Het is simpelweg nooit waar geweest.

Iemand een idee hoe deze scripts daar terecht zijn gekomen?

Smerig stukje halve waarheid. Door de mensen die weten waar ze het over hebben (helaas een minderheid binnen de mensen die constant iets over *NIX te brullen hebben), wordt doorgaans helemaal niets beweerd over mallware. Enkel over virussen. Ik zie ook niet hoe dit artikel daar enige verandering in brengt. En dat *NIX vatbaar is voor mallware, net als ieder ander OS, is iets dat al decennia lang bekend is bij systeembeheerders.

Schaamteloze poging tot stemmingsmakerij van de zoveelste verkoper die zich een anaalist laat noemen.

Dat er een boel web servers besmet zijn met deze trojans is niet het gevolg van *nix maar simpelweg van slecht beheer. Dat het niveau van been web site beheerders tegenwoordig het niveau van script kiddies niet overstijgt is het werkelijke probleem.


Wederom de slinkse verhaspeling van virussen en mallware. Hoewel ze in hun uitwerking vaak veel op elkaar lijken is een essentieel verschil dat virussen qua infectie en verspreiding totaal anders te werk gaan (automatisch). Voor de mallware moet toch nog altijd eerst de server gehacked worden.

Ik ben het eens dat systeembeheerders wakker moeten worden en web servers beter zouden moeten beheren. De uitspraak dat je je als beheerder zou moeten schamen voor het leed dat je je bezoekers aan zou doen is echter de schijnheiligheid zelve, komend van deze op en top hypocriete analist/onderzoeker/verkoper/lobbyist.

Als er binnen de software industrie een tak is die erg veel trekjes vertoond die je ook ziet bij drugs dealers dan is het wel de tak van de anti-virus/mallware producenten. Reken er maar niet op dat ze ook maar enig belang hebben bij de oplossing van het werkelijke probleem. Deze Sergey Golovanov zou er verstandig aan doen niet zo hoog(hartig) van de toren schreeuwen.

En maar al te vaak is dit het werk van onkundige server beheerders.
Vooral vakantie-hosters zien het niet als hun taak hun klanten hier tegen te beschermen.

En dan heb ik heb ik het niet over firewalls of zo, nee...
HET WELBEKENDE FIJT DAT CHMOD 777 WORDT VERPLICHT!

Zelf KPN heeft dit niet op orde.
http://www.phpfreakz.nl/forum.php?forum=8&iid=1231082#id1231118

Door alle scripts onder één gebruiker te draaien hoeft er maar één site te worden ge-hacked en je hele server is gecompromitteerd.


Maar zelfs als je dat op orde hebt, is er nog een ding waar niet altijd goed op wordt gelet.
PHPMyAdmin wordt vaak onder de zelfde gebruiker gedraaid als het klantenpaneel zelf, je hoeft PHPMyAdmin maar te hacken en hop! je bent in het klantenpaneel. Het zelfde geld voor webmail en Forum software.

Daarom draai ik de website en het klantenpaneel (beide zelf ontwikkeld) onder een aparte gebruiker.
Net zo eender als de: webmail, het forum en de DB admin tools.

En wat nu?

Rekening houden dat het kan gebeuren, zoals altijd. Niet domweg denken dat je onkwetsbaar bent omdat je server toevallig *nix draait. Hou er bijvoorbeeld rekening mee dat het account www, web of nobody best nog veel kan ook al is het een "beperkt" account.

Een virusscanner-achtige tool als oplossing voor Unix beveiligingsproblemen te zien is pas hypocriet en schandelijk. Een virusscanner kan pas die waarde van 'onontbeerlijk' worden toegekend wanneer de gebruiker of beheerder te incompetent is om veilig het systeem te gebruiken.

Wanneer Kaspersky dit een virus durft te noemen heb ik zojuist weer een windows virus uitgevonden...

<kneus.bat>
echo "dit is een virus"
format c: / yes yes yes
echo "bla bla bla, ik wil wat meer pakketjes antivirus verkoopsky".

FUD, halve en geen waarheden... Als er zomaar ineens een perl script op je *U*X server komt en die ook nog kan executen, dan heb je iets meer nodig dan kaspersky...

Joh!

Over FUD gesproken, op de meeste web servers draait "iets". Als je dus de mogelijkheid hebt een uitvoerbaar bestand te plaatsen daar waar scripts staan, dan kun je die gewoon uitvoeren, simpelweg omdat scripts anders niet werken.

Dus waar zit het probleem nu?

Doorgaans een van deze twee:
1. Wachtwoorden.
2. Slecht patch gedrag.

Zoals SirDice volkomen terecht zegt, het feit dat je *nix draait biedt geen bescherming.

De laatste tijd worden talloze *nix servers gehackt om te gebruiken in spam. Spammers doen dat omdat het kan, niet omdat het moeilijk is.

Interessant, heb je daar ook een bron van?

Sergey gaat uit van de standaard definities. Al is hij daar niet helemaal duidelijk in.

Malware is een verzamelnaam voor alle "slechte" software op systemen. Hier vallen virussen en wormen onder, maar ook trojan horses en rootkits. Virussen verspreiden zich trouwens niet vanzelf. Hiervoor is een actie nodig van de gebruiker, zoals het starten van het besmette programma zodat het virus andere programma's kan besmetten. Een worm verspreid zich echter zelfstandig. En een Trojan Horse heeft ook weer een gebruiker nodig. En dan om het bestand, niet zijnde een programma, te openen.

Uit de TRANSITS cursus van Terena:

Virus:
Self-replicating code that attaches itself to other files or programs
Some user interaction required for propagation, such as running a program or opening a document file

Worm:
Self-replicating code that spreads independently from system to system by exploiting vulnerabilities and misconfigurations in operating systems or applications
No user interaction or host file required for propagation

Trojan Horse:
A program or even a simple file that appears to have some useful purpose, but masks some hidden malicious functionality
No propagation mechanism implemented
Requires some user interaction

Oja, de eerste worm was gericht op unix-systemen. De gedachte dat (professionele) *nix beheerders denken dat hun systemen veilig zijn is volstrekt onjuist.

Peter

En nu weten we dus nog niet door wel gat deze malware een *nix server binnensluipt...

als men nou een goede firewall draait, dus een die uitgaande verbindingen niet doorlaat, dan doet het ding nog niet echt veel en wordt ie snel gespot (firewall logs)

Beetje rare reactie, maar SirDice heeft wel gelijk. Er rekening mee houden is al een heel eind in de goede richting. Iets wat daaruit volgt zijn terugkerende controles en audits, en logs analyseren - al dan niet deels geautomatiseerd.

nee dat mis ik ook een beetje. meneer kaspersky boeroept wel een boel, maar echte info geeft ie niet.

Het zijn waarnemingen uit onze spam feeds, bevestigd door andere anti-spam researchers. Het waren vorige week vooral Tjechische domeinen.

Meestal file of command injection problemen in php scripts.

Je Tsjechisch is zo goed dat je ze hebt kunnen vragen hoe dat kon gebeuren en kreeg als antwoord dat hun systemen *nix gebruiken en dus louter vanwege dat feit veilig zijn?

Met open deuren heb je altijd gelijk. Gelet op de kennelijk beoogde doelgroep en dan met name het niveau ervan is het sterk de vraag of het wel zin heeft en of die niet beter andere hulp kan krijgen.

Antwoord vind je onder "Gisteren,13:17 door Anoniem"

Kom op zeg. Het artikel is het niet eens waard om serieus op te reageren mensen :)

Spannend hoor.. 2 kwaadaardige scriptjes gevonden.

Ze beginnen nu ook al interessant te doen door alvast een worm naming systeem te verzinnen; Trojan-Dropper.Linux.Prl and Trojan-Mailfinder.Perl.Hnc. Stel je toch eens voor dat je al die tientallen wormen niet meer goed kunt sorteren. Alleen zou je dan verwachten dat die tweede misschien Trojan-Mailfinder.Prl zou moeten heten.

Heheh. wat een opgeblazen onzin allemaal.

Slecht bedekte FUD inderdaad.

De volgende "worm" zullen ze Rob.diehetverschilnietweet.tussen.een.worm.eneentrojan.a noemen ok?

Err. Dat naam systeem bestond al of heb je je nooit afgevraagd waarom windows malware met W32/ begint?

http://search.mcafee.com/search?q=linux&site=us_site.Virus&num=10&sort=date:D:L:d1&output=xml_no_dtd&proxystylesheet=default_frontend_us&client=default_frontend_us&getFields=description&ie=UTF-8&oe=UTF-8&filter=0&