[по всему] В чем отличие вируса от эксплоита?

>Мне-то от этого не легче, да и в чем принципиальная разница?

Если тебе по ICQ придёт сообщение с просьбой выполнить от root'а команду rm -rf /* и ты сделаешь - ты тоже операционную систему будешь винить?

>Нашли дырку в roundcube, а через нее вирь (да, именно вирь) уже начинает лезть дальше

Linux != roundcube.

И пока ты подобные вещи не понимаешь, делать тебе на сервере нечего.

в фак, сукины дети!

тем что вирус живет в программе и модифицирует другие программы

// К.О.

Ну типа вирь это такая фигня, которая умеет распространяться сама, заражая тем или иным способом систему, а эксплоит, подозреваю, не умеет.

И да, при этом ему нужен носитель, как уже замечено выше.

Т.е. вирус (компьютерный) не зря вирусом назвали, основные признаки теже самые, что и у настоящего вируса.

Ппц, братья, ну и линуксоид сегодня пошел...

Вирус имеет способность к размножению, эксплоит нет.
А вообще это сравнение теплого с мягким.

>Ну типа вирь это такая фигня, которая умеет распространяться сама

Не обязательно. Троянские кони - частный случай вирусов, но сами не обязательно распространяются.

>А вообще это сравнение теплого с мягким.

Угу. Это сравнение лошади и упряжи.

> ты тоже операционную систему будешь винить?

Нет, ибо сам виноват. А тут оно САМО.

> Linux != roundcube.

Некоторым и busybox достаточно... Но вот чудо: ставим софт (любой) и сразу появляются потенциальные проблемы... Что же это за диво-дивное?

> И пока ты подобные вещи не понимаешь, делать тебе на сервере нечего.

Я то понимаю, только кто на каждом углу кричит "в лялехе вирусов нет и не будет"?

щаз придет шома с касперычем и расскажет про вирусы ))

В таком случае roundcube - это вирус/троян

я таки думаю, что *нечто* ломающее тебя через дырявые скрипты на пехепе нельзя назвать вирусом, и даже трояном с натяжкой

> Ну типа вирь это такая фигня, которая умеет распространяться сама, заражая тем или иным способом систему, а эксплоит, подозреваю, не умеет.

Дык это САМО прилетело. А мне говорят, что таки не вирус.

>Дык это САМО прилетело.
Просто так ничего не бывает и САМО ничего не летает. Самая большая дыра на твоем сервере это админ ;)

>Нет, ибо сам виноват. А тут оно САМО.

Как это? В Linux сам собой roundcube завёлся?

>Но вот чудо: ставим софт (любой) и сразу появляются потенциальные проблемы...

В _таком_ варианте они неизбежны в любой системе.

>Я то понимаю, только кто на каждом углу кричит "в лялехе вирусов нет и не будет"?

Не знаю, кто кричит. Пионеры какие-то, краем уха про другую ОС услышавшие. Линуксоиды хоть с каким-то опытом, о таком не кричат. Они просто знают, что под Linux вирусы в широком ассортименте есть. Но система к ним несравнимо устойчивее, чем Win. А ещё эти линуксоиды прекрасно осознают разницу между ОС и прикладным софтом, торчащим голой жопой в Интернет. Заблокируй доступ к своей машине по HTTP-порту и даже roundcube твой уже никто не поломает. Распиши жёсткие ограничения по правам или посади Apache в Jail - и взомавший roundcube не будет иметь ни к чему остальному доступа.

>В чем отличие вируса от эксплоита?

Надеюсь вы знаете, что такое Баг (bug)

так вот, эксплойт, это "пример использования" бага.
т.е. программа, которая использую баг, что-то там может (повышение привилегий, доступ в рестриктед, выполнение произвольного кода, итд)


а вирус - это обычная программа, просто прозвали её так. суть - вредоносный контекст. обычно это бэкдор, чтобы компьютер стал частью ботнета.

так вот, вирус, по мимо вредоносного контекста обычно содержит код для "самовоспроизводства", такой тип популярен в win32 системах.

русским языком, это значит - что программа-вирус ищет возможность заразить другие PC.

а заражает он их через эксплойты (или, читай - реализация багов)


вот тебе и разница

А что одмин? Одмин поставил почтовую морду "на посмотреть" (выбрал опенсорс, типа глобально, надежно и открыто) и забыл про нее, ибо неинтересной показалась. И даже считал ее снесенной. Кто же знал, что через год про нее вспомнят злые хакиры?

Что же делать админу? Да еще на своем собственном компе...

>я таки думаю, что *нечто* ломающее тебя через дырявые скрипты на пехепе нельзя назвать вирусом

Есть уникальный случай - phpBB. Под него был написан именно классический саморазмножающийся вирус :) Искал через Гугль phpBB-доски и автоматически ломал/заражал их.

По-моему, единственная эпидемия скриптового вируса была :)

Эксплойт - используется для проникновения злоумышленника в твою систему, используя дырку в к-либо программе, дает прорывающимуся доступ к шеллу к-либо юзера (это в идеале), а так - выполняет произвольный код, который может понадобиться злоумышленнику именно чтобы доступ к консоли получить.

Как пример - баг scanf, если величина массива char в который передается результат функции scanf например 255, а было передано в stdin 256 символов - будет вызвано переполнение буфера, как следствие - злоумышленник может пропихнуть в адресное пространство убитой таким действием проги свой код с привилегиями запустившего программу пользователя. Так делали ЕМНИП с какой-то версией апача, который на большинстве систем естественно запускался из-под рута.

Та же фигня и в твоем случае: нашли баг в программе, обрушили, пропихнули свой код в ее адресное пространство.

Не пинайте: объясняю как умею

>А что одмин? Одмин поставил почтовую морду "на посмотреть" (выбрал опенсорс, типа глобально, надежно и открыто) и забыл про нее, ибо неинтересной показалась. И даже считал ее снесенной. Кто же знал, что через год про нее вспомнят злые хакиры?

Ну говорю же -- админ дыра, с таким отношением у тебя проломают даже самую безбажную и защищенную ОСь. И не надо на лялех гнать волну.

ну может и так, но тогда это уже вирус не спецефичный для ОС

>>Ну типа вирь это такая фигня, которая умеет распространяться сама

>Не обязательно. Троянские кони - частный случай вирусов, но сами не обязательно распространяются.

отнюдь. вирусы как раз и определяются способностью к самораспостранению. если вирус дает возможность неавторизованного доступа к машине-жертве, то это еще и троян. если троян может саморазмножаться - это еще и вирус.

> А ещё эти линуксоиды прекрасно осознают разницу между ОС и прикладным софтом, торчащим голой жопой в Интернет

А разница, если связка ОС+софт все равно уязвима? Рассматривается именно связка.

> Заблокируй доступ к своей машине по HTTP-порту и даже roundcube твой уже никто не поломает.

Более того, можно вообще выключить его из розетки... А разница между заблокированным/выключенным, если я САМ (из внешнего мира) к почте доступа иметь не буду?

> Распиши жёсткие ограничения по правам или посади Apache в Jail - и взомавший roundcube не будет иметь ни к чему остальному доступа.

Спрашивается, почему надо так извращаться, куда смотрят мейнтейнеры дистров? Я апач практически не настраивал, только чуток конфиг поправил, все остальное - как было использую.

> В чем я ошибаюсь?

selinux

Я так и решил, только мне сказали "похакали, а не вирус"

я думаю, что когда кричат что под лялихом нет вирей, имеется ввиду что-то классическое, типа того что приходит по почте или заражает через взлом ie

>то это еще и троян.
Не, троян выдает себя за что-то полезное, отсюда и название, а "дает возможность неавторизованного доступа к машине-жертве" блекдор.

>А разница, если связка ОС+софт все равно уязвима?

Если ОС не заражена то за администратором остается контроль над системой, скажем червь не может изменить настройки iptables и соответственно присутствие какой-то левой фигни будет более заметно

>ну может и так, но тогда это уже вирус не спецефичный для ОС

Да, вирус был истинно мультиплатформенным :) Именно поэтому хорошая иллюстрация, что стойкость операционной системы никак в общем случае не отражается на стойкости кривого поделия, работающего под ней.

...

Контрпример, кстати. Часто любят вспоминать (и я этим грешил когда-то) как на несколько часов без хода остался американский крейсер УРО Йорктаун. «Из-за того, что ходовая часть управлялась Windows NT». Так вот, фиг там. Падал он из-за ошибки деления на ноль в прикладной программе. Сама ОС не при делах была, Linux в тех условиях показал бы себя совершенно также :)

>отнюдь. вирусы как раз и определяются способностью к самораспостранению.

В природе вирусы сами не распространяются ;) У них и средств-то к этому нет. Вирус в природе - фактически просто одна большая молекула.

>только мне сказали "похакали, а не вирус"

Разница существенна. Или если над клавой повесят видеокамеру это тоже вина ОС?

> Ну говорю же -- админ дыра, с таким отношением у тебя проломают даже самую безбажную и защищенную ОСь. И не надо на лялех гнать волну.

И что же админ, т.е я должен был сделать? Ведь везде сказано "качай лучший открытый софт, безбоязненно запускай его, рули им... Вирусов для линя нет, все безопасно и проверено лучшмими опенсорсоводами"

Ладно, я не пользовался этим кубом, а если бы там была сотня-другая юзеров? Ведь ставил я "на посмотреть" для того, дабы потом на боевой сервер поставить. Если бы мне оно понравилось - сейчас бы уже боевой сервер начал рассылать вирусню. Следить за каждым пакетом и обновлять каждый пакет при малейшем обновлении? Этак еще больше можно проблем наловить, юзеры потом живьем съедят!

А можно считать стойкостью ОС трудность несанкционированного поднятия привелегий пользователя?

>А разница, если связка ОС+софт все равно уязвима? Рассматривается именно связка.

Если у тебя две цепочки, одна из титана, а вторая из алюминия, но некоторые звенья и там, и там сделаны из глины, то нельзя говорить, что у титана и алюминия одинаковая прочность в связке с глиной.

>Спрашивается, почему надо так извращаться, куда смотрят мейнтейнеры дистров?

Cтань ногами на батарею отопления, возьми гвоздь и воткни его в розетку.

(и куда смотрят разработчики электророзеток, батарей и, вообще, Чубайс?)

> Если ОС не заражена то за администратором остается контроль над системой, скажем червь не может изменить настройки iptables и соответственно присутствие какой-то левой фигни будет более заметно

Ну дык у меня сохранился, я сейчас с этой машины пишу. И iptables пусть меняет - все равно машинка за роутером (хотя в нем пароль "Admin", что был "из коробки"), но это все равно не мешает боту/вирю/бкдору использовать машину для своих целей

Надо ососзнавать ответсвенность, "на посмотреть" на сервера никто софт неставит, вообще с серверов надо удалять весь лишний софт, компиляторы, например, остальное надо обновлять регулярно, читать рассылки с секьюрити сайтов. Админ должен быть _параноиком_

>я думаю, что когда кричат что под лялихом нет вирей, имеется ввиду что-то классическое, типа того что приходит по почте или заражает через взлом ie

Ну, всё равно кричать об этом глупо. Тут лишь отчасти лучшая устойчивость системы (отсутствие IE и Outlook :) ), но во многом и невысокая популярность. Вирусные экстеншны для Firefox я в своей практике видел. Под винду. Была бы у Linux популярность, сравнимая с Windows, были бы они же и под Linux :)

Linux устойчивее к вирусам в первую (после низкой популярности ;) ) очередь из-за разделения прав доступа, более вылизанного софта, и отсутствия необходимости монстрообразной обратной совместимости.

>Сама ОС не при делах была, Linux в тех условиях показал бы себя совершенно также :)

если не хуже, программа дико хавающая память под ляликом имеет привычку надолго подвешивать всю систему

> Разница существенна.

Ты хочешь сказать, что кто-то руками рассылает бекдоры/эксплойты, а не вирусы с уже зараженных машин пытаются продолжить свой путь теми же методами?

>весь лишний софт, компиляторы

+1, особенно gcc, тогда далеко не факт, что бинарник собранный в другой системе нормально заработает здесь

А как же тогда "посмотреть" софт, если ставить его нельзя?

> Админ должен быть _параноиком_

А жить когда? Я лучше в дворники пойду, там проще.

>И что же админ, т.е я должен был сделать?

Админ должен постоянно обновляться и делать регулярный аудит системы.

Пока у тебя эти привычки не войдут в кровь - ты не админ.

...

Кстати, у меня этот roundcube тоже стоит. Но у меня он уже несколько дней, как автоматом обновился. А если бы не обновился - юзер, от которого работает виртхост с кубом, имеет крайне урезанные права. Даже прочитать в системе почти ничего не может. Не говоря уже о том, чтобы писать :) Но даже в этом случае, повторюсь, не стоит забывать про аудит - даже при наличии записи в одну лишь свою песочницу, через дырявый скрипт (в любой ОС) можно протащить бэкдор, который смогут использовать, например, для DDoS других серверов или раскрутку дорвеев.

>А можно считать стойкостью ОС трудность несанкционированного поднятия привелегий пользователя?

Безусловно. Хотя такие дырки периодически находят в любой ОС, но в Linux, например, в сравнении с Windows, их затыкают быстрее :)

>Я лучше в дворники пойду, там проще.
Ну так вперед, мой мальчик. Советую идти в барыжки торговые агентишки, работа непыльная, а платят куда больше чем админам.

А если статически слинковать? Да и gcc всегда доустановить можно.

>Не обязательно. Троянские кони - частный случай вирусов, но сами не обязательно распространяются.

Если посмотреть на историю возникновения понятия комп. вирус, то троян к вирусам можно отнести досточно условно (вообще говоря, любая классификация будет условна), а строго говоря нельзя, т.к. вирус должен иметь какой-либо мех-м заражения. А так то да, в быту и рассматриваемый эксплойт вирусом назвать можно.

>Надо ососзнавать ответсвенность, "на посмотреть" на сервера никто софт неставит

Я ставлю :) Но я знаю, что я делаю и осознаю потенциальные последствия :D

>если не хуже, программа дико хавающая память под ляликом имеет привычку надолго подвешивать всю систему

ulimits :)

>А жить когда? Я лучше в дворники пойду, там проще.

А кто сказал, что админу жить легко? :) Почему, интересно, я, уйдя с админства в чистое программерство, за полгода набрал почти 20 кг веса? ;)