Критичная уязвимость в Bash

Уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки обработки входных данных при выполнении синтаксического анализа кода. Удаленный пользователь может выполнить произвольные команды на целевой системе.Как уязвимость может затронуть пользователя?

bash и ОС хранят список переменных окружения, которые описывают текущего пользователя, путь к приложениям на жестком диске и прочие функции. Создав переменную окружения с особой структурой, взломщик сможет выполнить произвольный код на ПК жертвы во время следующего запуска bash.

Создать переменную окружения можно следующим образом:

  •  Установить удаленное соединение через SSH и попробовать войти в систему. Подобрав специфический логин или имя хоста, можно создать переменную окружения со специфическими данными;
  • Вынудить пользователя создать переменную окружения самостоятельно;
  • Вынудить определенные программы задать нужное значение переменной окружения. К примеру, пользователь запустил web-сервер и скрипт, устанавливающий собственную переменную окружения. Даже несмотря на то, что работа скрипта не изменяет системные переменные окружения, ОС уже уязвима.

Установив собственную переменную окружения, хакеры смогут выполнить произвольный код на устройстве пользователя при следующем запуске bash. Ситуация может стать еще опаснее при использовании команды sudo –s, запускающей bash с корневыми правами.

Отметим, что некоторые программы используют bash для совершения собственных операций. Даже если пользователь не использует bash, его ПК уже может быть уязвим.

Для того чтобы проверить, уязвима ли система, следует выполнить в терминале команду:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Если система пользователя защищена, bash вернет следующее сообщение:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello

Если система пользователя уязвима, bash вернет следующее сообщение:
vulnerable
hello

Исправление
Разработчики Bash выпустили срочное исправление, устраняющее эту уязвимость. Всем пользователям ОС Linux (особенно дистрибутивов Ubuntu и Debian) рекомендуется как можно скорее загрузить последние обновления для данного программного продукта.

URL производителя: http://ftp.gnu.org/pub/gnu/bash/

Решение: Установите последнюю версию 4.3 с сайта производителя.

Ссылки: http://seclists.org/oss-sec/2014/q3/649

Источник: http://www.securitylab.ru/vulnerability/458762.php securitylab

 

От себя хочу добавить примечание : версия 4.3 от  26-Feb-2014 т.е. исправления данной уязвимости там еще нет.

Для того чтобы закрыть уязвимость необходимо еще наложить последний патч.

Вот небольшой скрипт для автоматизации процесса (запускать от рута)

 


mkdir /install
cd /install
wget http://ftp.gnu.org/pub/gnu/bash/bash-4.3.tar.gz
tar xzvf ./bash-4.3.tar.gz
cd ./bash-4.3
wget http://ftp.gnu.org/pub/gnu/bash/bash-4.3-patches/bash43-025
patch -p0 < ./bash43-025
./configure
make && make install

Вы можете воспользоваться такси санкт-петербурга .

Не работает интернет из-за DNS

Встретился довольно-таки противный вирус, который, во-первых, при открытии любого браузера выставляет поиском по умолчанию сайт mailsearchengine.ru, во-вторых, на сайте вконтакте vk.com перестают отображаться картинки, и, в-третьих, при выборе различных пунктов сайта вконтакте, да и любых других сайтов, идет перенаправление на различные сайты с рекламой, чаще всего на сайт wowimpulse.ru. Также через небольшое время просмотра страниц на любых сайтах, вылетает баннер. Причем эти проблемы возникают во всех установленных браузерах.

Во всех встреченных случаях проблема одна и та же : стандартный DNS меняется на 5.199.140.Х

Х может быть любая цифра и отличаться от случая к случаю.

Проблема не настолько велика — в настройках сетевой карты (подключение по локальной сети) в свойствах протокола TCP/IP выставить либо «Получить DNS автоматически» и «Получить IP адрес автоматически» или же ввести данные от своего провайдера интернет.

Уязвимость предположительно кроется в Java Environment. Можно либо удалить через панель управления и поставить свежую версию. Или просто своевременно обновлять Java.

Аваст «убивает» интернет

Доброго времени суток, читатели блога!

А так «доброго» сисадминам и работникам техподдержки провайдеров (:

Прервем немного Сагу о Linux и посмотрим на его «конкурента» Windows и антивирус Аваст.

Как стало известно — после обновления антивируса Аваст в 14.00 05.11.12 у пользователей наглухо перестала работать локальная сеть и доступ в сеть интернет.

После обновления Аваст находил Руткит и предлагал перезагрузиться.

На официальном сайте представителя Аваст пока тихо как в танке.

Зато на форуме можно наблюдать бурное негодование пользователей этого антивируса, а так же работников интернет провайдеров.

Итак: что было перепробовано пользователями для решения проблемы:

  • 1. winsock reset
  • 2. int ip reset
  • 3. Удаление антивируса
  • 4. Переустановка драйверов
  • 5. откат системы

Вышеописанные способы хоть и должны были привести к нормальному результату, но не привели.

Вот что пишет техподдержка самого Аваст:

Открываем редактор реестра REGEDIT (Кнопка “Пуск” — пункт “Выполнить” — пишем regedit и нажимаем ) и безжалостно удаляем два ключа реестра:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

Выходим из REGEDIT и ОБЯЗАТЕЛЬНО (!) перезагружаемся.

После перезагрузки находим папку c:\windows\inf (а если точнее, то %winroot%\inf — ведь Windows может быть установлена в другом месте) и находим в ней файл nettcpip.inf. Обязательно сделайте его резервную копию, а потом отредактируйте с помощь Блоктнота:

Строки

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0xA0 ; NCF_HAS_UI | NCF_NOT_USER_REMOVABLE

замените на

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0×80 ; NCF_HAS_UI

Сохраните файл. Откройте настройки сетевого адаптера, щелкнув по нему правой клавишей и выбрав “Свойства”. Нажмите “Установить”, выберите из списка “Протокол” и нажмите “Добавить”. Далее нажмите кнопку “Установка с диска” и введите в строке пути c:\windows\inf (или %winroot%\inf). В появившемся списке выберите Протокол TCP/IP и завершите установку.

Перезагрузите компьютер.

После перезагрузки снова идите в свойства сетевого адаптера, и вы обнаружите, что кнопка “Удалить” для протокола TCP/IP теперь стала доступна. Удалите протокол TCP/IP и снова перезагрузите машину.

После перезагрузки установите протокол TCP/IP с нуля.

Как видно — решение не из простых. Но рабочее. Ситуация проявляется на машинах с установленной  Windows XP  и антивирусом Avast.

Дополнение.

На сайте Аваст таки признали вину и предложили еще 8 способов решения проблемы. Читаем.

Рекомендую 1 или 7 способ.

 

 

Winlock — как убрать вирус без антивируса

История начинается ….   неожиданно …

Все было как обычно — заходим на сайт — ищем нужный журнал. Ссылка ведет на весьма известный файлообменник fileshare.in.ua.

Качаем.

И.

Сюрприз :)

Рамка всем известного вируса вымогателя

Отставляем панику.
Мышка кроме рамки недоступна, но клавиатура работает.
Пуск - выполнить - cmd
Дальше команда списка процессов :
tasklist
или поэкранно :
tasklist | more
Видим нечто необычное :
0.3534388206875574.exe
Дальше команда снятия процесса :
taskkill /F /IM 0.3534388206875574.exe
Рамка пропала.
Но курсор все так же в области рамки.
Дальше я снял еще пару процессов, в том числе и :
taskkill /F /IM java.exe
Закрыл консоль (cmd).
Все встало на свои места.
Дальше стандартно. Сканер + антивирус.
Как ни странно антивирус (Microsoft Security Essentials) увидел эту «заразу» :


Но вот в чем вопрос : Почему он не пресек это на этапе загрузки ?
Дальше сканер :

Все. Очищаем остатки — перезагружаемся.
А все могло быть намного хуже. Например, если сразу перезагрузить компьютер — то вместо рабочего стола только рамка. Тогда только LiveCD и поиск тела и остатков вируса.
Мораль : не паникуйте раньше времени — иногда вирус можно убрать даже без помощи антивируса.

Троян Trojan.Win32.Patched.fr

Итак новый «веселый» вирус был найден мной на этих выходных.

Вирус прячется в файле :

\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( BitDefender: Trojan.Generic.2929983, AVAST4: Win32:Patched-KP [Trj]

И находится почти всеми антивирусами. Да вот только удалить его они не могут.

Файл системный.

Лечение очень простое :

  • 1. Отключить систему восстановления.
  • 2. Загрузиться в Safe mode , а намного лучше в любой лайв-дистрибутив. Заменить поврежденный файл на оригинальный (можно скачать в конце этой заметки).
  • 3. Удалить все папки System Volume Information на всех дисках (это папки с точками восстановления)
  • 4. Загрузиться в обычном режиме. Включить восстановление. Сделать контрольную точку.
  • 5. Работать дальше.

Это все. Прилагаю оригинальный sfcfiles.dll.

 

Опасная уязвимость для серверов с apache

Недавно наткнулся на статью про найденную уязвимость в веб-сервере apache.

Пять дней назад в листе рассылки Full Disclosure появился скрипт, по заявлению автора, убивающий Apache начиная от самых старых версий до самых новых.

Работает скрипт очень просто : запускает простой запрос в несколько десятков потоков.

HEAD / HTTP/1.1
Host: www.example.com
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,<...>,5-1299,5-1300
Accept-Encoding: gzip
Connection: close

В ответ на такой запрос Apache для подсчета Content-Length собирает в памяти длинный ответ из перекрывающихся кусков запрошенного файла, который может занять и занимает значительный объём памяти. При этом потребление памяти Apache начинает резко расти, как на том графике в начале, что при должном, совсем небольшом, количестве запросов приводит к DoS даже на приличных серверах.

Проверить, уязвим ли ваш сервер к этой атаке легко:

curl -I -H "Range: bytes=0-1,0-2" -s www.example.com/robots.txt | grep Partial

Если Вы увидели ответ :

206 Partial Content

То Ваш сервер 100% уязвим для такой атаки.

Что же делать и как поставить защиту ?

Самым простым способомбудет прописать для nginx запрет для проксирования пустых запросов :

proxy_set_header Range "";
proxy_set_header Request-Range "";

А вот если nginx у Вас нет, то рекомендую его установить. Или по сообщениям сайта  cybersecurity.ru :

Разработчики web-сервера Apache сообщают об исправлении опасной уязвимости CVE-2011-3192 , которая использовалась злоумышленниками для проведения атак на отказ в обслуживании web-серверов. Стоит отметить, что web-сервер Apache обеспечивает работу двух третей всех сайтов в мире.

Напомним, что опасная уязвимость была обнаружена независимыми специалистами в области информационной безопасности 20 августа. В тот же день в сети Интернет появился эксплоит, который позволял вывести из строя любой сайт, который использует Apache HTTP Server.

Уязвимость в Apache HTTP Server позволяла злоумышленникам аварийно завершать работу web-серверов, используя простую вредоносную программу. Ошибка заключалась в способе обработки большого количества Range запросов в HTTPD, что приводило к исчерпанию ресурсов удаленной системы. Ошибка была исправлена в новой версии Apache HTTP Server 2.2.20. Однако для того, чтобы предотвратить атаку, все администраторы сайтов, которые используют Apache HTTP Server, должны самостоятельно установить обновление.

Пропала языковая панель

Как то я упустил эту тему.

Всегда думал , что описал ее, — ан нет.

Восполним этот пробел.

Причины пропадания языковой панели — достаточно большое количество.

От настроек системы и до действия компьютерных вирусов.

Что же говорит нам интернет-сообщество по этому поводу ?

Большинство людей советуют просто установить PuntoSwitcher.

Скажу сразу — выход неочевиден — да и использование этой программы не всем подходит и не всем удобно. Мне , например, — нет.

Переходим от теории к практике.

Способ 1 . Простой.

Щелкните правой кнопкой мыши на свободном участке панели задач, (это внизу экрана), выберите Панели инструментов и поставьте галочку у пункта — Языковая Панель.

Способ 2. Проверяем автозагрузку.

При помощи утилиты msconfig (пуск->выполнить->msconfig) проверяем запущен ли файл ctfmon.

Если галочка снята — ставим ее.

Можно еще воспользоваться Run.reg -файлом (сделает тоже самое. Правой кнопкой по ссылке — выберите сохранить как).

Способ 3. Проверяем на оригинальность.

Так как файл ctfmon.exe — очень часто подменяется вирусами и удаляется антивирусами :) (в основном вирусом Trojan.MulDrop1.3316). Проверим есть ли он в системе. (например поиском )

Если его нет или Вы сомневаетесь в его подлинности — вы можете скачать его у меня тут.

И заменить стандартный этим файлом (файл взят из дистрибутива с 3 СервисПаком).

Так же проверьте (способ 2) будет ли он запущен при запуске.

Еще один вариант восстановить этот файл — с оригинального компакт диска.

Для этого наберите в пуск-выполнить:

sfc /scannow

Для этого должен быть оригинальный компакт-диск с установкой Windows и соответственно запущеной службой Защиты файлов Windows.

Способ 4. Предложен на форуме ru-board.

1. Если установлен Office 2003 проверить установлен ли компонент «Альтернативный ввод данных». Если установлен — удалить! (Общие компоненты)
2. Далее деактивировать вручную «Дополнительные текстовые службы»:
а. Панель управления->Язык и региональные стандарты->Языки(галочек там быть не должно)->Подробнее->Дополнительно — убрать ВСЕ галочки!
б. Вернуться в диалог Параметры (который появляется после нажатия Подробнее) и Удалить все языки кроме английского.
в. Удалить вручную службы. Открыть Пуск->Выполнить->
Regsvr32.exe /u msimtf.dll
Regsvr32.exe /u Msctf.dll
3. Перезагрузиться
4. Затем включить индикатор.
Панель управления->Язык и региональные стандарты->Языки(галочек там быть не должно)->Подробнее
Добавить Русский и настроить переключатель как обычно.

Дополнительный заработок.Блог о заработке в интернете. Обзоры Партнерских программ с оплатой за клики, действия, показы и продажи

Новый ICQ вирус

Сам не получал такого, скорее всего из-за того, что пользуюсь не ICQ , а интернет пейджером Trillian.

Но из разных источников начала приходить информация, что от друзей и знакомых приходит входящий файл Snatch.exe.

Это якобы игрушка.

На самом деле это программа кейлоггер (keylogger) — Trojan.Win32.Snatch.

Будьте аккуратны и не принимайте файлы от незнакомых (а от знакомых обязательно проверяйте антивирусом).

После запуска этого файла, доступ к учетной записи ICQ блокируется, а теперь с Вашего номера пойдет рассылка этого файла по всему Вашему списку контактов.

Пароль к учетной записи так же придется восстанавливать через систему утерянных паролей.

3 свежих троянца

Вирусописатели, а так же их родители.

Пам пам , парам пам !

Публикую тройку свежих троянцев по версии securitylab :

1.Trojan.Win32. Zum

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на Visual Basic.
Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под следующим именем:
%WinDir%\Systray32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Systray32.exe»=»%WinDir%\Systray32.exe»

Деструктивная активность

При запуске троянец отбражает свое окно:

При наведении на него курсора мыши, троянец открывает в браузере установленном по умолчанию следующую ссылку:
http://www.fu***rld2000.de/

2.Trojan.Win32. Oficla.m

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmp
Где <rnd> — случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1
Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:
http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>
Где <rnd> — случайная последовательность букв латинского алфавита, например «rihd.pno».

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\<rnd>.<rnd>»

3.Trojan.JS. Fraud.ae

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8607 байт.

Деструктивная активность

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами «vaq1k90d2j.fff» и «wzx2j98d2j.fff». Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно «Проводника» и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:

Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника. Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:

После нажатия на кнопки «Лечить все», «Включить защиту» – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер «1350»


Если введенный код – меньше 6 символов, троянец выдает сообщение:

Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://<X>/enter.php?code=<введенный_код>
&checkcode=1&rand=<rnd2>
где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.

При закрытии окна браузера, троянец выводит сообщение:

Подмена MAC-адресов

В последнее время все больше участились вирусные атаки подменяющие MAC-адреса.

Я долго не задавался целью поискать с какой же целью пишуться такие вирусы.

Сегодня пришло время восполнить и этот пробел.

Сначала немного теории :

Как работает интернет ?

На такой вопрос не так просто ответить. Как например открывается сайт mail.ru ?

Я не буду вдаваться слишком подробно в работу протокола TCP/IP, а обозначу основные моменты.

Пользователь набирает адрес в браузере (Opera, Mozilla Firefox, Internet Explorer и т.д) адрес (mail.ru), браузер в свою очередь  очередь  пытается определить какой IP адрес соответствует этому имени (служба , которая за это отвечает DNS — Domain Name Service), и отправляет DNS запрос, DNS сервер выдает что адресу mail.ru соответствуют IP-адреса :

217.69.128.45
217.69.128.41
217.69.128.42
217.69.128.43
217.69.128.44
Несколько адресов могут соответствовать одному имени (работают несколько серверов, для снижение нагрузки). После этого браузер получает данные и открывает пользователю страничку.

Вот тут остановимся на несколько минут — еще существует файл hosts в папке c:\windows\system32\drivers\etc\ — в нем записаны некоторые соответствия — это сделано для того, чтоб ускорить работу и не запрашивать у сервера имен уже достоверно известные адреса.

По-умолчанию там одна запись вида 127.0.0.1 localhost — что означает что локальной машине по-умолчанию соответствует IP-адрес 127.0.0.1.

Ранее я писал про вирусы , которые модифицируют этот файл и записывают туда фейковые адреса для известных ресурсов (mail.ru, vkontakte.ru, odnoklassniki.ru).

Для чего же все эти старания ?

Все очень просто — злоумышленник копирует полностью дизайн известного сайта, и вносит изменения в этот файл — адрес в строке адреса браузера выглядит, как настоящий, но IP адрес не тот , а адрес злоумышленника. Когда пользователь открывает страничку он не подозревает о подмене и вводит свои учетные данные (Логин/пароль), которые отправляются прямиком в лапы злодею :).

В случае подмены MAC адресов происходит то же самое. Вирус подменяет адрес шлюза (чаще адрес ДНС сервера) своим. И может раздавать пользователям неверные данные и пересылать их вместо популярных ресурсов на поддельные.

Как же бороться с такими вирусами ?

Дело в том, что чаще всего запрос инициируется с другой машины и пользователь у себя ничего не видит. Вируса на его компьютере тоже нет. И антивирус ничего не находит.

Во-первых   — поставьте атрибут «только чтение» на файл hosts  и регулярно просматривайте его содержимое на предмет наличия в нем посторонних записей.

Во-вторых — сделайте небольшой .bat файл и поместите его в автозагрузку.

Содержимое этого файла :

arp -d xxx.xxx.xxx.xxx
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm

Где xxx.xxx.xxx.xxx IP-адрес Вашего шлюза (ДНС) провайдера
а mm-mm-mm-mm-mm-mm — это физический адрес (MAC-адрес) этого IP-адреса.

Правда существует и один недостаток — если у провайдера поменяется IP-адрес, сетевая карта или MAC-адрес — Вам нужно снова поправить этот файлик.

Разберем что же он делает :

arp -d xxx.xxx.xxx.xxx — удалит динамическую запись в arp-кеше.

arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm — добавит новую привязку статическую с заранее известным MAC адресом и сделает привязку — после этого вирус не сможет заставить Ваш компьютер воспринимать «чужие» адреса вместо положенных.

Да, чуть не забыл — как же узнать этот самый MAC адрес ?

В момент , когда все работает правильно и сбоев нет — выполните — Пуск- выполнить — cmd — Ок.

Появится черное окошко. Наберите :

arp -a

Это выведет все адреса и МАК-адреса соседних компьютеров, которые общались с Вашим (в том числе и провайдеровские).

Вопросы можно задавать в комментариях к этой статье.