Антивирус

Он, ну совсем, там не нужен!

На сегодняшний день он не нужен.
Вместо антивируса лучше внимательнее читайте сообщения перед тем, как будете вводить свой пароль в вскочившем окошке.

nod32.

bitDefender'а хватает за глаза

чищу им флэшки, зараженные нечистоплотной виндой

Если не запускать левых бинарников (не из официального репозитория и из неподписанных доверенными ключами пакетов) - то не нужен. Виндовые флешки можно clamav'ом сканировать (который реально оправдывает свое название и является хламом). Если есть недоверие к приложениям и хочется их разграничить - selinux или виртуалки. Такие дела.

Вздохните уж спокойно, забудьте про этот подвид платного зловредного ПО.

Хороший мануал. Т.к. в линуксе главный вирус - прокладка между стулом и клавиатурой.

Вы так говорите, как будто никогда не слышали об уязвимостях в веб-браузерах.

Вы так говорите, как будто никогда не слышали об уязвимостях в веб-браузерах.

Как будто эти ваши антивирусы от них спасают.

Антивирус не нужен. Учите матчасть.

++

И от быдлофлешевирусов антивирусы не спасут. И пока юзер втыкает в видео на «вконтактиге», быдлофлешеплеер спокойненько может тырить у него сохраненные браузером пароли, явки куки и т.п.

Разве я что-то сказал об антивирусах? Претензия была к высказыванию:

Если не запускать левых бинарников...

Опыт подсказывает, что если их не запускать, то зловоедное ПО всеравно может завестись.

И от быдлофлешевирусов антивирусы не спасут. И пока юзер втыкает в видео на «вконтактиге», быдлофлешеплеер спокойненько может тырить у него сохраненные браузером пароли, явки куки и т.п.

Ага. Ну, правда, не верю, что в контакте этим занимаются, а вот на всяких левых сайтах да, легко.

«уязвимости в веб-браузерах» отключить javascript, flash

p.s. чувак я с линуксом работаю 2 года (а присутствующие в треде ,наверно, еще больше) ... и никого, как видишь это не волнует, а это значит проблемы -НЕТ....

Да понятно. Выражение «Если не запускать левых бинарников» можно расширить и до «не лазить по левым сайтам и думать головой».

p.s. чувак я с линуксом работаю 2 года (а присутствующие в треде ,наверно, еще больше) ... и никого, как видишь это не волнует, а это значит проблемы -НЕТ....

Потому что большинство умеет думать головой, а не только в нее есть =)

Опыт подсказывает, что если их не запускать, то зловоедное ПО всеравно может завестись.

В мастдае - да. В линуксе - нет.

Я с линуксом знаком уже эдак 12-й год. Рабочих вирусов под него не видел.

Бггг, ну а я больше пяти лет и что? Собственно, вредоносное ПО я обнаружил совершенно случайно, пропарсив зачем-то вывод netstat и обнаружив там подключение к irc, которым никогда не пользовался. Если ты не знаешь о проблеме, это не значит что ее нет. Ты может и не потеряешь своих учетных записей, а чей-то ботнет пополнить можешь. Благо зловред завелся у меня под урезанной учетной записью, созданной для домашних пользователей интернета.

Можно и по «левым» сайтам лазить. Главное - делать это с включенным noScript и отклюенным flash (а можно эту дрянь вообще не устанавливать - спокойней будет).

В линуксе да. Собственный опыт об этом говорит.

«Опыт подсказывает, что если их не запускать, то зловоедное ПО всеравно может завестись.»

ЖЖош

1) их никто не пишет

2) никто не распространяет

3) в линуксе системные файлы под правильними правами стоят(не позволяюшие писать в них что-то обычному юзеру)

4) никому твой линуксовский локал-хост нафиг не нужен

4)

У некоторых на компьютере более одного пользователя и остальные с компьютером на Вы. Меня спасло то, что я выделил отдельную учетную запись для серфинга по инету.

Не надо путать вирусы и руткиты. А если попарсить netstat или еще лучше wireshark'ом каким посмотреть, что происходит, когда работает скайп, можно обнаружить много интересного.

1. Пишут. Я видел.
2. Распространяют. Я ловил.
3. А зачем зловредному ПО системные файлы?
4. Лол, а в ботнетах только серверы из Топ-500, ага.

Покажи мне хоть один рабочий вирус под линукс.

Я не говорил о вирусах как таковых. Я говорил о зловредном ПО.

1. 4.2
2. 4.2
3. А устанавливаться оно в ~/bin будет? А запускаться как?

сегодняшний день не нужен.

Fixed FTGJ.

Алсо, ТС, ты какими вирусами заразиться боишься?

Именно вирус? Нет. Того зловреда, что я отловил, я не стал сохранять. Видимо нужно было для таких вот скептиков. Могу только сказать, что он подключался к irc, маскировал себя под ssh, но имя пользователя, из-под которого он был запущен, его выдавало.

А мы о вирусах говорим. Для защиты от руткитов надо лишь iptables настроить. Ну и на всякий случай особым параноикам можно rkhunter периодически запускать.

1 и 2 - если именно вы не видели, это не значит, что их нет. 3 - в /tmp.

Интересно, и как без прав рута этот руткит все это делал? Сто пудов, что у тебя кто-то увел пароль рута, а потом загнал «в благодарность» этот руткит.

А мы о вирусах говорим

Ну ок. Только я ставил под сомнение заявление о необходимости запуска бинарников. Это такой туркменский вирус, который нужно самому запустить?

3 - в /tmp.

И после перезагрузки (а мы говорим о локалхостах, которые неделями/месяцами не работают непрерывно) руткит идет на фиг.

Что это все? Зачем ему права рута? Чтобы подключиться к irc? Кто сказал, что это руткит?

А что, есть зловреды, не требующие запуска бинарников? Чаще всего это либо трояны, либо standalone приложения.

Именно вирус? Нет. Того зловреда, что я отловил, я не стал сохранять. Видимо нужно было для таких вот скептиков. Могу только сказать, что он подключался к irc, маскировал себя под ssh, но имя пользователя, из-под которого он был запущен, его выдавало

еще уточни, что это было под виндовс сервер, и все успокоятся =D

Возможно. Но я его обнаружил в рабочем состоянии. Алсо, мой ноут работает в среднем около месяца без перезагрузок.

Зачем ему права рута?

Чтобы выдать себя за ssh, очевидно.

Зачем права рута для запуска бинарников? Еще раз: лежало это говно в /tmp, было запущено под именем ssh от урезанного пользователя, подключалось к irc. Учитывая, что под тем пользователем не запускалось ничего кроме фф, я делаю вывод, что эксплуатировалась уязвимость в браузере. Я прибил процесс, вычистил /tmp, ребутнул машину - симптомы не повторялись. Где тут потребовались права рута я не знаю. О том, что это не руткит, я делаю вывод из того, что я в таком случае вряд ли его вообще обнаружил. Так, член ботнета для пинга MS.

Это было лишь название запускаемого бинарника. Пользователь был урезанный.

Рабочая станция под управлением Gentoo.

лежало это говно в /tmp, было запущено под именем ssh от урезанного пользователя, подключалось к irc.

Интересно, нафига было руткит запускать из-под какого-то «левого» пользователя? Точно кто-то рутовский пароль «угнал», и на всякий случай запустил свой бинарь не от рута, чтобы подозрений меньше было.

Учитывая, что под тем пользователем не запускалось ничего кроме фф, я делаю вывод, что эксплуатировалась уязвимость в браузере.

Чтобы запустить что-то из /tmp, его туда сначала положить надо. А это уязвимости в браузере делать не умеют. Хотя, хз: может, когда-то в огнелисе было столько дыр, что он мог и пиццу разогревать?

Хотя, конечно, не исключена ситуация заражения плагина огнелиса: он сделал «молчаливое» обновление, а после перезапуска вместо плагина запустилась еще какая-то дрянь. Такой исход вполне возможен.

Подскажите, какой, по вашему мнению, антивирус лучше для xubuntu?

Рабочая станция под управлением Gentoo.

А я только начал верить...

вся правда, а я и не заметил...

два чаю господину vurdalak !

Да какой нафиг руткит? Бот.
Браузер при стандартном поведении не дает доступ к фс, это да, но что мешает обойти эти ограничения при наличии уязвимости (я понимаю, что это зависит от уязвимости)?
Плагинов под тем пользователем не было. По крайней мере я не устанавливал, а пользователи вряд ли смогли бы это сделать.

Чем они принципиально отличаются?

Значит, это был какой-то очень дырявый огнелис, который использовался, несмотря на наличие 100500 дырищ. Причем, наверняка эти дырищи были уже закрыты.

Вот поэтому локалхосты и надо обновлять почаще.

Бубунта ближе к мастдайке. Там все через одно место делается, если только не убьешь пару-тройку дней на приведение бубунты в нормальный вид. Но тогда проще дебиан поставить.