Определяем Userland Preload Rootkits

Недавно был выпущен новый руткит по имени Азазель. Этот руткит похож на предыдущие версии Jynx/Jynx2, но является более продвинутым и сфокусирован на борьбе с отладкой и с методами обнаружения. Это приводит нас к проблеме обнаружения руткитов, такими продуктами как RkHunter. Проще говоря, если вы запустите этот инструмент в потенциально скомпрометированой среде, вы не можете доверять выводу этой программы. RkHunter опирается прежде всего на механизм обнаружение сигнатур, который прекрасен для известных угроз, которые используют дефолтные значения и имена файлов. Вот простой метод обнаружения, который сравнивает адрес системных вызовов загруженных напрямую с libc, а "рядом" адрес этого системного вызова. Сравнивая эти два значения, можно более точно определить Userland Preload Rootkits.

Продолжить чтение

Userland-RootKit Azazel

Возможно вы слышали про руткиты Jynx и Jynx2. Это так называемые userland-руткиты, они используют возможность переменной LD_PRELOAD, которая позволяет подгружать любые библиотеки до того, как будет запущена программа. Они уже относительно старые, но все еще хорошо работают.
2 дня назад, Github-пользователь Chokepoint выложил rootkit Azazel.

Продолжить чтение

Как я установил PROXMOX VE 3.1 на SoftRaid 1(mdadm)

Задумался над установкой Proxmox на хардварный рейд, но он какой-то очень старый и медленный в отличии от mdadm, передумал практически сразу. Но к моему несчастью Proxmox официально не поддерживает установку на software raid1, а инструкции в интернетах все рабочие наполовину. Или писаны на неправославном языке.

Хочу описать свой путь джедая и предложить что-то типа mini-howto proxmox on software raid1. Если мне понадобилось, то скорее всего кто-то тоже оценит.

Продолжить чтение

Оценка методов усиления трафика при организации DDoS-атак

Компьютерная команда экстренной готовности США (US-CERT) опубликовала обновление отчёта с оценкой эффективности методов усиления трафика. Смысл атаки сводится к тому, что запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом. Кроме методов усиления через DNS и NTP в отчёте представлен ряд других UDP-служб, которые используются в качестве усилителей трафика.

Продолжить чтение

Открыта регистрация на Red Hat Forum 2014

Мероприятие, где на технических и бизнес сессиях в течение одного дня будут проходить презентации и обсуждение open-source продуктов и технологий Red Hat. В Москве мероприятие пройдёт 10 июня.

Продолжить чтение

Новые сообщения