Обнаружен первый в истории троянец для Linux.

ikkunan salvataja · 16-09-12 22:28:54

Белая рысь пишет:

Ага, а пути, по которым изменения идут, в астрале хранятся, как же, знаем

Блин, для тех, кто в вигваме. Повторяю ещё раз, мне не надо анализировать сам файл, мне достаточно знать куда файл прописывается, а для этого достаточно открыть deb, rpm или tgz пакет как архив. Если я увижу что какой либо пакет не из официального репозитория прописывает свои файлы куда-нибудь типа в /etc/rc.d то он сразу же будет послан куда подальше. Ну а если в такие каталоги из которых он гадостей понаделать не сможет, ну только что пользователю от имени которого он запущен, то может быть будет поставлен, но запускаться софтина из этого пакета будет от имени пользователя у которого нет доступа к сетевухе и который не сможет файлы другого пользователя покоцать. У меня кстати так работал skype когда я им пользовался, так, на всякий слюцай, к файлам в моём домашнем каталоге он доступа не имел.

Добавлено спустя 01 мин 41 с:

UPS пишет:

так это продвинутые школьнеги не читают никогда.

Ну продвинутые школьнеги сидят исключительно под Божественной.

UPS · 16-09-12 22:33:59

ikkunan salvataja пишет:

Ну продвинутые школьнеги сидят исключительно под Божественной.

ЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫы Школьнеги составляют более 95% IT специалистов дружок.
Специально для тебя

Tritus · 16-09-12 22:36:30

UPS пишет:

Да уже и толсто и любыми способами,результат одинаков.

Да вот с Убунтуфорума, например:

http://forum.ubuntu.ru/index.php?topic=138132.0

Не закидывайте помидорами плиз, но есть предложение, не знаю как одобрит общество...
Итак, предлагаю создать (или сгрупироватся с http://lin.in.ua/ ) Linux торрент-трекер. Для чего?
1. В репозиториях не всегда все есть, особенно это справедливо к играм
2. К каждой Windows-программе ( к примеру имею пару прог пропатченых, под Wine идут прекрасно) выкладывать способ запуска под Линь
3. Обмен дистрибутивами, исходниками какими-нить, и т.д.
нууу.... другие пункты пока не придумал... Интересен глас народа

Очень нравится пост:

самый лучший вариант торрента
когда
1-есть возможность упаковать в deb любую коммерческую игру
т.е. сделать возможность установить её любому кто умеет делать двойной щелчок на мыши
причем не паковать всю игру в deb файл
а запаковать в него только то что официальный setup не сумел установить
т.е. ключи реестра , ключевые настройки и.т.п
т.е. типа такой универсальные фиксеры делать, что то схожее в playonlinux видел хотя мне он совсем не нравится и работает с дисками а не уже установленными копиями.
2-оставить возможность зарегистрировать официальный лицензионный ключ от игры
если она у кого то есть, но он по каким то причинам поставить её не может.

И т.д и т.п... Никто и не поднял вопроса о безопасности выкладываемых пакетов, подписях, исходниках и проч. и проч.. А вот пользователь, например, который вообще по привычке софт с торрентов качает:

А мне нравится предложение TC. Зачем? На этот вопрос трудно ответить. Например, я всегда пользуюсь торрент-трекерами при скачке чего-либо (еще с форточек привычка осталась). Главное, чтобы он развивался, а не для галочки был создан.

Так что, как видим, и в Windows, и в Linux ситуация примерно одинакова. Пользователи найдут запакованную кем-то игру, установят и не подумают проверять пути или изучать сорцы под микроскопом. Только линуксоиды при этом на вопрос о вредоносном ПО будут делать круглые глаза и доказывать, что на их Убунте такого нет и быть не может.

Павел · 16-09-12 22:44:08

IvanOFF пишет:

А кто мне мешает его подписать? И засунуть туда пакеты с нескучными обоями и троянами?

Странно... Хорошо. Прежде всего, скажите, чем вы его собираетесь подписывать? Каким ключом? Откуда он у Вас?
Желательно, конечно, Вам самому хоть раз что-то (безвредное) распространить через механизм PPA.

IvanOFF пишет:

Да что вы говорите, пользователи мака не столь давно это прочувствовали на своей шкуре. Архитектура системы в плане безопасности та же. Выводы будут?

Не имею ни малейшего понятия. Я не пользуюсь маком. Поэтому выводов не будет. Но от вирусов не страдаю уже несколько лет, с тех пор как ушел на Линукс.

selenscy · 16-09-12 23:06:21

ikkunan salvataja пишет:

Повторяю ещё раз, мне не надо анализировать сам файл, мне достаточно знать куда файл прописывается, а для этого достаточно открыть deb, rpm или tgz пакет как архив. Если я увижу что какой либо пакет не из официального репозитория прописывает свои файлы куда-нибудь типа в /etc/rc.d то он сразу же будет послан куда подальше.

Дык можно и прожку дописать в пакете то wink Шкрипт эт самое простое smile

UPS · 16-09-12 23:09:48

ikkunan salvataja пишет:

Ладно, исправляю.

Что осилил даже в жимпе картинку вставить?
А теперь дружок удаляй данное произведение на основание правил форума,о чем явно написано в правилах. Можешь сделать другое пожалуйста,но с ноля и без вставления аватара.Правила надо соблюдать хотя бы в основном и причем тут Tritus?

Редактировался UPS (16-09-12 23:15:28)

Tritus · 16-09-12 23:12:30

UPS пишет:

Правила надо соблюдать хотя бы в основном и причем тут Tritus?

Видно, не дают покоя скриншоты с линуксовыми руткитами! Не в бровь, а в глаз попали! big_smile

ikkunan salvataja · 16-09-12 23:12:53

selenscy пишет:

Дык можно и прожку дописать в пакете то

Которая, как я полагаю, будучи запущенной пропишет в /etc/rc.d какую-нибудь гадость? Ну и каким же образом она это сделает если не из под рута будет запускаться?

Добавлено спустя 05 мин 04 с:

UPS пишет:

Что осилил даже в жимпе картинку вставить?

Неа, в inkscape, там проще. Кинул одну картинку, на неё другую, потом третью и экспортировать в растр.

UPS пишет:

и причем тут Tritus?

Так он такую же клоунаду устраивает, жалко у selenscy аватара нету, он тоже туда просится.
ЗЫ: Ладно, удалю, потом вставлю другую. Только сюжет придумаю.

UPS · 16-09-12 23:22:02

ikkunan salvataja пишет:

Так он такую же клоунаду устраивает, жалко у selenscy аватара нету, он тоже туда просится.

Циркачи-это линуксоиды,только не замечают этого,как горохом об стену.

ikkunan salvataja пишет:

ЗЫ: Ладно, удалю, потом вставлю другую. Только сюжет придумаю.

Вы когда делаете( на будующее) надо,чтобы не противоречило правилам по всем параметрам.Вы же постоянно делаете очень хреново это.

Tritus · 16-09-12 23:26:11

ikkunan salvataja пишет:

Так он такую же клоунаду устраивает, жалко у selenscy аватара нету, он тоже туда просится.

Где в этой теме настоящая клоунада, это и так понятно.

Павел · 16-09-12 23:26:42

UPS пишет:

Так,теперь возьметесь объяснить это мне как маленькому. Вот я пользуюсь антивирусом и с вами не согласен в принципе,объясните как например написаное вами можно применить относительно меня как пользователя.
Возьметесь?

Нет, не возьмусь.
1. Вы изначально в защитной позиции.
2. Вы не согласны со мной в принципе.
3. Вы это и сами хорошо знаете, по крайней мере, частично.

selenscy · 16-09-12 23:29:19

ikkunan salvataja пишет:

Которая, как я полагаю, будучи запущенной пропишет в /etc/rc.d какую-нибудь гадость? Ну и каким же образом она это сделает если не из под рута будет запускаться?

Четаем первый пост этой темы! cool Сопоставляем, как примитивный скрипт-кейлоггер, продемонстрированый здесь, собирает логи клавы и шлёт на удалённый хост smile Ровно так же делает и BackDoor.Wirenet.1 от имени пользователя, который рано или поздно введёт заветный пасс. Причём он гораздо навороченее и технологичнее чем моя убогая поделка для школьного примера.

"Для взаимодействия с командным сервером, расположенным по адресу 212.7.208.65, вредоносная программа использует специальный алгоритм шифрования Advanced Encryption Standard (AES)."

"BackDoor.Wirenet.1 обладает функционалом кейлоггера (т. е. способен фиксировать нажатия пользователем клавиш и отправлять полученные данные злоумышленникам), кроме того, он крадет пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin."

Как здесь примерно wink

А вы так дальше и считайте дырявое поделиё, с червями, под погонялой линупс, абсолютно бизапасным, по своей школьной привычке smile Молите боха, что вы там в убогой нише одного процента сидите big_smile

Редактировался selenscy (16-09-12 23:44:19)

UPS · 16-09-12 23:33:31

Павел пишет:

Нет, не возьмусь.

Нет,лично с вами по моему мы сейчас в нормальных отношених. Я тоже понимаю,что ваш пост был немного сказать...
Всю жизнь пользуюсь ПО для комплексной защиты,при чем как в корпоративном секторе,так и дома.Последние годы (3-4) доволен.
Это ПО дает возможность без опаски "качать все подряд"( в разумных пределах) и остальные радости,начиная с принесенной кем то флешки и так далее.
Живой пример- у детей после установки проблем уменьшилось в разы,хотя их пользовательские привычки не поменялись.

Tritus · 16-09-12 23:35:37

UPS пишет:

Вы когда делаете( на будующее) надо,чтобы не противоречило правилам по всем параметрам.Вы же постоянно делаете очень хреново это.

На п.4.9 Правил, как мне кажется, нашему уважаемому собеседнику ikkunan salvataja можно было бы уже легко нарваться.

Редактировался Tritus (16-09-12 23:36:34)

ikkunan salvataja · 16-09-12 23:44:13

selenscy пишет:

Четаем первый пост этой темы!

Ага, читаем что там по ссылке.
"В момент запуска BackDoor.Wirenet.1 создает свою копию в домашней папке пользователя. Для взаимодействия с командным сервером, расположенным по адресу 212.7.208.65, вредоносная программа использует специальный алгоритм шифрования Advanced Encryption Standard (AES)."
А теперь ещё раз почитаем это

ikkunan salvataja пишет:

Ну а если в такие каталоги из которых он гадостей понаделать не сможет, ну только что пользователю от имени которого он запущен, то может быть будет поставлен, но запускаться софтина из этого пакета будет от имени пользователя у которого нет доступа к сетевухе и который не сможет файлы другого пользователя покоцать.

и думаем каким же образом этот червь логи слать будет.

selenscy · 16-09-12 23:46:47

ikkunan salvataja пишет:

и думаем каким же образом этот червь логи слать будет.

Если порты открыты чо бы ему не слать big_smile Вы такой смешной, право lol А как вы браузером пользуетесь? Неужели каждый раз из по рута? cool

ikkunan salvataja · 16-09-12 23:54:08

selenscy пишет:

Если порты открыты чо бы ему не слать

Повторение — мать учения.

ikkunan salvataja пишет:

от имени пользователя у которого нет доступа к сетевухе

Сие значит что для данной софтины вообще все порты закрыты, поскольку ставилась она из источника касательно которого у меня есть сомнения.

Tritus · 17-09-12 00:01:23

ikkunan salvataja пишет:

Сие значит что для данной софтины вообще все порты закрыты, поскольку ставилась она из источника касательно которого у меня есть сомнения.

Можно, конечно, Линукс настроить так, чтобы себя обезопасить. Ну разве обычный пользователь будет монтировать домашний каталог с noexec или создавать специальных юзеров, чтобы скачать пакет? Большинство, как мне кажется, устанавливают всё по дефолту и не заморачиваются на такие тонкости.

UPS · 17-09-12 00:04:06

Tritus пишет:

Большинство, как мне кажется, устанавливают всё по дефолту и не заморачиваются на такие тонкости.

Это уже утомляет,правда.Выше приводились примеры когда все ставиться под рутом,да и никто ничего не проверяет.Это горстка действительно избранных извращется c лупой.

Редактировался UPS (17-09-12 00:04:48)

selenscy · 17-09-12 00:05:03

ikkunan salvataja пишет:

Сие значит что для данной софтины вообще все порты закрыты, поскольку ставилась она из источника касательно которого у меня есть сомнени

А вам в голову не приходило, что у всех тут присутствующих тоже всё под контролем и у них почему то вирья нет? wink Несмотря на сказки и мантры местных пенгванутых дурачков и тебя, в том числе smile Однако это вовсе не значит, что всё так безоблачно у других, и поэтому я с полной уверенностью считаю поделиё дырявым решетом с ахуенными дырами tongue И оно не более безопасно чем винда, скорее даже наоборот, что подтверждается вашими же словами smile С чем я вас и поздравляю.

Редактировался selenscy (17-09-12 00:07:50)

kenzzzooo · 17-09-12 00:06:43

ikkunan salvataja, вот это:

ikkunan salvataja пишет:

Сие значит что для данной софтины вообще все порты закрыты, поскольку ставилась она из источника касательно которого у меня есть сомнения.

говорит о возможности smile т.е. сомнения есть, а инструмента, кроме собственных рук, как такового нет.

Tritus · 17-09-12 00:19:54

UPS пишет:

Это горстка действительно избранных извращется.

Да, разговор, видимо, заходит в тупик. Я вот, например, только что нашел на Убунтуфоруме ссылочку на плагин к GCstar. Его нужно поместить обязательно в папку /usr/share/gcstar/lib/GCPlugins/GCfilms/ , сделать это я могу только получив административные привилегии. Ну да, я могу открыть этот скрипт и посмотреть, но я обычный пользователь, я мало что в этом коде понимаю. Откуда мне достоверно можно узнать, не прописано ли в скрипте что-нибудь хитрое? Ниоткуда, я вынужден доверять источнику. Еще могу проверить файл с помощью ClamAV, ну это уже может вызвать смех у "экспертов". Вот и всё. Плагин отлично работает, я доволен, потому что превращаться в параноика и изучать азы языков программирования не намерен. Но факт остаётся фактом - механизмов защиты от вредоносного кода в подобных случаях, как я понимаю, не существует.

ikkunan salvataja · 17-09-12 00:20:10

kenzzzooo пишет:

т.е. сомнения есть, а инструмента, кроме собственных рук, как такового нет.

А какой инструмент есть в windows? Только не надо про антивирусные пакеты, зловред может добраться до пользователя раньше нежели его сигнатуры попадут в антивирусные базы.

Tritus · 17-09-12 00:24:49

ikkunan salvataja пишет:

Только не надо про антивирусные пакеты, зловред может добраться до пользователя раньше нежели его сигнатуры попадут в антивирусные базы.

Есть еще эвристический анализ, да и принципиально новые зловреды появляются всё же довольно редко - в основном появляются модификации уже существующих. Так что антивирус - очень хорошее средство защиты.

ikkunan salvataja · 17-09-12 00:25:19

Tritus пишет:

Его нужно поместить обязательно в папку /usr/share/gcstar/lib/GCPlugins/GCfilms/

Могу уверить — не нужно, если этот плагин нужен только одному пользователю.

Форум StopLinux

Объявление

#376 16-09-12 22:28:54

Re: Обнаружен первый в истории троянец для Linux.

#377 16-09-12 22:33:59

Re: Обнаружен первый в истории троянец для Linux.

#378 16-09-12 22:36:30

Re: Обнаружен первый в истории троянец для Linux.

#379 16-09-12 22:44:08

Re: Обнаружен первый в истории троянец для Linux.

#380 16-09-12 23:06:21

Re: Обнаружен первый в истории троянец для Linux.

#381 16-09-12 23:09:48

Re: Обнаружен первый в истории троянец для Linux.

#382 16-09-12 23:12:30

Re: Обнаружен первый в истории троянец для Linux.

#383 16-09-12 23:12:53

Re: Обнаружен первый в истории троянец для Linux.

#384 16-09-12 23:22:02

Re: Обнаружен первый в истории троянец для Linux.

#385 16-09-12 23:26:11

Re: Обнаружен первый в истории троянец для Linux.

#386 16-09-12 23:26:42

Re: Обнаружен первый в истории троянец для Linux.

#387 16-09-12 23:29:19

Re: Обнаружен первый в истории троянец для Linux.

#388 16-09-12 23:33:31

Re: Обнаружен первый в истории троянец для Linux.

#389 16-09-12 23:35:37

Re: Обнаружен первый в истории троянец для Linux.

#390 16-09-12 23:44:13

Re: Обнаружен первый в истории троянец для Linux.

#391 16-09-12 23:46:47

Re: Обнаружен первый в истории троянец для Linux.

#392 16-09-12 23:54:08

Re: Обнаружен первый в истории троянец для Linux.

#393 17-09-12 00:01:23

Re: Обнаружен первый в истории троянец для Linux.

#394 17-09-12 00:04:06

Re: Обнаружен первый в истории троянец для Linux.

#395 17-09-12 00:05:03

Re: Обнаружен первый в истории троянец для Linux.

#396 17-09-12 00:06:43

Re: Обнаружен первый в истории троянец для Linux.

#397 17-09-12 00:19:54

Re: Обнаружен первый в истории троянец для Linux.

#398 17-09-12 00:20:10

Re: Обнаружен первый в истории троянец для Linux.

#399 17-09-12 00:24:49

Re: Обнаружен первый в истории троянец для Linux.

#400 17-09-12 00:25:19

Re: Обнаружен первый в истории троянец для Linux.

Подвал форума