Вот вы тут дискассите, уязвим Лин, или нет. Чем обсуждать «если то», «если это», лучше поищите по форуму. Сколько там форум существует? Лет 10 уже? За это время ни одного виря/троя не было, только ССЗБ. Делайте выводы.

Вот вы тут дискассите, уязвим Лин, или нет. Чем обсуждать «если то», «если это», лучше поищите по форуму. Сколько там форум существует? Лет 10 уже? За это время ни одного виря/троя не было, только ССЗБ. Делайте выводы.

Может быть потому, что maxcom работает в крупном системном интеграторе и знает, с чем едят этот наш линукс ;)

Посмотри темы в admin. Регулярно встречаются топики в духе «у меня на VPS/VDS творятся странные вещи», «хостер отключил VPS/VDS, т.к. с него идёт спам/DOS/треш-угар-и-содомия».

Re: http://www.linux.org.ru/forum/talks/8065332?cid=8068063

если у тебя есть хотя бы примерное представление об архитектуре и функциональности виндовых троев - можем продолжить

иначе - нет смысла обсуждать однострочники на перле.

Предположим, что есть.

Функциональность:

• маскировка в системе, в т.ч. от антивируса
• выполнение «полезной нагрузки»
• распространение

Что именно, на твой взгляд, не реализуемо на perl/python/java/другой-интерпретируемый-язык?

Маскировка? Возможно. Но и прятаться по сути не от кого - антивируса как правило нет, а пользователь не знает и 10% от 100500 запущенных процессов.

Странные вещи могут твориться из-за странных настроек.

И спам может рассылаться по ошибке. Всё возможно, но мы ведь не об этом?

Набрал Спам в поиске форума. Все темы- о получении сабжа, а не о том, что он рассылается с почтовых серверов на Лине.

Понятно что при наличие дыр для проникновения (демоны, пользователь) нет проблем с работой и распространением. Но по-умолчанию в десктопных дистрибутивах запущенных демонов минимум и/или они забиндены на локалхост. Кроме того дыры закрываются весьма быстро и автоапдейт в десктопных дистрибутивах также часто уже настроен из коробки. Т.е. возможности для зловредов есть, но они ограничены и зоопарк не способствует облегчению их жизни.

Как бороться со SPAMом?

Брутфорс с моего сервера

Были и ещё темы, но искать лень

Понятно что при наличие дыр для проникновения (демоны, пользователь) нет проблем с работой и распространением. Но по-умолчанию в десктопных дистрибутивах запущенных демонов минимум и/или они забиндены на локалхост.

Согласен. Но и в остальных время от времени находят уязвимости. При определёном стечении обстоятельств - этими уязвимостями можно воспользоваться. Если основная часть трояна создана заранее и нужно лишь добавить эксплуатацию конкретной дыры - вполне возможно захватить хост. Запуска с правами обычного пользователя вполне достаточно для выполнени «полезной нагрузки». С распространением тоже нет ничего невозможного - зловред подключается к заданному сайту и скачивает «плагины» для свежих уязвимостей

Также никто не отменял уязвимости в браузере и флеше.

Т.е. возможности для зловредов есть, но они ограничены и зоопарк не способствует облегчению их жизни.

С «ограничены» полностью согласен, но зоопарк не является защитой именно в силу того, что интерпретаторы для perl/python/java установлены по умолчанию на большинстве хостов.

зоопарк может помочь с проникновением, по разному собранные демоны, могут по переполнению буфера давать разные адреса для подстановки вредного кода и т.п.

А чего вы спорите-то? Кто там за возможность таких вирусов? Сядьте и напишите. Если заражению подвергнется хотя бы 1000 машин, не принадлежащих автору, знач возможно.

ну в этом случае могу сказать из опыта, что виноваты не юниксы на этих vds-ках, а кривые цмс на кривом пыхпыхе, с отключенным safe_mode и глобальным chmod -R 777 * (и во многих блджад статьях и доках по установке этих веб-недоразумений прямо пишется эта команда). ну а дальше боты идут по заботливо составленному ранее списку таких дырявых вордпресов (ну или ДЛЕ, пофиг чего) и тыкают в одну и ту же багу. в итоге за одну ночь - 100500 поломаных сайтов.

трояны в том виде в котором мы их знаем под виндой, таки нежизнеспособны в никсах благодаря наличию репозиториев. одно дело если ты качаешь пиратскую софтину с сомнительным кряком с торентов, и совсем другое - ставить с репозиториев софт. возможен конечно вариант взлома репозитория и загрузки туда зловреда - но это куда более сложный вариант, чем если юзеры сами его ищут, качают и запускают.

Не взлетит

Чтобы заразить, нужно как-то проникнуть. Ни perl, ни python, ни другие поделия сети не слушают. Итак, как же можно проникнуть:
1. Сеть.
2. Новый софт
3. С дискеты, флешки, DVD автозапуском
4. Дыры в существубщих либах

Ну?
1. Там ни перлов ни питонов.
2. Это как правило из репов качается. Если репы заразить, то там пофиг - перл, питон или бинарник.
3. Я встречал упоминания автозапуска, но это из разряда ссзб.
4. Здесь интересней. «Специально сформированная картинка» и т. п. AFAIK данные все равно обрабатываются в бинарниках, а «зоопарк» просто юзает эти бинарники. Так что опять мимо.

Вывод: «зоопарк» особо не влияет на уязвимость системы.

Вот так: концептуально вроде да, а как до деталей дойдешь - фиг.

Просьба дальнейшие подобные вбросы с подробными примерами реализации/эксплуатации, хотябы на словах.

вот поэтому в Google Wave была мега-фича «extract this tree to a new wave»

может, $(sudo cast maxcom) просто закрыл все порты кроме 80-ого и поставил стабильный апач? :)

За это время ни одного виря/троя не было, только ССЗБ

Под любой ОС так :) Вири/трояны только у ССЗБ.

зоопарк не является защитой именно в силу того, что интерпретаторы для perl/python/java установлены по умолчанию на большинстве хостов.

Последствия того же local root зоопарк уменьшает. С Perl и Python - если уязвимость в конкретном модуле, то зоопарк уменьшает последствия. Уязвимость в браузере - то же самое. Зоопарк _везде_ уменьшает последствия.

Последствия того же local root зоопарк уменьшает.

Кому нужен local root, если цель - создание обычного ботнета? Рассылка спама и DDOS отлично запускаются из-под самого ограниченного пользователя.

С Perl и Python - если уязвимость в конкретном модуле, то зоопарк уменьшает последствия.

При чём тут модуль? Уязвимость не в perl/python, а в их наличии. Они позволяют не компилировать свой троян конкретно под твой зоопарковый вольер, а сразу запустить код, который будет работать.

Уязвимость в браузере - то же самое.

Дырявый флеш-плагин один на всех.

>У тебя установлена jre?

Вот что-что а JRE у меня нет, ибо религия не позволяет.

>Дырявый флеш-плагин

умер же.

Они позволяют не компилировать свой троян конкретно под твой зоопарковый вольер, а сразу запустить код, который будет работать.

С таким же успехом можно собрать статический бинарь со всем, что нужно.

На не-x86 не заработает, но это малая доля систем.

На не-x86 не заработает, но это малая доля систем.

На не-windows не заработает, но это малая доля систем.

Рассылка спама и DDOS отлично запускаются из-под самого ограниченного пользователя

Определённо нет. В последних ядрах имеется seccomp и другие способы изоляции.

В конце 80-х инженеры, создававшие winapi, были обеспокоены тем фактом, что окна могут пересылать друг другу события без каких-то ограничений. И ввели понятие workstation. Пока окна находятся в одном workstation - они могут рулить курсором мыши, эмулировать события, встраиваться друг в друга. Но стоит появиться окну на другом workstation - и ни один процесс с первого не сможет порулить курсором или этим окном. 20 лет эта фича ждала своего часа, пока не появился user account control. И теперь при появлении окошка UAC пользователь остаётся один на один с системой: никакой процесс не может вмешаться и осуществить тычок по одной из кнопок.

ЕМНИП в X11 дела обстоят иначе - тут как раз-таки любой процесс может вмешаться в жизнь любого окна без всяких там workstation и прав пользователей. Короче говоря, появляется перед вами окошко с просьбой ввести пароль (а UAC пароля без нужды не требует!), и ничто не мешает кейлоггерам попросить у иксов поделиться вводимым паролем. Кстати, kdesu показывает, ради какой именно команды запрошен пароль root - вот только любой процесс может сэмулировать внешний вид kdesu, а на самом деле запустить другую команду, стоит лишь пользователю наивно ввести пароль. Enjoy your X! Wayland фиксит проблему, хотя и достаточно жёстко.

МГУшники в своё время написали такую штуку - ejudge - систему автоматической проверки решений задач по программированию. Ejudge вызывает программу, применив к ней strace с особым параметром (его добавляет патч на ядро, идущий с ejudge) - и вуа-ля, процесс может только читать из input.txt и писать в output.txt, и всё. Никаких сетей, звуков, прогулок по директориям - любое такое действие вызовет вылет программы, а сообщение об этом улетит ejudge. Ejudge до сих пор поддерживается автором и имеет патч на ядро 3.4.3.

В Mac OS X для установки программы нужно перетащить её в папку Applications. Никаких диалогов подтверждения или, боже упаси, ввода пароля. Я не знаю деталей, как это реализовано или работает, но то же самое могло бы быть в linux - и без всякой опасности для системы. Однако нет... Тут даже конфиги и изменяемые данные программ хранятся в ~, хотя это не всегда целесообразно.

Дырявый флеш-плагин один на всех.

С версии 20 хром использует seccomp для изоляции флеш-плагина. Удачи ему в клетке.

Кому нужен local root

Кто откажется от local root?

Уязвимость не в perl/python, а в их наличии

Ну теперь мы точно все умрем.

Уязвимость в браузере - то же самое.

Дырявый флеш-плагин один на всех.

Поскольку ты явно не дурак - значит, сознательно предергиваешь.

на другом workstation

Как это ни странно, видел статью с ивращенным методом доступа к окнам с друшим WindowStation. Так что все ломабельно.

За это время ни одного виря/троя не было

а количество local root эксплойтов сам посчитаешь?

Что именно, на твой взгляд, не реализуемо на perl/python/java/другой-интерпретируемый-язык?

выполнение «полезной нагрузки».
именно по причине зоопарка.

и Маскировка - без прав рута это невозможно

не нужны никакие демоны запущенные, тем более большинство юзеров за натом.
достаточно дырявого плагина в браузере или просьбы юзера подтвердить установку зловредного кода вручную.

А они распространяются от компа к компу?

один из самых вменяемых комментариев в этом треде.

нет, зачем? это не их задача

С таким же успехом можно собрать статический бинарь со всем, что нужно.

сколько он будет весить, мегабайт 5? оно же не будет грузиться толком с веб эксплойта

выполнение «полезной нагрузки».
именно по причине зоопарка.

Троян по определению должен только предоставлять несанкционированный доступ.

и Маскировка - без прав рута это невозможно

Как я уже сказал - она не требуется. 99% пользователей ничего не заметят, а антивирус на linux - удел файловых и почтовых серверов.

один из самых вменяемых комментариев в этом треде.

Т.е. ты отказываешься от своих предыдуших комментариев? :)

в линуксе совместимость то простого софта между дистрибутивами не осиливают порой, что уж тут говорить о зловредном коде - тем более о нынешних сложных троях.

Если ты под «трояном» понимал исключительно кражу паролей, то я согласен на ничью - мы просто друг друга не поняли. Да, универсальный перехват нажатий клавиатуры без прав рута сильно затруднён, если вообще возможен.

сколько он будет весить, мегабайт 5? оно же не будет грузиться толком с веб эксплойта

Поэтому я и настаивал на высокоуровневых интерпретируемых языках

В любом случае, до виндовых вирусов по вредности им далеко.

Троян по определению должен только предоставлять несанкционированный доступ.

я именно поэтому и советовал тебе посмотреть функционал виндовых троев.

Как я уже сказал - она не требуется.

ну будут эникеи ходить 'линукс от вирусов лечить', так что требуется. без маскировки троян - детская поделка.

Т.е. ты отказываешься от своих предыдуших комментариев? :)

нет

Если ты под «трояном» понимал исключительно кражу паролей, то я согласен на ничью - мы просто друг друга не поняли.

и это в том числе

погугли, сколько случаев взлома крупнейших хостеров было из за всяких abftw.c/glibc local root

я именно поэтому и советовал тебе посмотреть функционал виндовых троев.

Ты хотел сказать - trojan/keylogger? Если без kerlogger, можно и под linux тырить кукисы и аськи. Виндовые тоже не дампят на удалённый сервер весь диск, а работают выборочно по популярным приложениям. Так же и здесь, независимо от дистрибутива есть список более-менее распространённого пользовательского ПО.

ну будут эникеи ходить 'линукс от вирусов лечить', так что требуется. без маскировки троян - детская поделка.

Сначала воспитай линуксовых эникеев, которые смогут найти такой троян. Особенно если он запускается не демоном и даже не из крона, а, например, из .bashrс или через at.

нет

Тогда буду спорить дальше. См. мой предыдущий комментарий

Ты хотел сказать - trojan/keylogger?

давай ты сначала где нибудь почитаешь о функционале зевса например, и его форков типа цитадели - а потом продолжим.

давай ты сначала где нибудь почитаешь о функционале зевса например, и его форков типа цитадели - а потом продолжим.

Т.е. ты взял два конкретных примера и проигнорировал определение?

Т.е. ты взял два конкретных примера и проигнорировал определение?

я говорю конкретно про трояны.

Именно что про трояны.

ну, раз функционал (нормальный, а не детские поделки которые крадут куки) обсуждать у нас не получается - то говорить вроде бы и не о чем.

можешь считать что я слился

Судя по контексту ты считаешь обратное ( я сдал на телепата 1 разряда? ) . Нет, я считаю что мы друг друга не поняли, и путаница возникла именно в scope, а не в предмете спора непосредственно.

Что такое зоопарк? chroot?

При правильном подходе в 200-300 килобайт можно уместиться

это ты про hello world, или нормальный полнофункциональный трой?