Антивирус

Чтобы запустить что-то из /tmp, его туда сначала положить надо

Вроде adobe flash в /tmp ролики сохраняет, не? Думаю, в эту сторону стоит копнуть.

А, так про быдлофлешь я уже говорил выше. И о том, что использовать его - отличная возможность острелить себе яйца.

(а можно эту дрянь вообще не устанавливать - спокойней будет)

Ради ютуба и музыки втентаклика оно у меня стоит.

Рабочая станция под управлением Gentoo.

Ну я тебя поздравляю, ты криворук =)

А мне что-то вспомнилась аделя с ее «вирусом», который все поменял на антиисламскую ерунду.

И о том, что использовать его - отличная возможность острелить себе яйца.

Кстати, в быдлофлеще ЕМНИП есть настройки доступа же, типа что ему можно, а что нет.

Хз, а меня последнее время полностью устраивает. И смотрится красиво, и работает на ура.

Ну, на данный момент я обновляюсь один-два раза в неделю, тогда ЕМНИП чаще. Сейчас уже не вспомню, что за версия фф была. Надо было полностью собрать информацию о системе и схоронить зловреда, но я удовлетворился тем, что удалил его из системы. Сделать это оказалось проще, чем в винде. У меня только одно сомнение осталось. Запускался ли он сам или работал с тех пор, как его подцепили. В случае автозапуска, интересно было бы узнать как он мог это сделать не обладая правами рута. Я пропарсил /etc и хомяк пользователя, но никаких следов не нашел.

ты криворук

В чем же именно, поясните.

«Браузер при стандартном поведении не дает доступ к фс, это да, но что мешает обойти эти ограничения при наличии уязвимости (я понимаю, что это зависит от уязвимости)?»

браузер запушен от $username(не root) это значит, что даже если дыра есть, браузер может работать только с каталогами ,в которые может писать $username

А теперь залезь в /tmp и насоздавай там файлов и каталогов.

Это я так, чтоб вбросить. Ты же генту тронул, а она - святое.

drwxrwxrwt 10 root root 4096 мая 10 10:28 tmp

В таком случае меня оправдывает то, что я выделил отдельного пользователя (минимальное, на мой взгляд, требование, когда домашние пользуются твоим компьютером). И к Gentoo эти меры не имеют отношения. Конечно, можно и iptables настроить, и тулзы по отлову руткитов усановить. Все зависит от степени паранойи, а не от кривости рук.

И чего ты не смог создать в /tmp из-под своего пользователя?

а я разве говорил, что в tmp нельзя создать что-то ?

Поясни к чему ты скапитанничал следующее:

браузер запушен от $username(не root) это значит, что даже если дыра есть, браузер может работать только с каталогами ,в которые может писать $username

когда я ясно и в нескольких постах сказал, что эта дрянь лежала в /tmp.

я КО ,ты это хотел услышать?

,а еще чтоб ты не думал ,что при наличии дыры в браузере, можно писать в usr, bin, et

Кто тебе сказал, что я так думал? Я вот думаю, что при наличии 2х уязвимостей: в браузере и локальной, повышающей привелегии, вполне можно писать в /usr, /bin etc. Но мне, видимо, повезло.

кстати почему ТС не пишет, чет это подозрительно все выглядит ... может это все провокация ради скора....

тебя не «вирус» через «уязвимость» поимел, а банально подобрали на ssh пароль твоего user с паролем user. В sshd_config стоит AllowUsers с логинами только тех, которых ты явно разрешил ssh?

или пользователи с 5 летним стажем генты не знают о такой опции?

user с паролем user

Я когда заводил пользователя, естественно, брал это в расчет. Пользователь был не user, хотя, такой пользователь тоже имеется в системе, и пароль у него был отличный от логина. ssh специально не настраивал, в этом вы правы, но не вижу на это особых причин.

Да и ip у меня белого нет. Разве что угроза со стороны провайдерской сети или моего vpn, в котором 3 компа и те без признаков заражения.

Пока принцпип неуловимого джо работает антивирусы не нужны.

да, пролом ssh маловероятен в таком случае. Тем не менее я сомневаюсь, что это было автоматическое несанкционированное проникновение в систему. И тут конкретно антивирус не поможет. Помогут системы мандатного контроля доступа, unix permissions, использование плагинов на стороне браузера (от ботов, работающих в самом браузере, а также от XSS и прочего).

В моей системе, например, настроен apparmor (на другой tomoyo), под ними крутятся браузер, im и штатные демоны.

Вы так говорите, как будто никогда не слышали об уязвимостях в веб-браузерах.

Антивирус от этого не поможет.

Догадку о браузере подпитывает то, что посещались сайты определенной направленности, от которых стоит ожидать подобного.

В моей системе, например, настроен apparmor (на другой tomoyo)

Я после того происшествия задумался о необходимости мер. Но т.к. посещаю небольшой перечень сайтов, то не стал заморачиваться. Завел лишь и для себя отдельного пользователя, из-под которого запускаю браузер (да и то, в последнее время не соблюдаю). Не могли бы в двух словах описать реакцию apparmor или tomoyo на зловредное ПО? На какой стадии они препятствуют зловредному ПО? Уведомляют пользователя/администратора? Имеются истории успеха?

3 - в /tmp

Сделай его (и ещё /home) отдельным разделом с noexec. Если раздел жалко выделять, то tmpfs в помощь.

Да елки-палки, вы уже не первый в этом треде. Я ставил под сомнение необходимость ручного запуска бинарей.

Да уж думал, но заморачиваться не стал, т.к. за себя я отвечаю сам и подозрительных ресурсов не посещаю, а тот пользователь уже не актуален. А хомяк я noexec не хочу, там у меня ~/bin/. Можно, конечно, и тут придумать что-нибудь, но возня не оправдана на мой взгляд. Как и большинство на этом ресурсе, я бы и не встретил этого зловреда, если бы не определенное стечение обстоятельств.

Спокойнее, гражданин. Не я первый и не я последний.
Заломать могут что угодно и как угодно и кого угодно. От этого никто не застрахован. Но, в наших силах сделать этот процесс невыносимо сложным и экономически малоэффективным. А антивирус в данном случае никаким образом действительно не поможет. Есть другой класс программ, например IDS (системы обнаружения вторжений), который как раз и предназначен для того, о чём ты речь ведёшь.

А хомяк я noexec не хочу, там у меня ~/bin/.

Можно сделать /usr/local/bin или что-либо другое (лучше даже вне переменной PATH) доступным себе для записи и решить проблему с хомяком насовсем.

Ну, по крайней мере ограничивать это при помощи flashblock'а стоит.

apparmor и вообще демоны оповещают в логи о несанкционированной активности и запрещают ее. То есть ты настроил apparmor для FF должным образом и сам в меню браузера выбираешь Меню - открыть и жмешь на какой-нибудь /home/user/.ssh, а тебе FF говорит Отказано в доступе или вообще пустой экран, а apparmor срет в логи при этом.

Вы так говорите, как будто никогда не слышали об уязвимостях в веб-браузерах.

Вы так говорите, как будто никогда не слышали о chroot окружении.

Clam Antivirus

что делает это на моем ЛОРе??? Не нужен же...

И вы сейчас, конечно же, в браузере из-под чрута. Как и все остальные, впрочем.

поставь себе уже OpenBSD и успокойся

Ваши комментарии самые ценные в этом топике, продолжайте в том же духе. Надеюсь, модераторы обратят на вас внимание и примут в свою тесную общину, чтобы вы могли приносить людям еще большую пользу.

это такой тонкий намек на «язабан» ?

я да. за остальных не скажу.

«я да. за остальных не скажу.»

1) я Вас не спрашивал... мой пост(вопрос) был winlook38 2) если у него паранойя на безопасности, то ему явно нужна OpenBSD (как я уже говорил выше), разве я не прав?

я Вас не спрашивал

я вам и не отвечал.

тогда сорри, не распарсил)

Дело в том, что никто вам не сможет доказать внятно что в linux антивирус не нужен. Так-же внятно никто не докажет, что антивирус нужен.

Если закралось беспокойство, местных аналитиков можно «пустить по бороде» и роискать антивирус в Google.

Не нужен.