И как твои успехи на этот поприще?

>Я ставлю :)
Ну на год же о нем не забываешь? Глянул-удалил. Да и то не вижу смысла, всегда есть под рукой тестовая тачка для таких дел.

>Дык это САМО прилетело. А мне говорят, что таки не вирус.

Я не вникал, что прилетело тебе. Но есть еще например черви, которые сами как раз и приходят.

И можно представить себе мутанта (наверное что-нибудь подобное есть в природе) вируса-трояна-червя.

>И как твои успехи на этот поприще?
На обоих успешно, а что?

> Я ставлю :) Но я знаю, что я делаю и осознаю потенциальные последствия :D

Как в венде? "Перед установкой нового ПО сделайте образ системы и запишите его на болванку для пущей надежности"

>В природе вирусы сами не распространяются ;) У них и средств-то к этому нет. Вирус в природе - фактически просто одна большая молекула.

Имелось ввиду, конечно, что они не ползают конечно, что у них есть руки и ноги и они ползают от жертвы к жертве. А биологию все проходили, ага.

>Если посмотреть на историю возникновения понятия комп. вирус

... то первым был червь :)

>вообще говоря, любая классификация будет условна

В начале 1990-х классификация была однозначная и общепринятая. Это потом, со временем, масса полуграмотного народа стала книжки писать про ужасы компьютерных вирусов для чайников и терминология сильно поехала :)

>а строго говоря нельзя, т.к. вирус должен иметь какой-либо мех-м заражения

Механизмы заражения у троянских коней бывают. Важно, что активацию таковых (и часто - распространение) пользователь осуществляет. Откуда и название. Но активированный троянский конь спокойно может заразить другой файл. А может и не заразить. Именно поэтому проще всю категорию отнести к вирусам, как вредоносным программам, выполняющим несанкционированную пользователем деятельность, чем думать, какой из видов коней является вирусом, а какой - нет :)

>А если статически слинковать? Да и gcc всегда доустановить можно.

вирус, который таскает с собой компилятор и еще полсистемы? а что, идея ))))))
нy еще можно selinux поставить, я думаю это будет самое правильное

>Ну на год же о нем не забываешь? Глянул-удалил.

Ну да. Я же писал, что знаю, что делаю :)

не в первый раз вижу такой совет, но ни одного конкретного примера, буду очень благодарен если меня носом ткнут в пример

>Как в венде? "Перед установкой нового ПО сделайте образ системы и запишите его на болванку для пущей надежности"

Нет, не так. Поставил, погонял, понравилось - оставил, не понравилось - снёс. Если оставил - то регулярно обновляется полуавтоматом. Кроме того, не рекомендуется малопроверенный софт ставить под пользователем с общими правами.

> вирус, который таскает с собой компилятор и еще полсистемы? а что, идея ))))))

Дык он части себя wget-ом тянул, см. логи в удаленой теме

>не в первый раз вижу такой совет, но ни одного конкретного примера, буду очень благодарен если меня носом ткнут в пример

/etc/conf.d/lighttpd:

...

RC_ULIMIT="-m 200000 -v 300000"

Т.е. каждому процессу лайти не более 200Мб RSS и не более 300Мб VIRT.

>вирус, который таскает с собой компилятор и еще полсистемы? а что, идея ))))))
Реализации которй лет так 20.

> Нет, не так. Поставил, погонял, понравилось - оставил, не понравилось - снёс.

Предположим, что понравилось. Обновляться? Легко! Только у тебя небыло такого, что после очередного обновления все нафиг перестает работать? Или "случайно" затираются конфиги?

> Кроме того, не рекомендуется малопроверенный софт ставить под пользователем с общими правами.

Дык апача то и работает под wwwrun, что не мешало зверинке писать в /var/tmp

>Реализации которй лет так 20.
Ы? пруф можно?

а если хочу чтобы ни один процесс не мог отожрать больше 90% памяти? это реально? я вот как раз такое искал,долгое курение манов меня натолкнуло на мысль, что это нереально ((

>Только у тебя небыло такого, что после очередного обновления все нафиг перестает работать?

За ~5 лет на 3-4 серверах только однажды. При обновлении mysql с 4.1 на 5.0 - там собственную базу mysql обновить надо было.

>Или "случайно" затираются конфиги?

Я Gentoo использую. Тут такого не бывает :) etc-update или заменители рулят.

>а если хочу чтобы ни один процесс не мог отожрать больше 90% памяти? это реально?

Ну, вот, если у тебя, скажем, 2Гб памяти на машине, то 90% - это будет 1843Мб. Столько и пропиши.

блин что-то я туплю, пойду проверю

>Ы? пруф можно?
Я не историк вирусов, но помница мне что-то попадалось в какой-то книжке, вермен червя Мориса. А так про качающееся и собирающееся нет-нет да проскочит, идея стара как Unix.

хм, вроде работает, но прогу не прибивает, просто застывает на гиге и все (я гигабайт прописал), так и должно быть?

>не в первый раз вижу такой совет, но ни одного конкретного примера, буду очень благодарен если меня носом ткнут в пример

man limits.conf

дочитай топик до конца плиз ))

>дочитай топик до конца плиз ))

тебе нужно для lighttpd или вообще для процессов?

вообще для всех процессов, я уже прописал в limits.conf

* hard as 1000000

тестовая программка по достижению лимита не вываливается, а просто подвисает

int main()
{
for(;;)
malloc(1000);
return 0;
}

собственно вопрос, это так и надо или я что-то неправильно делаю?

>Ты хочешь сказать, что кто-то руками рассылает бекдоры/эксплойты, а не вирусы с уже зараженных машин пытаются продолжить свой путь теми же методами?

Надо различать индивидуальную атаку и массовое сканирование сети

> В чем я ошибаюсь?

В системе.

Не поленитесь для начала прочитать lor-security-faq. До его прочтения вы ничего не услышите от других.

Я бы рекомендовал всем переустановку ОС новым сотрудником при смене админа.

>И iptables пусть меняет

=))) А как насчет перенастройки DNS?

>все равно машинка за роутером

угадай с трех попыток, что за ось в роутере

>но это все равно не мешает боту/вирю/бкдору использовать машину для своих целей

Может и помешать, например если закрыты некоторые исходящие порты.

> Надо различать индивидуальную атаку и массовое сканирование сети

Если верить гуглю - это массовый скан. В логах тоже идентичные запросы с разных IP, т.е. попытки скана продолжаются независимыми машинами.

> Я бы рекомендовал всем переустановку ОС новым сотрудником при смене админа.

Т.е. из-за 1 неудаленной вовремя директории надо менять админа + все переставлять, да? Сейчас же кризис, куда админ пойдет?

> Т.е. из-за 1 неудаленной вовремя директории с опенсорс-приложением

selffix

> =))) А как насчет перенастройки DNS?

Хуже провайдерских DNS ничего не будет, а максимум, что они смогут украсть в случае фишинга - аккаунт от ЛОРа.

> угадай с трех попыток, что за ось в роутере

Линупс ветки 2.4 под мипсы который. Достаточно перезагрузить.

> Может и помешать, например если закрыты некоторые исходящие порты.

А если оно самому нужно? Я сам не знаю, какие порты мне будут нужны через минуту.

int main()
{
  for(;;)
    if (!malloc (1000))
    {
      perror ("malloc");
      abort ();
    } 
  return 0;
}

Троянцы не вирусы!

>>Ну типа вирь это такая фигня, которая умеет распространяться сама

>Не обязательно. Троянские кони - частный случай вирусов, но сами не обязательно распространяются.

Категорически обязательно! Вирус -- программа способная к самостоятельному распространени. (точка) Эта программа может распространяться в виде исполняемых файлов, в виде сценариев оболочки, макросов файлов офисных редакторов, как угодно. Вирус может не иметь вредоносных функций (удаление/шифрование файлов, порча загрузочной записи, рассылка спама), в этом случае вредом считается потребление ресурсов ЭВМ (ОЗУ, дисковая память, каналы передачи данных).

Троянские программы категорически не относятся к вирусам по одной простой причине, они не способны распространяться самостоятельно, без участия человека, участие пользователя (щелчок по кнопке, запуск программы...) ОБЯЗАТЕЛЬНО.

Троянские программы вместе с вирусами относятся к категории вредоносного ПО.

А тот кто троянцев называет вирусами страдает Касперским головного мозга.

а почему ее тогда система прибивает, когда ulimits не настроен?

>А что одмин? Одмин поставил почтовую морду "на посмотреть" (выбрал опенсорс, типа глобально, надежно и открыто) и забыл про нее, ибо неинтересной показалась. И даже считал ее снесенной. Кто же знал, что через год про нее вспомнят злые хакиры?

>Что же делать админу? Да еще на своем собственном компе...

Ты пока не дорос, чтобы себя админом называть.

>В чем отличие вируса от эксплоита?

Ну вирус - это например грипп. А эксплойт - это когда баба клава забыла запереть дверь в квартиру и через эту дверь туда залез вор. Ну примерно такое же отличие между вирусом и эксплойтом для ПО.

>Категорически обязательно!

Да хоть небо оранжевым считай, это твоя личная трудность :)

>Вирус -- программа способная к самостоятельному распространени. (точка)

>Троянские программы категорически не относятся к вирусам по одной простой причине, они не способны распространяться самостоятельно, без участия человека

Вирус гриппа тоже распространяется без участия человека.

Классические компьютерные вирусы тоже не распространяются без участия человека. Если у тебя вирусом заражена игрушка или документ, то пока ты игрушку не запустишь или документ не откроешь, вирус не активируется. libastral ещё не написали :D

Реально самораспространяются без участия человека, например, черви. Тоже лишь частный случай вируса. При этом они могут не только не заражать систему, но даже на диск никуда не записываться. Вспоминаем знаменитый Code Red (или как он там точно, запамятовал уже).

, участие пользователя (щелчок по кнопке, запуск программы...) ОБЯЗАТЕЛЬНО.

>А тот кто троянцев называет вирусами страдает Касперским головного мозга.

Лучше страдать Касперским головного мозга, чем мозг не включать вообще никогда :)

Я гордый админ локалхоста! А у вас есть справка от православного священника, дабы делать такие заявления?

Ну значит червь, опенсорс от этого лучше не станет. Как было РЕШЕТО, так и будет. Надо использовать только проверенные программы от Microsoft!

А я то как младенец повелся на сказки о безопасности в лялексе...

>Хуже провайдерских DNS ничего не будет

А ты не пользуйся услугами быдлопровайдеров. Я вот весьма кошерного нашел

>Я сам не знаю, какие порты мне будут нужны через минуту.

Знаешь, если пользователь дурак то никакая система от этого не поможет

> А я то как младенец повелся на сказки о безопасности в лялексе...

Топай к маме и скажи ей: "Мамо, убей меня! Я дебил и больше так жить не могу!"

Мама добрая, она тебе поможет.

>Вирус гриппа тоже распространяется без участия человека.

Bingo! Именно поэтому некоторые болезни называют "вирусными инфекциями", как бэ аналогия терминологией Касперского :-] Но всё же врачи следуют этой терминологии не до конца и переломы/ожоги/порезы "вирусами" не называют. А то сунул бы палец под болгарку и диагноз: Homo.Sapiens.Sapiens.Virus.Trojan.Dumbass.ФГМ. И на ещё чтобы на каждую болгарку можно было KAV поставить, тогда у неё скорость вращения диска падает в 10 раз, при приближении к любому обрабатываемому объекту останавливается и задаёт вопрос: "Можно это пилить?"

>Классические компьютерные вирусы тоже не распространяются без участия человека. Если у тебя вирусом заражена игрушка или документ, то пока ты игрушку не запустишь или документ не откроешь, вирус не активируется.

Может ещё попросим вирусы компьютеры питать электричеством, чтобы заражать даже те, которые без питания. Получится совсем без участия человека.

>Лучше страдать Касперским головного мозга, чем мозг не включать вообще никогда

Поддерживаю на 100%.

OOM