LINUX.ORG.RU

Еще одна статья в журнале «Системный Администратор»!


0

0

Сайт журанала "Системный Администратор" сделал доступной одну из статей январского номера: "Вирусы в Unix". ИМХО очень интересно и поучительно.

>>> Подробности

anonymous

Проверено: l-xoid ()
Ответ на: комментарий от anonymous

> вспоминается случай, когда я хронически не могу убить под XP системный процесс обладая правами Administrator

под NT root'у соответствует не Administrator, a SYSTEM

ЗЫ кто-нибудь знает пароль (кроме MS) юзера SYSTEM?

vadiml ★★★★★
()
Ответ на: комментарий от Sun-ch

> /lib/ld-linux.so.2 /program/on/noexec/partition

На нормальном дистре уже года полтора не работает. Так что мимо кассы. Еще...

anonymous
()
Ответ на: комментарий от vada

И так из всего выше сказанного можно уже сделать небольшие выводы.

Проведём один мысленный эксперимент.

Глупый пользователь Вася Пупкин ( из тех 98%-тов ), который незнает что такое эксплоит и как его собрать/запустить, что такое sticky или ext2/3 вообще, что такое компилятор... и т.д. и посадим за свеженький линукс. (RedHat, SuSE, Gentoo, Mandrake это вобщем-то исё равно).Есть музыка, фильмы, фото, интернет и всё остальное....

Даём ему задание - один месяц пользоваться линуксом на всю катушку: лазить по интернету, сгружать MP3, фото, ну конечно же любимые секс-сайты, кликать мышкой куда он захочет (даже если в письме есть file.exe) и т.д.... Он глупый непонимает... не знает что такое скрипт... а уж о make или ./install он даже не слышал.

Мне сдаётся что Вася Пупкин линукс не "испортит".

Теперь даём ему задание - один месяц пользоваться Windows XP на всю катушку: лазить по интернету, сгружать MP3, фото, ну нонечно же любимые секс-сайты, кликать мышкой куда он захочет (даже если в письме есть file.exe) и т.д.... Он глупый непонимает... не знает что такое скрипт... Мне жалко Васю Пупкина, потому что недели через две он с тоской уставится в синий десктоп.

Постойте, постойте... Так выходит что при глупых пользователях линукс самая надёжная система!!! А их 98% !!!!!

Теперь об оставшихся 2%-тах.( Умных пользователях, которые знают что такое эксплоит и как его собрать/запустить, что такое sticky или ext2/3 вообще, что такое компилятор... и т.д ).

В семье не без урода. Найдутся пара уродов, которые хакнут свой же компютер. На свою ж***у приключения - это так приятно...

Так что статья эта ни о чём......

togusak
()

Как поймать вируса за хвост ? Не будучи Системным (Ах!) Администратором (Ох!)

15.o7.04 Борт браузера Mozilla. Всем-всем-всем.Совершенно секретно.

Пролетая над вашей территорией шлю привет
свободолюбивым народам ЛОРа.
Финским народам - особый респект.

Заглянул в статью вирусного следопыта и испужался.
Что, уже пишут вирусы, которые нельзя отловить
с помощью дубеля бинарника, objdump (годится любое
средство в этом роде) и diff? 5 сек., если дубель под
рукой...

До чего наука дошла!

Может, кто знает как это, а? Просветите.

Древний юниксоид.

anonymous
()
Ответ на: комментарий от togusak

2togusak (*) (15.07.2004 19:09:52)
А давайте усложним задачу : -)
даем юзеру Knoppix и/или раздел на харде /home
говорим: после запуска с компакта
Ctrl+Alt+F1
<ENTER>
passwd
пущай введет пароль 2 раза :-)
Ctrl+Alt+F5
а дальше пущай лазит где хочет, делает что хочет (не под рутом, ессессно, кноппикс по умолчанию запускается под усером knoppix) и...
Да этот Вася Пупкин замахается систему убивать :-)

sco-killer
()
Ответ на: комментарий от togusak

> Глупый пользователь Вася Пупкин ( из тех 98%-тов )

Если ты в Linux его сделаеш root-ом, а Linux - самой популярной ОС в мире - со всеми вытекающими (и "втекающими") последствиями такой популярности - кучи софта и игрушек для Linux на пиратских CD из ларька, кучи хакеров и спамеров в сети, нацеленных именно на Linux и т.п., то Вася Пупкин проживет под Linux не больше чем под Windows XP.

С другой стороны, не давай Пупкину в Windows XP прав Администратора - и ты будеш удивлен тому, сколько он там проживет.

anonymous
()
Ответ на: комментарий от Irsi

> Как показывает практика - http://www.linux.org.ru/profile/Irsi/view-message.jsp?msgid=392747
И это уже сейчас, при доли пользователей менее 1%.

Ирся, я почитал тот тред и не понял твоей радости. Если в том треде
месаги не удаляли, то судя по воплям скрипт запустили только два человек
и ещё один под срмнением - то ли пускал, то ли прикалывается.

anonymous
()
Ответ на: комментарий от IMNSHO

noexec

в соседнем обсуждении про дыору в мускуле на мой вопрос что если у ювзерей chroot на noexec fs и все доступные им проги - заранее подготовленные статики и загрузичка ld среди них нет?

mumpster ★★★★★
()
Ответ на: комментарий от anonymous

> С другой стороны, не давай Пупкину в Windows XP прав Администратора - и ты будеш удивлен тому, сколько он там проживет.

MSBlast

anonymous
()
Ответ на: noexec от mumpster

> в мускуле на мой вопрос что если у ювзерей chroot на noexec fs и все доступные им проги - заранее подготовленные статики и загрузичка ld среди них нет?

О, сразу обламаю: без ld запуск статически собранного mysql в chroot'e
не получится. Если не веришь, попытайся.

annonymous ★★
()
Ответ на: комментарий от anonymous

>> С другой стороны, не давай Пупкину в Windows XP прав Администратора - и ты будеш удивлен тому, сколько он там проживет.
> MSBlast

Обновления по графику накатывать ещё никто не запрещал.

linux_newbe
()
Ответ на: комментарий от anonymous

>и ещё один под срмнением - то ли пускал, то ли прикалывается.

У меня под VMware десяток разных OS для экспериментов. Из любопытства пожертвовал одной - запустил под рутом.Картинку видел каков результат?

Но если как простой юзер запускаешь - никакого результата, даже home-директория целая...

togusak
()
Ответ на: комментарий от anonymous

>Если ты в Linux его сделаеш root-ом, а Linux - самой популярной ОС в мире - со всеми вытекающими (и "втекающими")

Менталитет.... пойди рыбки покушай...

togusak
()
Ответ на: комментарий от linux_newbe

>Обновления по графику накатывать ещё никто не запрещал.

Пока заплатка вышла - сколько таких Васей Пупкиных по всему миру загрустило...

Сам бегал по друзьям и знакомым ... Они ж не знают как заплатку ставить. из 98%...

togusak
()
Ответ на: комментарий от linux_newbe

Да, еще в тему MSBlast... Помнится года два-три назад была эпидемия червяка, который цеплялся к уязвимости telnetd или sshd, не помню уже... Так вот, несмотря на меньшую популярность линуха, свеженькая шапка с ненакаченными патчами (ставил не я), продержалась около суток, пока не заполучила второй процесс init. :) Впрочем сразу скажу что непатченная фряха (ну не успел - в пятницу ставил, ну и заломало), в понедельник тоже была со вторым инитом :)
Эта эпидимя не наделала шуму только по одной причине - потому что линукс малораспространён и следовательно малоинтересен для журналистов...
А теперь представьте себе что не у виндов, а у линуха более 90% рынка десктопов и выползает такая бяка... Шуму бы ло бы ровно столько же, сколько и от MSBlast...

Irsi
()
Ответ на: комментарий от togusak

Сдравствуй новый год!
Там же даже галками можно всё настроить чтобы никого ничего не спрашивало и патчи автоматом ставило...

linux_newbe
()
Ответ на: комментарий от Irsi

>Да, еще в тему MSBlast... Помнится года два-три назад была эпидемия червяка,.................

Ляпнул что в лужу... слышал где-то ... что-то....Я об этой эпидемии не слышал.

А что этот процесс init делал? Какие службы демоны были активированы? Какие файлы были установлены и изменены? Логи анализировал?....

Пока не ответишь на эти вопросы - будем считать что ты пошутил. Впрочем можешь не отвечать.

Установка эксплойта процесс творческий - его нельзя автоматизировать.Стандарта твёрдого нет и поэтому проходит он под контролем человека. По ходу действия приходится много импровизировать, что-то менять, что-то добавлять, начинать всё сначала и не один раз. При этом надо точно знать какие процессы ты хочешь запустить, где разместить файлы и как их спрятать, как вычистить логи и замести следы своего пребывания и т.д. От системы к системе выглядит всё по другому.....

Вирус - программа или скрипт, которая выполняется от первой до последней строки и импровизировать она не может.

Ляпнул что в лужу..

togusak
()
Ответ на: комментарий от Irsi

Пару лет назад был червь, который распространялся через дырку SSL модуля в Apache. Он закачивал и компилил собственный исходник ( в open-source мире могут распространяться только open-source вирусы)) и, насколько помню рута не имел. Причем здесь init?

anonymous
()
Ответ на: комментарий от Irsi

> telnetd или sshd

Ой, а у меня таких штук нет, что мне делать?

Кстате тут пробегала сцылка на вирус для линуха, компилирующий себя ;)

morge ★★
()
Ответ на: комментарий от Irsi

>И это уже сейчас, при доли пользователей менее 1%... Ты представляешь что будет если вдруг случится чудо (например арабские террористы уничтожат мелкософт) и линукс заменит собой винды?

К этому моменту selinux станет стандартом и думается, что chrootkit тоже. А вот у лонгхорна пока что кроме встроенного антивируса от ms (писец, типа крупнейший знаток вирусов...) ничего такого не намечается.

jackill ★★★★★
()
Ответ на: комментарий от Sun-ch

>local user с id != 0 вполне в состоянии собрать/запустить эксплоит и
Верно. Саныч, а ты когда видишь сообщение о локальной уязвимости, что делаешь?
Я там выше писал - размножаться вирусам под юниксами напряжно.
Сам подумай - есть вирус, который используя, скажем, определенную дыру в нетфильтре + локальный эксплоит ядра + дыру в почтовке может размножаться и рассылаться.

Нужно, чтобы все три дыры совпали. Не замучаешься ждать?


jackill ★★★★★
()
Ответ на: комментарий от togusak

2togusak: если ты думаешь что я за три года не забыл все, то ты заблуждаешся :)
Впрочем на церте можно поискать, если очень интересно - инфы я дал достаточно. Инцидент имел место летом 2001 или 2002го года, точно уже не помню.
Этот лже-init сканировал сеть на предмет поиска непропатченных sshd (имхо все же это была дыра в sshd).
А думать можешь что хочешь, но лучше поищи на церте или секъюритефокусе и убедись что я прав...

Irsi
()
Ответ на: комментарий от Sun-ch

>А в контексте какой-нибудь пионерской поделки на букву K* или G* - как

Я знаю, ты имел ввиду krename. ;)

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Если ты в Linux его сделаеш root-ом, а Linux - самой популярной ОС в мире - со всеми вытекающими (и "втекающими") последствиями

Говно вопрос - fc2, selinux=yes

jackill ★★★★★
()
Ответ на: комментарий от linux_newbe

>Обновления по графику накатывать ещё никто не запрещал.

Дык и в юниксах никто не запрещал.

Но все обновления на тот же XP из-за определенного софта не поставишь (бывает и так). Да и сроки выхода мягко говоря не коррелируют с реальностью.

jackill ★★★★★
()

Вспоминая число дырок в ляпиксе и скорость их обнаружения смеемся над ляпикс защитниками

anonymous
()
Ответ на: комментарий от Irsi

>А теперь представьте себе что не у виндов, а у линуха более 90% рынка десктопов и выползает такая бяка... Шуму бы ло бы ровно столько же, сколько и от MSBlast...

А за каким хером на домашней машине ssh сервер?

Выбирает чел себе рабочую станцию, дык у него нет его.

Это на серверах, да и то не на всех он наружу торчит. iptables, mf.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Пару лет назад был червь, который распространялся через дырку SSL модуля в Apache. Он закачивал и компилил собственный исходник ( в open-source мире могут распространяться только open-source вирусы)) и, насколько помню рута не имел. Причем здесь init?

И был рассчитан на случай, если какой-то мудак оставил на вебсервере gcc.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Вспоминая число дырок в ляпиксе и скорость их обнаружения смеемся над ляпикс защитниками

Они:
a) По большей части локальные.
б) Фиксятся заранее или через несколько часов. Сколько ждали фикса от MS с последней дырой в IE напомнить? А то, что еще один файл уязвим остался - это нормально?
в) дырки часто работают не на всех системах.

jackill ★★★★★
()
Ответ на: комментарий от morge

2morge> а если у тебя нет telnetd или sshd значит админишь ты мобильный телефон , но никак не мнопользовательскую систему или знаешь про ляпикс-дырки и ссышь пускать юзеров потому ты дебил , а не админ

anonymous
()
Ответ на: комментарий от jackill

2jackill: для простого пользователя (да и не только для него) защищеность системы это функция обратная удобству использования. Чем лучше защищена система, тем менее удобна она в использовании. А также не надо забывать что на рынке побеждает самое кривое решение... Так что в случае чуда (победы линукса), победа будет за дистром типа одного очень известного дистра для домашних пользователей, где пользователь по умолчению кем был? Правильно - рутом...
Очень показателен пример макентоидов - как они борются с необходимостью вводить пароль в десятке при логине и при установке прог... Все конфы засыпаны вопросами как это отключить...:)

Irsi
()
Ответ на: комментарий от jackill

> И был рассчитан на случай, если какой-то мудак оставил на вебсервере gcc.

Гы. Настоящий мудак тот, кто оставил на вебсервере apache!
И дважды мудак тот, кто оставил на вебсервере openssl!

annonymous ★★
()
Ответ на: комментарий от annonymous

А выкинь сервер и поставь свич - и нет апаче и нет gcc. Учитывая, что вся СЕТЬ сжимается в езернет-точку оставьте многопрбойные и многострадальные юникс машины небольшому числу админов и спокойно снимай девок в чатах. Если число юзеров твоего почтового сервера менее 1000, то спокойно замени его свичом и не снижай качество интернет доступа для юзеров.

anonymous
()
Ответ на: комментарий от jackill

2jackill> выводы: локальные дырки - ляпикс-фича, рабочие системы имеют дырки - вполне достаточно для разрушения отдельной системки.

anonymous
()
Ответ на: комментарий от anonymous

> выводы: локальные дырки - ляпикс-фича, рабочие системы имеют дырки - вполне достаточно для разрушения отдельной системки.

Это же смешно, что вы хотели сказать-то этим?

Fedor ★★★
()
Ответ на: комментарий от alphex_kaanoken

А если локально иметь доступ, можно и в single mode загрузиться

dip
()
Ответ на: комментарий от Fedor

А не смешно иметь машину только с системными пользователями ?

anonymous
()
Ответ на: комментарий от jackill

> Сколько ждали фикса от MS с последней дырой в IE напомнить?

Про Васю Пупкина (Заходить MS iexplorer`ом):

http://www.astalavista.net/new/network.php

P.S. Пожалуйста, запостите результаты о пропатченых и не-пропатченых.

anonymous
()
Ответ на: комментарий от Sun-ch

2Sun-ch * (*) (15.07.2004 17:33:36)

>/lib/ld-linux.so.2 /program/on/noexec/partition

Специально для тебя перегрузился с замонтированным хомом с noexec...
Хер! Не работает.

ЗЫ. Детство, видимо, давно прошло. :)

Какие еще предложения?

vada ★★★★★
()
Ответ на: комментарий от Irsi

Я бы не сказал. Не вижу никаких неудобств в той же федоре при сидении под пользователем. У меня все работает, все играется, звонится и пишется. Видимо я что-то делаю не так? Понятно, что поставить я ничего не могу. Ну я и не каждый день что-то ставлю.

Предлагается запретить запуск иксов от рута и логин от рута (только su оставить).

Что касается неисполняемого home. У меня он неисполняемый, но есть отдельное место, где исполняемость есть. Если скриптик какой или прожку свою запустить, прога копируется туда.

jackill ★★★★★
()
Ответ на: комментарий от annonymous

А ты что предлагаешь?

Вообще, никто не запрещал ставить на пути апача что-то еще, или раздавать контент с него чем-нить другим.

jackill ★★★★★
()
Ответ на: комментарий от Sun-ch

2un-ch * (*) (15.07.2004 15:52:06)

>Вадик, ну чё ты как пионер?
>Екплоит запускается в контексте исполняего процесса, в апаче или там
>сендмайле его запустить трудно, посколько они всегда на виду.
>А в контексте какой-нибудь пионерской поделки на букву K* или G* - как
>два палца.

Да это ты как маленький!

Неужели я дам шела юзверь на машине, где у меня кокой-либо сервер крутится? Сам то понял что сказал? Я для себя то стараюсь шел только локальный иметь. Правда уже стал толстым и ленивым, и все больше ssh балуюсь. Да усрется он мне тут серваки подламывать, да и в офисе одни мышководы, которые звонят, и говорят, что у них в ворде виндовс не открывается. И "нионерская" поделка у меня под jboss крутися. Если появится в фирме такой чел, что туда что-то вотрет, я его даже бить не буду, к себе возьму, пусть пользу опчиству приносит. А мылер ломать, так они его почти каждый день укатывают. :) То письмо по локалке запердолят с вложением на 70 метров, и потом все дружно лапу сосут, особенно получатель, то какой-то мудень, от нехер делать, сидит и битый час кнопку доставки почты жмет. В итоге сервак решает что его досят, и прикрывается, и опять все лапу сосут :))) Да я на это даже внимания не обращаю. Мышководы они поголовные дауны. Учить их безполезно. :) Бытее формирует сознание. :)

vada ★★★★★
()
Ответ на: комментарий от togusak

>В семье не без урода. Найдутся пара уродов, которые хакнут свой же компютер. На свою ж***у приключения - это так приятно...


С дуру можно и х_й сломать.

У нас тут на испытательном сроке один наикрутейший программер работал. Исследования его убитой маши ны показали, что он из под рута запустил команду

gzip /

На этом его карьера закончилась.

ЗЫ. Кстатит, я ему ящик пива проспорил. Мы забились, что за месяц он линукс не завалит. :)))

vada ★★★★★
()
Ответ на: комментарий от jackill

2jackill: я тоже не вижу никакого неудобства от сидения в тех же виндах не из-под админа, так к слову и сижу. Но это ты, и это я... А тупой хом юзер - видит, он не хочет понимать почему ему необходимо вводить пароль при логине и при установке прог, разбираться с правами доступа и т.д. - он с трудом с этим мирится на работе, а дома считает что это не нужно, "кроме меня здесь никого нет", "кому мой компьютер нужен", "это здесь не нужно, я вам не ФСБ", "авось пронесет" и т.д.
Обычный узер не желает иметь какие-то сложности с отдельным местом для запуском шрифтов, с правами доступа на своей личной тачке. Это сложней, это надо хоть немного думать и что-то изучать, а как сказал один американец "мы очень много работаем, поэтому думать нам некогда", речь к слову шла о ПДА... Вот от этого и танцуй... И что получищь? Правильно - один весьма известный и популярный дистр для хом юзверей с единственным пользователем - рутом...:)
P.S. su - фтопку, sudo - наш путь...:)

Irsi
()
Ответ на: комментарий от Irsi

> я тоже не вижу никакого неудобства от сидения в тех же виндах не из-под админа, так к слову и сижу

Вот как раз по этому и вирусы не видят никакого неудобства.

Гы Гы Гы......

togusak
()
Ответ на: комментарий от priest

> >Получаем ПОЛНОСТЬЮ БЕЗОПАСНУЮ систему. > Еще можно корпус вместо резиновых обверток залить смолой, эпоксидкой etc... 8-)

типо того... правда потом если что ломалось приходилось выбрасывать всю плату... ну или высверливать "лак" до транзисторов...

anonymous
()
Ответ на: комментарий от togusak

2togusak: внимательно фразу прочитай, прыждем чем гыгыкать, да? :) приствку "не" пропустил видать...:)
А таки да - болшинство вирусов у меня неудобств не видят, поскольку просто неспособны запуститься. :)

Irsi
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.