На что способен ELF исполняемый формат файлов?

У ELF-исполняемых файлов есть иммунитет к заражению вирусами?

Нет. Можно дописать данные в область выравнивания какой-нить секции, можно создать новую секцию. Много чего можно.

Еще у меня есть скриптик. Писал его для себя, чтобы следить за чистотой системы, а тут он пригодился — посмотреть, куда насрал в системе этот гад; скрипт сравнивает find / с БД пакетного менеджера и если есть неучтенные ПМ'ом файлы в системе, то выводит их. В системе все чисто, никаких лишних файлов небыло создано.

Когда меня взломали, враги поставили что-то в ~/.q3a/baseq3. Ты ведь не отслеживаашь состояние всей файлопомойки ~ в БД?

А так я бы париться не стал, взломщик явно не успел ничего сделать. wget - это самый первый шаг, чтобы скачать трояна.

Стоит ли опасаться, что дистрибутив теперь содержит вирусы и как его теперь вылечить?

Ставь антивирус же

Беги касперскому каяться что не юзал... :) ЗЫ Да, лучше переустановить начисто. Ты не представляешь на что способны руткиты через неизвестные уязвимости.

Держать ssh-сервер на рабочей тачке - ССЗБ...

Да, лучше переустановить начисто.

This.

Ну что, линукс приходит к успеху. Вирусы, переустановки системы, скоро реально начнём поголовно все касперского себе ставить.

Это безопасность, дурашка.

Ты в гости на соседнюю стройку ходил? Бешельме пас, как пить дать.

Уж сколько раз твердили миру: никаких паролей снаружи спрашиваться не должно, если русурс не общедоступный. Для кого сделали авторизацию по ключам? Так сложно прицепить к связке железных ключей флешку с электронными?

можно так-то на трубу закинуть....

Антивирус надо ставить на голову. А не на Линукс.

ВрИО К.О.

Пора переустановить линух. Я серьёзно.

Руткиты могут подменять ls и find. Потому твойи скриптик не показателен.

зловред снова оказался мимо понадеявшись на ынтырпрайзный дистрибутив
Взломали по SSH

Проблема не в дистрибутиве (даже фича не в дистрибутиве), а в пользователе
P.S. переустанавливай, ведь дистрибутив «почти как LFS» переустановить проще, чем «ынтырпрайзный дистрибутив». Наверное.

Система скомпрометирована и подлежит сносу как бы виндовсвэйно это не звучало.

Держать ssh-сервер на рабочей тачке - ССЗБ...

Почему? Вход по ключам и всё чики пуки.

secret

Надо было toor ставить, точно не подобрали бы.

Ставь антивирус же

Антивирус Попова - самый лучший на рынке!

Не совсем по теме, но почитай про Thompson compiler hack.

Напомню ещё о s/key (одноразовые пароли) — иногда бывает полезно, когда ты без ключа, а войти надо.

Спасибо, не знал.

<offtopic> А чё у тебя тут dwm.c так внезапно оканчивается?

2477 cn++;
2478 if(cn >= co

Это другой beastie. И dwm я не пользую. (Мну сидит на cwm)

Упс, ну ладно.

лнкс снс? ;)

толсто

Скорее всего всё в порядке, так как он пользовался wget-ом, но я бы из соображений безопасности переустановил начисто. После этого можно ещё и посравнивать файлы.

И да, он действительно мог подменить ls и find, поэтому стоило бы перепроверить из live-системы.

а ты быстрый

Да. Стоит.

База пакетного менеджера должна содержать хеши файлов, по сути дела встроенный антируткит (только нужно проверять, загрузившись с другого, заведомо чистого ядра).

они могут в себе содержать кучу всяких ресурсов, иконок, картинок, вирусов

А ELF чем хуже? Всё точно также, просто обычно этим не злоупотребляют. Можно даже сделать секцию которая не будет грузиться в память, и хранить в ней всё что взбредёт в голову.

Самое смешное в этой ситуации — парольные стереотипы во всей красе. Ублюдочные «требования» верхний-регистр-цифры-спецсимволы растут из идиотских процедур хеширования неполноценных ОС, которые не могли правильно работать на паролях длинной более восьми символов, и нужно было увеличивать энтропию любой ценой. Это давным-давно уже пофикшено.

Пароль yaposhelbuhatvgosti содержит 73 бита энтропии, а пароль Hm$1Lu=T5m^v — 60. Т.е. первый пароль в 8192 раза сильнее второго.