Pierwszy botnet linuksowy

Wykryto pierwszy botnet, w skład którego wchodzą routery i modemy pod kontrolą systemu Linux.

Liczbę zainfekowanych urządzeń szacuje się na ok. 100 tys. Robak zarażał urządzenia, których hasła były łatwe do złamania lub ich wcale nie było. Dzięki temu mógł zalogować się, przejąć kontrolę nad urządzeniem i połączyć się ze specjalnym kanałem IRC aby dołączyć je do botnetu. W Internecie pojawiły się informacje o likwidacji kanału, jednak ciągłe ataki DDoS na DroneBL DNS Blacklist świadczą o tym, iż robak wciąż świetnie sobie radzi.

Dodane przez jella:

Tytuł newsa sugeruje problemy bezpieczeństwa związane z kernelem linuksowym, podczas gdy wspomniany botnet:

  1. opiera się o sprzęt działający również pod innymi systemami (np. VxWorks),
  2. wykorzystuje luki w standardowych ustawieniach oprogramowania klienckiego – źle dobranych przez producenta infekowanego sprzętu,
  3. wykorzystuje brak wiedzy zwykłych użytkowników korzystających z owego sprzętu – co sprowadza się do powyższego punktu, czyli nieprawidłowej konfiguracji domyślnej dostarczonej przez producenta.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar Emdé
    Emdé

    Piszesz o słabych zabezpieczeniach Linuksa, a na dobreprogramy jest napisane jak wół:

    "Robak rozprzestrzenił się dzięki bardzo prostym hasłom lub ich brakowi."

    Jak zwykle, winę ponosi użytkownik.

    1. Awatar czepol
      czepol

      Tak, istotna różnica, poprawiłem niusa.

    2. Awatar Maciej Piechotka
      Maciej Piechotka

      No cóż po coś w końcu różne IP łączą się z 22 (i oczywiście po coś "uwierzytelnienie nie udaje się" 😉 ).

    3. Awatar Mariusz
      Mariusz

      Jak w Linuxie może istnieć coś takiego jak brak hasła? Nie da się administrować systemem bez hasła administratora

      1. Awatar ak47
        ak47

        Normalnie.
        Hasło to tylko forma autoryzacji. Jeśli zamiast hasła użyjesz klucza/pendrive'a, jakiejś formy zabezpieczeń biometrycznych czy bardziej pojechanych technik możesz nigdy w życiu nie być zmuszonym do wpisania hasła jako takiego.
        Wszystkie te techniki mają swoje wady i zalety. Ale żadna nie zastąpi mózgu u administratora/użytkownika, a większość z nich potrafi nieźle uprzykrzyć życie.

        1. Awatar Stiep
          Stiep

          Stosowanie wymienionych przez ciebie technik nie jest równoznaczne z brakiem hasła, tylko z brakiem konieczności ręcznego wpisywania hasła…
          Myślenie nie boli!

        2. Awatar jellonek
          jellonek

          passwd -d
          dziwne, u mnie dziala…
          "Nie da się administrować systemem bez hasła administratora" – to ze Ty nie potrafisz, nie oznacza wcale ze "sie nie da sie"

        3. Awatar ak47
          ak47

          @Stiep
          brak hasła -> puste hasło/dowolne hasło
          brak autoryzacji -> nikogo nie odrzucamy
          Co za problem zmienić sobie reguły pamowe aby wszystkich bez wyjątku wpuszczały na roota?
          To jest właśnie jeden z tych pojechanych sposobow autoruzacji.

      2. Awatar mgroch
        mgroch

        A o sudo kolega slyszal?
        Mozna wszystko zrobic bez hasla, ale zeby az 100K takich matolow bylo w sieci to az mi sie wierzyc nie chce.

        1. Awatar Stiep
          Stiep

          Kolejny geniusz…
          Jak to bez hasła?

        2. Awatar jellonek
          jellonek

          od tak, po prostu…

        3. Awatar A
          A

          ALL=(ALL) NOPASSWD: ALL

          Geniusz to ty jesteś, tylko genialność bez wiedzy na niewiele się zda…

        4. Awatar nat
          nat

          Stiep: nie uzywales nigdy popularnego OS na litere U?

        5. Awatar generic
          generic

          ale zeby uzyc sudo geniusze musicie najperw sie zalogowac na ktorejs z maszyn

      3. Awatar karakar
        karakar

        Uruchamiasz system w trybie "single user mode" i administrujesz bez hasła.

        1. Awatar jellonek
          jellonek

          w trybie "single user mode" zazwyczaj jest wywolywany sulogin, ktory to pyta o haslo 😉
          ale zawsze mozna podac za pomoca bootloadera init=/bin/sh jako parametr kernela 😉

        2. Awatar nat
          nat

          ach, stare czasy, "Linux init 1"…

    4. Awatar jellonek
      jellonek

      w tym wypadku to raczej producent, skoro przez wanowski interface na standardowych ustawieniach dalo sie "wbic" na urzadzenie…

      1. Awatar 3ed
        3ed

        IMHO. W instrukcji na pierwszej stronie powinno być dużymi czerwonymi literami "Zmień hasło", a usługi domyślnie zabrane z sieci zew..

  2. Awatar strange unknown
    strange unknown

    Miałem na myśli system zabezpieczeń tych właśnie urządzeń. Dzięki za zwrócenie uwagi, no i za korektę 🙂 . Błądzić jest rzeczą ludzką

  3. Awatar revcorey
    revcorey

    Tytuł jak w fakcie czy na onecie…

    1. Awatar niedzwiedz_2
      niedzwiedz_2

      A jaki inny sugerujesz?

      1. Awatar revcorey
        revcorey

        coś związanego z głupotą użytkowników(bo inaczej sie tego nie da nazwać), oczywiście wspomniec na jakim sys to działa ale w nazwie newsa? To nic nie ma wspólnego z systemem operacyjnym. Nie wiem może "router + słabe hasło = Botnet"

        1. Awatar Marcin Dzierzkowski
          Marcin Dzierzkowski

          Jak w Windowsie user coś zwali to wielki krzyk jaki to ten Windows jest zły… W przypadku Linuksa to nie wina tego "wspaniałego, cudownego systemu na którym wszystko wspaniale, cudownie działa", tylko głupi user…

          Odnośnie tej sytuacji to system jest tu bez znaczenia, zawinił user/admin, ale coś mi mówi, że gdyby chodziło o windowsowe urządzenia to komentarze przedstawiałyby się nieco inaczej.

        2. Awatar Tomasz Woźniak
          Tomasz Woźniak

          @Marcin Dzierzkowski: trochę ciebie nie rozumiem- ostatnia wielka wtopa windowsowa wyszła dosłownie przez to, że userzy używali zainfekowanych penów. Nie nazwałbym tego głupotą usera, bo po coś te cacka istnieją a właśnie problemem systemu. Więc tak może zanim coś skrytykujesz, to sprawdź, czy masz co- jak dla mnie głośne wpady MS miały zawsze mało wspólnego z czynnikiem ludzkim, a bardzo dużo z 'profesjonalnością' OS.

        3. Awatar Marcin Dzierzkowski
          Marcin Dzierzkowski

          @Tomasz Woźniak: ja z kolei Ciebie nie rozumiem… Skoro to użytkownicy używali zainfekowanych penów to jest to wina systemu czy userów? I nie nazwiesz tego głupotą? To jak dam 'sudo rm -rf /' to też będzie wina systemu a nie moja głupota?

          Windows przy wielu zaletach ma też wady. Jedną z nich jest podatność na różne wirusy, robaki itp. Trzeba przyjąć to do wiadomości i nauczyć się unikać zagrożeń. Sam w pracy miałem sporo problemów z wirusami na penach, ale jakoś to posprzątałem. Jeśli jednak dla kogoś to jest to zbyt duży problem to może poprosić o pomoc kogoś kto się na tym zna lub używać innego systemu. Na szczęście jest jakaś alternatywa.

        4. Awatar Mariusz
          Mariusz

          Tak, zważywszy że do niedawna jeszcze mżna było przejąć kontrolę nad windowsem, umieszczając specjalnie spreparowany napę USB. System nawet nie pytał o hasło – nie musiałeś znać nazwy użytkownika, ani żadnego hasła, żeby przejąć kontrolę nad komputerem.

        5. Awatar Ark
          Ark

          @Marcin Dzierzkowski: a z kolei Ciebie i ja nie rozumiem.
          Skoro ten sam głupi user może tego i dowolnego innego pena wsadzić do usb gdzie zamiast wina będzie linux i _NIC_ się nie stanie, to w końcu czyja to będzie wina, bo już zupełnie zwalić na ZU tego się nie da skoro pod innym systemem będzie ok.

          A problem braku haseł, lub prostych haseł jest bardzo powszechy i ganić za to trzeba ZU i to ostro, bo powodują oni problemy nie tylko sobie co potwierdza ten news.
          W przypadku nerwostrady 95% modemów hasła nie ma, bądź ma '12345' lub 'neostrada', a na torrentach czy emulach latały pliki z powyciąganymi hasłami do samej usługi…

        6. Awatar abc
          abc

          Ale chwila, jest różnica między uruchomieniem nieznanego programu (głupota), a wsadzeniem klucza USB do napędu i zainfekowaniem w ten sposób systemu (błąd systemu – system nie powinien automatycznie uruchamiać programów)

        7. Awatar wojtekka
          wojtekka

          @Ark: Pod linuksami wpisuję "sudo rm -rf /" i mam problem. Pod windowsami _NIC_ się nie stanie. To w końcu czyja wina? Przecież nie ZU. Do dupy te linuksy.

        8. Awatar revcorey
          revcorey

          do marcin dzierzkowski
          "Jak w Windowsie user coś zwali to wielki krzyk jaki to ten Windows jest zły"
          Znaczy się gdzie ja tak kiedyś napisałem? Kto ma trochę mózgu to wie o co chodzi, jesteśmy albo rzetelni albo się będziemy przekrzykiwać

        9. Awatar 3ed
          3ed

          wojtekka: Chyba tylko ubuntu ma sudo zamiast su, a i tak domyślnie pyta o twoje hasło..

        10. Awatar ak47
          ak47

          @3ed
          nie siej herezji sudo i su to dwa różne polecenia a nie zamienniki;]

        11. Awatar gothmori
          gothmori

          wojtekka

          pod winDOwSem rmdir C: /s /q

          bez żadnych uprawnień!! wystarczy dostęp do wiersza polecenia lub skompilowany plik bat do exe… ruszy ;p
          w linuxie trzeba mieć prawa…

          windows server 2003
          :
          http://s5.tinypic.com/24zgemw.jpg

  4. Awatar barteq
    barteq

    Swoją drogą jakiś taki słaby artykuł na DP. Heise miało to dzień wcześniej – http://www.heise-online.pl/news/Siec-botow-zlozona-z-domowych-routerow–/7991

    Co do samego newsa – nie tylko chodzi o hasła… Niektóre routery (głównie D-Link) mają sporo błędów. Opdowiednio spreparowane HTTP zapytanie na port 80 (o zgrozo standardowo dostępny ze świata) i mamy hasło do routera zapisane czystym tekstem…

    1. Awatar revcorey
      revcorey

      Powiem tyle po dp nie ma co wiele oczekiwać, po za tym widzę że autor newsa zarejestrował się żeby dać ten news mam nadzieję że to nie jeden z tamtejszych "ekspertów"(czytaj dzieci neo), swoją drogą komentarze na dp pokazują jakie mamy społeczeństwo "informatyczne" które nawet prostego tekstu nie umie przeczytać smutne 🙁

    2. Awatar SeeM
      SeeM

      Gdyby tylko miały błędy, to można ściągać nowy firmware z łatkami. Tylko, że zazwyczaj wsparcie dla sprzętu domowego kończy się po góra dwóch latach. A co potem? Fanowski firmware? Jest to jakieś rozwiązanie, ale trudno byłoby przyznać, że powinno to właśnie tak wyglądać. D-Link i Linksys produkują pierdyliardy podobnych modeli, niestety kosztem późniejszych aktualizacji, których nie ma po prostu.

    3. Awatar Phitherek_
      Phitherek_

      Routery D-Link mają domyślnie wyłączony dostęp do strony administracji spoza sieci. Więc nawet jak masz hasło, co ci po nim? (wiem, bo sam mam D-Linka)

  5. Awatar soda2
    soda2

    warto zauważyć że słabe bezpieczeństwo Windows XP w domach też jest błędem użytkownika który wynika z niewiedzy: mowa o działaniu na koncie administratorskim i w dodatku bez haseł 🙂 gdy się te dwie rzeczy dobrze zrobi to i XP jest całkiem bezpieczny ( i jakieś 25 razy bardziej irytujący…).

    1. Awatar Sławek
      Sławek

      Jednak Windows XP sugeruje, by pracować na koncie Administratora. Na koncie normalnego użytkownika się przyjemnie pracuje(mniej alertów.. SIC!), jednak większość użytkowników tego nie wie. I tak, to wszystko zależy od antywira. W Windows XP trzeba by wykonać jeszcze szereg czynności, by móc się czuć dosyć spokojnym. Piszę o tak prozaicznych sprawach, jak wyłączenie autostartu z nośników wymiennych. Kto jednak o to sam zadba?

      1. Awatar Apage
        Apage

        XP to pikuś, jak ładnie na koncie administratora pracuje sie w viście, 1 kliknięcie i już! da się ścierpieć UAC

        1. Awatar Mariusz
          Mariusz

          No właśnie… Zabezpieczenia w Viście czy windows 7 też mnie śmieszą… W Linuxie żeby wykonać jakieś czynności związane z administracją trzeba podać hasło. W windowsie wyświetli się okienko UAC z opcją "uruchom" lub "nie uruchamiaj" – każdy najgłupszy wirus byłby w stanie to obejść symulując reakcję użytkownika…

        2. Awatar marcinsud
          marcinsud

          ale jak masz ustawione hasło, to chyba trzeba je w vista wpisać nie? No przynajmniej znajomy sie mnie pytał jak to wyłączyć, bo ma neta z modemu adsl usb i zawsze po zalogowaniu musiał jeszcze raz wpisywać hasło, bo oprogramowanie od tego modemiku wymagało uprawnień administratora.

        3. Awatar LV
          LV

          Wiesz, to 'okienko UAC' jest wyświetlane na niedostępnym programowo desktopie – tutaj nie zasymulujesz akcji użytkownika. Gdybyś chociaż raz pracował na ViścieSeven to doskonale byś o tym wiedział – system zachowuje się mocno inaczej podczas pytania o podniesienie uprawnień.

          Mam propozycję, napisz takiego najgłupszego wira, który to obejdzie. Dam Ci alternatywę – przeproś za swoje zachowanie. Tak się składa, że branża AV nie zna malware'u potrafiącego sobie kliknąć.

        4. Awatar Jabbas
          Jabbas

          Dokładnie tak, okna z UAC są "wywłaszczone" (używałem synergy z serwerem na Linuksie i Vistą obok, i mysz/klawiatura z serwera przestawała działać jeśli pojawiało się okienko UAC)

        5. Awatar mmalek
          mmalek

          Żeby ominąć UAC w wielu przypadkach wystarczy odrobina socjotechniki. "Za chwilę zobaczysz prośbę o potwierdzenie uruchomienia programu. Wybierz opcję Kontynuuj."

          Co zrobi szary użytkownik, który zainstalował Vistę (bo było to w miarę łatwo zrobić) i pracuje na koncie adminstratora (oczywiście z UAC)? Rzecz jasna pozwoli wirusowi wyłączyć cały mechanizm UAC i wypierniczyć dymki ostrzegawcze. Droga dla szkodnika wolna. Ewentualnie może on wyłączyć przechytywanie ekranu.

          Można też przykleić złośliwy kod do instalatora zwykłego programu. Też damy mu "wolną rękę". A na antywirusy pomaga chronione hasłem archiwum self-extracting.

        6. Awatar mini
          mini

          Żeby ominąć sudo w wielu przypadkach wystarczy odrobina socjotechniki. “Za chwilę zobaczysz prośbę o potwierdzenie uruchomienia programu. Wpisz swoje haslo.”

          Socjotechnika dziala tez na Linuksach, Macach itd.

        7. Awatar mmalek
          mmalek

          A czy ja powiedziałem że to nie zadziała na Linuksie? Wątek był o UAC, więc do niego się odniosłem 😛

          Ten groźny (ciężki do usunięcia) wirus wieloplatformowy o nazwie ludzka głupota umożliwia działanie socjotechniki.

          "Łamałem ludzi, nie hasła."

        8. Awatar zonk486
          zonk486

          ale większe prwdopodobieństwo, że ktoś jednak nad problemem sie zastanowi jest wśród użytkowników systemu linux, bo tego wymaga sam system, a w windowsach większośc rzeczy robi sie "automatycznie" poprzez kliknięcia klawiszy "ok","next->" i "install". kompletny brak logiki myślenia polega na całkowitej automatyzacji pewnych procesów, nad którymi należy sie zastanowić w linuksie

    2. Awatar 3ed
      3ed

      Bardzo intuicyjny, szczególnie z obserwacją kluczy i nadawaniem im uprawnień użytkownika, widać nie wiesz o czym piszesz..

  6. Awatar tomacaster
    tomacaster

    Szczerze mówiąc szkoda, że to żaden bug w kodzie systemu. Taki on nudny, bezpieczny 🙁

    1. Awatar niedzwiedz_2
      niedzwiedz_2

      Dokładnie… Nic się nie dzieje, spokój, wszystko działa, pliki bezpieczne… Nie ma to jak spora dawka adrenaliny przy każdym uruchomieniu waznej pracy pod windowsem 😀

      1. Awatar revcorey
        revcorey

        co by nie mówić o viście to ms wprowadził tam sporo ulepszeń bezpieczeństwa podczas Pwn2Own haker(anonimowy gość który wynajduje luki i sprzedaje je twórcą żeby sfinansować swoje studia) stwierdził że hakowanie pod windows teraz jest trudne a pod macos to przyjemność, co ciekawe położyli w mgnieniu oka ff,ie i opere a chrome nie dali rady

        1. Awatar 3ed
          3ed

          revcorey: grsec/pax daje chyba o wiele więcej.. 😉

    2. Awatar trasz
      trasz

      @tomacaster: Niedawno znowu byla zdalna dziura w Linuksowym SCTP. Nawet w Windows takie rzeczy zdarzaja sie rzadziej.

  7. Awatar PIotr
    PIotr

    To odsieje trochę linuksowych dzieci neo sądzących, że używany system wyręczy ich od myślenia:)

    1. Awatar niedzwiedz_2
      niedzwiedz_2

      Dzieci neo odsieje tylko odgórna blokada internetu 😛

      1. Awatar Rsh
        Rsh

        Albo IPv6 bez dynamicznego ip. Brak NATa pozwoli z czystym sumieniem rozdawać bany.

        1. Awatar Bananikus
          Bananikus

          No niestety, ale w IPv6 NAT też będzie możliwy, a znając polskich usługodawców na pewno z niego skorzystają.

        2. Awatar maciek
          maciek

          Sprawiedliwe jest banowanie po nickach : raz zbanujesz – dajmy na to "strange unknown" – i już się nikt nie zaloguje jako "strange unknown"…

          … zmienić sobie adres IP (choćby przez jakoweś proxy) nie jest wiele trudniej niż zmienić login. i dzieci neo to umieją.

        3. Awatar haael
          haael

          No niestety, ale w IPv6 NAT też będzie możliwy, a znając polskich usługodawców na pewno z niego skorzystają.

          Nie będzie możliwy, a informacja, która kiedyś na ten temat się pojawiła, była FUDem. Chodziło mianowicie o NATowanie adresów IPv4 do IPv6 (żeby komputer z czwórką mógł korzystać z zasobów nowej sieci). W każdym razie nie będzie sytuacji, że 2 różne komputery korzystają z jednego adresu IPv6, przynajmniej na razie.

        4. Awatar Maciej Piechotka
          Maciej Piechotka

          W zasadzie jaki są przeszkody techniczne bez IPSec? Podmienia się adres/port, aktualizuje sumę kontrolną (a brak błogosławionśtwa RFC nie zniechęci…).

        5. Awatar nat
          nat

          nat zyje i ma sie dobrze 😉

      2. Awatar Asasello
        Asasello

        Albo dekapitacja…

  8. Awatar groszek
    groszek

    Trochę niefortunny tytuł, bo to nie jest pierwszy linuksowy botnet. Nie jest nawet pierwszym co używa routerów. Z jednej strony całkiem skuteczny i fajnie zrobiony, a z drugiej używa najgorszej formy kontroli, najłatwiej ją wykryć i zablokować…

    Może raczej: pierwszy botnet linuksowy który udało się wykryć?

    1. Awatar xd
      xd

      Jeśli już, to nie "linuksowy", bo system nie ma żadnego znaczenia. Botnet powstał, bo skretyniali użytkownicy używali standardowych haseł albo wcale ich nie mieli.

      Nie słyszałem jeszcze o linuksowym botnecie powstałym dzięki błędom systemu operacyjnego. A tak najczęściej wygląda to w windowsie.

      Tytuł jest żałosny, i postuluję o zmianę na jakiś bliższy prawdzie.

      1. Awatar jellonek
        jellonek

        jesli juz kogos powinno sie w tej sytuacji nazwac "skretynialym" to raczej producenta, bo po co wiedza techniczna ZU, np. malarzowi pokojowemu?

        1. Awatar xd
          xd

          Chyba nawet producent nie ustawia pustego hasła.

          A jak ktoś używa routera, to raczej powinien być na tyle świadom, że hasło musi zmienić. W każdej instrukcji to jest napisane przy sekcji związanej z pierwszym logowaniem do urządzenia.

          Poza użytkownik jest usprawiedliwiony, gdy błędy są w systemie (jak w windows), ale jeśli jest to jego własne zaniedbanie, to powinien być odpowiedzialny za szkody wyrządzane przez jego urządzenie.

        2. Awatar asymon
          asymon

          "Chyba nawet producent nie ustawia pustego hasła."

          Chyba nie, ale na większości routerów danej marki hasło jest standardowe, które łatwo znaleźć w instrukcji (do ściągnięcia w pdf)

          "A jak ktoś używa routera, to raczej powinien być na tyle świadom, że hasło musi zmienić. W każdej instrukcji to jest napisane przy sekcji związanej z pierwszym logowaniem do urządzenia."

          No właśnie nie. Nikt nie czyta instrukcji, a jeszcze producenci starają się ułatwić jak mogą. Mój linksys miał jakiś "one touch config", który oczywiście działał tylko z windowsowym programem, więc siłą rzeczy zmuszony byłem poznać uroki strony konfiguracyjnej.

          Domyślnie był też chyba włączony dostęp przez port wan i przez wifi. Ale na 22 się chyba nie da….

      2. Awatar groszek
        groszek

        A ja słyszałem i nawet używałem 🙂
        Nawet te "publiczne" błędy systemu pozwalają na stworzenie całkiem zgrabnego botnetu, szybko i łatwo. Błąd z kluczami w debianie, błąd z vmsplice (+marnie napisane webapp w php/mysql). Różne stare błędy które każdy gorion znajdzie w google, a potem nmapem znajdzie 20 podatnych hostów w ciągu godziny.
        Bardzo często stosowane dziurawe paczki serwerowe typu LAMP (na szczęście jeszcze nikt nie odkrył 2 dziur które radośnie używam już od ponad roku).

        Btw, "windowsowy" botnet też wymaga coś więcej niż kernel32.dll, wiesz?

      3. Awatar mini
        mini

        Nawet jezeli nie ma tu winy systemu, to botnet jest wciaz linuksowy, czy Ci sie to podoba, czy nie.

        1. Awatar nat
          nat

          hehe.. winy 🙂

  9. Awatar Pr0100
    Pr0100

    niech ktoś usunie tego newsa bo zrobi zaraz zleci sie banda dzieci XP, banda dzieci Mandrivy/Ubuntu i zacznie sie walka troli tak jak jest to na dp. Tam czytanie komentarzy przypomina oglądanie programu "Duże Dzieci" 🙂

    1. Awatar soda2
      soda2

      nazywanie użytkowników mandrivy i ubuntu, (windowsa z resztą też) trollami nie świadczy o tobie dobrze – a Ty jakiej dystrybucji używasz? Może powinienem ją zainstalować żeby być taki fajny jak ty? 🙁 (no chyba zdurniałeś!)

      1. Awatar Pr0100
        Pr0100

        "nazywanie użytkowników mandrivy i ubuntu, (windowsa z resztą też) trollami nie świadczy o tobie dobrze"

        chodziło mi o "dzieci Mandrivy/Ubuntu" którzy myślą że jak sobie zainstalują Linuxa i grają w gry przez Cedege to są wielkimi specjalistami od systemów operacyjnych. Normalni ludzie nie biją sie o to który system jest lepszy bo wszystko zależy od potrzeb klienta a nie od jakieś wyższej filozofii

        poczytaj komentarze na dp to załapiesz o co chodzi
        osoba która "karmi" trola przy każdej możliwej okazji też jest trolem 🙂

        "a Ty jakiej dystrybucji używasz?"

        to nie ma znaczenia

    2. Awatar Marcin Dzierzkowski
      Marcin Dzierzkowski

      Boisz się, że ci paśnika zabraknie?

  10. Awatar szatox
    szatox

    A jaki tam pierwszy….
    Już dawno była informacja o robaku atakującym linksysy, albo d-linki… w każdym razie jedne z popularniejszych routerów. Tylko że tam to chyba nie byłą kwestia haseł, a firmware'u, któ¶y należało zauktualizować. Co prawda instalacja nie była trwała, bo robak był usuwany z pamięci po restarcie użądzenia, ale jeżeli w sieci lokalnej pozostał chociaż jeden zainfekowany egzemplaż, to w ciągu kilku minut infekował wszystkie świeżo zrestartowane

    1. Awatar xd
      xd

      Ale nadal nie była to wina Linuksa, tylko błędów w dołączonym przez producenta oprogramowaniu (panelu administracyjnym).

  11. Awatar KHCqRVeY49Nmivt/OvRB
    KHCqRVeY49Nmivt/OvRB

    czy ktokolwiek zna sposób sprawdzenia czy robak jest zainstalowany jakich urzadzen dotyczy?

  12. Awatar rmrmg
    rmrmg

    Artykuł nie określa co się właściwie stało. Botnet zawiera routery i inne sprzęty sieciowe z firmware z linuxem czy też może normalne komputery? Włamania są przez ssh, http (panel administracyjny sprzętu), czy przez coś innego? Włamania są tylko gdy nie ma hasła (czyli to by były raczej "włamania") czy też jakoś łamane są hasła (jak? słownikiem?)?

    1. Awatar Karl
      Karl

      Włamania są na porty 23 (telnet), ssh (22) i 80 (http) w sytuacji, gdy dane urządzenie ma
      1) domyślne hasło
      2) łatwe do złamania hasło (podejrzewam, że najprostsze to będą '1234' albo jakieś imię żeńskie)
      3) puste hasło
      (o ile dobrze pamiętam).
      Po infekcji, bot automatycznie blokuje wyż wym. porty i łączy się na irca, na zadany server i kanał.
      Zdarza się. Po prostu te porty, co powyżej, powinny być domyślnie zablokowane ze strony interfejsu zewnętrznego, a w niektórych typach ruterów nie były. I tak dziwnie się składa, że to te z wystawionym http i ssh na zewnątrz padly ofiarą włamywaczy. A że sprzedawane są masowo, to i ilość infekcji jest spora (użytkownicy domowi rzadko kiedy mają pojęcie jak poprawnie skonfigurować sobie komputer, a co dopiero o bezpieczeństwie w Internecie).
      Kto jest winien? Autorzy firmware (głównie producenci tych urządzeń;) i użytkownicy, przy czym ciężar winy leży po stronie producenta – dostęp z zewnątrz powinien być domyślnie wyłączony! Użytkownicy (zwłaszcza ci, co się nie znają) często-gęsto w ogóle nie ruszają domyślnych ustawień urządzenia, włącznie z hasłem (o ile jakies domyślne jest ustawione), bo myślą, że skoro tak jest ustawione, to tak ma być…

      1. Awatar rmrmg
        rmrmg

        Dzięki za odpowiedz. Ta informacja __KONIECZNIE__ powinna być w newsie. Wszak dziwnie się czyta antylinuxowy FUD w newsie na linuxnews.

      2. Awatar marcinsud
        marcinsud

        ja w moim zostałem zmuszony do zmiany hasła za co jestem wdzięczny producentowi ;]

    2. Awatar Karl
      Karl

      A, zgodnie z opisem, bot jest napisany tylko na mipsel (pecety nie są jego celem), łamie hasła (bruteforce), umie skanować sobie za serwerami MySQL i phpMyAdminem (autorzy odkrycia nie podają, czy po LANie czy nie, ale skoro WAN to "cały świat", to chyba jednak LAN) i – co jest chyba najgroźniejsze – zbiera przepuszczane przez przechodzący przez ruter ruch loginy i hasła, korzystając z Deep Packet Inspection.

  13. Awatar SeeM
    SeeM

    Wracając do źródeł: "Also, he notes that the bot is “not linux-specific, a couple of the routers we have seen in the botnet are running VxWorks“."

    1. Awatar [r4]
      [r4]

      Zaciekawiłeś mnie. Są jakieś tego typu urządzenia przeznaczone dla domu bądź małej firmy, które wykorzystywałyby VxWorks?

      1. Awatar SeeM
        SeeM

        Nie wiem, staram się tylko uzupełnić artykuł. Konkretnie to wyczytałem tu – http://www.irc-junkie.org/2009-03-22/psyb0t-a-ste… – może przydałoby się dodać to do treści artykułu. Jest w miarę wyjaśnione co się dokładnie dzieje.

      2. Awatar fixer
        fixer

        Jest całkiem sporo modemów do ADSL, które działają na VxWorks, np. Asmax Ar-804u, Planet ADE-4000.

      3. Awatar trasz
        trasz

        @[r4]: Jakis czas temu Linksys zaczal wycofywac Linuksa na rzecz VxWorksa wlasnie.

        Aczkolwiek, z tego co sie orientuje, VxWorks w tej wersji umie uruchamiac Linuksowe binarki, wiec worm chodzi rownie dobrze.

  14. Awatar vince
    vince

    ja nie wiem ale botnet mialem 9 lat temu

  15. Awatar alternativeH
    alternativeH

    OpenWRT i Tomato lekarstwem!

    1. Awatar jellonek
      jellonek

      tomato? hmmm… widac wypadlem z obiegu 😉
      trzeba dogooglac :>

      1. Awatar użytkownik Tomato
        użytkownik Tomato

        http://www.polarcloud.com/tomato

      2. Awatar xd
        xd

        Również polecam Tomato 🙂

        1. Awatar jellonek
          jellonek

          etam, i tak wole konfigurowac z uzyciem vi a nie interface www – tak wiec openwrt mi starcza 😉

  16. Awatar Moarc
    Moarc

    A akurat wczoraj wieczorem mi wpadło do głowy "moje imię botnet, bo jest nas wielu" 😀 może przyzwałem tym zuo?

    1. Awatar SeeM
      SeeM

      Myślę, że to rodzaj proroctwa. Popracuj nad tym – czeka cię świetlana przyszłość w antywirusowym biznesie.

  17. Awatar han
    han

    Wlasnie polapalem ze mi od wczoraj ostro net zamula :/ Trzba obadac sprawe, zresetowac router i zmienic haslo.

  18. Awatar 944582frrtyuaun
    944582frrtyuaun

    czyli co konkretnie? d-link są bezpieczne czy nie?
    wrt sa bezpieczne czy nie?
    czasem trzeba miec dostep zewnatrzny a czasem nie ma jak go wylaczyc.

    ja mam Dlink dsl-504T i tam nie ma opcji wylaczenia ruchu z zewnatrz.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *