LINUX.ORG.RU
ФорумTalks

Вирусы под Linux

 


3

3

Кстати, откуда такой миф, что вирусов под Линукс не существует?

Я однажды по забывчивости усановил root:rootroot, и поймал на ssh:22 одного спам-бота (ELF32), который выполнял какие-то команды с польской IRC-конференции.

★★★★★
Ответ на: комментарий от Sadler

Ну я и говорю, что от активных идиотов оно не защищает.

UAC - это защита от дураков, а не от вирусов.

tazhate ★★★★★
()
Ответ на: комментарий от ttnl

но они не всегда успешно компилируются,

Всегда.

поэтому народ не заморачивается установкой их из исходников.

Заморачивается даже с внедрением компилятора, если его не установлено.

lenin386 ★★★★
()
Ответ на: комментарий от winlook38

Теоретически могли и подобрать, но как, если компьютер в сети провайдера?

По-твоему nat - это защита? :)

tazhate ★★★★★
()
Ответ на: комментарий от tyakos

Почему? Почему их не могут написать?

Ну, «вирусы» как таковые вроде как уже не особо в ходу? Может быть про трояны/червяки речь идет?

Что-бы их написать, нужно затратить время. Сейчас не 10 лет назад, даже при наличии уязвимости эксплойт писать больно. Учитывая в основном серверное применение, каналов распространения значительно меньше, остаются целевые атаки в лучшем случае. Как потом отбивать эти затраты?

vasily_pupkin ★★★★★
()
Ответ на: комментарий от AiFiLTr0

Не хватает конкретных примеров почему эти схемы не работают в линуксах.

Я думаю их в отдельной статье рассмотреть :)

tazhate ★★★★★
()
Ответ на: комментарий от Sadler

По дефолту юзер ограничен, а при попытке приложения поюзать нечто большее появляется окошко с запросом о разрешении действий.

Это окошко настолько часто появляется не в кассу, что его либо вырубают, либо не обращают на его вопли внимания. Я не знаю ни одного человека, который воспринимает это окошко серьёзно. Один из фейлов мистера Балмера.

lenin386 ★★★★
()
Ответ на: комментарий от tyakos

Что ты имеешь ввиду по словом «вирусы»?

Индустрия вирусов сильно развилась за последние 10 лет.

Если брать создание ботсетей, кражу онлайн кошельков (типа яда, киви, вебманей и пр.), то целью являются десктопы: а это 97% винды. Распространение таких вирусов идет не целенаправленно, а «куда попадет». Соотв. политика распространения выбирается на основании стат. критериев: 97% против 2%.

Если брать вебсервисы, то тут диаметрально противоположная ситуация. Но в этом случае тупо шерстят все сайты на предмет известных уязвимостей. После взлома сайта рут не ищут (целью взлома обычно является перенаправление пользовательского трафа или подмена софта).

Если брать целевые атаки, под конкретного пользователя (бухгалтер какого-нибудь ООО с онлайн банкингом), то тут все сильно специфично.

и т.д.

Поэтому конкретизируй, что ты понимаешь под словом «вирус», схему его распространения и цель внедрения.

soomrack ★★★★★
()
Ответ на: комментарий от tazhate

в линуксе - ты не угадаешь, под каким ядром твоему трою придеться работать и с какими версиями софта

Имхо это не имеет особого значения. Если трой доставлен, ему похрен с чем работать

vasily_pupkin ★★★★★
()
Ответ на: комментарий от tazhate

в линуксе - ты не угадаешь, под каким ядром твоему трою придеться работать и с какими версиями софта. Соответсвенно - разработка ухудшается в разы.

Ядро давненько уж достаточно однообразно, либы и софт тоже достаточно дефолтовы, не вижу особого конкурентного преимущества.

Sadler ★★★
()
Ответ на: комментарий от Yustas

Кстати, почему в Linux sshd разрешает по-дефолту логин от рута?

Зависит от дистрибутива. В Ubuntu - нет ;) Ибо аккаунт root отключен.

tazhate ★★★★★
()
Ответ на: комментарий от vasily_pupkin

Если трой доставлен, ему похрен с чем работать

Без рутовых прав он не особо полезен, имхо. Только если ддосить или работать бесплатной проксей, соснифать туже клаву он не сможет.

tazhate ★★★★★
()
Ответ на: комментарий от Sadler

Ядро давненько уж достаточно однообразно, либы и софт тоже достаточно дефолтовы, не вижу особого конкурентного преимущества.

Сразу видно человека, который не следит за безопастностью.
Подпишись на рассылке по безопастности у генты и дебиана - увидишь, сколько дыр они латают постоянно и сколько фиксов несут в себе обновления.

tazhate ★★★★★
()
Ответ на: комментарий от vasily_pupkin

Ну, «вирусы» как таковые вроде как уже не особо в ходу? Может быть про трояны/червяки речь идет?

Какая разница как это называется ? От того, что ты его назовёшь не вирусом, сотни тысяч зомбированных линукс серверов перестанут спамить ?

Что-бы их написать, нужно затратить время.

Спасибо, кэп. Этого никто не знал.

Как потом отбивать эти затраты?

Да просто отбивать. Атаки бот-сетей - платные. Спам - платный.

lenin386 ★★★★
()
Ответ на: комментарий от tazhate

Недавно на opera.com сплоит был.

...а NoScript и отсутствие флеша с жавой как-нибудь помогают?

SEV
()
Ответ на: комментарий от tazhate

Троян? Да ну ладно. Трояны воруют информацию пользователей и бывают ботами. Если ты - пользователь - работаешь со своей информацией, что мешает её пистить трояну? Да тот-же позорный ptrace чужих процессов для пользователей по дефолту отключен только в бубунте.

Дайте мне средство доставки, и я вам устрою армагедец (%

vasily_pupkin ★★★★★
()
Ответ на: комментарий от tazhate

Подпишись на рассылке по безопастности у генты и дебиана - увидишь, сколько дыр они латают постоянно и сколько фиксов несут в себе обновления.

Либо плохо латают, либо оно уж больно дырявое.

Sadler ★★★
()
Ответ на: комментарий от vasily_pupkin

Что ты имеешь ввиду по словом «вирусы»?

Любая дрянь, делающая то, чего не хочет хозяин компьютера.

lenin386 ★★★★
()
Ответ на: комментарий от soomrack

Почитай лучше это.

Спасибо, уже кучу раз подобное читал, конкретно этот - нет.
Вкратце - что там интересного?

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Нат - это костыль, но в то же время и некоторая защита. Если есть возможность подбора пароля к ssh из-за NAT'а, объясните как. Понимаю, что подобрать могли и внутри сети, но взлом ssh из интернета, я не рассматривал, как вариант.

winlook38 ★★
()

Я баннер ловил, правда от user. Перезагрузился и всё. От root, что б было?

nihil ★★★★★
()
Ответ на: комментарий от Sadler

Либо плохо латают, либо оно уж больно дырявое.

Не бывает идеального, не дырявого ПО. Речь шла конкретно о вирусах в Linux.

tazhate ★★★★★
()
Ответ на: комментарий от winlook38

Но в то же время и некоторая защита.

Нет, нет и нет.

Если есть возможность подбора пароля к ssh из-за NAT'а, объясните как.


Попали на свич прова и пошли по сети. Попали на человека с выделенным айпи и пошли по сети. Много вариантов может быть. Протрояли какой-нить длинк, который в сеть смотрит жопой и с него пошли. Я не знаю, ты все удалил, поэтому аудит только если «пальцем в небо».

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Чуваки перехватили кусок torpig ботнета и анализировали его схему и данные, которые он собирал.

Вообще по кейворду «your botnet is my botnet» уже прилично публикаций было.

soomrack ★★★★★
()
Ответ на: комментарий от soomrack

Чуваки перехватили кусок torpig ботнета и анализировали его схему и данные, которые он собирал.

Это я понял прекрасно, мне стало не ясно, как это связано с контекстом топика?

tazhate ★★★★★
()
Ответ на: комментарий от tyakos

Прошу прощения за неправильную формулировку. Я имел ввиду любой вид вредоносного ПО.

Тогда в чем вопрос? Вредоносного ПО, работающего под linux, выше крыши.

soomrack ★★★★★
()
Ответ на: комментарий от tazhate

Не бывает идеального, не дырявого ПО. Речь шла конкретно о вирусах в Linux.

а) раз не бывает, значит при желании эти самые дыры могут быть использованы для написания вирусов под Linux, очевидно же.
б) виндовые дыры тоже латаются

Кстати, на виндовой машине я использую отдельные sandbox'ы для каждого приложения. Здорово экономит нервы.

Sadler ★★★
()
Ответ на: комментарий от tazhate

О взломе прова я, признаться, даже не думал, как и о том, что в одном со мной сегменте может быть уже зараженный компьютер, что вполне вероятно.

winlook38 ★★
()
Ответ на: комментарий от winlook38

Когда это произошло точно уже не помню, может год назад.
Я без проблем вынес процесс, так же легко вычистил /tmp/что-то, перезагруился - признаков нет.

Либо ты год не перезагружался, либо у тебя не чистится /tmp само при ребуте. Второе — это явный признак ССЗБ. Смонтируй тогда уж /tmp на tmpfs и не парься. :)

imul ★★★★★
()
Ответ на: комментарий от Sadler

а) раз не бывает, значит при желании эти самые дыры могут быть использованы для написания вирусов под Linux, очевидно же.

Тех же самых дыр в разных системах не бывает. У винь и линь разная логика.

б) виндовые дыры тоже латаются

Несомненно. Только вот рынок им отдавать никто не будет просто так, поэтому трои и сплоиты регулярно обновляются.

Кстати, на виндовой машине я использую отдельные sandbox'ы для каждого приложения. Здорово экономит нервы.

А чем sandbox реализованы?

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Тех же самых дыр в разных системах не бывает. У винь и линь разная логика.

Я не об этом вообще. «эти самые» != «такие же»

А чем sandbox реализованы?

Драйвер в ядре.

Sadler ★★★
()
Ответ на: комментарий от tazhate

Это я понял прекрасно, мне стало не ясно, как это связано с контекстом топика?

А разве на Лоре это уже стало обязательным?

Статьи с таким кейвордом сами по себе интересны. По теме топика они показывают, что даже большие ботсети не рассматривают linux-десктопы как цель (их там нет, вообще). Хотя специализация по типам ОС и софта есть (разные механизмы внедрения).

soomrack ★★★★★
()
Ответ на: комментарий от tazhate

Да нет. Это глобальная фича. «Включается» переменной окружения :]

vasily_pupkin ★★★★★
()
Ответ на: комментарий от tazhate

Интересная статья. Только термины я бы прямо в тексте разжевал, без ссылок. А то многие не ходят (Ъ видать) или не понимают что там по ссылке написано.

LMD
()
Ответ на: комментарий от LMD

Только термины я бы прямо в тексте разжевал, без ссылок.

Статья рассчитана уже на повидавшего виды юзверя, либо мелкого/среднего админа.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Какой?

Название, чтоль? Самый обычный Sandboxie.

Sadler ★★★
()
Ответ на: комментарий от imul

Около года назад я это обнаружил. Компьютер на тот момент не помню сколько работал без перезагрузки, но, думаю, что-то около месяца - средняя продолжительность без ребутов для моего компьютера. /tmp чистился. Я же не говорю, что вредоносное ПО работало после ребута, но экспериментировать не стал, просто удалил и перезагрузился.

winlook38 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.