LINUX.ORG.RU
Помогите найте
Вы бы не выжили в 1975 году и 5 минут!

******* 30 января 2006 11:42:23 >будут вирусы под ляпикс Ага, только их надо будет компилить руками после чтения документации и запускать от рута.

=)

anonymous
()
Ответ на: комментарий от anonymous

******* 30 января 2006 11:42:23

>будут вирусы под ляпикс

Ага, только их надо будет компилить руками после чтения документации и запускать от рута.

сори ;)

anonymous
()
Ответ на: комментарий от anonymous

Имхо это невозможно потому, что у всех разные ядра (нужны разные сплойты), разные архитектуры, обычно пользователи не работают из под рута (а значит вирусу будет сложно обеспечить собственный автозапуск), можно легко обновить систему (это заменит много бинарников, а значит наверняка затрет вирус), сложно сныкаться от ps axu. Т.е. чтобы написать вирус, придется очень сильно постараться, что, вероятно, остановит вирмейкера.

kmeaw ★★★
()
Ответ на: комментарий от kmeaw

>можно легко обновить систему

Компрометируем apt-get и ключи.

>сложно сныкаться от ps axu

Компрометируем ps, а точнее base-utils. Сложно что ли?

Xellos ★★★★★
()
Ответ на: комментарий от friday

Вот только под каждую машину нужен свой руткит. А значит вирусные эпидемии невозможны.

ugoday ★★★★★
()
Ответ на: комментарий от Vlad_Ts

Vlad_Ts, цилкни, где можно про червей почитать.

balodja ★★★
()
Ответ на: комментарий от Slack

>Ага, только их надо будет компилить руками после чтения документации и запускать от рута.

Гы-гы точно! Вот пример

http://www.roqe.org/brundle-fly/

hyde
()
Ответ на: комментарий от Vlad_Ts

Если в инициалах "К.", то тогда "Касперски", а не "Касперского". Два разных человека.

UserUnknown ★★★★★
()
Ответ на: комментарий от friday

>руткиты ведь существуют. значит, и вирусы возможны
Физики существуют, значит и черные дыры возможны, только вот их никто не видел :-)

anonymous
()
Ответ на: комментарий от anonymous

>Ага, только их надо будет компилить руками после чтения >документации и запускать от рута.

угу а статически слинкованные бинари? весят конечно много, но при существующих каналах, незаметно утянуть метр по сетке за пару минут вполне можно

>разные архитектуры если взять только хом-юзверей и небольшие компании врядли у них будут стоять спарки =)

ИМХО вирусы под linux вполне могут быть - только вот с их распространением - тяжко =)

ale ★★
()
Ответ на: комментарий от Xellos

>>можно легко обновить систему

>Компрометируем apt-get и ключи.

>>сложно сныкаться от ps axu

>Компрометируем ps, а точнее base-utils. Сложно что ли?

Так проблема в том, что многие юзеры заходят под рутом только в случае крайней на то необходимости. Даже если он успеет подменить какие-либо утилиты, то юзер их обновит. Насчет подмены пакетного менеджера - очень сложнореализуемо - слишком много вариантов надо просчитать (хотя бы для одного dpkg).

kmeaw ★★★
()
Ответ на: комментарий от suser

~/.kde/Autostart - слишком очевидно даже для неопытного пользователя

~/.xinitrc при наличии dm почти никто не использует (обычно используют те, кто знают что это, а они в состоянии найти там чужой код)

Я понимаю, что существует еще огромное количество способов автозапустится, но слишком много случаев, когда запуск вируса будет заметен/не произойдет в силу каких-либо обстоятельств.

kmeaw ★★★
()
Ответ на: комментарий от kmeaw

Спам рассылать (на localhost:25 либо remotehost:25) можно и без прав рута. :)

suser
()
Ответ на: комментарий от Xellos

Кстати, опять же, о проблеме подмены бинарников. На разных дистрах разные версии glibc, gcc может не быть, бинарники собраны с различными флагами и умолчаниями. Если я правильно помню, многие админы обнаруживали shv за счет пропадания цветного вывода в ls :)

Про ps axu: ведь это далеко не единственный метод увидеть список процессов - есть различные графические утилиты, которые предпочтет пользователь.

ИМХО наиболее эффективный способ закрепится на домашней машине - либо подменить системные вызовы, либо запереть юзера в chroot/какой-нибудь виртуалке.

kmeaw ★★★
()
Ответ на: комментарий от kmeaw

>~/.xinitrc при наличии dm почти никто не использует (обычно используют те, кто знают что это, а они в состоянии найти там чужой код)

Ну почему, у меня есть KDM, так вот при логине /etc/X11/xinit/xinitrc либо ~/.xinitrc исполняется.

suser
()
Ответ на: комментарий от ale

>ИМХО вирусы под linux вполне могут быть - только вот с их распространением - тяжко =)

ИМХО, вирус, который не может нормально сам себя распространить - это не труъ вирус :)

V_L_A_D ★★
()
Ответ на: комментарий от suser

>~/.bashrc ~/.xinitrc ~/.kde/Autostart/ crontab и т. д.
ну а попасть туда как? еще и chmod запустить?

anonymous
()
Ответ на: комментарий от kmeaw

про ps
хочу отметить что модификация программы ps не вариант, разумнее заменить модуль procfs, так что подменяй-не подменяй утелиты - пох. а ядро все же не так быстро поменяешь - перезагружаться надо...

вариант про загрузку "плохого кода" - есть куча мест куда прописать, вплоть до загрузочных скриптов, да так что и не заметишь... =)

>Кстати, опять же, о проблеме подмены бинарников. На разных дистрах
>разные версии glibc, gcc может не быть, бинарники собраны с
>различными флагами и умолчаниями.
статически слинкованным бинарям не нужен ни библиотеки gcc ни glibc ни binutils

>есть различные графические утилиты, которые предпочтет пользователь.

скорее всего они тоже работают с procfs (вариант ли утилитам писать собственный модуль для отображения процессов системы ? )

> chroot/какой-нибудь виртуалке.

вот это будет заметно сразу - перейти в корень и обнаужить что это fake, или как работать программам пишущим в /tmp и т.д.

>ИМХО, вирус, который не может нормально сам себя распространить - это не труъ вирус :)

я имел ввиду что "долговременный" и универсальный (чтобы был хотяб на трети linux осях) сплойт - не легкая задача (если не невыполнимая)

ale ★★
()

зачем же все усложнять? бинарники, шмынарники,
есть sh,perl, python, добавляшь строчку в ~/.bashrc и горя не знаешь

anonymous
()
Ответ на: комментарий от ale

> статически слинкованным бинарям не нужен ни библиотеки gcc ни glibc ни binutils

Это будет МЕГА-вирус. Потому, что будет занимать мегабайты :)

> вот это будет заметно сразу - перейти в корень и обнаужить что это fake, или как работать программам пишущим в /tmp и т.д.

Немного не понял. А как обнаружить фейк? Т.е. перед запуском init`a запускается злобный вирус, запирает юзера на VDS и запускает init. Имхо обычный юзер вообще ничего не заметит.

kmeaw ★★★
()

>Интересно, существуют ли такие?
вот нашел у себя архивчик какой-то дряни.
webfile.ru/781912

pisun
()
Ответ на: комментарий от kmeaw

>Это будет МЕГА-вирус. Потому, что будет занимать мегабайты :)

про размер я вже писал.

>Немного не понял. А как обнаружить фейк? Т.е. перед запуском init`a
>запускается злобный вирус, запирает юзера на VDS и запускает init.
>Имхо обычный юзер вообще ничего не заметит.

перед запуском инита - ничего не удасться оставить ибо у этого процесса должен быть нулевой пид, хотя если вирус совсем злобный... =)

ale ★★
()
Ответ на: комментарий от ale

>>угу а статически слинкованные бинари? весят конечно много, но при существующих каналах, незаметно утянуть метр по сетке за пару минут вполне можно

если точить вирь под конкретные системы то отпадает нужда в промежуточном слое типа libc гораздо эффективнее и безопаснее юзать прямые вызовы ядреных сисколов...

с распространением конечно труба... или инфицировать бинари в хомяке юзера от которого запустился или искать бинари у которых для этого юзера даны права на запись + попутно производить какие нить деструктвные|неочень действия.

Ex ★★
()
Ответ на: комментарий от Ex

Надо что-б част была на sh/perl, а часть на сях. Причем та часть,
что на sh должна тянуть предкомпилированую под опред дистр версию
вируса из своего репозитария ;)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Помогите найте
Talks
Вы бы не выжили в 1975 году и 5 минут!