اگه قبل از تعریف LOOP مقدار CX رو برابر با 0 قرار بدیم چه اعتفاقی میوفته ؟
Anonymous Quiz
15%
لوپمون فقط یه بار تکرار میشه
25%
لوپمون فقط صفر بار تکرار میشه
40%
اصلا خطا رخ میده چونکه CX نمیتونه قبل از تعریف LOOP صفر باشه
20%
برناممون وارد یه حلقه بی نهایت میشه چونکه CX همیشه 0 هست
از کدوم جامپ برای انتقال کنترل به جایی که ما بهش میگیم ، بدون توجه به شروط استفاده میشه .
Anonymous Quiz
5%
JS
21%
JE
74%
JMP
0%
JNZ
یکم حوصله ندارم چیزی بنویسم ولی
به نظرتون مثل قبل بیشتر از خبر هایی که دورمون داره اعتفاق میوفته بنویسم ؟
به نظرتون مثل قبل بیشتر از خبر هایی که دورمون داره اعتفاق میوفته بنویسم ؟
Anonymous Poll
87%
بنویس
13%
نه خودم پیگیرم
این چند روز رو سردرد شدید داشتم با مخلفاتشو بیمارستانو این داستانا ، ماجرای قسمت هفتم میمونه واسه وقتی یکم سرم اوکی بشه .
❤5👍2
قسمت های رکورد شده رو دیدین ؟
Anonymous Poll
27%
اره دیدم
58%
هنوز نه
15%
نمیخوام و علاقه ای هم ندارم
شیفتو گفتیم ، حالا چرخش هم بگیم و یه سری داستان های دیگه که توی قسمت بعدی جمع میشه بعدش سوال براتون میفرستم ....
زیمبرا که میتونیم بگیم یه پلتفرم ایمیله یه آپدیت امنیتی داده برای اصلاح یه آسیب پذیری خیلی شدید توی سرویس پست ژورنالش ، این نقص امنیتی رو به عنوان CVE-2024-45519 میشناسیم و اینطوره که به مهاجم احراز هویت نشده از راه دور اجازه میده دستورات مورد نظر خودشو توی اون سیستم دارای این ورژن خاص زیمبرا اجرا کنه که خب همین تا حد زیادی امنیتی برامون باقی نمیزاره ...
اخرین پچ امنیتی رو با Ghidra ریورس کردن و تابع حیاتی run_command رو برسی کردن ، توی نسخه پچ شده تابع execvp هست که ورودی کاربر رو به صورت آرایه ای تعریف کرده و این خودش میتونه از تزریق جلوگیری کنه ، از طرفی هم تابع جدید is_safe_input اضافه شده که از بعضی کاراکتر های خاص برای ورودی جلوگیری میکنه ، اما توی نسخه پچ نشده تابع read_maps از popen استفاده میکنه و باعث شده ورودی ها اصلا پاکسازی نشن ، و همین باعث اجرای هر کدی توسط مهاجم شده
اخرین پچ امنیتی رو با Ghidra ریورس کردن و تابع حیاتی run_command رو برسی کردن ، توی نسخه پچ شده تابع execvp هست که ورودی کاربر رو به صورت آرایه ای تعریف کرده و این خودش میتونه از تزریق جلوگیری کنه ، از طرفی هم تابع جدید is_safe_input اضافه شده که از بعضی کاراکتر های خاص برای ورودی جلوگیری میکنه ، اما توی نسخه پچ نشده تابع read_maps از popen استفاده میکنه و باعث شده ورودی ها اصلا پاکسازی نشن ، و همین باعث اجرای هر کدی توسط مهاجم شده
میخوام رکورد کنم همش صدای این جنگنده ها میاد که دارن دوردور میکنن واسه خودشون یه دیقه ساکت ، بزارید رکورد کنیم
😱7
GeekNotif
میخوام رکورد کنم همش صدای این جنگنده ها میاد که دارن دوردور میکنن واسه خودشون یه دیقه ساکت ، بزارید رکورد کنیم
وقتی فقط پنج کیلومتر با چیز پرتاب موشک اینجا فاصله داری :
🌚4
داشتم همینطور اخبار رو نگاه میکردم که رسیدم به یه خبر جالب ، خبری که داشت از بدافزاری حرف میزد که تونسته میلیون ها سرور لینوکسی رو در سراسر جهان مورد هدف خودش قرار بده ...
داستان از این قراره که محقق های Aqua Nautilus کشف کردن که یه بدافزار درطول 3 یا 4 سال گذشته اومده و از 20000 نوع پیکربندی اشتباه توی سرور های لینوکسی سو استفاده کرده ، داریم از بدافزار perfctl حرف میزنیم یه بدافزار که به خوبی بلده چطور مخفی بمونه و در عین حال کنترل سیستم رو کاملا به دست بگیره .
این بدافزار از یه روت کیت استفاده میکنه برای پاک کردن ردپای خودش و از طرفی هم هر وقت که کاربر وارد سرور میشه همه چیز عادی جلوه میکنه یعنی فعالیت پر سروصدایی از خودش نشون نمیده و به صورت اینترنال از سوکت های یونیکس و به صورت اکسترنال از طریق TOR ارتباط برقرار میکنه .
از تکنیک هایی که این بدافزار برای مخفی بودن استفاده میکنه میتونیم به این اشاره کنیم که بدافزار perfctl باینری خودشو بعد از اجرا شدن حذف میکنه و میره توی بک گراند خیلی بی سروصدا به عنوان یه سرویس به فعالیت خودش ادامه میده و از طرفی هم خودشو از حافظه به مکان های مختلفی از دیسک کپی میکنه و معمولا هم با تغییر اسم سرویسش به عنوان سرویس های سیستمی جلوه میکنه و یا خودشو با اونا ترکیب میکنه.
از طرفی هم این بدافزار میاد ~/.profile رو تغییر میده تا اطمینان پیدا کنه که بعد از هر بار ورود کاربر به سرور تمام داستان هاش انجام میشه و بالا میاد ... از سری اکسپلویت هایی که این بدافزار ازش بهره برداری میکنه میتونیم به CVE-2021-4043 اشاره کنیم ، یه آسیب پذیری که به بدافزارمون اجازه افزایش دسترسی میده و تا جایی هم میبینیم که اومده از cryptominer Monero (XMRIG) استفاده کرده که تونسته تمام منابع سرور رو استفاده کنه ...
اگه میخواید سرور لینوکسی خودتونو برسی کنید که آیا آلوده شده یا نه ، میتونین ببینید ایا افزایش یوزیج CPU دارین یا نه ، یا بیاید ببینید باینری های مشکوک توی دایرکتوری های /tmp , /root , /usr هست یا نه ، بچه ها حتما حواستونو جمع کنین توی سرور هاتون ابزار هایی رو بیارید بالا که نظارت داشته باشن به فعالیت ها و حداقل بتونین روت کیت رو تشخیص بدین ، بیاید حداقل سطح دسترسی هارو برسی کنید و محدودیت های خوندن و نوشتن رو اعمال کنین روی دایرکتوری های مخصوص ، یا ببینید به صورت عادی چه سرویس هایی درحال اجران و چه پورت های بازی دارید ، خلاصه یه سری اقدام های امنیتی رو در نظر بگیرید چونکه همین الان هم این بدافزار میلیون ها سرور لینوکسی که هنوز بالا هستن و به اینترنت وصلن رو تحت تاثیر قرار داده ....
داستان از این قراره که محقق های Aqua Nautilus کشف کردن که یه بدافزار درطول 3 یا 4 سال گذشته اومده و از 20000 نوع پیکربندی اشتباه توی سرور های لینوکسی سو استفاده کرده ، داریم از بدافزار perfctl حرف میزنیم یه بدافزار که به خوبی بلده چطور مخفی بمونه و در عین حال کنترل سیستم رو کاملا به دست بگیره .
این بدافزار از یه روت کیت استفاده میکنه برای پاک کردن ردپای خودش و از طرفی هم هر وقت که کاربر وارد سرور میشه همه چیز عادی جلوه میکنه یعنی فعالیت پر سروصدایی از خودش نشون نمیده و به صورت اینترنال از سوکت های یونیکس و به صورت اکسترنال از طریق TOR ارتباط برقرار میکنه .
از تکنیک هایی که این بدافزار برای مخفی بودن استفاده میکنه میتونیم به این اشاره کنیم که بدافزار perfctl باینری خودشو بعد از اجرا شدن حذف میکنه و میره توی بک گراند خیلی بی سروصدا به عنوان یه سرویس به فعالیت خودش ادامه میده و از طرفی هم خودشو از حافظه به مکان های مختلفی از دیسک کپی میکنه و معمولا هم با تغییر اسم سرویسش به عنوان سرویس های سیستمی جلوه میکنه و یا خودشو با اونا ترکیب میکنه.
از طرفی هم این بدافزار میاد ~/.profile رو تغییر میده تا اطمینان پیدا کنه که بعد از هر بار ورود کاربر به سرور تمام داستان هاش انجام میشه و بالا میاد ... از سری اکسپلویت هایی که این بدافزار ازش بهره برداری میکنه میتونیم به CVE-2021-4043 اشاره کنیم ، یه آسیب پذیری که به بدافزارمون اجازه افزایش دسترسی میده و تا جایی هم میبینیم که اومده از cryptominer Monero (XMRIG) استفاده کرده که تونسته تمام منابع سرور رو استفاده کنه ...
اگه میخواید سرور لینوکسی خودتونو برسی کنید که آیا آلوده شده یا نه ، میتونین ببینید ایا افزایش یوزیج CPU دارین یا نه ، یا بیاید ببینید باینری های مشکوک توی دایرکتوری های /tmp , /root , /usr هست یا نه ، بچه ها حتما حواستونو جمع کنین توی سرور هاتون ابزار هایی رو بیارید بالا که نظارت داشته باشن به فعالیت ها و حداقل بتونین روت کیت رو تشخیص بدین ، بیاید حداقل سطح دسترسی هارو برسی کنید و محدودیت های خوندن و نوشتن رو اعمال کنین روی دایرکتوری های مخصوص ، یا ببینید به صورت عادی چه سرویس هایی درحال اجران و چه پورت های بازی دارید ، خلاصه یه سری اقدام های امنیتی رو در نظر بگیرید چونکه همین الان هم این بدافزار میلیون ها سرور لینوکسی که هنوز بالا هستن و به اینترنت وصلن رو تحت تاثیر قرار داده ....
👍5🤯1