LINUX.ORG.RU
ФорумTalks

Вирусы под Linux


0

0

Скажите пожалуйста, правда ли что под Linux не существует вирусов? Если да, то почему? На этом сайте собрались лучшие специалисты, которые знают Linux как свои пять пальцев. Неужели ни кто из Вас не в состоянии написать какой-нибудь простейший вирус под Linux? Просто мне как-то обидно за Вас: под виндовс вирусов полно, а под Linux - ни одного :-) Я простой юзер, и меня хотят убедить поставить на свой комп Linux. Одним из доводов в пользу Linux является "отсутствие вирусов" под эту ОСь. Вот я и интересуюсь. С уважением Алекс

Я склонен полагать, что по одной просто причине - оно не нужно вирусописателям, ввиду крайне низкой популярности Линукса на дэсктопе.

smh ★★★
()
Ответ на: комментарий от smh

Вот и пусть как можно дольше вирусописатели так и думают! ;)

hibou ★★★★★
()
Ответ на: комментарий от Beria1937

> В Линуксе вирусов нет и еще очень долго не будет. Причина проста - разделение прав. Программа, запущенная от пользователя, ничего не может сделать с системой - прав нет.

т-щ берия, не троллите.

1. у половины граждан небось простое "sudo bash" проканает, и делай что хочешь с системой. А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая.

2. А так ли надо что-то делать с системой? Кому она далась? Залезть в автостарт kde/login shell'a/etc, сидеть, потихонечку спам рассылать, следить за фаерфоксом - когда там введут номер кредитки. Вобщем-то деловому вирусу больше ничего и не надо.

gods-little-toy ★★★
()
Ответ на: комментарий от z01

>да и под никсы есть эксплоиты,

Сравнивать эксплоит с вирусом это все равно что сравнивать термита и дрель. Да, вирусы есть, но какие-то албанские они большей частью, то ядро для них пропатч то права пропиши...

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от smh

>ввиду крайне низкой популярности Линукса на дэсктопе.

А черви? Под виндовый IIS червей на порядок больше чем под Апач при том что Апач популярнее. Вон, макось стала более-менее популярной - сразу и трояны посыпались и вирусы несмотря на процент сравнимый с Линуксом

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от klalafuda

> ...и так стабильно раз в неделю? не верю. лично я вижу в этом дешевые немощные происки тёмных виндузячих тролей.

Ох-хо :) Ну что до Вас лично, сэр, этим детишкам как пешком до Китая, как говорится - это да, это без вопросов абсолютно )

AndreyKl ★★★★★
()

Видел один раз вживую заражённую линукс-машину.
Старый, ещё 9ый РэдХэт со стареньким апачем, на котором был непротатченный SSL. Через 443 порт заразилась .cinik 'ом


ovax ★★★
()
Ответ на: комментарий от Beria1937


господи, лаврентий палыч, ну нельзя же быть таким наивным, а? хоть бы материальчики по теме чтоль почитали, перед докладом то. что позориться?

// wbr

klalafuda ★☆☆
()

>Неужели ни кто из Вас не в состоянии написать какой-нибудь простейший вирус под Linux?

В состоянии. Просто Linux-пользователи -- добрейшей души люди, которые не станут наносить кому-то реальный вред, дабы потешить своё самолюбие. Самое страшное, чтоб с тобой могут сделать, так это послать на МПХ или показать однострочник на перле, но исключительно в воспитательных целях.

P.S. Кушай меньше мучного @ занимайся спортом

Demon37 ★★★★
()
Ответ на: комментарий от Sylvia

developer:/home/demon37# cat /dev/urandom > /dev/sda
^C

developer:/home/demon37# ls -l /dev/sda
-rw-r--r-- 1 root root 1437696 Фев 23 14:10 /dev/sda


таки всё работает. ЧЯДНТ? ;)

Demon37 ★★★★
()
Ответ на: комментарий от madcore

> >rm -rf /*

> Все равно не пашет.


rm -rf /* --no-preserve-root

andreyu ★★★★★
()
Ответ на: комментарий от hibou

>Там вот на графике, когда загрузка проца пошла вверх - это тот момент, когда я нажал на "энтер" в терминале (команда 'yes'). Ну тоже ничего не повесилось.

`yes` должно быть, он не сам по себе память хавает

cvb
()
Ответ на: комментарий от Demon37

может попробовать /dev/hda ?

По теме: если в системе не сидеть из под рута, то всё пучком. На мой apache и sshd народ "снаружи" ломится чутьли не по 2 раза в день. В апач какието эксплоиты пытается присылать (гуглинг показал, что это эксплоиты для IIS), в ssh брутфорсится... причём довольно глупо брутфорсится. Редко угадывает существующего в системе пользователя (чт о уж говорить о паролях).

А если заводить речь о вирусе, то вот для сравнения: сидит юзверь в винде под админом; вот посадите в линуксе пользователя под рута - и сразу куча всяких гадостей может быть совершена одной командочкой... которую легко и непринуждённо выполнит любой кто сидит в ОЗУ. А "нормальных" вирусов, которые могут вот прямо из под пользователя и безо всяких sudo (может я его не поставил?) что-то сделать с системой я не видел.

world
()

'yes' у меня просто кушает проц...

Точнее два ядра пополам делятся между urxvt и yes, в первый момент запуска скушалось около 300 метров памяти (совпало или это он скушал?) - при последующих запусках не ест ничего кроме процессора. Ничего не повисло... простым C-c остановилось. Правда память не вернуло... может это всё-таки не оно...

world
()
Ответ на: комментарий от world

>вот прямо из под пользователя и безо всяких sudo (может я его не поставил?) что-то сделать с системой я не видел.

Но в бубунте из коробки как раз судо с таймаутом и возможностью выполнять любые команды от рута.

feanor ★★★
()

> Одним из доводов в пользу Linux является "отсутствие вирусов" под эту ОСь.

Отсутствие вирусов?! Linux _удобен_ в первую очередь.

world
()
Ответ на: комментарий от world

>может попробовать /dev/hda ?

Не стоит. Мне ещё рабочая система нужна :)

Demon37 ★★★★
()
Ответ на: комментарий от world

> В убунте нельзя настроить судо иначе?
> Use Gentoo, Luke. :)


и эти люди( не знающие основ ) советуют Gentoo... куда катится мир

lester ★★★★
()
Ответ на: комментарий от world

>В убунте нельзя настроить судо иначе?

Можно конечно, судо же везде одно и то же. :)

feanor ★★★
()
Ответ на: комментарий от lester

А почему бы мне не советовать то, чем я сам пользуюсь и нахожу удобным?

Я много чего не знаю, очень много. А незнание каких основ я продемонстрировал?

world
()
Ответ на: комментарий от Sylvia

ну, я уж не знаю, что для вас достаточное количество
лично у меня 1.5 GB RAM + 1 GB свопа.
я немного понаблюдал начинающееся умирание системы, открыл новый xterm, убил оттуда (обычным kill -9) yes, а потом и баш, запускавший его.

maloi ★★★★★
()
Ответ на: комментарий от maloi

Да, не разглядел ` ) Таки надо шрифт укрупнить...

Память кушается, ждать свопа не стал, из соседнего терминала убивается, как уже было сказано, с помощью kill -9.

world
()

убрал своп и подумал проверить OOM kill.

Запустил несчастный `yes`, жду... баш распух до двух гигов и застрял там. Жрёт проц, память как была 2g так и есть. Думаю, больше он ничего не сделает.

В остальном ничего не тормозит, на машине 4G рамы, в оставшиеся от баша два всё прекрасно умещается.

world
()
Ответ на: комментарий от gods-little-toy

to klalafuda

> господи, лаврентий палыч, ну нельзя же быть таким наивным, а? хоть бы материальчики по теме чтоль почитали, перед докладом то. что позориться?

А хамить нехорошо.

> 1. у половины граждан небось простое "sudo bash" проканает, и делай что хочешь с системой. А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая.

Вот по этому и считается, что sudo - дырка в безопасности. Потому как нарушает систему прав. К стати - у меня sudo пароль просит. А у вас разве нет?

А еще можно под рутом сидеть. Тогда действительно Линукс превращается в Винду. Но мы же про нормальных людей говорим.

> 2. А так ли надо что-то делать с системой? Кому она далась? Залезть в автостарт kde/login shell'a/etc, сидеть, потихонечку спам рассылать, следить за фаерфоксом - когда там введут номер кредитки. Вобщем-то деловому вирусу больше ничего и не надо.

Это можно... Только я не представляю, как можно "спрятаться" в каталоге пользователя. А в систему (usr/bin) тебя не пустят - смотри разделение прав. И это... как предполагаемый вирус перенесет несоответсвие версий glibc? Не будет ли как в анекдоте - чтобы вирус работал, нужно полсистемы пересобрать?

Да-с... А еще, чтобы спам рассылать, нужно чтобы было открыто что-то кроме http. Тут уже в сторону iptable и ipchain посмотреть можно. Как вирус перенесет закрытость нужного ему порта?

Beria1937
()
Ответ на: комментарий от Beria1937

Батенька, не стоит так... я вот сидел под рутом года три, и ничего не умерло.

В большинстве случаев основная дырка - пользователь, по-моему.

//Да, ещё интересно что же такого опасного для системы может сделать "злоумышленик" если у меня никаких смотрящих в сеть сервисов не запущено.

wyldrodney
()
Ответ на: комментарий от wyldrodney

wyldrodney А даже если сервисы и есть в наличии и смотрят они в мир вот только одно но все это дело в ченжруте под hardened gentoo. И что? Чем то сервис торчащий в мир поможет злоумышленнику в этом случае?

init_6 ★★★★★
()
Ответ на: комментарий от init_6

>ченжруте под hardened gentoo

Браво! ASLR+PIC затруднят работу некоторых эксплоитов) Приятно...

Слышал сказочку о Солярке? Как дважды chroot давал выход из чрута? Детали могёшь нагуглить ;)

>Чем то сервис торчащий в мир поможет злоумышленнику в этом случае?

Всё ломается. Во всём есть недостатки.

wyldrodney
()
Ответ на: комментарий от Beria1937

>> 1. у половины граждан небось простое "sudo bash" проканает, и делай что хочешь с системой. А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая.

> Вот по этому и считается, что sudo - дырка в безопасности. Потому как нарушает систему прав. К стати - у меня sudo пароль просит. А у вас разве нет?


Пароль не поможет. Ибо "А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая". То есть, нечто вроде самопального враппера для sudo.

>> 2. А так ли надо что-то делать с системой? Кому она далась? Залезть в автостарт kde/login shell'a/etc, сидеть, потихонечку спам рассылать, следить за фаерфоксом - когда там введут номер кредитки. Вобщем-то деловому вирусу больше ничего и не надо.


> Это можно... Только я не представляю, как можно "спрятаться" в каталоге пользователя. А в систему (usr/bin) тебя не пустят - смотри разделение прав.


Как много народу проверяет, что у него в "скрытых" каталогах ногово появилось? что нового в .mozilla и иже с ним каталогах? И как часто проверяют? А размер ~/.bashrc давно проверялся? mtime поменять - банально через touch. С современными разбухшими хомесами никаких других прав и каталогов и не надо-то...

> И это... как предполагаемый вирус перенесет несоответсвие версий glibc? Не будет ли как в анекдоте - чтобы вирус работал, нужно полсистемы пересобрать?


Вариантов тут масса. От простенького бутстрапового шелл-скрипта, который вытянет и скомпилит (если есть компилятор) основную часть, до тупо распространения интерпретируемых скриптов (машины с неустановленными perl или python уже далеко не в большинстве).

> Да-с... А еще, чтобы спам рассылать, нужно чтобы было открыто что-то кроме http. Тут уже в сторону iptable и ipchain посмотреть можно. Как вирус перенесет закрытость нужного ему порта?


Это не понадобится. Анализируем настройки firefox/opera/lynx/wget на предмет наличия/отсутствия проксика, потом коннектимся к irc-каналу или jabber-комнате и просто ждём команд.

Дело в том. что подавляющему большинству современных вирусов и не нужно ничего вредить. Более того - они и не будут ничего вредить. Вирусам нужно быть как можно более незаметными, ибо вирусы писались под заказ и за деньги. А деньги нужно "отбивать". А отбиваются деньги либо спамом, либо ddos-атаками, либо брутфорсами (дальнейший рост ботнета либо целенаправленный заказ). Изредка встречаются пионерские вирусы - "попаду в систему, чуток размножусь и снесу всё к хреням". Но это изредка. Вирусописание - это небольшое звено целой индустрии альтернативного заколачивания денег. :)

Так вот, современный линуксовый простой юзверь вполне устраивает вирусописателей - не нужны никакие рутовые права. Прав простого пользователя "вполне" и "выше крыши".

Другое дело, что Linux действительно пока что "неуловимый Джо"...


Slavaz ★★★★★
()
Ответ на: комментарий от Slavaz

>А отбиваются деньги либо спамом, либо ddos-атаками, либо брутфорсами (дальнейший рост ботнета либо целенаправленный заказ).

Что можно погуглить на эту тему? Интересуют в основном способы использования. Пусть даже под винду)

wyldrodney
()
Ответ на: комментарий от wyldrodney

wyldrodney солярка соляркой а в hardened такие шуточки не пройдут ;) я проверял ради интереса.

>Всё ломается. Во всём есть недостатки.

Да понятное дело криптотермальный анализ никто не отменял. 

init_6 ★★★★★
()
Ответ на: комментарий от Slavaz

> Другое дело, что Linux действительно пока что "неуловимый Джо"...

А помнишь ли ты один из основных путей распространения вирусов: autorun.inf?
Даже в самой кривой и попсячьей убунте нет возможности заразиться таким образом:
1. до запуска бинарников или скриптов с носителей пока что никто не додумался, хотя окошко "вставлен диск, чем хотите открыть?" уже появляется
2. даже если пользователь зайдёт на заражённую флешку, содержащую скрипт с однострочником на перле, его не так-то просто будет запустить, потому что аналоги "проводников" в гноме или кедах программы по ентеру не запускают.

gaa ★★
()
Ответ на: комментарий от gaa

gaa угу а еще и учитывая то что можно монтировать без прав запуска с раздела то путь заражения еще более призрачный. Т.е. надо еще и самому скопировать еще и самому сделать chmod +x да еще и самому запустить. И в этом случае если что то и заработает то оно получит максимум так это права пользователь от которого его запустили.

init_6 ★★★★★
()
Ответ на: комментарий от gaa

Сколько человек качает бинарники (nvidia, ati, opera) и сколько из них уверены, что хомсайты не скомпрометированы? А сколько обновляет, не задумываясь, бинарники с репозиториев? А маинтейнеры дистров (сопровождающих репозиториев) откуда уверены, что очередной драйвер с новой версией nvidia/ati не скомпрометирован? Понимаешь намёки и масштабы? :)

Slavaz ★★★★★
()
Ответ на: комментарий от init_6

> угу а еще и учитывая то что можно монтировать без прав запуска с раздела то путь заражения еще более призрачный. Т.е. надо еще и самому скопировать еще и самому сделать chmod +x да еще и самому запустить

Ты давно fat-овские флешки hal-ом последний раз монтировал? Там на всех файлах уже стоит x.

gaa ★★
()
Ответ на: комментарий от Slavaz

Slavaz ладно не будем обо всех. Вот я ставлю nvidia-drivers из самописного ебюлда. Откуда оно качает я знаю ибо сам написал ему откуда качать. Что такое "бинарники из репозитариев" лично мне тоже неведомо. Ибо я все из сырцов собираю сам. Понятно что можно и подделать что угодно... Но это по идее. А на практике все равно морока еще та будет.

init_6 ★★★★★
()
Ответ на: комментарий от gaa

>Ты давно fat-овские флешки hal-ом последний раз монтировал? Там на всех файлах уже стоит x.

gaa не знаю как у вас на колыме :) а у меня в моей gentoo все нормально и никаких х не стоит где не надо.

init_6 ★★★★★
()
Ответ на: комментарий от Slavaz

> Сколько человек качает бинарники (nvidia, ati, opera) и сколько из них уверены, что хомсайты не скомпрометированы?

Файрфокс должен ругнуться, если ssl-сертификат сменился. Нажал "игнорировать" --- ССЗБ.

> А сколько обновляет, не задумываясь, бинарники с репозиториев? А маинтейнеры дистров (сопровождающих репозиториев) откуда уверены, что очередной драйвер с новой версией nvidia/ati не скомпрометирован? Понимаешь намёки и масштабы? :)


Кстати, с обновлением всё хорошо. В дебиане точно. Я пользуюсь слегка кривоватым зеркалом, на котором Release-файл иногда портится. И в таких случаях аптитуда краснеет, ругается и просит ввести капчу^W предложение "да, я уверен, что делаю небезопасное действие". Если даже это пропустишь --- точно ССЗБ.

gaa ★★
()
Ответ на: комментарий от Slavaz

Slavaz, всё хуже, сколько людей имеют уйму левых репов в sources.list (или аналоге) ?

А левые сборки непойми чего , непойми откуда - тоже качают и ставят, а пакетный менеджер от рута работает и скрипты выполняет с этих самых пакетов...

Sylvia ★★★★★
()
Ответ на: комментарий от init_6

За всех и не надо. Просто с распространением Linux количество пользователей, которые попадают под некие условия благоприятного распространения вирусов, значительно увеличится. Если это количество станет значительным, то вирусописатели обратят на этих пользователей внимание - не терять же такую "аудиторию". Остальные не попавшие под "условия благоприятного распространения" пользователи и не будут интересовать никого - их будет немного, к сожалению. :(

"Неуловимый Джо", блин.

Slavaz ★★★★★
()
Ответ на: комментарий от Sylvia

Да да разп.... разгильдяйства хватает. И тем не менее простое сравнение числа известных вирусов под оффтопик и числа известных вирусов под gnu linux показывает степень опасности проблемы вирусов в gnu linux.

init_6 ★★★★★
()
Ответ на: комментарий от Sylvia

> Slavaz, всё хуже, сколько людей имеют уйму левых репов в sources.list (или аналоге) ? А левые сборки непойми чего , непойми откуда - тоже качают и ставят, а пакетный менеджер от рута работает и скрипты выполняет с этих самых пакетов...

Не надо всё-таки путать самсебебуратинство с действиями вирусов.

Вот у нас недавно вся контора какой-то вирь словила. При том, что у всех стоит доктор въёб и включено автообновление винды, да и уровень технической грамотности среди программистов несколько выше, чем в среднем по больнице. Никто не спасся. Один я со своим линупсом стоял весь в белом :)

gaa ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.