мы все умрём, но не в этот раз

Среда, 11 Ноября 2015 г. 11:22 + в цитатник

В колонках играет - Элхэ Ниэннах/Рассказ придворного менестреля
Недавно пробежала было новость о страшном зловреде-вымогателе, шифрующем файлы на серверах с Linux и FreeBSD: "После запуска Linux.Encoder на сервере жертвы производится шифрование файлов, доступных в рамках текущих привилегий доступа. В том числе шифруется содержимое директорий с компонентами web-сайтов, git- и svn-nрепозитории, директории с данными MySQL, файлы конфигурации nginx и apache httpd, содержимое домашней директории, бэкапы и файлы с такими расширениями, как ".php", ".html", ".tar", ".gz", ".sql" и ".js". Зашифрованные файлы снабжаются расширением .encrypted. Условия расшифровки размещаются в файле README_FOR_DECRYPT.txt, который копируется в каждую директорию с зашифрованными данными. Ключ для расшифровки предлагается получить на сайте, работающем в форме скрытого сервиса Tor." За ключ для расшифровки вымогатели требуют 1 биткойн (по курсу на время появления информации около 420 долларов).

Казалось бы, мы все умрём, или же будем платить и каяться за наплевательское отношение к обновлениям. Но и тут всё не столь однозначно, как могло показаться поначалу: "Исследователи лаборатории Bitdefender проанализировали недавно анонсированное вымогательское вредоносное ПО Linux.Encoder.1, осуществляющее шифрование данных на серверах с Linux и FreeBSD, и нашли в нём серьёзный промах в организации процесса шифрования, позволяющий расшифровать данные без получения приватного ключа RSA. Результаты анализа послужили основой для написания Python-скрипта, автоматизирующего расшифровку и восстановление данных."

В общем, умирать можно погодить. Не факт, конечно, что вымогатели не последуют советам, данным в заметке, и не переделают свою программу с учётом ошибок, но в любом случае пользователям/админам следует обратить внимание на следующий факт:
"Кроме того, стали известны подробности поражения серверов вредоносным шифровальщиком. Linux.Encoder.1 проникал в систему, эксплуатируя уязвимость в платформе электронной коммерции Magento, позволяющую атакующему выполнить произвольный PHP-код на сервере."
Ну, вы поняли. 8-)

<a href="https://www.liveinternet.ru/users/zerg_from_hive/post376502776/">РјС‹ РІСЃРµ СѓРјСЂС‘Рј, РЅРѕ РЅРµ РІ СЌС‚РѕС‚ СЂР°Р·</a><br/>Р’ РєРѕР»РѕРЅРєР°С… РёРіСЂР°РµС‚ - РР»С…СЌ РќРёСЌРЅРЅР°С…/Р Р°СЃСЃРєР°Р· РїСЂРёРґРІРѕСЂРЅРѕРіРѕ РјРµРЅРµСЃС‚СЂРµР»СЏРќРµРґР°РІРЅРѕ РїСЂРѕР±РµР¶Р°Р»Р° Р±С‹Р»Рѕ РЅРѕРІРѕСЃС‚СЊ Рѕ СЃС‚СЂР°С€РЅРѕРј Р·Р»РѕРІСЂРµРґРµ-РІС‹РјРѕРіР°С‚РµР»Рµ, С€РёС„СЂСѓСЋС‰РµРј С„Р°Р№Р»С‹ РЅР° СЃРµСЂРІРµСЂР°С… СЃ Linux Рё FreeBSD: "РџРѕСЃР»Рµ Р·Р°РїСѓСЃРєР° Linux.Encoder РЅР° СЃРµСЂРІРµСЂРµ Р¶РµСЂС‚РІС‹ РїСЂРѕРёР·РІРѕРґРёС‚СЃСЏ С€РёС„СЂРѕРІР°РЅРёРµ С„Р°Р№Р»РѕРІ, РґРѕСЃС‚СѓРїРЅС‹С… РІ СЂР°РјРєР°С… С‚РµРєСѓС‰РёС… РїСЂРёРІРёР»РµРіРёР№ РґРѕСЃС‚СѓРїР°. Р’ С‚РѕРј С‡РёСЃР»Рµ С€РёС„СЂСѓРµС‚СЃСЏ СЃРѕРґРµСЂР¶РёРјРѕРµ РґРёСЂРµРєС‚РѕСЂРёР№ СЃ РєРѕРјРїРѕРЅРµРЅС‚Р°РјРё web-СЃР°Р№С‚РѕРІ, git- Рё svn-nСЂРµРїРѕР·РёС‚РѕСЂРёРё, РґРёСЂРµРєС‚РѕСЂРёРё СЃ РґР°РЅРЅС‹РјРё MySQL, С„Р°Р№Р»С‹ РєРѕРЅС„РёРіСѓСЂР°С†РёРё nginx Рё apache httpd, СЃРѕРґРµСЂР¶РёРјРѕРµ РґРѕРјР°С€РЅРµР№ РґРёСЂРµРєС‚РѕСЂРёРё, Р±СЌРєР°РїС‹ Рё С„Р°Р№Р»С‹ СЃ С‚Р°РєРёРјРё СЂР°СЃС€РёСЂРµРЅРёСЏРјРё, РєР°Рє ".php", ".html", ".tar", ".gz", ".sql" Рё ".js". Р—Р°С€РёС„СЂРѕРІР°РЅРЅС‹Рµ ... <a href="https://www.liveinternet.ru/users/zerg_from_hive/post376502776/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

Пр0грамм1ст обратиться по имени Среда, 11 Ноября 2015 г. 11:36 (ссылка)

Последний намек на то, что нужно использовать Bitrix24?
Кстати, среди разработчиков магенты мой бывший одногруппник.

Ответить С цитатой В цитатник

zerg_from_hive обратиться по имени Среда, 11 Ноября 2015 г. 12:34 (ссылка)

Пр0грамм1ст, ой. Битрикс -- это вообще комбайноподобная самодостаточная вещь в себе, даже с неким джаббероподобием внутре. Помнится, ещё долго ржали, ВНЕЗАПНО наткнувшись на автоматическую перезапись конфигов (в т.ч. my.cnf) при рестарте этого Битрикса. 8-)
А намёк (в стиле К.О. 8-) скорее на то, что за всеми этими е-коммерсами постоянно нужен глаз да глаз. Как по мне, так и битрикс -- штука стрёмная (кстати, то ли мне показалось, то ли в нём и правда хреновенько проработана связка с OpenLDAP без всяких там AD? оно-то не в тему, но осадочек остался).

Ответить С цитатой В цитатник

Пр0грамм1ст обратиться по имени Среда, 11 Ноября 2015 г. 14:51 (ссылка)

Ответ на комментарий zerg_from_hive

Обычно взламывают через WordPress. Мой сервак тоже так даже однажды взломали. А ведь у нас там висела банальная визитка. Так я нахрен удалил этот недо-CMS, вместе с апачем и пэхэпэхом. Поставил nginx и наверстал статических страниц :)

Ответить С цитатой В цитатник

zerg_from_hive обратиться по имени Среда, 11 Ноября 2015 г. 14:59 (ссылка)

Пр0грамм1ст, а вот кстати да, в WP уж точно дырок хватает. Зато просто и интуитивно понятно. 8-)
Вот не помню только, через что именно одному товарищу битмайнера подсадили: то-то смеху было, когда обнаружилось, что практически все ресурсы проца пошли на биткойны для чужого дяди... 8-)
А для визитки действительно статики с nginx-ом выше крыши хватит.

Ответить С цитатой В цитатник

LiveInternetLiveInternet

-Метки

-Музыка

-Подписка по e-mail

-Поиск по дневнику

-Постоянные читатели

-Сообщества

-Статистика

мы все умрём, но не в этот раз