Обнаружен первый в истории троянец для Linux.

Tritus · 17-09-12 14:20:49

ikkunan salvataja пишет:

А просто отметить соответствующий крыжик и в поле рядом вписать имя пользователя значит низзя?

Windows - это другая система. Забудьте о своих линукс-привычках при использовании Windows! smile

kenzzzooo · 17-09-12 14:21:02

ikkunan salvataja пишет:

А просто отметить соответствующий крыжик и в поле рядом вписать имя пользователя значит низзя?

и что? Вы просили легкое и непринужденное решение smile Чем это не легкое и не непринужденное? smile Насчет низзя - можно, сторонними утилитами RunAs Professional, например.

Редактировался kenzzzooo (17-09-12 14:22:04)

Белая рысь · 17-09-12 14:30:27

ikkunan salvataja пишет:

Да, похоже крутая это штука windows, мощно извилины разглаживает.

А для вхождения в Linux-среду требование - их отсутствие. tongue Детсад не разводим, хорошо? wink

ikkunan salvataja пишет:

Ещё раз, на хрена мне его вообще изучать?

Откуда я знаю, это Вы тут рассказывали про изучение пакетов...

ikkunan salvataja пишет:

Мест, откуда можно потенциально нагадить, в линуксе раз-два и обчёлся.

Драйверы, подмена разделяемых библиотек, демоны, планировщик, автозагрузка... Да как и в винде, в общем-то...

ikkunan salvataja пишет:

Сделать соответствующую проверку никакого труда не представляет. В качестве примера:

Ну, да. А установочные скрипты все всегда отключают, поэтому вреда от них нет и быть не может. Сколько можно, а? Если Вы такой умный - честь Вам и хвала, но на всех пользователей Linux проецировать Ваши тайные знания не надо.

ikkunan salvataja пишет:

Если же программа в такие места не лезет — значит поставить можно, но на всякий случай делать её запуск от имени юзера с сильно урезанными правами.

См. выше. Можно, только никто этим заморачиваться не будет.

ikkunan salvataja · 17-09-12 14:30:57

Tritus пишет:

Windows - это другая система. Забудьте о своих линукс-привычках при использовании Windows!

Меняем здесь Windows на линукс, а линукс на Windows и утверждение остаётся верным. Что я и пытаюсь донести до местных карманчей, но до них почему то не доходит. Они считают что везде должно быть как в Божественной.

kenzzzooo пишет:

Чем это не легкое и не непринужденное?

Может быть, но на мой взгляд вот это

будет несколько полегче.

Белая рысь · 17-09-12 14:40:26

ikkunan salvataja пишет:

А просто отметить соответствующий крыжик и в поле рядом вписать имя пользователя значит низзя?

admilink

Белая рысь · 17-09-12 14:44:07

ikkunan salvataja пишет:

Может быть, но на мой взгляд вот это

ikkunan salvataja пишет:

будет несколько полегче.

На мой взгляд вот это - костыль, когда секьюрити принципалы плодятся, как мухи в говне, потому что система - решето кривое и не может предоставить адекватного уровня защиты без таких зверских костылей.

IvanOFF · 17-09-12 14:48:21

ikkunan salvataja, нет, я все еще продолжаю не понимать к чему вы все это постите. Изучение пакетов, запуск от другого пользователя. Все это хорошо, но на практике никто кроме вас этим заморачиваться не будет.

Речь в данной теме не о том, какой вы продвинутый или как удобно можно все сделать в _______ (нужное вставить).

В данной теме речь о простых пользователях, которые хотят включить компьютер в розетку и работать (играть, пинать хуи и т.д. и т.п.) не обращаясь к настройкам сложнее смены обоев для рабочего стола. Вот они как раз и беззащитны. В данной теме уже было доказано, как можно легко и непринужденно закинуть на комп пользователя какой угодно малвари, также как вы имели возможность убедиться, что линукс пользователи, как и все остальные, тянут все без разбора. О каких подписях и проверках вы говорите?

Белая рысь · 17-09-12 14:55:40

ikkunan salvataja пишет:

Может быть, но на мой взгляд вот это

ikkunan salvataja пишет:

будет несколько полегче.

И вообще, ололо, окошки и свистоперделки. Я Вас сейчас ткну носом в mmc, и мы пройдёмся по всем пунктам, которые нельзя через гуй сделать в Linux.

kenzzzooo · 17-09-12 14:59:19

ikkunan salvataja пишет:

будет несколько полегче.

ikkunan salvataja, объясните мне, пожалуйста, ЗАЧЕМ вообще мне ПОСТОЯННО запускать программу от имени другого пользователя?

selenscy · 17-09-12 15:00:39

"Так есть ли вирусы для Linux?

Найти какое-то упоминание о массовом заражении пользователей Linux в «прэссе» мне так и не удалось, зато удалось найти следы бурной «вирусной активности» датирующейся аж 2006 годом.
Связана она с уже упомянутой уязвимостью в Exim (CVE-2010-4344), на одном из серверов к которым у меня был доступ я нашел презабавную связку эксплоит+бэкдор, которые тут же начал исследовать. Благодаря им я разобрался с тем как же пользоваться отладчиками, а также как работают уязвимости на переполнении буфера, в результате родилась статья Давайте займемся реверс инжинирингом (вторую часть которой я все никак не напишу ). В процессе исследования я нашел пару ярких признаков этой связки и начал гуглить… Обратите внимание что упомянутое CVE датируется 2010 годом (!) однако в различных списках рассылки я находил упоминания датирующиеся 2006 (!!) годом. Т.е. получается что вирус бродил по сети более 5 лет и никто об этом не знал, видимо из-за того что никто полученные мощности ни для чего серьезного не использовал.

Получается удручающая картина, вирусы как бы есть, но о них как бы никто не знает

К чему я это все?

Как я уже писал в первой статье цикла, основная цель — показать что толки об абсолютной безопасности Linux, это величайшее заблуждение, просто пока за этот вопрос никто не брался основательно. Тоже самое касается и антивирусов для Linux которые якобы «не нужны», пока.

Поэтому господа, будьте бдительно, регулярно обновляйтесь и ставьте софт только из проверенных источников! " https://stproject.info/blog/?p=2019

Редактировался selenscy (17-09-12 15:02:47)

beep · 17-09-12 16:04:27

selenscy, бля таки проверяют пакеты, вот ссыль https://linux.org.ua/cgi-bin/yabb/YaBB.p … 043900/1#1 просьба перейти через гугл переводчик, там Украинским языком

Tritus · 17-09-12 19:16:46

Вот еще один пример в копилку. Тем, кто любит требовать реальные случаи заражения компьютеров под управлением GNU/Linux, будет особенно интересно:

https://forum.ubuntu.ru/index.php?topic= … ;topicseen

Пользователь пишет:

Вляпался в яму, подложенную Opyum Team: появились файлы /bin/f и /bin/i которые чего-то там делают при загрузке. Здесь нашёл обсуждение проблемы. Рецепт вроде бы прост, нужно всего-то удалить эти файлы и подправить /etc/crontab.
Однако, файлы не поддаются удалению и редактированию! Рутовых прав недостаточно для удаления и редактирования. Более того, они не поддаются даже если загрузить с флешки и попытаться ковырнуть их с незаражённого экземпляра ОС.

Посредством tasksel установил «Virtual Machine host», оно тянет за собой сервер SSH. На Федоре я его глушил, а тут не досмотрел. Дальше и так понятно, слабый админский пароль и так далее Конечно, возможно влезли через Apache или MySQL (если это вообще возможно в дефолтном варианте, я-то их использую только локально) но скорее всего через SSH.

При загрузке компьютера заметил некий процесс «f», который минуту или две после старта системы сильно нагружает процессор. Решил посмотреть список процессов, нашёл там нечто, с командной строкой «/bin/f Opyum Team», запущенное от рута. Потыкался в гугл, нашёл ссылки. Дальнейшую историю вы знаете.

Причём пользователь, по-видимому, отнюдь не чайник, который устанавливал нескучные обои из неподписанного пакета. Но, тем не менее, стал участником ботнета. Какие ещё пруфы существования малвари нужны?
В итоге пользователь столкнулся с тем, что средств для удаления малвари попросту нет. Остаётся один железный выход - переустанавливать систему.

PS По-моему, в этой ситуации имеет место некая ирония судьбы, учитывая частые заявления о "вечно глючащей дырявой винде, которую нужно каждый месяц переустанавливать из-за вирусов".

ikkunan salvataja · 17-09-12 20:28:55

Tritus пишет:

Какие ещё пруфы существования малвари нужны?

В данном случае это не малварь, а банальный брут-форс.

Tritus пишет:

В итоге пользователь столкнулся с тем, что средств для удаления малвари попросту нет.

Какие средства будет использовать виндеец в такой же ситуации? Это после того, как будет подобран его админский пароль и в систему будет установлена куча гадости, которую не один антивирус не определит как вирус, поскольку ставилось оно вполне легально.

Tritus пишет:

Причём пользователь, по-видимому, отнюдь не чайник,

Да уж, не чайник. Не чайник не откроет рутовый доступ по ssh для рута. А если и откроет, то с другим типом аутенфикации. Кстати, тут на днях парочка местных карманчей пыталась меня побрутфорсить, пусть расскажут как им это удалось.

Tritus · 17-09-12 20:37:16

ikkunan salvataja пишет:

В данном случае это не малварь, а банальный брут-форс.

А это достоверно неизвестно, уж извините. Да и какая разница? Вредоносный код в системе есть, а избавляться от него нечем.

Добавлено спустя 01 мин 07 с:

ikkunan salvataja пишет:

и в систему будет установлена куча гадости, которую не один антивирус не определит как вирус, поскольку ставилось оно вполне легально.

С этого момента можно поподробнее?

UPS · 17-09-12 20:41:33

ikkunan salvataja пишет:

Да уж, не чайник.

Да уж не чайник. А властелин терминала и повелитель консоли - могучий воин линупса,былинный богатырь Aкуна.

ikkunan salvataja пишет:

А если и откроет, то с другим типом аутенфикации.

Токма новообращеные линупсяне не знают,что такое аутенфикации. big_smile Cкучно по 4 кругу.

Рыбный пирог · 17-09-12 20:46:52

UPS пишет:

А властелин терминала и повелитель консоли - могучий воин линупса

Я тут на досуге, крутой софтик обнаружил вообще пушка. Терминатор называется (SIC!!)

Ну что виндузня, завидно?

Редактировался Рыбный пирог (17-09-12 20:51:22)

UPS · 17-09-12 20:54:11

Рыбный пирог пишет:

Ну что виндузня, завидно?

А шо это? Буквы какие то и цифры, оно деньги печатает? Если нет то нинужно,глаза болят от одного вида этого чуда.

ikkunan salvataja · 17-09-12 20:58:18

Tritus пишет:

А это достоверно неизвестно, уж извините

Что достоверно неизвестно? Что такое Opyum Team? Ну погугли.

Tritus пишет:

С этого момента можно поподробнее?

Можно. Если я антивирусу подсуну виндовый драйвер устройства дающий прямой доступ к портам, он его как вирус определит или нет?

SemyonKozakov · 17-09-12 20:58:35

UPS, это весьма хреновый тайлинг. Нормальный тайлинг предоставляет тот же awesome.

Рыбный пирог · 17-09-12 21:00:31

UPS пишет:

А шо это? Буквы какие то и цифры, оно деньги печатает? Если нет то нинужно,глаза болят от одного вида этого чуда.

Представьте что на 8 рабочих столах эата хуита крутится, и вгет скачивате 100500 дистров, и ты почту брутфорчишь у виндузятников тупых, и ядро канпилишь ...нет сразу пять ядер, в общем круто, ты не шаришь.

Рыбный пирог · 17-09-12 21:04:51

MOP3E пишет:

Есть подозрение, что это набор инструментов для управления ботнетом.

Да нет, просто мультиоконный эмулятор терминала, ужа что с ним делать решайте сами, думаю он безусловно кому то нужен, ну или кому то нравится об этом думать.

UPS · 17-09-12 21:07:59

Рыбный пирог пишет:

Представьте что на 8 рабочих столах эата хуита крутится, и вгет скачивате 100500 дистров, и ты почту брутфорчишь у виндузятников тупых, и ядро канпилишь ...нет сразу пять ядер, в общем круто, ты не шаришь.

Да ты шо! Класс! Если я линукс поставлю я тоже так смогу? Ну эта, я канешна туплю ,но в реале оно как насчет денег то? Ну там на машину заработать новую или ремонт какой.Как там за ядры и почту налом платят и деньги из принтера вылазют? Да?

Добавлено спустя 02 мин 18 с:

MOP3E пишет:

Печатает-печатает. При должном подходе. Есть подозрение, что это набор инструментов для управления ботнетом.

Скрытый текст:

Форум StopLinux

Объявление

#451 17-09-12 14:20:49

Re: Обнаружен первый в истории троянец для Linux.

#452 17-09-12 14:21:02

Re: Обнаружен первый в истории троянец для Linux.

#453 17-09-12 14:30:27

Re: Обнаружен первый в истории троянец для Linux.

#454 17-09-12 14:30:57

Re: Обнаружен первый в истории троянец для Linux.

#455 17-09-12 14:40:26

Re: Обнаружен первый в истории троянец для Linux.

#456 17-09-12 14:44:07

Re: Обнаружен первый в истории троянец для Linux.

#457 17-09-12 14:48:21

Re: Обнаружен первый в истории троянец для Linux.

#458 17-09-12 14:55:40

Re: Обнаружен первый в истории троянец для Linux.

#459 17-09-12 14:59:19

Re: Обнаружен первый в истории троянец для Linux.

#460 17-09-12 15:00:39

Re: Обнаружен первый в истории троянец для Linux.

#461 17-09-12 16:04:27

Re: Обнаружен первый в истории троянец для Linux.

#462 17-09-12 19:16:46

Re: Обнаружен первый в истории троянец для Linux.

#463 17-09-12 20:28:55

Re: Обнаружен первый в истории троянец для Linux.

#464 17-09-12 20:37:16

Re: Обнаружен первый в истории троянец для Linux.

#465 17-09-12 20:41:33

Re: Обнаружен первый в истории троянец для Linux.

#466 17-09-12 20:46:52

Re: Обнаружен первый в истории троянец для Linux.

#467 17-09-12 20:54:11

Re: Обнаружен первый в истории троянец для Linux.

#468 17-09-12 20:58:18

Re: Обнаружен первый в истории троянец для Linux.

#469 17-09-12 20:58:35

Re: Обнаружен первый в истории троянец для Linux.

#470 17-09-12 21:00:31

Re: Обнаружен первый в истории троянец для Linux.

#471 17-09-12 21:04:51

Re: Обнаружен первый в истории троянец для Linux.

#472 17-09-12 21:07:59

Re: Обнаружен первый в истории троянец для Linux.

Подвал форума