1. Botnet FritzFrog w\u0142ama\u0142 si\u0119 ju\u017c na ponad 500 rz\u0105dowych i korporacyjnych serwer\u00f3w SSH<\/strong><\/h2>\n\n\nFritzFrog to botnet peer-to-peer (P2P) pozostaj\u0105cy aktywny co najmniej od stycznia 2020r. Z pomoc\u0105 technik takich jak m.in. atak brute force rozprzestrzeni\u0142 si\u0119 na dziesi\u0105tki milion\u00f3w adres\u00f3w IP, w tym nale\u017c\u0105cych do organ\u00f3w rz\u0105dowych, bank\u00f3w, firm telekomunikacyjnych, centr\u00f3w medycznych i instytucji edukacyjnych.<\/p>\n\n\n\n
Mamy do czynienia z kolejnym zagro\u017ceniem typu fileless. Po \u201ewdarciu\u201d si\u0119 na serwer malware wykonuje wszystkie operacji w pami\u0119ci. W ten spos\u00f3 atakuj\u0105cy s\u0105 w stanie skutecznie unikn\u0105\u0107 wczesnego wykrycia.<\/p>\n\n\n\n
Po uruchomieniu FritzFrog rozpakowuje z\u0142o\u015bliwe elementy \u2013 pliki ifconfig i nginx \u2013 oraz konfiguruje \u015brodowisku w taki spos\u00f3b aby monitorowa\u0107 port 1234, za kt\u00f3rego po\u015brednictwem atakuj\u0105cy przekazuj\u0105 kolejne polecenia. Z uwagi na to, \u017ce taka komunikacja by\u0142aby jednak \u0142atwa do wykrycia, atakuj\u0105cy \u0142\u0105cz\u0105 si\u0119 z przej\u0119tym urz\u0105dzeniem poprzez SSH i uruchamiaj\u0105 klienta netcat.<\/p>\n\n\n\n
Pierwsza komenda w\u0142\u0105cza zaatakowan\u0105 maszyn\u0119 do sieci urz\u0105dze\u0144 znajduj\u0105cych si\u0119 ju\u017c w r\u0119kach cyberprzest\u0119pc\u00f3w. Nast\u0119pne polecenia \u2013 szyfrowane z pomoc\u0105 AES \u2013 umo\u017cliwiaj\u0105 dopisanie publicznego klucza SSH-RSA do pliku authorized_keys. W ten spos\u00f3b przest\u0119pcy tworz\u0105 sobie dodatkowego backdoor\u2019a. W celu monitorowania zasob\u00f3w komputera ofiary, u\u017cycia procesora oraz monitorowania sieci uruchamiaj\u0105 oni r\u00f3wnie\u017c odpowiednie polecenia pow\u0142oki. Nast\u0119pnie malware mo\u017ce przyst\u0105pi\u0107 do rozprzestrzeniania si\u0119 za pomoc\u0105 protoko\u0142u SSH.<\/p>\n\n\n\n
G\u0142\u00f3wnym celem FritzFrog jest kopanie kryptowalut. Je\u015bli aktywne procesy \u201eniepotrzenie\u201d zajmuj\u0105 zasoby procesora, z\u0142o\u015bliwe oprogramowanie mo\u017ce je zabi\u0107, aby zapewni\u0107 jak najwi\u0119ksz\u0105 moc od wydobywania kryptowalut.<\/p>\n\n\n\n
Co ciekawe, protok\u00f3\u0142 P2P u\u017cyty do komunikacji nie jest oparty na \u017cadnej istniej\u0105cej implementacji, takiej jak \u03bcTP. Mo\u017ce to sugerowa\u0107, \u017ce atakuj\u0105cymi s\u0105 wysoce wykwalifikowanymi programistami. Na ten moment s\u0105 oni nieznani. Specjali\u015bci jednak doszukali si\u0119 ju\u017c pewnych podobie\u0144stw pomi\u0119dzy FritzFrog a Rakos, botnetem odkrytym w 2016 roku.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/xbr-baner.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Powa\u017cny b\u0142\u0105d w urz\u0105dzeniach bezprzewodowych zagra\u017ca bezpiecze\u0144stwu wszystkich kluczowych sektor\u00f3w<\/strong><\/h2>\n\n\nLuka znajduje si\u0119 w komponencie wykorzystywanym w milionach urz\u0105dze\u0144 dla bran\u017cy motoryzacyjnej, energetycznej, telekomunikacyjnej i medycznej. Mo\u017ce ona umo\u017cliwi\u0107 hackerom nie tylko przej\u0119cie urz\u0105dzenia ale uzyskanie dost\u0119pu do ca\u0142ej sieci wewn\u0119trznej.<\/p>\n\n\n\n
Problem dotyczy modu\u0142u Cinterion EHS8 M2M firmy Thales (dawniej od Gemalto, przej\u0119tej przez Thales w 2019 r.). Vendor potwierdzi\u0142 jednak, \u017ce b\u0142\u0105d wyst\u0119puje r\u00f3wnie\u017c w wersjach\/produktach BGS5, EHS5\/6\/8, PDS5\/6\/8, ELS61, ELS81, PLS62. Ponad 30 tys. firm wykorzystuje modu\u0142y Thales w procesie produkcji swojego sprz\u0119tu. Za ich pomoc\u0105 \u0142\u0105cz\u0105 si\u0119 ze sob\u0105 ponad 3 miliardy urz\u0105dze\u0144 \u2013 w ci\u0105gu jednego roku!<\/p>\n\n\n\n
Cinterion EHS8 i pozosta\u0142e komponenty z tej samej linii produkt\u00f3w to wbudowane modu\u0142y, kt\u00f3re zapewniaj\u0105 moc obliczeniow\u0105 i bezpieczn\u0105 komunikacj\u0119 M2M (machine-to-machine) za po\u015brednictwem bezprzewodowych po\u0142\u0105cze\u0144 mobilnych (2G, 3G, 4G). Przechowuj\u0105 one i uruchamiaj\u0105 kod Java. Producenci dodatkowo u\u017cywaj\u0105 ich do hostowania plik\u00f3w operacyjnych i poufnych danych. Chodzi g\u0142\u00f3wnie o dane logowania do r\u00f3\u017cnych us\u0142ug sieciowych.<\/p>\n\n\n
Gdzie tkwi problem…<\/h6>\n\n\n
Badacze odkryli metod\u0119 omini\u0119cia zabezpiecze\u0144 chroni\u0105cych pliki i kod operacyjny w module EHS8. EHS8 i inne produkty z jego linii posiadaj\u0105 mikroprocesor z wbudowanym interpreterem Java ME, pami\u0119ci\u0105 flash i interfejsami dla GSM, GPIO, ADC, d\u017awi\u0119ku cyfrowego i analogowego, GPS, I2C, SPI i USB. Je\u015bli atakuj\u0105cy by\u0142by w stanie kontrolowa\u0107 interfejs AT – polecenia AT to instrukcje steruj\u0105ce modemem – ma on r\u00f3wnie\u017c bezpo\u015bredni\u0105 kontrol\u0119 nad modu\u0142em i mo\u017ce wydawa\u0107 polecenia konfiguracyjne lub uzyska\u0107 dost\u0119p do systemu plik\u00f3w pami\u0119ci flash. Chodzi o opcje ich odczyty, zapisu, usuwania oraz nadawania nowych nazw plik\u00f3w i katalog\u00f3w.<\/p>\n\n\n\n
Ka\u017cda pami\u0119\u0107 flash posiada tzw. bezpieczny obszar dla kodu Java, gdzie jest mo\u017cliwy wy\u0142\u0105cznie zapis operacji \u2013 zabraniaj\u0105c odczytu danych. Producenci OEM mog\u0105 u\u017cywa\u0107 tego sektora do przechowywania prywatnego kodu Java i poufnych plik\u00f3w (certyfikat\u00f3w, kluczy prywatnych, baz danych aplikacji). Luka omija ograniczenia dla tego bezpiecznego obszaru, umo\u017cliwiaj\u0105c odczyt kodu Java dzia\u0142aj\u0105cego w systemie zar\u00f3wno od producenta OEM, jak i Thalesa, ujawniaj\u0105c w ten spos\u00f3b wszystkie znajduj\u0105ce si\u0119 tam dane.<\/p>\n\n\n\n
Thales otrzyma\u0142 dok\u0142adny raport opisuj\u0105cy luk\u0119 we wrze\u015bniu 2019r. W lutym 2020 r. wszyscy klienci otrzymali stosowne poprawki. Teraz w zale\u017cno\u015bci od urz\u0105dzenia i dostawcy s\u0105 mo\u017cliwe dwa modele aktualizacji. Pierwszy – over-the-air (OTA) – oraz kolejny – poprzez instalacj\u0119 z pami\u0119ci USB za pomoc\u0105 interfejsu zarz\u0105dzania urz\u0105dzeniem.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Drovorub – nowe zagro\u017cenie dla system\u00f3w Linux opracowane i wdro\u017cone przez rosyjskie wojsko\u2026<\/strong><\/h2>\n\n\n\u2026 takiego zdania s\u0105 ameryka\u0144skie NSA i FBI. Zaledwie kilka dni temu – 15 sierpnia – obie agencje opublikowa\u0142y wsp\u00f3lny alert bezpiecze\u0144stwa zawieraj\u0105cy szczeg\u00f3\u0142owe informacje o wcze\u015bniej nieznanym rosyjskim szkodliwym oprogramowaniu.<\/p>\n\n\n\n
Autopsja nowego malware<\/strong><\/p>\n\n\n\nDrovorub jest troch\u0119 niczym szwajcarski scyzoryk \u2013 tyle \u017ce s\u0142u\u017cy do hackowania Linuksa. Paczka sk\u0142ada si\u0119 z implantu po\u0142\u0105czonego z rootkitem modu\u0142u j\u0105dra, narz\u0119dzia do przesy\u0142ania plik\u00f3w, kolejnego odpowiadaj\u0105cego za przekierowywanie port\u00f3w i ostatniego, kt\u00f3re odpowiada za ponowne \u0142\u0105czenie si\u0119 z serwerem C&C. Wszystkie komponenty komunikuj\u0105 si\u0119 za po\u015brednictwem JSON i WebSocket\u2019\u00f3w.<\/p>\n\n\n\n
Drovorub mo\u017ce stanowi\u0107 powa\u017cne wyzwanie dla wielu specjalist\u00f3w od bezpiecze\u0144stwa. Ukrywa on swoj\u0105 obecno\u015b\u0107 przed powszechnie stosowanymi narz\u0119dziami. Sieciowe systemy wykrywania w\u0142ama\u0144 (NIDS) maj\u0105 realn\u0105 szans\u0119 zidentyfikowa\u0107 polecenia i komunikaty steruj\u0105ce przekazywane mi\u0119dzy klientem Drovorub, agentem Drovorub a serwerem Drovorub. Korzystanie z rozwi\u0105za\u0144 do analizy lub zabezpieczania mo\u017ce dodatkowo da\u0107 wgl\u0105d w niekt\u00f3re operacje – w tym wykrywanie funkcji rootkita. Jednak w tej sytuacji najlepsz\u0105 strategi\u0105 dzia\u0142ania b\u0119dzie wdro\u017cenie zapobiegawczych \u015brodk\u00f3w zaradczych i to jak najszybciej. B\u0119dziemy si\u0119 powtarza\u0107, ale najlepsze co mo\u017ce zrobi\u0107 Administrator to przeprowadza\u0107 na bie\u017c\u0105co aktualizacje system\u00f3w i \u0142ata\u0107 podatno\u015bci. Wa\u017cne: upewnij si\u0119, \u017ce posiadasz wersj\u0119 systemu Linux Kernel 3.7 lub nowsz\u0105. Tylko wtedy mo\u017cesz w pe\u0142ni wykorzysta\u0107 ochron\u0119 przed podpisywaniem j\u0105dra.<\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\n2. Powa\u017cny b\u0142\u0105d w urz\u0105dzeniach bezprzewodowych zagra\u017ca bezpiecze\u0144stwu wszystkich kluczowych sektor\u00f3w<\/strong><\/h2>\n\n\nLuka znajduje si\u0119 w komponencie wykorzystywanym w milionach urz\u0105dze\u0144 dla bran\u017cy motoryzacyjnej, energetycznej, telekomunikacyjnej i medycznej. Mo\u017ce ona umo\u017cliwi\u0107 hackerom nie tylko przej\u0119cie urz\u0105dzenia ale uzyskanie dost\u0119pu do ca\u0142ej sieci wewn\u0119trznej.<\/p>\n\n\n\n
Problem dotyczy modu\u0142u Cinterion EHS8 M2M firmy Thales (dawniej od Gemalto, przej\u0119tej przez Thales w 2019 r.). Vendor potwierdzi\u0142 jednak, \u017ce b\u0142\u0105d wyst\u0119puje r\u00f3wnie\u017c w wersjach\/produktach BGS5, EHS5\/6\/8, PDS5\/6\/8, ELS61, ELS81, PLS62. Ponad 30 tys. firm wykorzystuje modu\u0142y Thales w procesie produkcji swojego sprz\u0119tu. Za ich pomoc\u0105 \u0142\u0105cz\u0105 si\u0119 ze sob\u0105 ponad 3 miliardy urz\u0105dze\u0144 \u2013 w ci\u0105gu jednego roku!<\/p>\n\n\n\n
Cinterion EHS8 i pozosta\u0142e komponenty z tej samej linii produkt\u00f3w to wbudowane modu\u0142y, kt\u00f3re zapewniaj\u0105 moc obliczeniow\u0105 i bezpieczn\u0105 komunikacj\u0119 M2M (machine-to-machine) za po\u015brednictwem bezprzewodowych po\u0142\u0105cze\u0144 mobilnych (2G, 3G, 4G). Przechowuj\u0105 one i uruchamiaj\u0105 kod Java. Producenci dodatkowo u\u017cywaj\u0105 ich do hostowania plik\u00f3w operacyjnych i poufnych danych. Chodzi g\u0142\u00f3wnie o dane logowania do r\u00f3\u017cnych us\u0142ug sieciowych.<\/p>\n\n\n
Gdzie tkwi problem…<\/h6>\n\n\n
Badacze odkryli metod\u0119 omini\u0119cia zabezpiecze\u0144 chroni\u0105cych pliki i kod operacyjny w module EHS8. EHS8 i inne produkty z jego linii posiadaj\u0105 mikroprocesor z wbudowanym interpreterem Java ME, pami\u0119ci\u0105 flash i interfejsami dla GSM, GPIO, ADC, d\u017awi\u0119ku cyfrowego i analogowego, GPS, I2C, SPI i USB. Je\u015bli atakuj\u0105cy by\u0142by w stanie kontrolowa\u0107 interfejs AT – polecenia AT to instrukcje steruj\u0105ce modemem – ma on r\u00f3wnie\u017c bezpo\u015bredni\u0105 kontrol\u0119 nad modu\u0142em i mo\u017ce wydawa\u0107 polecenia konfiguracyjne lub uzyska\u0107 dost\u0119p do systemu plik\u00f3w pami\u0119ci flash. Chodzi o opcje ich odczyty, zapisu, usuwania oraz nadawania nowych nazw plik\u00f3w i katalog\u00f3w.<\/p>\n\n\n\n
Ka\u017cda pami\u0119\u0107 flash posiada tzw. bezpieczny obszar dla kodu Java, gdzie jest mo\u017cliwy wy\u0142\u0105cznie zapis operacji \u2013 zabraniaj\u0105c odczytu danych. Producenci OEM mog\u0105 u\u017cywa\u0107 tego sektora do przechowywania prywatnego kodu Java i poufnych plik\u00f3w (certyfikat\u00f3w, kluczy prywatnych, baz danych aplikacji). Luka omija ograniczenia dla tego bezpiecznego obszaru, umo\u017cliwiaj\u0105c odczyt kodu Java dzia\u0142aj\u0105cego w systemie zar\u00f3wno od producenta OEM, jak i Thalesa, ujawniaj\u0105c w ten spos\u00f3b wszystkie znajduj\u0105ce si\u0119 tam dane.<\/p>\n\n\n\n
Thales otrzyma\u0142 dok\u0142adny raport opisuj\u0105cy luk\u0119 we wrze\u015bniu 2019r. W lutym 2020 r. wszyscy klienci otrzymali stosowne poprawki. Teraz w zale\u017cno\u015bci od urz\u0105dzenia i dostawcy s\u0105 mo\u017cliwe dwa modele aktualizacji. Pierwszy – over-the-air (OTA) – oraz kolejny – poprzez instalacj\u0119 z pami\u0119ci USB za pomoc\u0105 interfejsu zarz\u0105dzania urz\u0105dzeniem.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Drovorub – nowe zagro\u017cenie dla system\u00f3w Linux opracowane i wdro\u017cone przez rosyjskie wojsko\u2026<\/strong><\/h2>\n\n\n\u2026 takiego zdania s\u0105 ameryka\u0144skie NSA i FBI. Zaledwie kilka dni temu – 15 sierpnia – obie agencje opublikowa\u0142y wsp\u00f3lny alert bezpiecze\u0144stwa zawieraj\u0105cy szczeg\u00f3\u0142owe informacje o wcze\u015bniej nieznanym rosyjskim szkodliwym oprogramowaniu.<\/p>\n\n\n\n
Autopsja nowego malware<\/strong><\/p>\n\n\n\nDrovorub jest troch\u0119 niczym szwajcarski scyzoryk \u2013 tyle \u017ce s\u0142u\u017cy do hackowania Linuksa. Paczka sk\u0142ada si\u0119 z implantu po\u0142\u0105czonego z rootkitem modu\u0142u j\u0105dra, narz\u0119dzia do przesy\u0142ania plik\u00f3w, kolejnego odpowiadaj\u0105cego za przekierowywanie port\u00f3w i ostatniego, kt\u00f3re odpowiada za ponowne \u0142\u0105czenie si\u0119 z serwerem C&C. Wszystkie komponenty komunikuj\u0105 si\u0119 za po\u015brednictwem JSON i WebSocket\u2019\u00f3w.<\/p>\n\n\n\n
Drovorub mo\u017ce stanowi\u0107 powa\u017cne wyzwanie dla wielu specjalist\u00f3w od bezpiecze\u0144stwa. Ukrywa on swoj\u0105 obecno\u015b\u0107 przed powszechnie stosowanymi narz\u0119dziami. Sieciowe systemy wykrywania w\u0142ama\u0144 (NIDS) maj\u0105 realn\u0105 szans\u0119 zidentyfikowa\u0107 polecenia i komunikaty steruj\u0105ce przekazywane mi\u0119dzy klientem Drovorub, agentem Drovorub a serwerem Drovorub. Korzystanie z rozwi\u0105za\u0144 do analizy lub zabezpieczania mo\u017ce dodatkowo da\u0107 wgl\u0105d w niekt\u00f3re operacje – w tym wykrywanie funkcji rootkita. Jednak w tej sytuacji najlepsz\u0105 strategi\u0105 dzia\u0142ania b\u0119dzie wdro\u017cenie zapobiegawczych \u015brodk\u00f3w zaradczych i to jak najszybciej. B\u0119dziemy si\u0119 powtarza\u0107, ale najlepsze co mo\u017ce zrobi\u0107 Administrator to przeprowadza\u0107 na bie\u017c\u0105co aktualizacje system\u00f3w i \u0142ata\u0107 podatno\u015bci. Wa\u017cne: upewnij si\u0119, \u017ce posiadasz wersj\u0119 systemu Linux Kernel 3.7 lub nowsz\u0105. Tylko wtedy mo\u017cesz w pe\u0142ni wykorzysta\u0107 ochron\u0119 przed podpisywaniem j\u0105dra.<\/p>\n\n\n\n
3. Drovorub – nowe zagro\u017cenie dla system\u00f3w Linux opracowane i wdro\u017cone przez rosyjskie wojsko\u2026<\/strong><\/h2>\n\n\n\u2026 takiego zdania s\u0105 ameryka\u0144skie NSA i FBI. Zaledwie kilka dni temu – 15 sierpnia – obie agencje opublikowa\u0142y wsp\u00f3lny alert bezpiecze\u0144stwa zawieraj\u0105cy szczeg\u00f3\u0142owe informacje o wcze\u015bniej nieznanym rosyjskim szkodliwym oprogramowaniu.<\/p>\n\n\n\n
Autopsja nowego malware<\/strong><\/p>\n\n\n\nDrovorub jest troch\u0119 niczym szwajcarski scyzoryk \u2013 tyle \u017ce s\u0142u\u017cy do hackowania Linuksa. Paczka sk\u0142ada si\u0119 z implantu po\u0142\u0105czonego z rootkitem modu\u0142u j\u0105dra, narz\u0119dzia do przesy\u0142ania plik\u00f3w, kolejnego odpowiadaj\u0105cego za przekierowywanie port\u00f3w i ostatniego, kt\u00f3re odpowiada za ponowne \u0142\u0105czenie si\u0119 z serwerem C&C. Wszystkie komponenty komunikuj\u0105 si\u0119 za po\u015brednictwem JSON i WebSocket\u2019\u00f3w.<\/p>\n\n\n\n
Drovorub mo\u017ce stanowi\u0107 powa\u017cne wyzwanie dla wielu specjalist\u00f3w od bezpiecze\u0144stwa. Ukrywa on swoj\u0105 obecno\u015b\u0107 przed powszechnie stosowanymi narz\u0119dziami. Sieciowe systemy wykrywania w\u0142ama\u0144 (NIDS) maj\u0105 realn\u0105 szans\u0119 zidentyfikowa\u0107 polecenia i komunikaty steruj\u0105ce przekazywane mi\u0119dzy klientem Drovorub, agentem Drovorub a serwerem Drovorub. Korzystanie z rozwi\u0105za\u0144 do analizy lub zabezpieczania mo\u017ce dodatkowo da\u0107 wgl\u0105d w niekt\u00f3re operacje – w tym wykrywanie funkcji rootkita. Jednak w tej sytuacji najlepsz\u0105 strategi\u0105 dzia\u0142ania b\u0119dzie wdro\u017cenie zapobiegawczych \u015brodk\u00f3w zaradczych i to jak najszybciej. B\u0119dziemy si\u0119 powtarza\u0107, ale najlepsze co mo\u017ce zrobi\u0107 Administrator to przeprowadza\u0107 na bie\u017c\u0105co aktualizacje system\u00f3w i \u0142ata\u0107 podatno\u015bci. Wa\u017cne: upewnij si\u0119, \u017ce posiadasz wersj\u0119 systemu Linux Kernel 3.7 lub nowsz\u0105. Tylko wtedy mo\u017cesz w pe\u0142ni wykorzysta\u0107 ochron\u0119 przed podpisywaniem j\u0105dra.<\/p>\n\n\n\n
Drovorub jest troch\u0119 niczym szwajcarski scyzoryk \u2013 tyle \u017ce s\u0142u\u017cy do hackowania Linuksa. Paczka sk\u0142ada si\u0119 z implantu po\u0142\u0105czonego z rootkitem modu\u0142u j\u0105dra, narz\u0119dzia do przesy\u0142ania plik\u00f3w, kolejnego odpowiadaj\u0105cego za przekierowywanie port\u00f3w i ostatniego, kt\u00f3re odpowiada za ponowne \u0142\u0105czenie si\u0119 z serwerem C&C. Wszystkie komponenty komunikuj\u0105 si\u0119 za po\u015brednictwem JSON i WebSocket\u2019\u00f3w.<\/p>\n\n\n\n
Drovorub mo\u017ce stanowi\u0107 powa\u017cne wyzwanie dla wielu specjalist\u00f3w od bezpiecze\u0144stwa. Ukrywa on swoj\u0105 obecno\u015b\u0107 przed powszechnie stosowanymi narz\u0119dziami. Sieciowe systemy wykrywania w\u0142ama\u0144 (NIDS) maj\u0105 realn\u0105 szans\u0119 zidentyfikowa\u0107 polecenia i komunikaty steruj\u0105ce przekazywane mi\u0119dzy klientem Drovorub, agentem Drovorub a serwerem Drovorub. Korzystanie z rozwi\u0105za\u0144 do analizy lub zabezpieczania mo\u017ce dodatkowo da\u0107 wgl\u0105d w niekt\u00f3re operacje – w tym wykrywanie funkcji rootkita. Jednak w tej sytuacji najlepsz\u0105 strategi\u0105 dzia\u0142ania b\u0119dzie wdro\u017cenie zapobiegawczych \u015brodk\u00f3w zaradczych i to jak najszybciej. B\u0119dziemy si\u0119 powtarza\u0107, ale najlepsze co mo\u017ce zrobi\u0107 Administrator to przeprowadza\u0107 na bie\u017c\u0105co aktualizacje system\u00f3w i \u0142ata\u0107 podatno\u015bci. Wa\u017cne: upewnij si\u0119, \u017ce posiadasz wersj\u0119 systemu Linux Kernel 3.7 lub nowsz\u0105. Tylko wtedy mo\u017cesz w pe\u0142ni wykorzysta\u0107 ochron\u0119 przed podpisywaniem j\u0105dra.<\/p>\n\n\n\n