Вирусы под Linux

Вирусы есть, но они не всегда успешно компилируются, поэтому народ не заморачивается установкой их из исходников.

А в репозитариях моего дистрибутива вирусов нет.

поймал на ssh:22 одного спам-бота (ELF32), который выполнял какие-то команды с польской IRC-конференции.

У меня картина была такой же. Только я грешу на уязвимость в браузере, а не на пароль. Хотя, мне всеравно никто не верит.

не путай самораспространяющуюся вирусню, с ручными руткитами. Если ты дал рут доступ по ссх на стандартном порту. то ты лютое ссзб.

http://hurt.tazhate.com/post/36337053464

Курить до посинения.

Покупает абузоустойчивый сервер

Я по ссылке пошел, думал она вкусносервер ведет ;-)

Я однажды по забывчивости усановил root:rootroot

Это не забывчивость, это идиотизм. За такое сразу надо лишать всех прав на всех серверах.

поймал на ssh:22 одного спам-бота (ELF32)

Не редкость. Но это не вирус, это тупо брутфорсер. Он не умеет самораспространяться, не умеет обновляться, кароче до винды ему далеко.

который выполнял какие-то команды с польской IRC-конференции.

Ага, контроллер ботов через irc сервер.

Я по ссылке пошел, думал она вкусносервер ведет ;-)

Мы категорически против говн на наших серверах, даже адалта нет.

Ах да, еще работало оно от непривилегированного пользователя.

Только я грешу на уязвимость в браузере, а не на пароль.

Учитывая твой uastring, вполне вероятно, что его соснифали.

Почему миф? А кому они тут нужны? Игра не стоит свеч, а результат труда. Пока

Курить до посинения.

Малоубедительно. До сих пор в десктопном линуксе запароленный sudo ни от чего не защищает (xspy до сих пор работает), с повышенными привилегиями руткит может жить сколь угодно долго.

Я однажды по забывчивости усановил root:rootroot, и поймал на ssh:22 одного спам-бота (ELF32), который выполнял какие-то команды с польской IRC-конференции.

Бгг. А если вы не разлогинились из-под рута, и сын/младший брат сделал там rm -rf /*, то это тоже считается вирусной атакой?

Я немного о другом. Реклама же.

До сих пор в десктопном линуксе запароленный sudo ни от чего не защищает (xspy до сих пор работает)

Зависит от версии ведра, например. А доступных для хотя бы ограниченных групп людей работающий троев под линукс нет. Технически - наверняка что-нибудь придумать можно, но оно тупо никому не надо сейчас.

Я немного о другом. Реклама же.

Мы идейные мужики, на таких словах пиариться не будем.

Они есть, но рассчитаны на полнейшего лоха.

1. Весь софт ставится из репозитория, где вирусов нет.
2. Работают обычно не под рутом, так что у вирусов тоже мало шансов что-либо сделать с компом, в отличие от самой завирусованной оси.

Это рабочий компьютер. Речь шла о домашнем. Заражен был пользователь, пользовавшийся, на сколько мне известно, только ff. Компьютер за NAT'ом прова.

Заражен был пользователь, пользовавшийся, на сколько мне известно, только ff. Компьютер за NAT'ом прова.

Есть где-нибудь подробное описание?

Технически - наверняка что-нибудь придумать можно, но оно тупо никому не надо сейчас.

То есть остановились на защите неуловимого Джо.

2. Работают обычно не под рутом, так что у вирусов тоже мало шансов что-либо сделать с компом, в отличие от самой завирусованной оси.

Если злоумышленник сможет запустить бинарник - значит он сможет всё. Поднять привелегии, скрыть свои действия внедрив модуль в ядро, скрывать папки, да что угодно.

То есть остановились на защите неуловимого Джо.

Пока да. Подождем пока дорастет хотя бы до 10% декстопа - тогда можно будет о чем-то судить и говорить про тех подробности.

Описание чего? Ситуации, в которой это произошло, или опсание вредоносной программы?

Описание чего? Ситуации, в которой это произошло, или опсание вредоносной программы?

И то и то.

Ну, если пользователь идиот, то ему уже ничего не поможет.

Я никогда не запускал левых исполняемых файлов, ни под шиндовсом, ни под линуксом, ни под маком. Собственно, у меня на винде никогда не стояло антивируса, тем не менее комп с этой виндой без проблем работал в течение нескольких лет.

Хотя вру, на работе стоял нод вроде, и то чтобы всякие автораны и прочее убирать с флешек, потому что на работе у нас у людей просто рассадник всячесого говна.

Вообще в линуксе скорее пользователь сам себе буратино, чем потенциальные вредители со стороны.

Если уж говорить о тупости, так вспоминаю, когда в скрипте забыл переменную обнулись и в итоге он собрал все файлы из домашней директории в одну. Это, конечно, не как у Bumblebee, но все-равно досадно.

Собственно, у меня на винде никогда не стояло антивируса, тем не менее комп с этой виндой без проблем работал в течение нескольких лет.

Читать до усрачки: http://hurt.tazhate.com/post/36337053464

Винду полил, а про линукс не рассказал.

Винду полил, а про линукс не рассказал.

А нечего рассказывать то. Вирусов - тупо нет. На данный момент заразиться - не реально. Если ломают именно тебя и за кучу денег, то нужны меры в разы серьезнее.

Про дырявость Fx и недырявость Chrome где почитать подробнее?

Про дырявость Fx

В открытых источниках не факт, что найдешь. Но если смотреть тот же блог кребса - видно статистику в взломанных сплоитилках, где лисы поломано намного больше. А по факту - лучше всего искать секурити блоги, которые как раз и посвящены таким проблемам.

Недырявость Chrome

На нем не работают многие сплоиты, толи из-за лени авторов, толи его реально намного сложнее сломать. Я склоняюсь ко второму, опять же из-за статистик.

Почитал. Познавательно. Даже появилась мысль распечатать и на работе раздать помешанным на вирусах людям.

На самом деле, мои познания в вирусах закончились еще где-то в 2000лохматом году, когда я писал всякие шуточные поделки под 98ю недоось. И пользовался я тогда банальными простыми методами а-ля подмена расширения на жипег и прочее. И с тех пор у меня повелось правило незапускания всяческой ерунды на ПК. И, кстати, помогало. Ну и плюс не вестись на всяческие ссылки а-ля «ШОК! СЕНСАЦИЯ! У СЕМЕНОВИЧ РОДИЛСЯ ЧЕМОДАН!», и стараться пользоваться только проверенными интернет-ресурсами, не ставя программы со всяких варезников. Соблюдение этих простых правил сделало мою жизнь с виндой простой и понятной, ни разу я не поймал ни одного из известных нонче вырусов типа винлокеров и прочей мути. А редкостные проверки доктор вебом куреитом находили от силы 1-2 зараженных файла, и то, скорее всего, принесенных на флешке от всяких дурачков.

Ну а с переходом на линукс я вообще забил на такое понятие, как вирус, по вполне понятной причине.

стараться пользоваться только проверенными интернет-ресурсами

Не поможет. Читай ссылки в моем посте, там был урл на взломанный mysql.com, где висела пачка сплоитов и троянила вовсю.

Вирусов - тупо нет.

Почему? Почему их не могут написать?

В этом-то и вопрос. И это не вброс. Просто я считаю, что это будет правильно объяснить. А не «Винда - говно, поэтому используйте линукс!»

Почему? Почему их не могут написать?

90% мирового трафика - винда. Ты будешь ради 10% тратить полгода на написание? Это тупо не рентабельно.

На компьютере стояла Gentoo, у меня был свой пользователь, но иногда брату требовался интернет и я завел для него отдельного пользователя. Пользовался он только фф, браузер без всяких дополнений. Когда это произошло точно уже не помню, может год назад. Больше сказать нечего.
По программе тоже особо нечего. Все, что я нашел, я удалил. Тогда даже не задумался о том, чтобы сохранить для анализа. Обнаружил случайно, просматривал netstat и заметил коннект на 6667 порт. IRC никогда не пользовался. Посмотрел, куда коннектится, ничего интересного не обнаружил, стал смотреть что за программа коннектится. Процесс назывался sshd, запущен был от пользователя брата, все его кишки, на сколько я могу судить, лежали где-то в /tmp.
Я без проблем вынес процесс, так же легко вычистил /tmp/что-то, перезагруился - признаков нет.
Понимаю, что этой информации недостаточно, чтобы делать какие-то определенные выводы, но тогда для меня важнее было очистить комп, а не сохранять пруфы. Не уверен, что эта гадость пережила бы ребут (в автозапуск она просто не могла прописаться, а упоминаний о ней во всяких rc-файлах пользователя я то ли не обнаружил, то ли вручную почистил - не помню уже), но факт всервно неприятный.

Не поможет. Читай ссылки в моем посте, там был урл на взломанный mysql.com, где висела пачка сплоитов и троянила вовсю.

Ну так это редкость. Одно дело лазать по всяким шокам и сенсациям, а другое случайно напороться на взломанный сайт мускуля.

Ну так это редкость.

Ошибаешься. Ломают очень много и очень часто. В том числе, крупные ресурсы.

2. Работают обычно не под рутом, так что у вирусов тоже мало шансов что-либо сделать с компом, в отличие от самой завирусованной оси.

Винды как бы тоже заимели примитивный аналог с недавних пор. По дефолту юзер ограничен, а при попытке приложения поюзать нечто большее появляется окошко с запросом о разрешении действий. От активных идиотов, конечно, не запретит, но это уже не эксклюзивная фишка линукса.

А на компе сам по себе ssh был?

По дефолту юзер ограничен, а при попытке приложения поюзать нечто большее появляется окошко с запросом о разрешении действий.

Я уже писал - троям пофигу на то, под кем ты сидишь.

Это не аргумент для параноика, использующего электронные платежи.

Это не аргумент для параноика, использующего электронные платежи.

Когда ты загружаешься с live-cd, тупо чтобы провести банковские операции - еще какой аргумент.

Угу. И мануалов по отключению этого уака полно, потому что хомякам он мешает.

Я уже писал - троям пофигу на то, под кем ты сидишь

С такой логикой троям пофигу, линукс у тебя или винды.

С такой логикой троям пофигу, линукс у тебя или винды.

Троям вообще все пофигу, они трои.

Угу. И мануалов по отключению этого уака полно, потому что хомякам он мешает.

Ну я и говорю, что от активных идиотов оно не защищает.

А им-то какое дело, что ты там делаешь? Им аргументы нужны.

С такой логикой троям пофигу, линукс у тебя или винды.

Ты дурак? Привелегии в винде повышаются на чих, в линуксе - ты не угадаешь, под каким ядром твоему трою придеться работать и с какими версиями софта. Соответсвенно - разработка ухудшается в разы.

А им-то какое дело, что ты там делаешь? Им аргументы нужны.

У меня нет желания с тобой спорить. Если для тебя не действенны слова главного журналиста по безопастности в Washington Post, то и я тебе ничего не докажу.

Был. У меня сложный пароль, у рута такой же, у брата проще, но не user:user, далеко от этого. Теоретически могли и подобрать, но как, если компьютер в сети провайдера?