Обнаружен первый в истории троянец для Linux.

Белая рысь · 12-09-12 00:54:54

petrun пишет:

Читайте мануал.

Я уже. Вот так работает:

[root@msgs test]# cat test.c && gcc test.c && ./a.out
#include <sys/stat.h> //подключаем три библиотеки.
#include <stdlib.h>
#include <stdio.h>

int main (int argc, char* argv[])
{
        char i1[7] = "123";
        char i2[4] = "456";
        printf("%s\n", strcat(i1, i2));
}
test.c: В функции ‘main’:
test.c:9: предупреждение: несовместимая неявная декларация внутренней функции ‘strcat’
123456

NEMO · 12-09-12 00:54:57

petrun пишет:

Читайте мануал.
The strings may not overlap, and the
dest string must have enough space for the result. If dest is not large enough, program behavior is unpre‐
dictable; buffer overruns are a favorite avenue for attacking secure programs.

Это не объясняет segfault. По логике вещей страница с этими двумя строками должна быть защищена, поскольку strcat изменяет оригинальную строку, а значит, похерит все данные рядом.

NEMO · 12-09-12 01:08:55

Linups_Troolvalds пишет:

Покажите место в коде, где вы для строки (заранее не очень известной длины) выделяете память.

Если про код с 123 и 456(который не мой), то там происходит выделение памяти целиком для секции с данными из бинарника, но не чисто для этих строк.
Я всего-лишь прикинул, почему вылез segfault. И не вижу тут никакого оверлапа и нехватки памяти, которыми мне пудрят тут мозги.

NEMO · 12-09-12 02:17:28

Linups_Troolvalds пишет:

Потому что вы не выделили память для строки, на которую указывает path. То есть, результат strcat(getenv("HOME"),PATH) пишется в память, в которой неизвестно, что находится. man malloc

Блин, я про пример белой рыси... В моем случае с strcat(getenv("HOME"),PATH) все прекрасно работает, хотя понимаю, что так делать не стоит и работает оно только от того, что кто-то другой был не меньшим говнокодером.

Белая рысь · 12-09-12 02:21:08

Так, господа, я не уловил, что вы все на NEMO наехали? Вот вам проверка его шедевра (только права поправил и путь к файлу автозапуска):

[root@msgs test]# echo "--------------This is source--------------" && cat test.c && echo "--------------This is compilation--------------" && gcc test.c && echo "--------------This is program execution--------------" && ./a.out && echo "--------------This is autorun file--------------" && cat testfile.tmp
--------------This is source--------------
#include <sys/stat.h> //подключаем три библиотеки.
#include <stdlib.h>
#include <stdio.h>

#define PATH "/test/testfile.tmp" //файл, в котором будет скрипт автозагрузки.
int main(int argc, char * argv[]) //функция, заодно и точка входа.
{
  FILE * f; //пока пустой дескриптор файла
  char *path; //и пустой указатель на строку пути
  path = strcat(getenv("HOME"),PATH); //путь = домашняя папка текушего пользователя + PATH
  f = fopen (path, "w+");//открываем файл на запись
  fprintf (f, "#!/bin/bash\n/usr/lib64/firefox-3.6.13/firefox\n"); //пишем в файл тело скрипта. 2 строка = путь к браузеру.
  chmod (path, 0700); //делаем файл исполняемым.
  fclose(f);//закрываем файл.
  return 0;//TEH END
}
--------------This is compilation--------------
test.c: В функции ‘main’:
test.c:10: предупреждение: несовместимая неявная декларация внутренней функции ‘strcat’
--------------This is program execution--------------
--------------This is autorun file--------------
#!/bin/bash
/usr/lib64/firefox-3.6.13/firefox

Итак, вопрос знатокам:
Если есть файл с правами 0700 и содержимым вида

#!/bin/bash
/usr/lib64/firefox-3.6.13/firefox

положенный в папку

~/.kde4/Autostart/

запустится ли автоматически при входе пользователя в систему бинарник

/usr/lib64/firefox-3.6.13/firefox

если в качестве wm используется KDE4?
Прим.: просьба про "наличие у пользователя прав на запуск /usr/lib64/firefox-3.6.13/firefox" и вообще его наличие в системе не поднимать, подразумевается, что он есть и запускабелен от пользователя.

Добавлено спустя 02 мин 09 с:

NEMO пишет:

Блин, я про пример белой рыси...

Хватит мой быдлокод мусолить! smile ) Я в последний раз на сях писал ещё в институте, если мне не изменяет память, 9 лет назад, вот и облажался, исправился же уже. smile

Редактировался Белая рысь (12-09-12 02:30:13)

Белая рысь · 12-09-12 02:44:28

petrun пишет:

Вот с этого места поподробнее.

Подробнее: если верить мануалу, то getenv возвращает ссылку на середину некоей структуры, именуемой "environment of the process", т. е. NEMO своим коварным поступком изрядно поднасрал процессу. Одно счастье, процессу оное окружение не нужно, бо он ничего толком и не делает. Посему и отработало нормально...

Добавлено спустя 02 мин 18 с:

Linups_Troolvalds пишет:

А у меня /home смонтирован с noexec, пичалька...

А у меня тоже кое-что запилено для борьбы с нежелательной активностью... Будем говорить, что под винду вирусов нет, или вернёмся к среднестатистическому юзеру, который noexec не пользует? smile )

Редактировался Белая рысь (12-09-12 03:18:07)

Белая рысь · 12-09-12 03:26:45

NEMO пишет:

Я всего-лишь прикинул, почему вылез segfault. И не вижу тут никакого оверлапа и нехватки памяти, которыми мне пудрят тут мозги.

ЕМНИП, для констант в таком виде память не выделяется в привычном смысле этого слова, они просто хранятся в спецуёвом разделе, куда запись запрещена, поэтому и сегфолт.

Павел · 12-09-12 08:02:44

Tritus пишет:

pdos.csail.mit.edu/papers/chen-kbugs.pdf
http://ugcs.net/~keegan/talks/kernel-exploit/talk.pdf
Читайте, расширяйте свой кругозор. Вы же любите учиться?

Ну да, люблю, но без фанатизма. smile
Хорошо. Но только это всё к чему? К тому, что в Линуксе есть уязвимости? А кто бы спорил? Их фиксят, и на то есть апдейты. Как и в Винде. Но.
У Open Source есть одно очень приятное, просто восхитительное свойство. Когда уязвимость в ядре обнаруживается, лечат патчат ядро. Но в Линуксе это может сделать просто уйма народу (хоть федорщики, хоть дебианщики, хоть Вы). А вот исправить винду может только Microsoft. Прочие могут впендюрить еще один 100500100500-й костыль в антивирусное ПО.
И потом. Я просил сообщить подробности про того троянца, которого поймал DrWeb. Нету?

petrun пишет:

В самой системе можно зарезать рута.

В смысле?..

Добавлено спустя 08 мин 49 с:

selenscy пишет:

Так что винлокера обыкновенного можно ЛИХКО зае[...], особых трудов, по крайней мере для deb пакетов я не вижу

Батенька! Так его так же легко можно и приколотить там. И для этого не нужно будет грузиться с того же линукса и восстанавливать реестр из бородатой копии.

Добавлено спустя 12 мин 47 с:

selenscy пишет:

однако ты прекрасно убедился, что для деб пакета прописаться в автозагрузку можно ЛИХКО! и непринуждённо, притащив с собой НУЖНУЮ малварь в этом пакете

А прикинь, сколько можно "из исходников напрограммировать" всякой вирусни!
Сорцы - зло. smile

Добавлено спустя 16 мин 10 с:

selenscy пишет:

Чурки вы неотёсаные. По всем параметрам.

Это где ж тебя-то так стесало?.. smile

Добавлено спустя 19 мин 06 с:

NEMO пишет:

Это мой код. И немного жаль, что я потратил время на изучение ненужной мне хуйни с такой отдачей.

big_smile Да, отдачи, что и говорить, немного.

Добавлено спустя 21 мин 13 с:

Sanix пишет:

Пусть нас будет лучше 1.5% сомышленников, чем 90% зомби

Воистину.

Добавлено спустя 23 мин 34 с:

NEMO пишет:

Скоро запилю автозагрузку для GNOME и той фигни, что на убунту натянута. Может, и до скрытых папок дойду.

Неисповедимы пути, приводящие к Линуксу.
Но помни: через некоторое время на Винду будет больно смотреть. big_smile

NEMO · 12-09-12 10:08:57

Linups_Troolvalds пишет:

Так делать нельзя.

Нельзя это громко. Моя программа не делает ничего такого, где бы могли понадобиться данные, испорченные этим грязным хаком. Программа работает по принципу "после нас хоть потоп".

Павел пишет:

Но помни: через некоторое время на Винду будет больно смотреть.

Вi таки о чем? Сразу скажу - писать на сях никакой радости. У меня две крайности - ассемблер и шарп.

Кстати, я уже запилил копирование запущеного недотроянца в скрытую папку и прописывание в автозапуск для KDE, Gnome и Unity(вроде так она кличется?)
Думаю сделать из него настоящий бэкдор. Как думаете, сложно будет забиндить там портик и работать с сетью? Хочу удаленную загрузку/выгрузку и запуск файлов на зараженной машине.

selenscy · 12-09-12 10:17:35

Павел пишет:

Батенька! Так его так же легко можно и приколотить там. И для этого не нужно будет грузиться с того же линукса и восстанавливать реестр из бородатой копии.

Павлик! Детонька! Попробуй приколоти, если вам, абсолютно так же, как и в случае с винлокером отрубят клаву, можно сканкоды поменять, на стадии загрузки системы. Возможностей здесь и фантазии у малварьщиков хоть отбавляй wink Просто надо знать в мелочах и особенности загрузки системы, только и всего. Причём ниуипенных знаний программиста здесь просто не нужно. А винлокер, как правильно сказал Ivanoff примитивная хуета школоты, для пенгванутой школоты и павликов самое то lol

Добавлено спустя 25 мин 56 с:

Павел пишет:

Сорцы - зло.

Тюююю....То-то я и смотрю, как все сидят не хентаях, а на уебанты, краснышапки, суси, хуярчи просто пилюютЬ cool И все, блять, поголовно!!! из сорцов собирают, ага!

Эх и ёбнутые же вы в вашем идиотизме, "илитные" вы наши долбоёбы big_smile Смешно и радостно на вас смотреть ! На города и страны с линупсами, на то как при каждом случае почему то у "илитных" дурачков линупсов на порядки больше, потому что врут паганые статистики, купленые Балмером, о чём они с гордостью всем сообщают, на "илитных" пиздаблолов пересадивших на поделие всю семью, подругу и собаку с кошкой, на 25 лет непрерывных побед lol lol lol

А потом с удивлением вижу, что оказывается эти "илитные" нострадубусы, от сохи, рады ОДНОМУ проценту, стоило только их в говнецо макнуть слеганца

Жгите исчо!

Редактировался selenscy (12-09-12 11:01:34)

Rector · 12-09-12 10:52:51

И так, уважаемые участники команды "Дырявая форточка "! Где рабочий (!) код локера работающий в любом дистрибутиве Linux, прописывающийся в автозагрузку (как он это делает?) и вымогающий деньги за просмотр голых писек риот порнофильмов?

selenscy · 12-09-12 11:02:59

Rector пишет:

код локера работающий в любом дистрибутиве Linux

О блять!!! Уже в любом поделии!!! О как! lol lol lol

Заткнись уж, жертва локалхоста smile

NEMO · 12-09-12 11:07:12

Rector пишет:

код локера работающий

Нет, локер я не хочу делать. Лучше бэкдор.

Rector · 12-09-12 11:11:38

selenscy пишет:

Rector пишет:
код локера работающий в любом дистрибутиве Linux
О блять!!! Уже в любом поделии!!! О как!
Заткнись уж, жертва локалхоста

Проперделся ашдваэсом (H2S)? Код то будет, клоун? -))
----

NEMO пишет:

Нет, локер я не хочу делать. Лучше бэкдор.

С удовольствием почитаем и оценим Ваш код нового бэкдура к Linux.

terminaLtor · 12-09-12 11:20:42

selenscy пишет:

Просто надо знать в мелочах и особенности загрузки системы, только и всего.

Уже на 3-х страницах закапыватели не могут автозагрузку ФФ в кедах осилить big_smile Просто -- это на СЛОРе языком молоть.

Павел пишет:

Их фиксят, и на то есть апдейты. Как и в Винде. Но.

Шин8 выйдет с дырявым флешем в осле изкоробки. Опенсорц зло big_smile

Редактировался terminaLtor (12-09-12 11:21:32)

Rector · 12-09-12 11:41:23

terminaLtor пишет:

Просто -- это на СЛОРе языком молоть.

Угу. Это точно -)
--
Я вот что думаю коллега. Думаю что они даже в винде автозагрузку нормально не освоят -) Иначе не было бы дисков LiveCD с ярлычком запуска " AntiSMS", и с прикольными сообщениями в процессе работы программы - "Делаю всё заебись! Подождите...." "Ну вот всё готово! Наслаждайтесь..."
=
_))

Добавлено спустя 41 мин 50 с:
IvanOFF, Да, совсем забыл. Извините, но Вы когда пишите "Заявление", вы тоже точку в конце этого слова ставите?
---
Плз...Не ставьте точку в названии тем новых топиков.
===
Спасибо -)

Редактировался Rector (12-09-12 12:24:21)

UPS · 12-09-12 12:24:31

terminaLtor пишет:

Шин8 выйдет с дырявым флешем в осле изкоробки. Опенсорц зло big_smile

Опенсорс не зло,опенсорс гавно. Что же вы извлекли из прочитаного,что бы сделать такие выводы? Оказывается,что и читать не умеем sad

Rector · 12-09-12 12:50:55

UPS пишет:

Опенсорс не зло,опенсорс гавно. Что же вы извлекли из прочитаного,что бы сделать такие выводы? Оказывается,что и читать не умеем

Вероятно UPS, из прочитанного здесь, на СЛОР'е извлёк в итоге гавно. Вот по этому его вывод такой печальный. Это так, UPS, ?

Редактировался Rector (12-09-12 12:51:39)

IvanOFF · 12-09-12 13:05:06

Rector пишет:

Плз...Не ставьте точку в названии тем новых топиков.

Вам это так критично? Или пингвин неадекватно воспринимает?

Форум StopLinux

Объявление

#126 12-09-12 00:54:54

Re: Обнаружен первый в истории троянец для Linux.

#127 12-09-12 00:54:57

Re: Обнаружен первый в истории троянец для Linux.

#128 12-09-12 01:08:55

Re: Обнаружен первый в истории троянец для Linux.

#129 12-09-12 02:17:28

Re: Обнаружен первый в истории троянец для Linux.

#130 12-09-12 02:21:08

Re: Обнаружен первый в истории троянец для Linux.

#131 12-09-12 02:44:28

Re: Обнаружен первый в истории троянец для Linux.

#132 12-09-12 03:26:45

Re: Обнаружен первый в истории троянец для Linux.

#133 12-09-12 08:02:44

Re: Обнаружен первый в истории троянец для Linux.

#134 12-09-12 10:08:57

Re: Обнаружен первый в истории троянец для Linux.

#135 12-09-12 10:17:35

Re: Обнаружен первый в истории троянец для Linux.

#136 12-09-12 10:52:51

Re: Обнаружен первый в истории троянец для Linux.

#137 12-09-12 11:02:59

Re: Обнаружен первый в истории троянец для Linux.

#138 12-09-12 11:07:12

Re: Обнаружен первый в истории троянец для Linux.

#139 12-09-12 11:11:38

Re: Обнаружен первый в истории троянец для Linux.

#140 12-09-12 11:20:42

Re: Обнаружен первый в истории троянец для Linux.

#141 12-09-12 11:41:23

Re: Обнаружен первый в истории троянец для Linux.

#142 12-09-12 12:24:31

Re: Обнаружен первый в истории троянец для Linux.

#143 12-09-12 12:50:55

Re: Обнаружен первый в истории троянец для Linux.

#144 12-09-12 13:05:06

Re: Обнаружен первый в истории троянец для Linux.

Подвал форума