Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Вирус в бинарнике nginx
Hello!
On Tue, Dec 03, 2013 at 09:56:20AM -0500, wastemaster wrote:
[...]
> nginx генерит перенаправления выборочно некоторых посетителей.
> в логах эти редиректы не отражаются.
> в целом ситуация очень похожа на описанную товарищами из eset
> http://habrahabr.ru/company/eset/blog/179115/
[...]
> все что смогли придумать - это снести всю операционнку
Собственно, если имеет место быть root compromise - это
единственно правильное действие.
Ну то есть совсем сносить-то было не обязательно, правильным было
бы отложить в сторонку, чтобы потом поизучать под микроскопом. Но
для работы - надо устанавливать систему заново с чистого носителя.
> И вот пока ждем замену по хостингу хочется выяснить все-таки как
> это безобразие к нам проникло.
Была давеча замечательная история с cPanel, о которой в статье по
ссылке, кстати, упоминается. Но в общем случае способов куда как
больше одного.
[...]
> Проверяли в /var/cache/apt/archives лежит оригинальный пакет nginx
> чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с
> оригинальной.
>
> Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти
> (если конечно такое возможно)
Возможно всё.
Вот тут, например, есть модуль для ядра Linux'а, который делает
приблизительно то же самое:
http://seclists.org/fulldisclosure/2012/Nov/94
https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections
--
Maxim Dounin
http://nginx.org/en/donation.html
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|
