Вредоносное ПО и Linux

Все мы знаем, что под Linux вирусов и прочей гадости крайне мало, но все же они есть

Мне кажется прежде чем идти дальше нужно доказать это утверждение. Вирус под линукс в студию.

Мне кажется прежде чем идти дальше нужно доказать это утверждение. Вирус под линукс в студию.

Тут выше писали про опасную прокладку ;)

Да пожалуйста.

А они есть?

Сам не встречал. Наверное зависит от того что считать вирусом.

apache malware module
Linux вирусов

ну ты понел

Вирус под линукс в студию.

Уже достаточно много таких штук, которые лезут жить и размножаться на веб-сервер через дырки в популярных CMS.

Уже достаточно много таких штук, которые лезут жить и размножаться на веб-сервер через дырки в популярных CMS.

Например phpMyAdmin который является PHP-скриптом работающим с правами root.

PHP-скриптом работающим с правами root.

Это с каких пор он с правами root работает, а не с правами, которые ему web-сервер позволил ? Но это не мешает вирусам жить и размножаться под обычным пользователем. В /tmp, например...

Это с каких пор он с правами root работает, а не с правами, которые ему web-сервер позволил ?

phpMyAdmin это утилита для администрирования сервера через http. Он работает с конфигурационными файлами в /etc , естественно для этого нужны права root .

phpMyAdmin это утилита для администрирования сервера через http.
Он работает с конфигурационными файлами в /etc

Совсем нет. phpMyAdmin может стоять хоть на другом сервере. А в /etc ему лазить не надо совершенно, достаточно административного доступа с MySQL. Если же он умеет и my.cnf править, то те, кто ему это разрешают, вообще полные ССЗБ.

естественно для этого нужны права root

Нет, для этого просто нужны настроенные права на /etc/phpmyadmin/config-db.php

$ ls -lhs /etc/phpmyadmin/config-db.php 
4.0K -rw-r----- 1 root www-data 549 Jun 13 03:47 /etc/phpmyadmin/config-db.php

Зачем говорить про теорию, давайте посмотрим практику. Сойдет?

DrWeb давно известен выдумыванием вирусов чтобы продавать свои антивирусные решения. Сами придумали угрозу - сами её устранили, платно разумеется. Лично меня не убеждает. Но своё мнение никому не навязываю, покупающим DrWeb под линукс желаю удачи и всяческих благ.

http://asplinux.net/node/8355

Сканер DrWEB обнаружил вирус Linux.Thebe.1 в пакете kdepim-libs-4.2.0-3.0.140asp.i386.rpm.

А нормальной информации о нём нигде нет. И даже в базе дохтура веба её нет Кажется, эта черепашка того... Неправду говорит.

Нет нет, теории заговоров это не ко мне. Я просто показал вирус под линукс.

«Кажется» - это не особо точная информация.

То есть отсутствие информации об этом зловреде где-либо кроме окошка дохтур-вебовского сканера - это не особо точная информация? И, да, даже если он существует, где пруфы, что это вирус, а не троян?

где пруфы, что это вирус, а не троян?

Большинство антивирусов уже не различают вирусы от троянов. Сейчас просто пишут: «вредоносное программное обеспечение», и все равно, вирус это, или троян, или просто криво написанное ПО.

Я не про pgMyAdmin который с postgresql подключается.

Он тоже. И он прав.

Ну как бы в начале дискуссии попросили предъявить виря. А в ответ кидают какую-то непонятную безликую хрень, от которой к тому же за километр разит мифичностью.

Современные вири на современных дистрибутивах Линукс - не очень работоспособны. Что бы они заработали, их нужно отладить, собрать все зависимости, скомпилировать, и запустить с необходимыми правами. К сожалению все эти нюансы не дают вирям плодиться и размножаться. Линукс для них не благоприятная среда, и даже враждебная (в зависимости от точки зрения).

Но есть и успешные экземпляры. Например, червь Морриса. К сожалению, постоянное развитие Линукс приводит к замене компонентов ОС, из-за чего вредоносное ПО, работавшее ранее перестает быть работоспособным.

Но по факту вири все же существуют, правда:
- долго не живут,
- работают не на всех дистрибутивах,
- быстро (после очередного обновления, приведшего к очередной замене компонентов) становятся неработоспособными.

Поэтому увидеть работающий вирь на Линукс - большая редкость. Есть поверье, что если ты видишь работающий вирь на Линукс, то скорее всего ты сам его автор.

Это название от самого др. веба. У других антивирусов свои названия.

dll.so

Там phpMyAdmin, не pgMyAdmin ;-)

В любом случае, нет особого смысла закрывать конфиг PMA на 0600 root:root.

Ты в глаза долбишься? Информации о нём нет даже в базе знаний самого Доктора веба

Уже достаточно много таких штук, которые лезут жить и размножаться на веб-сервер через дырки в популярных CMS.

Это не вирус.

Например phpMyAdmin который является PHP-скриптом работающим с правами root.
Он работает с конфигурационными файлами в /etc , естественно для этого нужны права root .

Откровенная чушь.

Это не вирус.

Узнай название того, что называлось первым вирусом.

У понятия «вирус» есть весьма четкое определение, под которое не попадают описанные тобой штуки.
Они кстати и размножаются не автоматически :)

У понятия «вирус» есть весьма четкое определение

Да. В соответствии с которым черви, а-ля «червь Морриса», просто подкласс вирусов.

Они кстати и размножаются не автоматически :)

Вполне себе автоматически.

В любом случае, нет особого смысла закрывать конфиг PMA на 0600 root:root.

К сожалению некоторое серьёзное ПО работает нормально только если логин и пароль к базе данных root:root . И это ПО стоит более 20000 рублей за лицензию. Поменять пароль так что бы после этого все компоненты программы работали нормально - невозможно.

серьёзное ПО
работает нормально только если логин и пароль к базе данных root:root
стоит более 20000 рублей

Ужас какое серьезное ПО.

Ужас какое серьезное ПО.

Это ПО управляет охранными системами более чем на 150 объектов, от магазинов с едой, до ювелирных магазинов-мастерских и микро-кредитных организаций. Ну ты понял.

работает нормально только если логин и пароль к базе данных root:root
управляет охранными системами

Угу угу.

Угу угу.

Читай http://nppstels.ru/products/pcn/software-pcn/ руководство администратора по установке. Вот скачанное уже http://rghost.ru/58626510 на странице 16 и на странице 18

9. В окне Пароль нажмите кнопку ОК.
10. В окне Инициализировать кластер базы данных введите указанные ниже значения
параметров.
 Имя суперюзера: root.
 Пароль: root.
 Подтверждение пароля: root.
Установите флажок Поддерживать подсоединения с любых IP, а не только с localhost
(рис. 3.6). Нажмите кнопку Далее.

Попытки применить другую версию PostgreSQL (более новую) , сменить пароль в настройках базы данных и сервера на другой и любые другие действия для повышения безопасности, приводят к неработоспособности всей программы или каких то из её модулей. Вот такой вот ынтерпрайз. А для того что бы без проблем вынести ювелирку, достаточно уничтожить телефонный щиток возле офиса охранной фирмы и врубить GSM-глушилку. И никто не приедет на тревожную кнопку или сработавшую сигнализацию.

Это не «серьёзное ПО».

Это не «серьёзное ПО».

Как хочешь. Только вот от этого дуршлака зависит благополучие сотен людей точно.

.../lib/wine/gdi32.dll

От безысходности запускаешь форточные вирусы в вайне?

От безысходности перевираешь пути и названия файлов?

Уже достаточно много таких штук, которые лезут жить и размножаться на веб-сервер через дырки в популярных CMS.

дык это не дырки, это ДЫРЫЩИ.

phpMyAdmin который является PHP-скриптом работающим с правами root.

ты упоролся. php-скрипт работает под именем apache. Или в вашей убунте уже не так?

ЗЫЖ а, ты наверное не знаешь разницы между root'ом внутри СУБД и системным рутом?

phpMyAdmin это утилита для администрирования сервера через http. Он работает с конфигурационными файлами в /etc

блжад, КАКОГО сервера? Он для СУБД исключительно. Для ламеров, которые не осилили SQL (но тогда непонятно, зачем им администрировать СУБД?).

ИМХО ничего страшного в этом нет. Ну взломают такого ламера, и что? Нет, я конечно понимаю, на SQL можно писать вирусы, но зачем?

Если же он умеет и my.cnf править

разве умеет?

Зачем говорить про теорию, давайте посмотрим практику. Сойдет?

ты дурак? Этот твой антивирус находит вирусы в *.EXE файлах!

При чём тут вообще линукс? Я тоже вирусы в wine запускал, и что? Где-то 50% работали, хотя и частично. Добился бана на одном из IRQ серверов. ИЧСХ, по IP, который был у меня статический тогда, и всего один.

Сканер DrWEB обнаружил вирус Linux.Thebe.1 в пакете kdepim-libs-4.2.0-3.0.140asp.i386.rpm.

А нормальной информации о нём нигде нет. И даже в базе дохтура веба её нет Кажется, эта черепашка того... Неправду говорит.

Нет. Не совсем. Антивирусы ищут не сами вирусы, а их _сигнатуры_. Грубо говоря, если в файле есть «123987», то антивирус начинает верещать. А ложно-положительный результат для вирусологов только в радость — здоровее будем.

Но есть и успешные экземпляры. Например, червь Морриса.

ну ты и вспомнил… В те годы даже слова «безопасность» не было. Кстати говоря, именно благодаря этому червю Linux достаточно защищён. А то, что в мысы на это забили, так то не баг, а фича!

работают не на всех дистрибутивах, быстро (после очередного обновления, приведшего к очередной замене компонентов) становятся неработоспособными.

ты разве не понимаешь, что libxyz.so только в ОДНОМ дистрибутиве версии 6.6.6, в другом (даже очень похожем) уже версия 6.6.7, а в третьем ещё 6.6.5.

Если вирусы и существуют, то скорее в масштабах какого-нить предприятия, где все системы клонированны и обновляются централизовано. Ну т.е. кто-то решил устроить таргетинговую атаку на предприятие, и зачем-то заразил вирусами все компы. Ну может быть у него доступ был только к одному компьютеру. В этом гипотетическом случае действительно не нужно размножаться по маршруту, а нужно плодится во всех направлениях.

Есть поверье, что если ты видишь работающий вирь на Линукс, то скорее всего ты сам его автор.

нет. Возможно тебя скоро порвут за то, что ты на работе ЛОР читаешь, а не за подотчётными системами следишь. Т.ч. chkrootkit в зубы, и бегом все компы проверять!

Т.ч. chkrootkit в зубы, и бегом все компы проверять!

А от chkrootkit / rkhunter есть хоть какая-нибудь практическая польза (кроме самоуспокоения)?

К сожалению некоторое серьёзное ПО работает нормально только если логин и пароль к базе данных root:root

спасибо, посмеялся.

И это ПО стоит более 20000 рублей за лицензию. Поменять пароль так что бы после этого все компоненты программы работали нормально - невозможно.

что за «лицензия»?

Впрочем, я тебя узнал.

Это ПО управляет охранными системами более чем на 150 объектов, от магазинов с едой, до ювелирных магазинов-мастерских и микро-кредитных организаций. Ну ты понял.

понял.

А от chkrootkit / rkhunter есть хоть какая-нибудь практическая польза (кроме самоуспокоения)?

ИМХО да. Позволяют наметить уязвимые точки в системе, и их заткнуть в новой инсталляции. Конечно руткит им не поймаешь, сколько админам не повторяй одно и то же, они ведь не слушают. И конечно не будут проверять. Это ведь ручная работа, руткит в первую очередь грохнет запуск chkrootkit.

Эвристический анализ, поведенческий анализ… Предупредить, по крайней мере, о том, что что-то не то, можно…

ещё раз: для эвристики(аномальное поведение, это и есть эвристика) необходимо заметить что-то аномальное. А что сегодня «аномальное»?

Не, ну тут говорили про говнокод в вирусах, дык его не только и не столько в вирусах полно. Достаточно вспомнить флешплейер, в котором говнокодеры перепутали memmove(3) с memcpy(3). Конечно вирусмейкеры используют недокументированные возможности венды. Ну и что? Мякотка в том, что сама венда их использует. Как и антивирусы, кстати. В принципе, антивирус и вирус решают одни и те же задачи, алгоритмически это одно и то же: собирают данные и статистики из файлов пользователя, отправляют собранное на свои сервера, получают оттуда указания и другие данные, собранные с других компьютеров, жрут ресурсы пользователя, требуют с него денег.

Это не я. А НПП «Стелс» http://nppstels.ru/

Если же он умеет и my.cnf править

разве умеет ?

Ну вон, говорят, что умеет, рута дают. :-)

Не знаю, я им не пользуюсь. Но рута не просит никто. Даже не из под apache работает, а из-под пользователя (httpd itk используется).

> В любом случае, нет особого смысла закрывать конфиг PMA на 0600 root:root.

К сожалению некоторое серьёзное ПО работает нормально только если логин
и пароль к базе данных root:root .

Вот по-этому всё так плохо... Вбей себе в голову, что системный root вообще не имеет никакого отношения к root у MySQL. То есть, вообще. И не запускай phpMyAdmin от root больше никогда. :-)

На самом деле, я почти уверен, что и полный доступ к базам не нужен тоже.

Это ПО управляет охранными системами более чем на 150 объектов

И что ?

Если

Поменять пароль так что бы после этого все компоненты
программы работали нормально - невозможно.

Это полное говно, а не ПО. Только, опять же, после понимания ситуации с кашей про логины я уже сомневаюсь в твоих словах. Скорее это не ПО такое, а сисадмины криворукие.

И много ли где он применяется?

А для того что бы без проблем вынести ювелирку, достаточно уничтожить телефонный щиток возле офиса охранной фирмы и врубить GSM-глушилку. И никто не приедет на тревожную кнопку или сработавшую сигнализацию.

Это, конечно, говорит о том, что phpMyAdmin нужны рутовые права. Без них глушилка не включается.

И много ли где он применяется?

По всей стране.

Это, конечно, говорит о том, что phpMyAdmin нужны рутовые права. Без них глушилка не включается.

Это здесь ни при чём.

А НПП «Стелс» http://nppstels.ru/

а они — молодцы. Пойду посмотрю, нужны-ли им говнокодеры, я пишу быстро, 100 строк кода в минуту(такая хрень получается…)

Ты слишком невнимателен.

Не знаю, я им не пользуюсь.

я тоже. Только ssh, только консоль, причём по ключу и от обычного юзера.

ИМХО прав надо давать ровно столько, сколько надо.

На самом деле, я почти уверен, что и полный доступ к базам не нужен тоже.

зачем в твоём доме одна дверь, и та запертая? Лучше сделать Over9000 дверей, и все нараспашку. А то вдруг пописать приспичит, к единственной двери бежать, ключи доставать…

нет, ты. Внимательно огляди свой скрин, а не только первые файлы.

Кстати, вирусы в Linux есть, даже в моём. В кеше браузера например всякая гадость. Я находил, прикольно. На сайте вирусологов пишут, что эти вирусы являются EXE в каком-то ихнем контейнере. И передаются не половым путём, как раньше, а воздушно-капельным. Т.е. хоть противогаз одень — всё равно заразишься. Нужно все дыхательные и пихательные отверстия затыкать наглухо. А эффект как от человеческого СПИДа: можешь 5 лет ходить, улыбаться, и других заражать. А потом ВНЕЗАПНО начинаешь хиреть(смерть — главное оружие и двигатель эволюции, вирусы не исключение).

ты упоролся. php-скрипт работает под именем apache. Или в вашей убунте уже не так?

Батя не знает про mpm-itk, вот это номер.

В ЦОДе на прошлой работе СКУД, СОТ и пожароохранка работали как-то не на этой байде. Видимо, не по всей стране.

Это здесь ни при чём.

Тогда к чему был этот пассаж?

ты упоролся. php-скрипт работает под именем apache. Или в вашей убунте уже не так?

Батя не знает про mpm-itk, вот это номер.

посыпаю голову пеплом. Действительно, mpm-itk позволит вам запустить phpMyAdmin как root:root. А можно я не буду проверять?

Тогда к чему был этот пассаж?

Тема давно оффтопик.

mpm-itk позволит вам запустить phpMyAdmin как root:root.

Ты тупой.

оффтопик с первого поста ИМХО

Узнай название того, что называлось первым вирусом.

Так-так, а что им по-твоему называлось?

Червь Морриса же.

Ответ столь же предсказуемый, сколь и неверный: во-первых, детище Морриса — это не вирус, а таки червь, во-вторых, Brain появился раньше.

детище Морриса — это не вирус, а таки червь

Но разница между ними примерно как между микробом и вирусом настоящими. То есть, особенно и не принципиально для конечного потребителя. :-)

во-вторых, Brain появился раньше.

Хм. Действительно. Но в мире DOS так не расшумишься, как в сетях... Ладно, читаем: http://en.wikipedia.org/wiki/Brain_(computer_virus)
Заметь: computer_virus. А, теперь, расскажи мне, чем этот бут-вирус отличается от червя Морриса ? Он, точно так же, записываеся на диск и не модифицирует код приложений.

Но в мире DOS так не расшумишься, как в сетях...

В наши дни да. В свое же время эпидемия Brain была мировой, а червь Морриса дальше межуниверситетской сетки и не ушел :)

чем этот бут-вирус отличается от червя Морриса

Бут-вирус потому и бут-вирус, что модифицирует не код приложений, но содержимое загрузочного сектора. Сетевой червь же не модифицирует никакие стационарные области хранения исполнимого кода, разве что копии своего тела создает.

В наши дни да. В свое же время эпидемия Brain была мировой

Но вяло текущей.

а червь Морриса дальше межуниверситетской сетки и не ушел :)

Это, практически, и был весь Интернет на тот момент. ;-)

Сетевой червь же не модифицирует никакие стационарные области хранения исполнимого кода

Да ладно ?! А, скажем, crontab ? Или если это просто файл, то не считается ? :-) А всё то, что встраивается во всякий PHP и прочий HTML ?

Но вяло текущей.

Как по мне, мировая (хоть и вялотекущая) эпидемия значимее, чем заражение всей далеко не глобальной компьютерной сети, коей был тогдашний Интернет. Это, впрочем, не отменяет того, что червь Морриса был первым в своем роде.

Или если это просто файл, то не считается ?

Если это 1) простой файл, который, к тому же, 2) не копируется на другие машины и не вызывается там на исполнение, то нет, не считается (в соответствии с каноничным определением вируса). Понятно, что в нынешних реалиях вирусу, созданному в расчете на то, что пользователи будут копировать программы друг у друга, не светит сколько-нибудь широкий охват «целевой аудитории», но речь-то о том, что черви, троянские кони и прочая малварь — не вирусы в изначальном понимании термина.

2) не копируется на другие машины и не вызывается там на исполнение

Именно, что и копируется, и вызывается. Тем или иным способом, без явного участия человека. А, в некоторых случаях, и оговорка «явное» не нужна.

Именно, что и копируется, и вызывается.

Пример можно?

Пример можно?

1. Заведи пользователя user, сделай ему пароль user, открой ему доступ по ssh, потом просто подожди.

2. Поставь Apache, поставь phpmyadmin подревнее, потом просто подожди.

3. Можно повторить пункт 2 с Wordpress, или с чем-нибудь подобным.

Оно скоро приползёт само, само развернётся (может не сразу, а при перезагрузке - тут как получится) запустится и начнёт искать следующего.

Можешь ещё на почтовом сервере фильтры на bash нарисовать и bash откатить. Пример интересного письма тут уже был.

1. Заведи пользователя user, сделай ему пароль user, открой ему доступ по ssh, потом просто подожди.
2. Поставь Apache, поставь phpmyadmin подревнее, потом просто подожди.

При таком подходе разве что DOS не уязвим, ибо в нем ничего этого нет. Но кому он такой нужен :)

а как мне быть?

ssh нет, апача нет и даже почтового сервера нет... ну не админ я... просто домашний юзер... Мне то как быть? Тоже хочу зверюшку!

Благодарю за идеи, поразвлекаюсь как-нибудь на досуге с виртуалкой.

ssh нет, апача нет и даже почтового сервера нет...

Страдай. :-)

Речь про принципиальное наличие, а не про сложности подхватить. Кстати, как это «ssh нет» ? Во многих дистрибутивах sshd запущен по-умолчанию. Отключить - это ещё надо суметь «просто домашнему юзеру». ;-)

Это с каких это пор phpmyadmin стал утилитой для администрирования сервера и с каких пор он начал работать с файлами в /etc? Ты его с webmin'ом не путаешь каким-нибудь?

Это проблема этого вашего Ынтерпрайза, а не pma. И если уж ставить на сервак с этим говнософтом pma, никто не мешает его закрыть аутентификацией вебсервера.