LINUX.ORG.RU

Могут ли быть вирусы на линуксе?

 ,


1

1

Я не спрашиваю как лечить, просто в теории. Я где-то слышал, мол, нет особого смысла писать вирусню под линукс. Не потому, что он не шибко распространен на декстопах, а потому, что прав рута по дефолту нет.

Тогда вопрос: а разве мало прав пользователя? Какой-нибудь убогий бекдор, запущенный из-под обычного юзера все равно получает возможность посмотреть все, что у меня лежит, спереть мой сертификат вебмани и, может быть (не знаю), слушать ввод с клавы или еще что.

Гуру, объясните толком, что тут и как с этими вашими кулхацкерами.

Перемещено beastie из desktop

Ответ на: комментарий от drBatty

А вот в венде, насколько я знаю, пароль до сих пор за несколько сек подобрать можно.

Это мы уже проходили, ты слился, так ничего и не доказав.

anonymous
()
Ответ на: комментарий от Falcon-peregrinus

А проверять отдельные пакеты нет смысла, т.к. они получаются централизованно очень редко.

да ладно. Зависимости ты откуда берёшь?

Подписываются именно репозитории.

подписывается КАЖДЫЙ пакет, но подпись конечно своя(может быть) у каждого репозитория.

Можно подписать и пакет, но это ничего не даёт - если пакет получен из стороннего источника - ключей для проверки у пользователя нет

почему «нет»? У меня есть.

К тому же пакет часто получается локально - при помощи сборки dpkg-source или checkinstall, тогда подписывание вообще является делом бессмысленным.

в этом случае проверяют сигнатуру сырцов.

И да, у меня Debian.

какая разница, если ты всё равно не в теме?

drBatty ★★
()
Ответ на: комментарий от drBatty

не проще-ли венду в /dev/null?

Не проще. И ты таки не знаешь, что такое «заморозка системного диска». Это не про холодильники.

anonymous
()
Ответ на: комментарий от drBatty

А вот в венде, насколько я знаю, пароль до сих пор за несколько сек подобрать можно.

Ничего себе ты хакер. Поделись опытом.

TGZ ★★★★
()
Ответ на: комментарий от drBatty

да ладно. Зависимости ты откуда берёшь?

Из репозиториев, да.

подписывается КАЖДЫЙ пакет, но подпись конечно своя(может быть) у каждого репозитория.

Ну, я это и имел ввиду. Очевидно же, что подписью файла Packages дело не ограничивается. Более того, каждый пакет подписывется ключом мейнтейнера, а не одним общим.

почему «нет»? У меня есть.

Ну, если есть - и на то имеются способы проверки. Быстрый гуглинг сказал, что это - debsig-verify.

в этом случае проверяют сигнатуру сырцов.

Да, я знаю. И что?

Напомню - в начале речь шла о том, что при попытке установки взятого с помойки .deb-пакета пользователю его поставить по умоляанию не дадут. Я это опроверг. А то, что иногда проверка нужна и способы для этого есть, мы уже выяснили.

Я говорил о том, что нет смысла в том, чтобы dpkg блокировал установку всех отдельных пакетов, так как они чаще всего получены из источников, отличающихся от официальных репозиториев и, следовательно, чаще всего не могут быть проверены. А для тех кому надо - способы есть.

Falcon-peregrinus ★★★★★
()
Ответ на: комментарий от vurdalak

На линуксе не принято находить софт с бэкдорами где попало. Либо ставят из репозиториев, либо с офсайта. Поэтому «вирусу» сложнее попасть в систему.

Безусловно. Но я не исключаю параноидальную возможность «индивидуального подхода» лично к моей машине.

coderage
() автор топика
Ответ на: комментарий от anonymous

Ps Топикстартер, Skype - вирус?..

Слишком тонко, анон. Особенно после информации о всяких там PRISM. Так что - скорее да, чем нет. Если ты хотел сказать, что определение вируса расплывчато, то отвечу так: ящитаю, что вирус = софт, действующий против интересов пользователя. Например, похищающий пароли из FTP-клиента к серверам. Или делающий rm / -rf (format c:). Короче, то, что сделает мою жизнь несколько более унылой, чем до этого.

Тут сказали, что новый софт должен запускаться в песочнице. Что вы имеете ввиду?

И самый главный вопрос: как вообще понять, что какая-то софтина делает что-то не угодное? Например, в, прости господи, шиндовс я уже почти все процессы знаю по именам. А тут у меня 0.0 предположений о том что зачем нужно.

coderage
() автор топика

И еще немного паранойи. В каком-то интервью с кем-то кто-то сказал. А может и не в интервью. А может я это тут прочитал где-то.

Мол, сырцы ядра настолько большие, что несмотря на открытый код, проверить их все одному человеку не под силу. Поэтому запросто может быть ситуация, когда в ядро впилен зонд. Его просто не буду искать, т.к. это слишком долго/тяжело, несмотря на саму возможность его найти.

coderage
() автор топика
Ответ на: комментарий от coderage

За куски кода ответсвенны рвзные люди, они и проверяют. И вряд ли кто-то из них может такое сделать - репутацию для доступа к Git ядра очень труздно заслужить и очень легко потерять.

А проверяют - коммиты, фрагментарно.

Falcon-peregrinus ★★★★★
()
Ответ на: комментарий от coderage

И самый главный вопрос: как вообще понять, что какая-то софтина делает что-то не угодное? Например, в, прости господи, шиндовс я уже почти все процессы знаю по именам. А тут у меня 0.0 предположений о том что зачем нужно.

Ну мониторь активность сетевую, если так интересно. И вообще - в Linux как раз очевидно, кто и что делает. Единственное, что имеет смысл ограничивать - потенциально уязвимые прикладные программы типа Firefox или Chromium. Но для этого есть простой AppArmor, сложный SELinux и костыльное разграничение пользователей.

Falcon-peregrinus ★★★★★
()
Ответ на: комментарий от Falcon-peregrinus

И вообще - в Linux как раз очевидно, кто и что делает.

Мне не очевидно, мягко говоря. Что я делаю не так? Что почитать?

Нууу, например. sudo ps -ax и можно вешаться, черт знает, что это всё такое.

coderage
() автор топика
Ответ на: комментарий от coderage

top -u <имя пользователя> . Остальное тебе не важно. Ну или, если уж так хочется, отфильтруй процессы в квадратных скобках - процессы ядра, тогда уже попроще будет разобраться.

Falcon-peregrinus ★★★★★
()
Ответ на: комментарий от megabaks

Компетентный дон, наверное, еще не успел родиться, когда появился червь Ramen?

anonymous
()
Ответ на: комментарий от coderage

Его просто не буду искать, т.к. это слишком долго/тяжело, несмотря на саму возможность его найти.

есть автоматические системы поиска.

И к тому-же, когда ты пошлёшь патч с зондом, его будут проверять. Т.ч. надо Линуса подкупить. Ну и ещё Over9000 человек.

drBatty ★★
()
Ответ на: комментарий от drBatty

я на той неделе пруфлинки уже давал

Мне пруфлинки не нужны, мне интересен твой личный опыт. Ты же специалист, судя по всему, во всех областях. Вот и расскажи, когда и как ты «ломал» пароли. Или просто «выписываешь» «Технику молодежи»?

TGZ ★★★★
()
Последнее исправление: TGZ (всего исправлений: 1)
Ответ на: комментарий от TGZ

Мне пруфлинки не нужны, мне интересен твой личный опыт. Ты же специалист, судя по всему, во всех областях. Вот и расскажи, когда и как ты «ломал» пароли.

Товарищ майор, хорош прикалываться, завтра зайду на Литейный, и всё подпишу.

drBatty ★★
()

могут, надо написать программу, которая вставит свой код в elf, я даже находил где-то описание, как это сделать, проблема только в том, как запустить эту программу из под рута, но у себя дома в целях эксперимента вы можете это сделать и заразить все исполняемые файлы в вашей системе

IvanR ★★★
()
Ответ на: комментарий от IvanR

Лично мне это не интересно. Я беспокоюсь за безопасность своей системы, не более.

coderage
() автор топика

Конечно могут быть и есть уже давно. Немного примеров есть даже здесь. В реальности ситуация такова - если затраты оправданы, то будет проводится целенаправленная атака на конкретный сервер (который с большой вероятностью крутится на unix-like). А уязвимости есть везде.

anonymous
()

Могут ли быть вирусы на линуксе?

Могут. Но не хотят.

anonymous
()
Ответ на: комментарий от vurdalak

Ничего безотказнее социальной инженерии еще не придумали. Тут не поможет ни «мегакрутая» ОС, ни «Мегакрутой» антивирус.

RiseOfDeath ★★★★
()
Ответ на: комментарий от vurdalak

Возможно, но вирусы пишут не с целью обойти мегакрутую защиту, а как раз таки с целью

получения доступа к системе.

Опустим то, что это промежуточная цель.

RiseOfDeath ★★★★
()
Ответ на: комментарий от vurdalak

С какой стати линуксоид будет с сайта что-то устанавливать и выдавать права?

Не линуксоид - но пользователь

Запустят «установщик» на gtk — а у юзера только qt установлен.

Уже пройденный этап - многим «опасным» сайтам, лень перерисовывать мега-сообщение об обнаруженных вирусах под Висту/8, так до сих пор и болтаются с ХП оформлением.

TEX ★★★
()
Ответ на: комментарий от vurdalak

Хочешь сказать что в софте под линукс не бывает уязвимостей класса Remote Code Execution ?

TEX ★★★
()
Ответ на: комментарий от TEX

Уже пройденный этап - многим «опасным» сайтам, лень перерисовывать мега-сообщение об обнаруженных вирусах под Висту/8, так до сих пор и болтаются с ХП оформлением.

И это тоже не вирус, а троян.

vurdalak ★★★★★
()
Ответ на: комментарий от vurdalak

Это всё игра словами. Вирус не вирус, троян не троян... Чистопородные вирусы уже давным давно не авангард зловредов.

TEX ★★★
()
Ответ на: комментарий от TEX

Тред про вирусы, я ответил про вирусы. Соблазнение секретарш пентагона, веб-страницы в стиле windows xp и загрузка с livecd убунты, пока админ Вася ушел покурить — не вирусы и никак не зависят от операционной системы и еще защит.

vurdalak ★★★★★
()
Ответ на: комментарий от TEX

Вот только распространенных версий самбы дофига, и одна уязвимость есть далеко не у всех юзеров.

vurdalak ★★★★★
()

да. Могут быть. Их нет исключительно по сл. причинам:

1. малая распространённость _конкретного_ дистра (т.е. дистров Over9000, да их всепх в общем 1%)

2. default os Linux ещё и с apparmor'ом фкороппке. Он не всесилен, троян проушанет, но ВИРУС — не пройдёт.

3. ВНЕЗАПНО: большая грамотность хомячков. Да, ламер которому плевать, поставит маздай(точнее _оставит_ маздай). Если он взял себе за труд поставить убунту — это уже о многом говорит. Он _готов_ ткнуть пару галок для своей безопасности.

4. Практически НЕТ необходимости ставить левое ПО. Мне вот например кроме адобе-флеша ничего и не нужно. Вирусам просто не через ЧЕГО размножаться. Разве что через атсрал.

emulek
()
Ответ на: комментарий от TEX

http://msisac.cisecurity.org/advisories/2013/2013-035.cfm

спасибо за пруф.

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается. А если она появляется скажем в IE, то известна она становится исключительно вирусмейкерам & касперскому, и им это афишировать тупо не выгодно. Производителю IE вдвойне невыгодно, ибо

1. нужно тратить деньги на закрытие дыры

2. ВСЕ узнают, что IE это РЕШЕТО.

Посему все (кто в теме), делают вид, что «всё хорошо», а «вирусы появляются „сами по себе“, из-за кривых рук пользователя». Ну а IE тут «не при чём» (хотя непонятно, какую магию используют в мысы, что-бы делать браузер БЕЗ ошибок?)

emulek
()
Ответ на: комментарий от emulek

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается.

не сразу, а пока ее не опубликуют.
про многолетнюю уязвимость в linux kernel напомнить?

xtraeft ★★☆☆
()
Ответ на: комментарий от emulek

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается.

Сразу говоришь ? «Firefox versions prior to 20.0», prior to что означает понимаешь ?

TEX ★★★
()

ну как на ведроиде пускают эксплоит и получают S-OFF а потом ставят su и Clockwork Superuse/Chainfire SuperSU и шпиндюлят прошивочку
можно написать, лучше на перл - пример есть на лоре

ubuntuawp ★★
()

Да. Внедряем в якобы полезную программу троян, который 1). Показывает меню, которое обычно по правой кнопке мыши 2). Размер меню - 1 пиксел 3). Затем меню зависает - теперь ничто не реагирует на нажатия мыши и клавиатуры - остаётся Ctrl-Alt-F1 и killall pidgin. 4). Затем наш троян выводит картинку на весь экран «Ваш Linux был заблокирован. Для разблокирования отправьте SMS на короткий номер и введите код в поле ниже. Перезагрузка компьютера или попытка завершить сеанс приведут к форматированию раздела /».

ZenitharChampion ★★★★★
()
Ответ на: комментарий от TEX

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается.

Сразу говоришь ? «Firefox versions prior to 20.0», prior to что означает понимаешь ?

ссылки на обнаруженные вирусы будут?

emulek
()
Ответ на: комментарий от xtraeft

не сразу, а пока ее не опубликуют. про многолетнюю уязвимость в linux kernel напомнить?

ещё напомни, сколько серверов через эту дыру поломали.

emulek
()
Ответ на: комментарий от ZenitharChampion

Да. Внедряем в якобы полезную программу троян, который

1. как ты её будешь распространять?

2. даже если ты напишешь супер-пупер полезную утилиту, как она приживётся в _любом_ Linux?

Затем меню зависает

этим ты только полную ТП удивишь. Даже тупая блонди перезагрузится под рутом, и удалит твой троян (осилит, не сомневайся. Поставить из блобов в обход ПМ ведь осчилила!).

emulek
()
Ответ на: комментарий от emulek

ссылки на обнаруженные вирусы будут?

Могут ли быть вирусы на линуксе? - Это, если ты внезапно забыл, название топика.

С пониманием у тебя как ? Стабильно плохо ?

TEX ★★★
()
Ответ на: комментарий от emulek

>> Да. Внедряем в якобы полезную программу троян, который

> 1. как ты её будешь распространять?

RPM/DEB/tar.gz

> 2. даже если ты напишешь супер-пупер полезную утилиту, как она приживётся в _любом_ Linux?

Конечно. Прочитай что такое стандарт LSB. Вся проприетарщина компилируется по этому стандарту. Суть такова: часть системных библиотек имеют обратную совместимость: GCC 4.8 запускает также все программы GCC 4.0-4.7, GLIBC 2.18 - 2.0-2.17. Также обратную совместимость имеют GTK и Qt. Часть системных библиотек не имеют обратной совместимости, например libpng, libjpeg, libcurl, libssl. И тогда в /usr/lib кладутся две версии одной библиотеки: стабильная и последняя. Список (неполный). Всё, что не перечислено в списках (или если требуется более новая библиотека), кладётся в архив с программой (либо прописывается зависимостью к RPM/DEB). LSB 4.0 писался с RHEL 5, так что чтобы программа запускалась тупо везде, её нужно компилировать в CentOS 5, включив как можно меньше возможностей программы для снижения количества зависимостей.

Пример. В системных требованиях так и сказано, «библиотеки LSB 4.0». А вот тут требуются слишком новые версии библиотек, поэтому требуются новые openSUSE/Fedora/Ubuntu/Debian. Поддержку RHEL6 прекратили месяц назад. Также Firefox с http://getfirefox.com/ поддерживает RHEL5, а следовательно запускается в вообще любой версии openSUSE 10.2-12.3, Fedora 6-19, Ubuntu 7.04-13.04 и Debian 4-7. И Flash Player так же. Nero Linux ещё, Maya Linux. Ну и конечно же, все игры из Humble Bundle. Выпущены в 2010, работают и сейчас.

ZenitharChampion ★★★★★
()
Последнее исправление: ZenitharChampion (всего исправлений: 2)
Ответ на: комментарий от TEX

Могут ли быть вирусы на линуксе? - Это, если ты внезапно забыл, название топика.

С пониманием у тебя как ? Стабильно плохо ?

относительно тебя: да. Ты сам говорил, что «Это всё игра словами. Вирус не вирус, троян не троян...». Забыл? Или это не ты?

Как я понимаю, ТСа такие детали классификации тоже не волнуют, я согласен с тем тобой, кто был в двенадцатом часу пополудни.

emulek
()
Ответ на: комментарий от ZenitharChampion

RPM/DEB

facepalm... Ты уже сломал ключи маинтейнеров? Такое взлетит разве что в BolgenOS, ибо только Ден Попов не в курсе про ЭЦП.

Конечно. Прочитай что такое стандарт LSB. Вся проприетарщина компилируется по этому стандарту. Суть такова: часть системных

да я без тебя знаю, что бинарник с rm -rf / сделать несложно. Как ты его запускать будешь? Я же говорю, тот, кто установил твой «вирус» просто залогинестя под рутом, и снесёт твою фигню. Раз смог поставить, сможет и снести. Всегда ваш К.О.

Вот если-бы _прижиться_ смогла-бы твоя зараза... А с этим сложнее, потому-то и не подходит не тот rpm, а совсем не из-за либ.

emulek
()
Ответ на: комментарий от coderage

Мол, сырцы ядра настолько большие, что несмотря на открытый код, проверить их все одному человеку не под силу.

Отключаем а в последствие вообще физически удаляем все что ненужно. Сырцы становятся заметно тоньше. Задача прочтения сырцов упрощена и уже вполне посильна даже для одного человека.

init_6 ★★★★★
()
Ответ на: комментарий от emulek

много серверов у гигантских зарубежных (и не только) хостеров

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.