Обнаружен первый в истории троянец для Linux и Mac OS X, похищающий пароли

[Pauli]

Да не может этого быть, оказывается под линукс настолько суровые вирусы, что они еще и платные ;D

Насчёт самого предмета пока неясно, прайс не опубликован, а вот техподдержка - точно платная. Объявления на столбах видел. Что-то типа "Устанавливаем любые программы. Лечим вирусы. <...> Linux <...>" Скорее всего это оно и есть.

[asy]

Когда под Линукс начнут создавать прикладное профессиональное ПО для ...

Так создают, говорят. http://www.brics-cad.ru/

[YYY]

Да не может этого быть, оказывается под линукс настолько суровые вирусы, что они еще и платные ;D

прайс не опубликован

Как раз опубликован :) 60$ и он ваш :)

[ext4ufs]

добрыи вечер , что делать с этим ?
[root@lx ~]# clamscan -ri
/home/eth1/.java/deployment/cache/6.0/63/49db4cff-79038412: Trojan.Java-33 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 1316616
Engine version: 0.97.6-exp
Scanned directories: 1491
Scanned files: 38253
Infected files: 1
 --remove[=yes/no(*)]                 Remove infected files. Be careful!

[Skull]

Удалить.

[YYY]

Не!
На вирус-тотал его надо :)

[Speccyfighter]

Месяца два уже там.
Давно говорил, джава зло. :)

[YYY]

А дак это та дыра через что маки заражали :)
Дак на линуксах вроде успели обновить до массовых заражений...
В винде пострадали те, кто на старой джаве сидел...
Вот по убунтам
http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3544.html
http://news.softpedia.com/news/OpenJDK-6-Vulnerabilities-Fixed-for-Ubuntu-OSes-248599.shtml

[ext4ufs]

а вот rkhunter -c   его не увидел , и он не удаляет  1,3,4 версия ,,, уже 1,4,0 есть ,но команда rkhunter --update
 не исполняется и вот с этим что делать ?
[root@lx ~]# clamscan -ri --detect-broken=yes
/home/eth1/.wine/drive_c/users/eth1/Local Settings/Temporary Internet Files/Content.IE5/UCFHZ2EN/pack[0]: Heuristics.Broken.Executable FOUND
/home/eth1/.cache/chromium/Default/Cache/f_000bba: Heuristics.Broken.Executable FOUND
-- SCAN SUMMARY -----------
Known viruses: 1316655
Engine version: 0.97.6-exp
Scanned directories: 1577
Scanned files: 41081
Infected files: 2

[flint1975]

Сегодня на одном из серверов обнаружил backdoor.linux.dofloo.b
на сервере крутится nx, поэтому не мудрено.
Но вот что интересно, запускался он от пользователя test, который сам образовался ;)
а троян лежал:
/home/linux110
/home/linux520
на скорую руку следов в /root и в /etc пока не обнаружил

[ASte]

flint1975
Удалось найти следы и узнать как оно туда пробралось?

[flint1975]

Похоже злоумышленник был один из сотрудников (уволенный).
Или бот очень интеллектуально чистит логи.
 На всякий пожарный переставлю всю систему, пользователей переехал на другой сервер, на этом мониторю - вдруг опять заразят.

[ASte]

У сотрудника были права root/sudo чтобы создать нового пользователя?
Нужно не только систему переставлять..
Нужно все ключи которые были у всех пользователей в системе перегенерить.
Всем пользователям пароли поменять, на всех важных ресурсах куда они ходили с этого сервера.
Т.е. нужно считать скомпрометированными все конфиденциальные, данные которые хранились на этом сервера  . И действовать исходя из этого.

[alsoijw]

В любой системе самый слабый фактор - люди. Некоторые вредители могут продолжать иметь доступ...

[Speccyfighter]

Удалось найти следы и узнать как оно туда пробралось?

Такие тенденции должны вызывать тревогу по поводу собственных проблем и искать пути решения для по крайней мере снижения таких тенденций
уязвимость в ядре linux site:opennet.ru

а не вызывать срач по поводу уязвимостей в проприетарных продуктах
http://www.opennet.ru/opennews/art.shtml?num=44694

В смысле: - А вот у них ещё хуже.
Думай о своём. Не трать время попусту.

У сотрудника были права root/sudo чтобы создать нового пользователя?

Что характерно, один из патчей был представлен ещё в марте месяце, но уязвимость с того момента болталась около квартала.

- Ты видишь суслика?
- Нет.
- А он есть.