Perfctl malware a Linux rendszereken
Az Ars Technica egy 2024. október 4-i cikkben számol be az Aqua Security jelentéséről. A kutatók találtak egy 2021 óta forgalomban lévő rosszindulatú szoftvert, ami a rosszul karbantartott rendszereket fertőzheti meg, vagy a CVE-2023-33426 számon jelzett (Apache RocketMQ-t érintő) sebezhetőséget kihaszbálva települhet a számítógépekre. A sebezhetőséget már javították.
A Perfctl a malware kriptóvaluta-bányászó komponensének a neve. A rosszindulatú szoftver a Linux-rendszerekben használatos processzek, vagy hasonló nevek mögé rejtőzik.
A működését számos trükkel álcázza:
- számos elemét rootkit-ként telepíti;
- működését leállítja új felhasználó bejelentkezésekor;
- kommunikációját a TOR-on folytatja;
- telepítés után törli a binárist és háttérszolgáltatásként fut tovább;
- manipulálja a pcap_loop-ot, hogy megakadályozza forgalma figyelését;
- elnyomja a végrehajtása során keletkező hibaüzeneteket.
A malware perzisztens. Újraindítás, vagy a fő komponensek törlését követően helyreállítja magát. Ehhez (1) módosítja a ~/.profile-t és (2) a lemez több helyén hoz létre magáról másolatot. A pcap_loop eltérítése is segíti a beágyazódását. A Perfctl backdoor-ként is szolgálhat más rosszindulatú szoftverek telepítéséhez.
A Perfctl jelenlétét több rendszergazda is észlelte. Például a Reddit CentOS alcsoportjában 2023 áprilisában írta egy admin, hogy két szerverén észlelt kriptóvaluta-bányász tevékenységet perfctl és perfcc névvel. Amint SSH-val bejelentkezett, a tevékenység leállt. Kijelentkezése után azonnal újraindult. A perfcc-re keresve megtalált fájlokat hiába törölte a rendszer újraindítása után a malware újraépítette magát.
Az Aqua kutatói tesztkörnyezetébe a behatoló egy eltérített számítógépről telepítette a malware-t „httpd” névvel álcázva. Futtatásakor először a /tmp könyvtárba helyezte át magát, majd lefutott – náluk sh néven –, azután törölte az eredeti binárist. Az „sh” náluk a CVE-2021-4043-as sebezhetőséget (Gpac sebezhetősége, javítva 2021-ben) kihasználva próbált jogosultságot emelni. Ezután másolta be magát a memóriából a lemez több területére, normál rendszerfájloknak álcázva. Végül telepített egy rootkit-et és a bányászó szoftvert. Alkalmanként „proxy-jacking” (proxy eltérítő) szoftvert is telepített.
Működéséhez az adatokat a /tmp könyvtárban létrehozott két alkönyvtárban tárolja, illetve környezeti változókban azokat, amik működését befolyásolják. A btmp és utmp fájlokat figyeli és új felhasználót észlelve felfüggeszti a tevékenységét. Továbbá a konkurens malware-ket kiiktatja.
Aqua Securuty képe, a telepített rosszindulatú fájlok által alkalmazott nevekről.
A malware felfedezéséhez, a fenti információkon túl, a CPU-használat hirtelen megnövekedése, vagy rendszer lelassulása – különösen a géphasználat üresjáratai idején –, adhat támpontot.
Továbbiak az Aqua Security jelentésében.
Megjelent a PCLinuxOS Magazine 2024 oktberi száma
A tartalomból:
* 21 éves a PCLinuxOS;
* Inkscape oktató: élő útvonal effektus;
* Sherlock kinyomzza: hol van használatban a felhasználónevem?
* TTT: a Linux-kézikönyvlapok telepítése PCLinuxOS-rendszerre;
* mindenféle hírek
és egyebek.
Többek között a A rövid hírek (ICYMI) között lehet olvasni a Netflix rejtett menüjének elérésérő, illetve egy cikket a szünetmentes tápegységekről.
Jó szórakozást!
Megjelent a Full Circle Magazine 209. száma
A Full Circle Magazine egyike annak a kevés linuxos online kiadványnak, amit figyelek, mert érdemes. A magazin kifejezetten az Ubuntuval és származékaival foglalkozik (amit én nagy ívben kerülök), de a rövid hírek és a cikksorozatok zöme a többi Linuxnál is használható információkat hordoznak.
A mostani számban van
- Python-sorozat 155. része;
- Stable Diffusion-sorozat 18. része;
- Latex - hogyan
- Inkscape-sorozat 149. része;
- Mikró: a ESP32-2432S028,, vagy Cheap Yellow Display. használata, programozása;
- Volla Phone 22 - linuxos mobil telefon és Volla X23 értékelés;;
- Ubuntu és Mint Cinnamon és Mate asztalkezelőinek összehasonlítása;
- Könyvbemutató: Efficient Linux at the Command Line;
- Játékismertetés: Minami Lane.
A magazin angol nyelvű. Volt egy csapat, amelyik a teljes lapszámokat magyarra is lefordították, de úgy tűnik, hogy sajnálatos módon elfogyott a lendületük. Nagy kár érte.
Súgógép Texas Instrument TI-84-ből
Az ars TECHNICA híre szerint ChromaLock nevű YouTube tartalomkészítő közzé tett egy videót, amiben bemutatja, hogyan alakított át egy Texas Instrument TI-84-es grafikus számológépet szuper súgó géppé. A számológép kapcsolódhat az Internetre és - egyebek mellett - a ChatGPT-n keresztül az OpenAI-től kérdezhet, amivel a tesztírás során csalhat.
Persze a dolog koránt sem olyan egyszerű, mert ehhez áramköri lapot kell gyártani, kell egy ESP32-C3 mikrokontroller és mindenféle alkatrész – na és persze egy TI-84-es sem árt, ha van. Ehhez leírást itt lehet megtalálni.
A hardverhez külön szoftvert is kellett gyártania, ami nyílt forráskódú és a GitHub-ről letölthető.
Joomla telepítési tapasztalatok - kézikönyv
Az új Linuxempire honlap készítése során erősen jegyzeteltem, hogy ne vesszen feledésbe a sok kutakodás eredménye és később könnyebben tudjak Joomla-val honlapot készíteni, ha rászorulok. A Zim nevű applikációval készült jegyzeteimből készítettem magamnak egy összefoglalót, amit képekkel és némi magyarázattal kiegészítve most itt megosztom.
A jegyzetek egy részét a leírások között már megosztottam, bár az utolsó cikket már nem fejeztem be, illetve ott már nem tettem közzé. (Tartalom készítése – menük, modulok).
Sok sikert a használatához! Várom az esetleges jobbító szándékú hozzászólásokat, mert nem hiszem, hogy minden szempontból hibátlan lenne a művem.
Török Árpád