セキュリティ・キャンプ2016で使用した、熊猫のテキストを公開しました。
RHEL 7.3 が封印解除されたので、自主規制を解除します。 今年のセキュリティ・キャンプでは、 Linux カーネルのメモリ管理機構の闇について扱いました。3年超の期間を費やし、3000通超の関連メールを送受信し、そして、今年1月からは会社の業務時間の大部分も使わせてもらいながら対応した、膨大な活動履歴の中から抽出したものです。 講義資料では、20年前から存在していたと考えられる脆弱性である CVE-2013-4312 および CVE-2016-2847 の発見から始まり、ずるずると闇に引き込まれていき、幾つかの問題について光を取り戻すまでを描いています。 CVE-2013-4312 および CVE-2016-2847 については RHEL 7.3 のカーネルで修正されていますので、信頼できないユーザがログインする可能性のあるシステムではカーネルをアップデートしてくださいね。先月、 D
GitHub - timwr/CVE-2016-5195: CVE-2016-5195 (dirtycow/dirtyc0w) proof of concept for Android
$ make root ndk-build NDK_PROJECT_PATH=. APP_BUILD_SCRIPT=./Android.mk APP_PLATFORM=android-16 make[1]: Entering directory '/home/user/dev/git/exploits/CVE-2016-5195' [arm64-v8a] Install : dirtycow => libs/arm64-v8a/dirtycow [arm64-v8a] Install : run-as => libs/arm64-v8a/run-as [x86_64] Install : dirtycow => libs/x86_64/dirtycow [x86_64] Install : run-as => libs/x86_64/run-as [mips64] Install : di
SIOS Tech. Lab - エンジニアのためになる技術トピックス
2024-07-02 OpenShift Virtualization – OpenShift でのVM管理についてご紹介
SSH不正侵入、観察日記
不正アクセスを観測したのでご紹介。 動画を見ていただこう。 なにやら不正ファイルをwgetして実行しようとしてる。 Kippoは、侵入者がwgetしたファイルを、dl ディレクトリに全て格納してくれるので今回は実際に不審なファイルの中身を見てみよう。 中身を覗いてみる。encodeされていたので、見た目では、なにをするものなんかはわからない。 # more dl/20150709223030_http___erixx_altervista_org_new_txt #!/usr/bin/perl use MIME::Base64; eval (decode_base64('IyEvdXNyL2Jpbi9wZXJsDQoNCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIy MjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIy
glibcのgethostbyname関数に存在するCVE-2015-0235(GHOST)脆弱性について - ブログ - ワルブリックス株式会社
glibcのgethostbyname系関数に脆弱性の原因となるバグが発見されCVE-2015-0235(GHOST)と命名されたようです。放置した場合は相当多くのアプリケーションがこの脆弱性の影響を受けることが予想されます。 glibcは libcのGNUバージョンです。libcはアプリケーションではなく、事実上全てのアプリケーションが利用しているライブラリです。OSの中ではカーネルに次いで重要な部分と言えます。Linuxシステムでは(ことサーバー用途においては)例外なく glibcが使われています。 この glibcに含まれる gethostbyname系関数の実装に 2000年頃から存在したバグが今になって発見され、CVE-2015-0235 通称 GHOSTと命名されました。ネットワークで何らかの通信を行うアプリケーションは必ず※この関数を使用します。 ※追記: 名前解決をサポート
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
エフセキュアブログ : Mayhemに首を突っ込む
Mayhemに首を突っ込む 2014年07月24日16:24 ツイート fsecure_corporation ヘルシンキ発 ここ1年で、Linuxサーバを標的にしたマルウェアが大きなニュースとなることが増えてきた。本記事では、LinuxとFreeBSDのサーバを標的とした、高度かつ多目的なあるマルウェアの動作について、調査報告を行う。当社ではこの動作の核となるマルウェアファミリーをGalacticMayhemと命名した。この名前は一部のC&CサーバのURLをもとにしている。Yandexの研究者チームによって報告されたものと同じマルウェアファミリーである。 概要 サーバへのMayhemの感染は、PHPのドロッパースクリプトから始まる。このスクリプトの役割は、悪意のあるELF共有オブジェクトファイルをドロップし実行することだ。ドロップされたバイナリの名前の多くはlibworker.soだ。し
Important: openssl security update | Red Hat Customer Portal
Topic Updated openssl packages that fix one security issue are now available for Red Hat Enterprise Linux 6. The Red Hat Security Response Team has rated this update as having Important security impact. A Common Vulnerability Scoring System (CVSS) base score, which gives a detailed severity rating, is available from the CVE link in the References section. Description OpenSSL is a toolkit that impl
Endpoint Protection - Symantec Enterprise
「Operation Windigo」というコードネームの大規模かつ複雑な攻撃活動について報告したホワイトペーパーが、セキュリティ研究者によって公開されました。この攻撃が始まった 2011 年以来、25,000 台を超える Linux/UNIX サーバーが侵入を受けて、SSH(Secure Shell)資格情報を盗み出された結果、Web にアクセスしたユーザーが悪質なコンテンツにリダイレクトされ、スパム送信を送り付けられるようになりました。cPanel や Linux Foundation といった著名な組織も被害を受けていたことが確認されています。標的となるオペレーティングシステムは、OS X、OpenBSD、FreeBSD、Microsoft Windows、そして Linux の各種ディストリビューションです。発表されたホワイトペーパーによると、Windigo は毎日平均 3,500
2万5000台超のLinux/*BSDサーバがマルウェア感染 - 1日3500万通のスパム送信
ESETは3月18日(米国時間)、「Over 500,000 PCs attacked every day after 25,000 UNIX servers hijacked by Operation Windigo」において「Operation Windigo」によって25,000台を超えるLinux/*BSDサーバが乗っ取られており、結果として1日あたり3500万通のスパムメール送信に使われていると伝えた。詳細な報告書にはLinux FoundationやcPanelもこの攻撃を受けたという説明がある。ただちに管理下にあるサーバをチェックするとともに、クラッキングを受けた形跡がある場合にはシステムの再インストールとSSHパスワードの変更、秘密鍵の削除と変更などが推奨されている。 乗っ取られたWebサーバはほかのマルウェアの感染に使われたり好ましくないサイトへのリダイレクトといった行為
Linuxサーバ2万5000台にマルウェアが感染、攻撃加担の実態も
過去2年で2万5000台以上のサーバがLinuxを狙うマルウェアの「Ebury」に感染し、Webトラフィックのリダイレクトやマルウェアの大量送信に使われていたことが判明した。セキュリティ企業のESETが3月18日のブログで伝えた。 同社はこの攻撃を「Operation Windigo」と命名し、詳細について解説したホワイトペーパーを公表。攻撃に使われたインフラは全て、マルウェアに感染したサーバでホスティングされていたことが分かったと報告している。 EburyマルウェアはOpenSSHのログイン情報を盗む機能を持ち、Linux、FreeBSD、OpenBSD、OS X、WindowsなどのOSが影響を受ける。感染したサーバ2万5000台のうち、1万台以上はいまだにマルウェアが駆除されていないという。 ESETによれば、感染サーバは1日当たり50万ものWebビジターを悪質なコンテンツにリダイレ
新208.5日問題 - Systems with Intel® Xeon® Processor E5 hung after upgrade of Red Hat Enterprise Linux 6
Linux の連続稼働時間が 208.5 日を過ぎた段階で突如 Kernel Panic を引き起こすという過激な挙動で2011年の年の瀬に話題となった "旧208.5日問題" ですが、あれから二年が経った今、Linux Kernel 内の bug と Intel Xeon CPU の bug の合わせ技により再度類似の不具合が発生することが分かっています。 旧 208.5 日問題の発生原理に関しては以下の blog が参考になります。 okkyの銀河制圧奇譚 : sched_clock() overflow after 208.5 days in Linux Kernel 追記(2014/1/4) 新208.5日問題の簡易チェックツールを作成しました。よろしければお使い下さい。 tsc_checker - 新208.5日問題簡易チェックツール また、Linux Kernel における時間
多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。 【参考】 Web サイト改ざんに関する注意喚起(JPCERT/CC) 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA) @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf) 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog 当方のサイト(会社、個人)は、一通りのセキュリティ施策は実施しているつもりですが、絶対に改ざんされないかというと、改ざんされることは想定しておかなければならないと考えています。 当方のセキュリティ施策の例 FTPをやめ、sshのみで管理運用 sshのパスワード認証を
Attack Using Backdoored Apache Binaries to Lead to Blackhole Kit
There is a newly identified ongoing attack campaign in which attackers are using compromised Apache HTTP binaries to redirect users to malicious sites serving various flavors of malware, including the Blackhole exploit kit. Rather than going the traditional route of simply injecting malicious code onto target Web sites, this attack crew is replacing the existing Apache binary with a compromised on
Webサーバに感染する悪質なApacheモジュールが横行、不正データをサイトに埋め込む
不正なApacheモジュール「Linux/Chapro.A」は、感染したWebサーバから、コンテンツ供給先のWebページに不正なiframeを挿入する目的で使われているという。 Webサーバに感染する悪質なApacheモジュールが横行し、悪質なコンテンツをWebページに送り込む目的で使われているという。セキュリティ企業のESETが12月20日のブログで伝えた。 同社によると、このApacheモジュール「Linux/Chapro.A」は、感染したWebサーバから、コンテンツ供給先のWebページに不正なiframeを挿入する目的で使われている。このiframeによって、銀行情報などを盗み出す悪名高いマルウェア「Zbot」(別名ZeuS)の亜種をユーザーのシステムにインストールさせる仕掛けだという。 Linux/Chapro.Aはさらに、システム管理者から身を隠すためのさまざまな機能を実装してい
IPsec(L2TPD)でVPNサーバを立ててみた - よしだ’s diary
IPsec(L2TPD)でVPNサーバを立ててみた。 OpenVPNで言う所の、ブリッジモード。 クライアントはサーバと同じネットワークに追加される。 必要なファイル全部記載。 詳しくは参考URLを。 サーバはCentOS。 XL2TPD インストール yum -y install --enablerepo=epel xl2tpd /etc/xl2tpd/xl2tpd.conf [global] auth file = /etc/ppp/chap-secrets [lns default] ip range = 192.168.0.240-192.168.0.254 local ip = 192.168.0.50 require chap = yes refuse pap = yes require authentication = yes name = LinuxVPNserver pp
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TCP 23番ポートへのアクセスが増加、Linux機器の探索か~警察庁観測レポート 
"2014年2月に発生した lilo.linux.or.jp への不正アクセスについて"
GitHub - eset/malware-ioc: Indicators of Compromises (IOC) of our various investigations
Reddit - Dive into anything