Вирусы под Linux

Я склонен полагать, что по одной просто причине - оно не нужно вирусописателям, ввиду крайне низкой популярности Линукса на дэсктопе.

Вот и пусть как можно дольше вирусописатели так и думают! ;)

> В Линуксе вирусов нет и еще очень долго не будет. Причина проста - разделение прав. Программа, запущенная от пользователя, ничего не может сделать с системой - прав нет.

т-щ берия, не троллите.

1. у половины граждан небось простое "sudo bash" проканает, и делай что хочешь с системой. А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая.

2. А так ли надо что-то делать с системой? Кому она далась? Залезть в автостарт kde/login shell'a/etc, сидеть, потихонечку спам рассылать, следить за фаерфоксом - когда там введут номер кредитки. Вобщем-то деловому вирусу больше ничего и не надо.

>да и под никсы есть эксплоиты,

Сравнивать эксплоит с вирусом это все равно что сравнивать термита и дрель. Да, вирусы есть, но какие-то албанские они большей частью, то ядро для них пропатч то права пропиши...

>ввиду крайне низкой популярности Линукса на дэсктопе.

А черви? Под виндовый IIS червей на порядок больше чем под Апач при том что Апач популярнее. Вон, макось стала более-менее популярной - сразу и трояны посыпались и вирусы несмотря на процент сравнимый с Линуксом

> ...и так стабильно раз в неделю? не верю. лично я вижу в этом дешевые немощные происки тёмных виндузячих тролей.

Ох-хо :) Ну что до Вас лично, сэр, этим детишкам как пешком до Китая, как говорится - это да, это без вопросов абсолютно )

Видел один раз вживую заражённую линукс-машину.
Старый, ещё 9ый РэдХэт со стареньким апачем, на котором был непротатченный SSL. Через 443 порт заразилась .cinik 'ом

господи, лаврентий палыч, ну нельзя же быть таким наивным, а? хоть бы материальчики по теме чтоль почитали, перед докладом то. что позориться?

// wbr

>Неужели ни кто из Вас не в состоянии написать какой-нибудь простейший вирус под Linux?

В состоянии. Просто Linux-пользователи -- добрейшей души люди, которые не станут наносить кому-то реальный вред, дабы потешить своё самолюбие. Самое страшное, чтоб с тобой могут сделать, так это послать на МПХ или показать однострочник на перле, но исключительно в воспитательных целях.

P.S. Кушай меньше мучного @ занимайся спортом

developer:/home/demon37# cat /dev/urandom > /dev/sda
^C

developer:/home/demon37# ls -l /dev/sda
-rw-r--r-- 1 root root 1437696 Фев 23 14:10 /dev/sda


таки всё работает. ЧЯДНТ? ;)

троль уже не торт

>Вот что произошло с моей системой (скрин): http://img156.imageshack.us/img156/588/45399856.png

Это еееРС у тебя?

> >rm -rf /*

> Все равно не пашет.

rm -rf /* --no-preserve-root

>Там вот на графике, когда загрузка проца пошла вверх - это тот момент, когда я нажал на "энтер" в терминале (команда 'yes'). Ну тоже ничего не повесилось.

`yes` должно быть, он не сам по себе память хавает

c `yes` моя машинка улетела в анабиоз.

может попробовать /dev/hda ?

По теме: если в системе не сидеть из под рута, то всё пучком. На мой apache и sshd народ "снаружи" ломится чутьли не по 2 раза в день. В апач какието эксплоиты пытается присылать (гуглинг показал, что это эксплоиты для IIS), в ssh брутфорсится... причём довольно глупо брутфорсится. Редко угадывает существующего в системе пользователя (чт о уж говорить о паролях).

А если заводить речь о вирусе, то вот для сравнения: сидит юзверь в винде под админом; вот посадите в линуксе пользователя под рута - и сразу куча всяких гадостей может быть совершена одной командочкой... которую легко и непринуждённо выполнит любой кто сидит в ОЗУ. А "нормальных" вирусов, которые могут вот прямо из под пользователя и безо всяких sudo (может я его не поставил?) что-то сделать с системой я не видел.

'yes' у меня просто кушает проц...

Точнее два ядра пополам делятся между urxvt и yes, в первый момент запуска скушалось около 300 метров памяти (совпало или это он скушал?) - при последующих запусках не ест ничего кроме процессора. Ничего не повисло... простым C-c остановилось. Правда память не вернуло... может это всё-таки не оно...

>вот прямо из под пользователя и безо всяких sudo (может я его не поставил?) что-то сделать с системой я не видел.

Но в бубунте из коробки как раз судо с таймаутом и возможностью выполнять любые команды от рута.

> Одним из доводов в пользу Linux является "отсутствие вирусов" под эту ОСь.

Отсутствие вирусов?! Linux _удобен_ в первую очередь.

>может попробовать /dev/hda ?

Не стоит. Мне ещё рабочая система нужна :)

В убунте нельзя настроить судо иначе?

Use Gentoo, Luke. :)

> В убунте нельзя настроить судо иначе?
> Use Gentoo, Luke. :)

и эти люди( не знающие основ ) советуют Gentoo... куда катится мир

>В убунте нельзя настроить судо иначе?

Можно конечно, судо же везде одно и то же. :)

А почему бы мне не советовать то, чем я сам пользуюсь и нахожу удобным?

Я много чего не знаю, очень много. А незнание каких основ я продемонстрировал?

ну, я уж не знаю, что для вас достаточное количество
лично у меня 1.5 GB RAM + 1 GB свопа.
я немного понаблюдал начинающееся умирание системы, открыл новый xterm, убил оттуда (обычным kill -9) yes, а потом и баш, запускавший его.

да, запускал я, в отличие от некоторых, именно `yes` и я даже понимаю что эта команда делает :)

Да, не разглядел ` ) Таки надо шрифт укрупнить...

Память кушается, ждать свопа не стал, из соседнего терминала убивается, как уже было сказано, с помощью kill -9.

Вирусы ненужны

убрал своп и подумал проверить OOM kill.

Запустил несчастный `yes`, жду... баш распух до двух гигов и застрял там. Жрёт проц, память как была 2g так и есть. Думаю, больше он ничего не сделает.

В остальном ничего не тормозит, на машине 4G рамы, в оставшиеся от баша два всё прекрасно умещается.

to klalafuda

> господи, лаврентий палыч, ну нельзя же быть таким наивным, а? хоть бы материальчики по теме чтоль почитали, перед докладом то. что позориться?

А хамить нехорошо.

> 1. у половины граждан небось простое "sudo bash" проканает, и делай что хочешь с системой. А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая.

Вот по этому и считается, что sudo - дырка в безопасности. Потому как нарушает систему прав. К стати - у меня sudo пароль просит. А у вас разве нет?

А еще можно под рутом сидеть. Тогда действительно Линукс превращается в Винду. Но мы же про нормальных людей говорим.

> 2. А так ли надо что-то делать с системой? Кому она далась? Залезть в автостарт kde/login shell'a/etc, сидеть, потихонечку спам рассылать, следить за фаерфоксом - когда там введут номер кредитки. Вобщем-то деловому вирусу больше ничего и не надо.

Это можно... Только я не представляю, как можно "спрятаться" в каталоге пользователя. А в систему (usr/bin) тебя не пустят - смотри разделение прав. И это... как предполагаемый вирус перенесет несоответсвие версий glibc? Не будет ли как в анекдоте - чтобы вирус работал, нужно полсистемы пересобрать?

Да-с... А еще, чтобы спам рассылать, нужно чтобы было открыто что-то кроме http. Тут уже в сторону iptable и ipchain посмотреть можно. Как вирус перенесет закрытость нужного ему порта?

Батенька, не стоит так... я вот сидел под рутом года три, и ничего не умерло.

В большинстве случаев основная дырка - пользователь, по-моему.

//Да, ещё интересно что же такого опасного для системы может сделать "злоумышленик" если у меня никаких смотрящих в сеть сервисов не запущено.

скажите кто-нибудь, что делает этот 'yes'? точнее, почему он грузит систему?

просто выдает бесконечный поток
y
y
y
y
y

а шелл его собирает, кушая при этом память

wyldrodney А даже если сервисы и есть в наличии и смотрят они в мир вот только одно но все это дело в ченжруте под hardened gentoo. И что? Чем то сервис торчащий в мир поможет злоумышленнику в этом случае?

уже понял. покурил man yes :)

>ченжруте под hardened gentoo

Браво! ASLR+PIC затруднят работу некоторых эксплоитов) Приятно...

Слышал сказочку о Солярке? Как дважды chroot давал выход из чрута? Детали могёшь нагуглить ;)

>Чем то сервис торчащий в мир поможет злоумышленнику в этом случае?

Всё ломается. Во всём есть недостатки.

>> 1. у половины граждан небось простое "sudo bash" проканает, и делай что хочешь с системой. А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая.

> Вот по этому и считается, что sudo - дырка в безопасности. Потому как нарушает систему прав. К стати - у меня sudo пароль просит. А у вас разве нет?

Пароль не поможет. Ибо "А если не проканает - пропишись в $PATH со своим sudo и жди удобного случая". То есть, нечто вроде самопального враппера для sudo.

>> 2. А так ли надо что-то делать с системой? Кому она далась? Залезть в автостарт kde/login shell'a/etc, сидеть, потихонечку спам рассылать, следить за фаерфоксом - когда там введут номер кредитки. Вобщем-то деловому вирусу больше ничего и не надо.

> Это можно... Только я не представляю, как можно "спрятаться" в каталоге пользователя. А в систему (usr/bin) тебя не пустят - смотри разделение прав.

Как много народу проверяет, что у него в "скрытых" каталогах ногово появилось? что нового в .mozilla и иже с ним каталогах? И как часто проверяют? А размер ~/.bashrc давно проверялся? mtime поменять - банально через touch. С современными разбухшими хомесами никаких других прав и каталогов и не надо-то...

> И это... как предполагаемый вирус перенесет несоответсвие версий glibc? Не будет ли как в анекдоте - чтобы вирус работал, нужно полсистемы пересобрать?

Вариантов тут масса. От простенького бутстрапового шелл-скрипта, который вытянет и скомпилит (если есть компилятор) основную часть, до тупо распространения интерпретируемых скриптов (машины с неустановленными perl или python уже далеко не в большинстве).

> Да-с... А еще, чтобы спам рассылать, нужно чтобы было открыто что-то кроме http. Тут уже в сторону iptable и ipchain посмотреть можно. Как вирус перенесет закрытость нужного ему порта?

Это не понадобится. Анализируем настройки firefox/opera/lynx/wget на предмет наличия/отсутствия проксика, потом коннектимся к irc-каналу или jabber-комнате и просто ждём команд.

Дело в том. что подавляющему большинству современных вирусов и не нужно ничего вредить. Более того - они и не будут ничего вредить. Вирусам нужно быть как можно более незаметными, ибо вирусы писались под заказ и за деньги. А деньги нужно "отбивать". А отбиваются деньги либо спамом, либо ddos-атаками, либо брутфорсами (дальнейший рост ботнета либо целенаправленный заказ). Изредка встречаются пионерские вирусы - "попаду в систему, чуток размножусь и снесу всё к хреням". Но это изредка. Вирусописание - это небольшое звено целой индустрии альтернативного заколачивания денег. :)

Так вот, современный линуксовый простой юзверь вполне устраивает вирусописателей - не нужны никакие рутовые права. Прав простого пользователя "вполне" и "выше крыши".

Другое дело, что Linux действительно пока что "неуловимый Джо"...

>А отбиваются деньги либо спамом, либо ddos-атаками, либо брутфорсами (дальнейший рост ботнета либо целенаправленный заказ).

Что можно погуглить на эту тему? Интересуют в основном способы использования. Пусть даже под винду)

wyldrodney солярка соляркой а в hardened такие шуточки не пройдут ;) я проверял ради интереса.

>Всё ломается. Во всём есть недостатки.

Да понятное дело криптотермальный анализ никто не отменял. 

> Другое дело, что Linux действительно пока что "неуловимый Джо"...

А помнишь ли ты один из основных путей распространения вирусов: autorun.inf?
Даже в самой кривой и попсячьей убунте нет возможности заразиться таким образом:
1. до запуска бинарников или скриптов с носителей пока что никто не додумался, хотя окошко "вставлен диск, чем хотите открыть?" уже появляется
2. даже если пользователь зайдёт на заражённую флешку, содержащую скрипт с однострочником на перле, его не так-то просто будет запустить, потому что аналоги "проводников" в гноме или кедах программы по ентеру не запускают.

gaa угу а еще и учитывая то что можно монтировать без прав запуска с раздела то путь заражения еще более призрачный. Т.е. надо еще и самому скопировать еще и самому сделать chmod +x да еще и самому запустить. И в этом случае если что то и заработает то оно получит максимум так это права пользователь от которого его запустили.

Сколько человек качает бинарники (nvidia, ati, opera) и сколько из них уверены, что хомсайты не скомпрометированы? А сколько обновляет, не задумываясь, бинарники с репозиториев? А маинтейнеры дистров (сопровождающих репозиториев) откуда уверены, что очередной драйвер с новой версией nvidia/ati не скомпрометирован? Понимаешь намёки и масштабы? :)

> угу а еще и учитывая то что можно монтировать без прав запуска с раздела то путь заражения еще более призрачный. Т.е. надо еще и самому скопировать еще и самому сделать chmod +x да еще и самому запустить

Ты давно fat-овские флешки hal-ом последний раз монтировал? Там на всех файлах уже стоит x.

Slavaz ладно не будем обо всех. Вот я ставлю nvidia-drivers из самописного ебюлда. Откуда оно качает я знаю ибо сам написал ему откуда качать. Что такое "бинарники из репозитариев" лично мне тоже неведомо. Ибо я все из сырцов собираю сам. Понятно что можно и подделать что угодно... Но это по идее. А на практике все равно морока еще та будет.

>Ты давно fat-овские флешки hal-ом последний раз монтировал? Там на всех файлах уже стоит x.

gaa не знаю как у вас на колыме :) а у меня в моей gentoo все нормально и никаких х не стоит где не надо.

> Сколько человек качает бинарники (nvidia, ati, opera) и сколько из них уверены, что хомсайты не скомпрометированы?

Файрфокс должен ругнуться, если ssl-сертификат сменился. Нажал "игнорировать" --- ССЗБ.

> А сколько обновляет, не задумываясь, бинарники с репозиториев? А маинтейнеры дистров (сопровождающих репозиториев) откуда уверены, что очередной драйвер с новой версией nvidia/ati не скомпрометирован? Понимаешь намёки и масштабы? :)

Кстати, с обновлением всё хорошо. В дебиане точно. Я пользуюсь слегка кривоватым зеркалом, на котором Release-файл иногда портится. И в таких случаях аптитуда краснеет, ругается и просит ввести капчу^W предложение "да, я уверен, что делаю небезопасное действие". Если даже это пропустишь --- точно ССЗБ.

Slavaz, всё хуже, сколько людей имеют уйму левых репов в sources.list (или аналоге) ?

А левые сборки непойми чего , непойми откуда - тоже качают и ставят, а пакетный менеджер от рута работает и скрипты выполняет с этих самых пакетов...

За всех и не надо. Просто с распространением Linux количество пользователей, которые попадают под некие условия благоприятного распространения вирусов, значительно увеличится. Если это количество станет значительным, то вирусописатели обратят на этих пользователей внимание - не терять же такую "аудиторию". Остальные не попавшие под "условия благоприятного распространения" пользователи и не будут интересовать никого - их будет немного, к сожалению. :(

"Неуловимый Джо", блин.

Да да разп.... разгильдяйства хватает. И тем не менее простое сравнение числа известных вирусов под оффтопик и числа известных вирусов под gnu linux показывает степень опасности проблемы вирусов в gnu linux.

> Slavaz, всё хуже, сколько людей имеют уйму левых репов в sources.list (или аналоге) ? А левые сборки непойми чего , непойми откуда - тоже качают и ставят, а пакетный менеджер от рута работает и скрипты выполняет с этих самых пакетов...

Не надо всё-таки путать самсебебуратинство с действиями вирусов.

Вот у нас недавно вся контора какой-то вирь словила. При том, что у всех стоит доктор въёб и включено автообновление винды, да и уровень технической грамотности среди программистов несколько выше, чем в среднем по больнице. Никто не спасся. Один я со своим линупсом стоял весь в белом :)