утилита вообще умеет уйму всего - крутота.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."  +/
Сообщение от Аноним (??) on 26-Сен-14, 19:43 
> как сопоставимая с Heartbleed-уязвимостью в OpenSSL.

Хуже! Достаточно получить IP с вражеского DHCP - и все, пиндык.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."  +/
Сообщение от pavlinux (ok) on 26-Сен-14, 21:34 
> Installation
> curl -s https://s3.amazonaws.com/download.draios.com/stable/install-... | sudo bash

Угу, а рута им не показать?

---
Йопт, ещё им trace на сервере включить!!!

sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)


Нунах, rm -f /bin/bash безопаснее будет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."  +/
Сообщение от Аноним (??) on 26-Сен-14, 22:06 
Чуть ниже manual install не додумался смотреть, сразу кричать в комменты полез?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."  +/
Сообщение от Аноним (??) on 26-Сен-14, 22:53 
> Угу, а рута им не показать?

Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит. Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.

> Йопт, ещё им trace на сервере включить!!!

Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)

> Нунах, rm -f /bin/bash безопаснее будет.

Да что уж там, dd -if=/dev/zero -of=/dev/sdX будет надежнее. А то вдруг после твоего патча Барм... Баклана умрет не все? :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Выпуск sysdig 0.1.89 с возможностью выявления активности, св..."  +/
Сообщение от pavlinux (ok) on 28-Сен-14, 05:45 
>> Угу, а рута им не показать?
> Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит.
> Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.
>> Йопт, ещё им trace на сервере включить!!!
> Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)

Пля, прикинь, а мужики на наноядрах отлаживают, там не то что трассировки,
там дамп памяти хрен сделаешь и брякпоинты не поставишь.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру