Вирусы в Линуксе

Бывают. Если сам напишешь и скомпиляешь. Это же опенсорс.

Зачем писать? Зачем компилять? Разновидностей патча бармина много же, копи-паста - профит.

Тебе не ClamAV нужен, а rkhunter

Нужно вирус — нужно конпелять и не ныть :)

Правда ваша. А то линуксоиды измельчали... Как было раньше: где-то выложили исходники виря и понеслася: «у меня не собирается», «не могу скомпилировать», «собрал, но не работает», «требует либу, а у меня нет»... А сейчас? Выкладывают готовые скрипты на баш, питон, пхп...которые сами выкачивают и запускают виря.

Просто на линуксе скорее всего ты ставишь себе все проги из репы. Поэтому там все проверено и относительно безопасно, а в винде люди качают .exe отовсюду и запускают их от админа )

А вот есть ли у лоровцев реальные истории, что кто-то получил реальный вирус или трояна, а не дыру в вордпрессе.

Есть, slapper

Правда он косил apache с SSL, но масштаб был эпичен.

Лично его застал и видел.

А чего бы им не бывать? От левых бинарей Линукс никак не защищает. Например, в 18 году в Snap Store был пакет с майнером.

Конечно, с официальных репозиториев шанс подхватить заразу минимален, но всякие левые бинари вполне могут содержать вредоносный код. Все, что ты неизолированно запускаешь с правами пользователя, имеет доступ ко всем файлам, к которым имеет доступ сам пользователь - это важно понимать. Любой бинарь может легко зашифровать или повредить файлы пользователя или прописать какую-нибудь хрень в ~/.bash_profile, например. От этого, однако, можно защититься через песочницы типа firejail или bubblewrap.

И это уж не говоря о том, что любая софтина, запущенная под иксами, легко может быть кейлогером без рут прав. И это не шутки, вот этот простой тест покажет все нажатия клавиш:

$ xinput --list (смотрим ID клавиатуры)
$ xinput --test keyboardid

Напомнило

Просто на линуксе скорее всего ты ставишь себе все проги из репы. Поэтому там все проверено и относительно безопасно

Весьма условно.

Пользователь Debian поставить дырявый предырявый Chromium из оф реп. Ну и ладно, он же Джо.

А пользователю Ubuntu даже ничего ставить не надо. Дырявый Thunderbird к его услугам. Ну десктоп же не приоритет — и так сойдёт.

Если бы MS с Windows такое бы творила, то конечно всякие там хакеры этим бы занялись на исследование.

Ну можно дело в популярности ОС. Типа виндой пользуются 95% все юзеров в мире и хакеру нет смысла ломать линукс. Так как жертв почти нет…

Есть. Просто работает по-другому, заражает по-другому, и через другие места.

Сам неоднократно сталкивался, поскольку через мои ручки проходит много клиентских серверов.

Например хрень, которая запускается под рутом, сидит в кроне под именем gcc.sh и порождаем процессы с рандомным именем которых не существует де-факто, прописывается под системные либы типа udev1.2.3.so, а особенно забавно когда имя процесса напоминает системное и с первого раза его не заметить, ну там какой-нибудь ps, cat или что-то в этом роде.

Неважно через что вирус влетел - через уязвимость в вордпрессе, через мелтдаун или еще что-то. Важно что как и в Винде - он в системе, там где быть не должен.

Бывают, но редко. 1% это 1%.

ClamAV ставил неоднократно

А SElinux отключал, да? :-)

А вот есть ли у лоровцев реальные истории, что кто-то получил реальный вирус или трояна, а не дыру в вордпрессе.

Есть. Словили руткит на одном сервере в *стане, но там дыра была в админе — завёл системного пользователя postgres с паролем postgres и парольной аутентификацией по ssh.