Linux / Линукс

Linux / Линукс 🥸

Python-скрипт запускал комментарии, но не так, как ожидалось

На CTF-соревновании UIUCTF 2025 участнику удалось выполнить произвольный код на сервере, несмотря на то, что он мог менять только содержимое комментария в Python-скрипте. Казалось бы, надёжно: никакого eval, спецсимволы \n и \r вырезаются, данные помещаются в # комментарий, а затем скрипт запускается как .py. Но не всё так просто.

Уязвимость не в синтаксисе Python, а в его механике запуска файлов. Python с версии 2.6 умеет выполнять ZIP-архивы, если в них есть __main__.py. Причём архив может иметь расширение .py — Python определяет ZIP не по имени файла, а по структуре. Индексация архива идёт не с начала, а с конца — по секции EOCD, в которой можно хранить произвольный комментарий.

Именно это и использовал участник: подставил структурированный zip-архив прямо в текст комментария, где в конце файла лежал __main__.py со зловредом. Даже строка print("Thanks for playing!") после комментария не мешала — её Python игнорирует, считая частью ZIP-комментария.

Этот баг не связан с недавно закрытой уязвимостью с \0, но эксплуатирует аналогичную идею: исполнение "данных", маскирующихся под код.

Linux / Линукс 🥸

Linux / Линукс 🥸

Чат в терминале Linux: почти «Матрица» в реальной жизни

В статье рассказывается о том, как создать защищённое текстовое общение в духе «Матрицы» — без серверов и доверия, используя инструменты типа Cryptcat.

📌 https://habr.com/ru/companies/ru_mts/articles/900928/

Linux / Линукс 🥸

🖥 Ubuntu Server 25.10 прощается с wget

В рамках оптимизации Ubuntu Server 25.10 разработчики приняли решение убрать wget из стандартной установки. Вместо него для базовых задач теперь будет использоваться wcurl, который предлагает схожую функциональность. Сам пакет wget не удален из репозиториев, а просто перемещен в категорию поддерживаемых.

Это часть более широкой кампании по зачистке, т.к. из этой же сборки удалили терминальные мультиплексоры byobu и screen, оставив только tmux. Разработчики считают, что раз в новой версии curl (8.14.x) появилась обертка wcurl, способная заменить wget в большинстве простых сценариев, то нет смысла держать два инструмента с похожими задачами.

Технически, wcurl обертка, которая транслирует базовые команды wget в их эквиваленты для curl. Она умеет скачивать файлы, следовать редиректам, автоматически подбирать имена файлов, избегать перезаписи и выполнять повторные попытки при сбое. Однако для более сложных сценариев, особенно в старых скриптах с множеством специфичных флагов, все еще придется ставить wget вручную.

Linux / Линукс 🥸

Невидимый бэкдор Plague атакует Linux-серверы через PAM

Исследователи из Nextron Systems обнаружили новый изощренный бэкдор для Linux под названием Plague. За последний год на VirusTotal было загружено несколько его вариантов, и ни один из них не был обнаружен ни одним из 66 антивирусных движков (рейтинг детекта 0/66).

Такая неуловимость достигается за счет глубокой интеграции в систему. Plague маскируется под легитимный модуль PAM (Pluggable Authentication Modules), встраиваясь в самый корень процесса аутентификации в Linux. Вместо того чтобы ломать систему снаружи, он становится ее частью. Вредоносная библиотека (часто с именем libselinux.so.8) подменяет собой легитимную и перехватывает функцию pam_sm_authenticate(), получая доступ к логинам и паролям в открытом виде.

Plague использует многоуровневую обфускацию строк, которая эволюционировала от простого XOR до сложных алгоритмов, похожих на RC4. Вредонос также оснащен антиотладочными механизмами: он проверяет, что его имя файла не изменено, и что в переменных окружения отсутствует ld.so.preload, что характерно для песочниц.

Для персистентности в бэкдор зашит статический пароль, который позволяет атакующим входить в систему по SSH, обходя стандартную аутентификацию. После успешного входа Plague тщательно зачищает следы: обнуляет переменные окружения SSH_CONNECTION, SSH_CLIENT, SSH_TTY (чтобы скрыть IP и порт атакующего) и перенаправляет историю команд (HISTFILE) в /dev/null, не оставляя никаких записей в .bash_history.

После успешного обхода аутентификации вредонос выводит сообщение-пасхалку из культового фильма «Хакеры» (1995):

Uh. Mr. The Plague, sir? I think we have a hacker.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸