LINUX.ORG.RU

Еще одна статья в журнале «Системный Администратор»!


0

0

Сайт журанала "Системный Администратор" сделал доступной одну из статей январского номера: "Вирусы в Unix". ИМХО очень интересно и поучительно.

>>> Подробности

anonymous

Проверено: l-xoid ()
Ответ на: комментарий от Irsi

>про инженерные пароли на BIOS видимо таки придется напомнить...;)

На винды инженерные пароли никто не знает? :)

mikhail
()
Ответ на: комментарий от mikhail

> На винды инженерные пароли никто не знает? :)

A может кто-то и знает...

Ты что исходники винды видел?

anonymous
()
Ответ на: комментарий от mikhail

>Неа, но может кто-то w2k сырцы в нете скачал и посмотрел?

Это очень маленькая часть кода....

anonymous
()
Ответ на: комментарий от anonymous

>из лило? или из файла с криптованной фс?

во первых криптованная фс - фигня те вещь почетная и нужная - но медленная потому мало кто юзает.

Далее из лило вытянуть можно, из биоса можно - опечатан? так это ж взлом =)) далее можно вообще загрузиьтся с сидюка и монтировать все твои разделы далее сам понимаешь ...

Если есть локальный доступ к машине - значит все - готово =))

alphex_kaanoken ★★★
()
Ответ на: комментарий от alphex_kaanoken

>Если есть локальный доступ к машине - значит все - готово =))

Это касается не только линукса, а в равной мере и винды...

togusak
()
Ответ на: комментарий от alphex_kaanoken

>во первых криптованная фс - фигня те вещь почетная и нужная - но медленная потому мало кто юзает.

Ну чесно сказать, наслушавшись на форумах что криптованные фс медленные я их долго не пробовал, однако когда попробовал они оказались не так уж и медленны, по крайней мере гораздо быстрее чем я думал...

anonymous
()
Ответ на: комментарий от SteelKey

2SteelKey: от элементарного хранения конфигов в /usr/bin/, точнее в том же каталоге, где находятся бинарники игры, до каких-то странных манипуляций со стеком TCP/IP... Нет-нет - я понимаю что можно будет настроить чтоб из-под обычного юзера запускалось, права раздать и т.д., но ты серьезно думаешь что тупой юзер этим озаботится? Практика показывает что он скорее из-под рута работать станет...
Зачем это делать? А хрен его знает - мне тоже непонятно, но тем немение большинство игр в виндах до сих пор требуют напильника, если хочешь их запустить из-под простого юзера, хотя реально им это не нужно, и большинство их лечится элементарно...

По поводу криптованных ФС - особенно замечательно смотрится юзер, пролюбивший ключь...:) Обычно потеря данных гораздо болезненней их утечки...

Irsi
()
Ответ на: комментарий от linux_newbe

> Нибудет реестра в никсах никогда
1. Будет-будет... Уже озаботились :)
2. После того, что линуксоиды сотворили с /etc они не имеют никакого морального права ругать виндовый реестр...:)

Irsi
()
Ответ на: комментарий от anonymous

Ты хоть тред то читал, а фак этого проекта? Нету реестра в обычном понимании этого дела.

Is NOT an OS service that can become unavailable and make system unusable. It is just a library to access files according to a namespace.

Попробуй-ка в вони убей улья реестра посмотрим что выйдет.

linux_newbe
()
Ответ на: комментарий от linux_newbe

> Ты хоть тред то читал, а фак этого проекта? Нету реестра в обычном понимании этого дела.

Ты хочешь пойти по дцатому кругу?

anonymous
()
Ответ на: комментарий от linux_newbe

2linux_newbe: это только начало, не расстраивайся - мелкософт тоже начинал только с API... :) Потом и все остальные светлые идеи приложатся - и бинарные файлы и т.д...;)

Irsi
()

Чтото народ отошёл от темы.... Статья забавная. Особенно копание в форматах файлов. Но. Автор почемуто обошёл один вопрос - а как же вирус получит доступ на запись в бинарный файл. Я обычный лин-юзер. и у меня нет доступа на запись в бинарные файлы. Под рута я вообще не гружусь. Если нужно - su, сделал чё нада, exit. Если мне вдруг придёт чтото исполняемое по почте я, как уже здесь говорили, это не запущу пока осмысленно не сделаю chmod +x. Так как же я могу чёто подцепить? Вобщем ничего "очень интересного и поучительного" я там не нашёл. Очередная болтовня в духе - вирусов в Лине нету но это дескать ничего ещё не значит. Фуфло!

Valerius ★★
()
Ответ на: комментарий от Irsi

Про /etc/ лучше помолчи. Вчера прихожу к знакомой - типа cdrom в xpeни не пашет. Не видно его.

Включаю машину - со второго раза вижу краткую надпись в район трея про то, что использование софта для записи может привести к неработоспособности привода (мелькает буквально на секунду).

Посмотрел что и как - никакого софта для записи не нашел. После долгих распросов выяснилось, что стоял easy cd creator.

По результатом изысканий были найдены остатки программы + порядка десятка ключей в реестре.

Ну и отключенный привод.

И в чем сила реестра? В неговорящих ключах, удаляемость которых зависит от степени криворукости программера, писавшего анинсталл?

Может ну его в задницу.

jackill ★★★★★
()

>По меткому выражению одного их хакеров, один-единственный sendmail содержит больше дыр, чем все Windows-приложения вместе взятые.

Ага, бля, одна большая черная дыра. Что ж там за хакер-то такой был, ептить...

>Модификация файлов скриптов, как правило, не требует никаких особенных прав...

Это еще почему? Чем, с точки зрения прав доступа, текстовый файл отличается от бинарного?..

>Вирусы могут поражать исходные тексты программ, и исходные тексты операционной системы, с компилятором в том числе...

Я плакаль.

>Агрессивная политика продвижения Linux вероломно проталкивает это ОС на рынок домашних и офисных ПК...

угу, именно, именно вероломно :-))

>т.е. в те сферы, где UNIX не только не сильна, но и попросту не нужна

угу, там нужен именно зараженный вирусами виндевс, а то как же - "система, и без антивирусника"...

В общем, вывод один: будет у дурака х#й хрустальный - он и х#й разобъет, и руки порежет.

anonymous
()
Ответ на: комментарий от Valerius

>Если мне вдруг придёт чтото исполняемое по почте я, как уже здесь говорили, это не запущу пока осмысленно не сделаю chmod +x.

Не забывай про архивы: *.tar открывается Ark, извлечь оттуда и запустить юзер может несознательно... :)

mikhail
()
Ответ на: комментарий от anonymous

>>Неа, но может кто-то w2k сырцы в нете скачал и посмотрел? > >Это очень маленькая часть кода.... > >anonymous (*) (14.07.2004 20:40:41)

А лично я не верю, что там исходников было на 40гиг. Ну не верю и все. Верю что были не все исходники. Верю что с комментариями и прочим было бы не больше чем на 2-2.5 гига. Верю, что полностью исходники есть только у самих мелкомягких.

Ну нечего писать в системе, где кроме встроенных нескольких всем известных прог и кучи гуя ни чего нету. Может все исходники флагманских продуктов микрософт и займут 40 гиг, но не сама винда.

Вот...

anonymous
()
Ответ на: комментарий от mikhail

Не забывай про то, что разные дистрибутивы собираются с разными параметрами оптимизации и зачастую разными компиляторами, имеют разные патчи на пакеты и разные системы безопасности.
Ну и попробуй написать вирус, который бы смог заразить любой бинарник - т.е. он должен каким-то образом отрюхать нужное место среди всего этого разнообразия, воткнуться туда тем же джампом и дописать себя хотя бы в конец. При этом он должен эксплуатировать:

а) какую-либо локальную уязвимость, ведущую к эскалации прав, причем неизвестную.
б) суметь открыть себе путь наружу
в) *вспоминая вирусы, которые себя рассылают* уметь читать различные форматы адресных книг и работать с разными почтовками
г) совсем забыл - уметь перемонтировать раздел с ro в rw
д) сотворить что-то еще, если уязвимость дает только права рута, но рут в системе может делать не все.

P.S. А червей с вирусами перепутать - это вообще позор.

jackill ★★★★★
()
Ответ на: комментарий от jackill

P.P.S. Для меня вообще загадка - полностью пропатченные w2k, ntfs. Как вирус вообще может заразить хоть какой-то файл, на который у пользователя нет прав на изменение или удаление? Ну вот как?

jackill ★★★★★
()

Неужели не понятно, что автор хронически заинтересован, чтобы прочитавшие статью либо купили антивирус под линукс, либо пересели на винду. И реализует он своё желание в меру своих ограниченных способностей, благо нормальный статей от серости по имени Крис Касперски я ещё не видел.

stimpack80
()
Ответ на: комментарий от stimpack80

>автор хронически заинтересован, чтобы прочитавшие статью либо купили антивирус под линукс

Крис рекламирует, Евгений продает, Касперские богатеют.

P.S. я знаю что они не родственники

Vlad_Ts ★★★★★
()
Ответ на: комментарий от Irsi

> После того, что линуксоиды сотворили с /etc...

После того, что линуксоиды сотворили с /etc (а точнее юниксоиды). Им памятник надо при жизни... Ты это... Ирси... прогуляйся почитай FHS там четко пожевано, что и для чего и почему. А хранить настройки в гигиантском бинарнике это значит нормально ? ФФФФ топку. Просто прежде чем так безапелляционно заявлять о "неправильности" /etc надо все "за" и "против" взвесить. А виндовый реестр ругать можно хотя бы потому что это все один здоровый бинарный файл, и чхать хотелось на все СуперГипер умные маркетологические бредни про структуризацию, если работа системы зависит от контрольной суммы в пару байтиков в одном из фрагментов этого дерьма.

dObryi
()
Ответ на: комментарий от jackill

Кстати, насчёт вирусов... Они вообще ещё существуют? В последнее время слышу только о червях, а вирусы кто-нибудь видел?

Fedor ★★★
()
Ответ на: комментарий от Fedor

> что не веришь

В принципе не исключено, если там была гуя, вполне может быть, только именно коды могли занимать там ну гиг максимум, все остальное графика, так сказать с исходниками... полноцветные непрессованные тифы, всех масштабов и оттенков, анимированные диалоги... иконки... ну и т.д.

dObryi
()
Ответ на: комментарий от Fedor

>Кстати, насчёт вирусов... Они вообще ещё существуют? В последнее время слышу только о червях, а вирусы кто-нибудь видел?

По слухам существуют. Но только в лабораторных условиях.

Ikonta_521
()
Ответ на: комментарий от Ikonta_521

2Ikonta_521 (*) (15.07.2004 9:17:52)
>По слухам существуют. Но только в лабораторных условиях.
В лаборатории Касперского? :-)

anonymous
()

Фраза со второй страницы: "...(кстати, почему бы окружающую среду не назвать окружающим четвергом?)..." мило. годится для 10-летних даунов.

ещё одна, 3-я страница: "...модификация файлов скриптов, как правило, не требует никаких особенных прав и потому они оказываются вполне перспективной кандидатурой для заражения...Модификация большинства файлов скриптов разрешена..." Зашибись. Попробуй, например, хотя бы прочитать под юзером /etc/lilo.conf. А про остальные части скриптов - специально для касперски могу сообщить, что всем вложенным от корня объектам, кроме папок ~ и /tmp права текущему юзеру на запись, если он не root - отсутствуют. Крис, Ты вообще, сидел в *nix-ах или мама рассказывала?

Дядю вообще очень плющит факт распространённости скриптов под никсами относительно скриптов под виндами. Дядя, наверное, не знаком с достоинствами опенсоурса, когда скрывать особенно нечего...

третья фраза, я тащусь: "...Поскольку в мире Unix не принято давать расширения, задача поиска подходящих жертв существенно осложняется и вирусу явно приходится перебирать файлы скриптов один за одним, определяя их тип вручную..." Я падаю, как всё сложно!!!! Я наверное, суперпрограммер, если после таких строк: for script in `ls -F|grep "*$"`;do script="`echo $script|sed s/*//`" if [ "`cat $script|grep '^#!/'`" ];then echo $script #function_infecting fi done я получу имена файлов всех скриптов в текущем каталоге!!!

Ещё одна фраза, стр 4. Сейчас мне станет плохо: "...Другой возможной зацепкой является переменная <<$0>>, используемая вирусами для определения собственного имени... Это достаточно характерный признак заражения исследуемого файла, ибо существует немного причин, по которым программа может интересоваться своим названием и путём..." Исходя из этого, авторы утилит test и swapon, к примеру, а также всех тех, к которым существуют симлинки с другими именами, являются вирусами, потому что они должны изобрести другой способ узнать, под каким именем они запущены. Хм, надо будет со своих скриптов поубирать стандартный код в заголовке: myname="`basename $0`" А то потом всякие Касперские будут их блокировать, как вири...

Далее: "...Учитывая, что среднеминимальная длина Perl-вирусов составляет порядка 500 байт, затеряться в теле жертвы им легко..." Мдаааа. Учитывая тогда, что среднеминимальная длина исполнимых PE-файлов для Windows составляет порядка 500 Kбайт, затеряться в теле такой жертвы на порядок легче. Наверное, вся фишка в размере, поэтому под юниксами вирям хуже живётся... На порядок.

Чё-то мне не хочется дальше читать, хотя впереди ещё 12 страниц дерьма. Щас просмотрю.

Дальше дядька уклоняется в сторону HEX-просмотра заражённых файлов. Ну и пусть себе уклоняется, а мы будем юзать исходники, скачанные вместе с MD5. Сколько лет этому обалдую? Вернее, на каком годе развития он по уровню? Явно подтормаживает...

stimpack80
()
Ответ на: комментарий от Irsi

> от элементарного хранения конфигов в /usr/bin/, точнее в том же каталоге, где находятся бинарники игры, до каких-то странных манипуляций со стеком TCP/IP...

про второе не скажу, а первое лечится chmod -R 777 /path/GAMENAME

sin_a ★★★★★
()
Ответ на: комментарий от stimpack80

У этого дяди даже нет высшего образования, как он сам признается в статье "Рецепты правильного трудоустройства" в том же "системном администраторе".

anonymous
()
Ответ на: комментарий от stimpack80

А что же мега эксперты с ЛОР ненаписали статью
Взяли бы и написали
Нет только и можем, что попездывать на форуме
Одно слово ЛИНУКСОИДЫ!

anonymous
()

Четыре года сижу под виндой Win98 и ни от одного вируса ещё не пострадал. И систему не обновлял.

anonymous
()
Ответ на: комментарий от anonymous

2anonymous (*) (15.07.2004 10:30:01)
>А что же мега эксперты с ЛОР ненаписали статью
>Взяли бы и написали
>Нет только и можем, что попездывать на форуме
>Одно слово ЛИНУКСОИДЫ!
Опа, неужели афтор? :-)
мегаэксперты с лор вместо изучения RH5.0 и FreeBSD4.5 изучают PaX, grsec, selinux, rsbac и заранее оборудуют свой "Титаник" (сравнение мне понравилось :-)) спасательными шлюпками, радарами, сонарами, системами метеоритной защиты, а также повышают квалификацию персонала :-).

anonymous
()

>"Вирусы в Unix". ИМХО очень интересно и поучительно.
Угу, а вот например на "титанике" типа LiveCD вирусы куда прописываться будут? Или заелозят компакт до дыр в покрытии (типа деструктивный вирус :-))

anonymous
()
Ответ на: комментарий от anonymous

>>По слухам существуют. Но только в лабораторных условиях.

>В лаборатории Касперского? :-)

Не. У касперского квалификация не та.

У разных кул-хацкеров, которым интересен сам факт возможности создания вируса по Unix. Пусть работоспособного только в конкретной конфигурации.

Ikonta_521
()
Ответ на: комментарий от Ikonta_521

2Ikonta_521 (*) (15.07.2004 10:56:55)
>У разных кул-хацкеров, которым интересен сам факт возможности создания вируса по Unix. Пусть работоспособного только в конкретной конфигурации.
Ну то, что можно написать скрипт, заражающий другие скрипты или бинарник, заражающий другие бинарники - это понятно. А вот интересно взглянуть на средства размножения :-)

anonymous
()
Ответ на: комментарий от anonymous

> А вот интересно взглянуть на средства размножения :-)
У 98% современных вирусов основным средством размножения является глупость пользователя. Из этого прямо следует что под доминирующей ОС вирусы всегда будут ходить толпами...

Irsi
()
Ответ на: комментарий от Fedor

2Fedor: ох, ну давайте сначала проведем четки границы между вирусом и червем... Вообще если уж на то пошло, классических вирусов уже имхо не осталось.

Irsi
()
Ответ на: комментарий от Irsi

А чего их проводить, они давно существуют ))) Ладно, действительно, не будем придираться к терминологии

Fedor ★★★
()
Ответ на: комментарий от Irsi

Ирси, тебе чего, плохо?
Что линуксоиды с ним сделали?
убрали /etc/rmt? Или что?
После Соляриса в Линуксе тишь да гладь в /etc. И это я еще не застал время оно со всякими старыми коммерческими юниксами (/etc/named и т.д....)

Zulu ★★☆☆
()
Ответ на: комментарий от Irsi

2Irsi: >после bsd-style, sysv-like вызывает стойкий рвотный рефлекс...:)

Пользуйся слакварью и не будет тебя рвать :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.