Вредоносное ПО и Linux

Ты в глаза долбишься? Информации о нём нет даже в базе знаний самого Доктора веба

Уже достаточно много таких штук, которые лезут жить и размножаться на веб-сервер через дырки в популярных CMS.

Это не вирус.

Например phpMyAdmin который является PHP-скриптом работающим с правами root.
Он работает с конфигурационными файлами в /etc , естественно для этого нужны права root .

Откровенная чушь.

Это не вирус.

Узнай название того, что называлось первым вирусом.

Дело в том, что вири на анализ в антивир компании часто тупо не попадают. Нет сигнатуры - все зашибись.

Что касается винды, то многие антивиры никак не видят/игнорят вирусы, написанных честно, как обычные проги. Т.е. копипаста с хацкер.ру считается вирем, а копипаста с учебника/msdn уже не вирус, хотя смысл тот же, лол. Но это оффтоп.

Как человек видивший вири на линуксе, чтение данного треда доставляет. Продолжайте в том же духе. Почаще повторяйте «вирусов на линуксе нет» :)

У понятия «вирус» есть весьма четкое определение, под которое не попадают описанные тобой штуки.
Они кстати и размножаются не автоматически :)

Как человек видивший вири на линуксе

Саморазмножающийся и копирующий себя? Или ты тоже считаешь модуль к апачу «вирусом»?

Я видел и в ядре. И в виде самостоятельных процессов. И в виде доп. процесса от родительского httpd. Были руткиты, ботнеты, лоадеры и прочие. Заразы полно. Просто атаки точечные, а не масштабные как на винде.

Я видел и в ядре.
И в виде доп. процесса от родительского httpd.

Я их тоже видел. Это руткиты, но не вирусы.

Были руткиты, ботнеты, лоадеры и прочие

Какая каша из слов.

Просто атаки точечные, а не масштабные как на винде.

Справедливости ради, в винде вирусы тоже почти вымерли.

вирусы тоже почти вымерли

Хорошо. Вирусов нет. Зато полно руткитов и бэкдоров.

Расходимся ребята, в Багдаде все спокойно.

Хорошо. Вирусов нет. Зато полно руткитов и бэкдоров.

Именно.

Расходимся ребята, в Багдаде все спокойно.

Это ты сам придумал, я лишь за то, чтобы называть вещи своими именами.

Меня просто поражает, что вирусом ты не считаешь руткит/бэкдор, который может делать с твоей системой все, что прикажет его хозяин. Это раньше надо было заливать какую-то заумную логику в вирусню (кстати и сейчас так делают, если целевая система имеет ограниченный доступ в инет или надо обходится без какой-либо сетевой активности), сейчас же, линукс-сервера обычно используют для майнинга (что редко выпадает), ддос с 10гб/с аплинками (это уже становится все более и более обычным явлением). И с какой это стати, современный вирь должен содержать в себе логику при таких-то возможностях? Нынче логика это когда сеть зараженных компов делает что-то одно, и по указке. А не гадит налево и направо лишь бы попасть в первые заголовки СМИ. Чем дольше такие вири живут тихо и незаметно (да, с одним функционалом бэкдора), тем лучше для их хозяина. При желании, rm -rf любой бэкдор сделает.

Меня просто поражает, что вирусом ты не считаешь руткит/бэкдор, который может делать с твоей системой все, что прикажет его хозяин

Я считаю?

Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведения в негодность аппаратных комплексов компьютера.

Все те звери, о которых ты пишешь, не распространяются самостоятельно и не копируют сами себя. И рассказывать мне про их возможности не надо, я и сам в курсе.

Все те звери, о которых ты пишешь, не распространяются самостоятельно и не копируют сами себя.

Из этого следует, что это не вирусы, так? А что, если вирусы попадают как раз от ботнета, который ищет системы с брешами, а дальше проводит стандартные процедуры по заливке «зверя». И без участия человека. Да, это система, а не одна программа и типа как не вирус. А вот вся такая сеть это уже вирус на 200%. То, что на твоем сервере окажется лишь ее частица, это конечно не старшно. Вирусов-то под линукс нет :)

У понятия «вирус» есть весьма четкое определение

Да. В соответствии с которым черви, а-ля «червь Морриса», просто подкласс вирусов.

Они кстати и размножаются не автоматически :)

Вполне себе автоматически.

То, что на твоем сервере окажется лишь ее частица

Зачастую не частица, а сам полноценный экземпляр, который, залившись и запустившись, тут же приступает к поиску следующих жертв.

А что, если вирусы попадают как раз от ботнета, который ищет системы с брешами, а дальше проводит стандартные процедуры по заливке «зверя». И без участия человека.

Человек там участвует, увы.

То, что на твоем сервере окажется лишь ее частица, это конечно не старшно

Хватит ерничать уже, я то как раз не спорю с наличием такого зоопарка.

толсто

В любом случае, нет особого смысла закрывать конфиг PMA на 0600 root:root.

К сожалению некоторое серьёзное ПО работает нормально только если логин и пароль к базе данных root:root . И это ПО стоит более 20000 рублей за лицензию. Поменять пароль так что бы после этого все компоненты программы работали нормально - невозможно.

серьёзное ПО
работает нормально только если логин и пароль к базе данных root:root
стоит более 20000 рублей

Ужас какое серьезное ПО.

Ужас какое серьезное ПО.

Это ПО управляет охранными системами более чем на 150 объектов, от магазинов с едой, до ювелирных магазинов-мастерских и микро-кредитных организаций. Ну ты понял.

работает нормально только если логин и пароль к базе данных root:root
управляет охранными системами

Угу угу.

Угу угу.

Читай http://nppstels.ru/products/pcn/software-pcn/ руководство администратора по установке. Вот скачанное уже http://rghost.ru/58626510 на странице 16 и на странице 18

9. В окне Пароль нажмите кнопку ОК.
10. В окне Инициализировать кластер базы данных введите указанные ниже значения
параметров.
 Имя суперюзера: root.
 Пароль: root.
 Подтверждение пароля: root.
Установите флажок Поддерживать подсоединения с любых IP, а не только с localhost
(рис. 3.6). Нажмите кнопку Далее.

Попытки применить другую версию PostgreSQL (более новую) , сменить пароль в настройках базы данных и сервера на другой и любые другие действия для повышения безопасности, приводят к неработоспособности всей программы или каких то из её модулей. Вот такой вот ынтерпрайз. А для того что бы без проблем вынести ювелирку, достаточно уничтожить телефонный щиток возле офиса охранной фирмы и врубить GSM-глушилку. И никто не приедет на тревожную кнопку или сработавшую сигнализацию.

Это не «серьёзное ПО».

Это не «серьёзное ПО».

Как хочешь. Только вот от этого дуршлака зависит благополучие сотен людей точно.

.../lib/wine/gdi32.dll

От безысходности запускаешь форточные вирусы в вайне?

Всякие там Avira, ClamAV, Dr.Web специализируются только на Windows-вирусах.

Это фигня, они не спасут от однострочника на perl или от http://thejh.net/misc/website-terminal-copy-paste

От безысходности перевираешь пути и названия файлов?

Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя...

Да сами юзвери подходят под это определение, ДНК - программа, размножаются и т.д.

под Linux вирусов и прочей гадости крайне мало, но все же они есть.

белены объелся? ГДЕ???

Вопрос задан чисто в целях интереса

есть руткиты, трояны, кейлогеры, ботнеты… Есть и ещё много разной нечести, названия для которых даже не придумали. А вот вирусов, увы, нету. Т.е. можно найти идиота, на которого можно прилепить жучок (ну например засунуть жучок в один из PPA), но вот как этот жучок будет прыгать к другим идиотам — непонятно.

В такое же унылое г, что и оффтопик в неумелых руках.

я не знаю, какие у меня руки, но Slackware Linux никуда не скатывается, а работает годам. А вот маздай постоянно скатывался. Но руки-то одинаковые!

Уже достаточно много таких штук, которые лезут жить и размножаться на веб-сервер через дырки в популярных CMS.

дык это не дырки, это ДЫРЫЩИ.

phpMyAdmin который является PHP-скриптом работающим с правами root.

ты упоролся. php-скрипт работает под именем apache. Или в вашей убунте уже не так?

ЗЫЖ а, ты наверное не знаешь разницы между root'ом внутри СУБД и системным рутом?

phpMyAdmin это утилита для администрирования сервера через http. Он работает с конфигурационными файлами в /etc

блжад, КАКОГО сервера? Он для СУБД исключительно. Для ламеров, которые не осилили SQL (но тогда непонятно, зачем им администрировать СУБД?).

ИМХО ничего страшного в этом нет. Ну взломают такого ламера, и что? Нет, я конечно понимаю, на SQL можно писать вирусы, но зачем?

-o noexec /home в помощь.

1. твой helloworld на пас-кале не взлетит

2. ты не сможешь ставить программы в свой home (кстати, пишу с FireFox который в home)

3. вирусы можно писать не только на C, но и на php/bash/python/… Причём на них никакое noexec не действует.

Если же он умеет и my.cnf править

разве умеет?

Зачем говорить про теорию, давайте посмотрим практику. Сойдет?

ты дурак? Этот твой антивирус находит вирусы в *.EXE файлах!

При чём тут вообще линукс? Я тоже вирусы в wine запускал, и что? Где-то 50% работали, хотя и частично. Добился бана на одном из IRQ серверов. ИЧСХ, по IP, который был у меня статический тогда, и всего один.

Сканер DrWEB обнаружил вирус Linux.Thebe.1 в пакете kdepim-libs-4.2.0-3.0.140asp.i386.rpm.

А нормальной информации о нём нигде нет. И даже в базе дохтура веба её нет Кажется, эта черепашка того... Неправду говорит.

Нет. Не совсем. Антивирусы ищут не сами вирусы, а их _сигнатуры_. Грубо говоря, если в файле есть «123987», то антивирус начинает верещать. А ложно-положительный результат для вирусологов только в радость — здоровее будем.

Но есть и успешные экземпляры. Например, червь Морриса.

ну ты и вспомнил… В те годы даже слова «безопасность» не было. Кстати говоря, именно благодаря этому червю Linux достаточно защищён. А то, что в мысы на это забили, так то не баг, а фича!

работают не на всех дистрибутивах, быстро (после очередного обновления, приведшего к очередной замене компонентов) становятся неработоспособными.

ты разве не понимаешь, что libxyz.so только в ОДНОМ дистрибутиве версии 6.6.6, в другом (даже очень похожем) уже версия 6.6.7, а в третьем ещё 6.6.5.

Если вирусы и существуют, то скорее в масштабах какого-нить предприятия, где все системы клонированны и обновляются централизовано. Ну т.е. кто-то решил устроить таргетинговую атаку на предприятие, и зачем-то заразил вирусами все компы. Ну может быть у него доступ был только к одному компьютеру. В этом гипотетическом случае действительно не нужно размножаться по маршруту, а нужно плодится во всех направлениях.

Есть поверье, что если ты видишь работающий вирь на Линукс, то скорее всего ты сам его автор.

нет. Возможно тебя скоро порвут за то, что ты на работе ЛОР читаешь, а не за подотчётными системами следишь. Т.ч. chkrootkit в зубы, и бегом все компы проверять!

Хе, хе а ты думаешь, что под виндой антивири все вирусы видят? Да только 5-10% написанных полными нубами.

ну ихние эксперты называют цифру 70..90%. И я им верю, потому что знаю, что считаются лишь известные вирусы. Как ты неизвестные посчитаешь? Ну если конечно сам их не пишешь.

Фишка в том, что эпидемию вызывают как раз неизвестные, которых ещё нет в базах, и антивирусы их не видят. А от известных вреда нет, их отловят твои соседи, даже если вирус будет рядом, и даже если у тебя нет антивируса.

Т.о. даже если антивируса нет, то известные вирусы не страшны.

С другой стороны, неизвестный зловред заразит и тебя, и соседей с антивирусом.

Откуда следствие: антивирус бесполезен в принципе.

Как человек видивший вири на линуксе, чтение данного треда доставляет. Продолжайте в том же духе. Почаще повторяйте «вирусов на линуксе нет» :)

сохранил?

пиши на почту, а лучше сразу присылай.

Т.ч. chkrootkit в зубы, и бегом все компы проверять!

А от chkrootkit / rkhunter есть хоть какая-нибудь практическая польза (кроме самоуспокоения)?

неизвестные, которых ещё нет в базах, и антивирусы их не видят

Эвристический анализ, поведенческий анализ… Предупредить, по крайней мере, о том, что что-то не то, можно…

Вирусов нет. Зато полно руткитов и бэкдоров.

вот так всегда… Это я и без тебя узнал лет 20 назад.

Меня просто поражает, что вирусом ты не считаешь руткит/бэкдор, который может делать с твоей системой все, что прикажет его хозяин.

ты первый пост читал? Мы про АНТИВИРУСЫ. Антивирус _в принципе_ не помогает от целевой атаки. Он для этого просто не предназначен. Даже эвристика (даже если она действительно существует, и даже если её включили) и то детектирует именно _вирусы_, ибо только размножение — уникальный признак вируса. Если программа размножается — это сигнал. А если файлы шифрует, то всё нормально, что в этом плохого? Если потом окошко показывает «пришлите СМС для получения ключа», то тоже всё легально, так многие программы делают.

А всё остально(руткиты и т.п.) — оффтопик.

Нынче логика это когда сеть зараженных компов делает что-то одно

ну и как ты эту сеть построишь? Вручную будешь заражать Over9000 компов?

При желании, rm -rf любой бэкдор сделает.

сделает. Вот только не факт, что у него это получится. А если не получится, то очень велика вероятность прославится, попасть в СМИ и даже в телевизор. Ну и на нары лет на 6. И героем станешь именно ты, т.к. именно ты управляешь руткитом.

Т.ч. даже заразить Over9000 компов мало. Надо ещё продумать план передачи сообщения «rm -rf», так, что-бы оно прошло сквозь все Over9000 компов, да что-бы концы в воду.

Логика совсем не простая получается, и к гадалке не ходи, хоть один из Over9000 твоих экземпляров найдут, расковыряют, и начнётся охота за охотником.

К сожалению некоторое серьёзное ПО работает нормально только если логин и пароль к базе данных root:root

спасибо, посмеялся.

И это ПО стоит более 20000 рублей за лицензию. Поменять пароль так что бы после этого все компоненты программы работали нормально - невозможно.

что за «лицензия»?

Впрочем, я тебя узнал.

Это ПО управляет охранными системами более чем на 150 объектов, от магазинов с едой, до ювелирных магазинов-мастерских и микро-кредитных организаций. Ну ты понял.

понял.

А от chkrootkit / rkhunter есть хоть какая-нибудь практическая польза (кроме самоуспокоения)?

ИМХО да. Позволяют наметить уязвимые точки в системе, и их заткнуть в новой инсталляции. Конечно руткит им не поймаешь, сколько админам не повторяй одно и то же, они ведь не слушают. И конечно не будут проверять. Это ведь ручная работа, руткит в первую очередь грохнет запуск chkrootkit.

Эвристический анализ, поведенческий анализ… Предупредить, по крайней мере, о том, что что-то не то, можно…

ещё раз: для эвристики(аномальное поведение, это и есть эвристика) необходимо заметить что-то аномальное. А что сегодня «аномальное»?

Не, ну тут говорили про говнокод в вирусах, дык его не только и не столько в вирусах полно. Достаточно вспомнить флешплейер, в котором говнокодеры перепутали memmove(3) с memcpy(3). Конечно вирусмейкеры используют недокументированные возможности венды. Ну и что? Мякотка в том, что сама венда их использует. Как и антивирусы, кстати. В принципе, антивирус и вирус решают одни и те же задачи, алгоритмически это одно и то же: собирают данные и статистики из файлов пользователя, отправляют собранное на свои сервера, получают оттуда указания и другие данные, собранные с других компьютеров, жрут ресурсы пользователя, требуют с него денег.

Это не я. А НПП «Стелс» http://nppstels.ru/

Если же он умеет и my.cnf править

разве умеет ?

Ну вон, говорят, что умеет, рута дают. :-)

Не знаю, я им не пользуюсь. Но рута не просит никто. Даже не из под apache работает, а из-под пользователя (httpd itk используется).