LINUX.ORG.RU

Еще одна статья в журнале «Системный Администратор»!


0

0

Сайт журанала "Системный Администратор" сделал доступной одну из статей январского номера: "Вирусы в Unix". ИМХО очень интересно и поучительно.

>>> Подробности

anonymous

Проверено: l-xoid ()
Ответ на: комментарий от anonymous

> ЗЫ Хотя они не родственник, но это то и настораживает:-))))

почему? может они в однополом браке состоят?... :D

anonymous
()
Ответ на: комментарий от anonymous

> ну, говорят nero 6 имела глюк: при создании образа она удаляет все из временной папки, и при этом кладет на права. задав в качестве tempdir c:\, получим результат

для того, чтобы nero заработала под "ограниченным юзверем" в в2к на нтфсе нужно поставить neroburningrights и раздать их

anonymous
()
Ответ на: комментарий от Irsi

Вирус - юзер. Непрошенный юзер, который может что-то изменить в системе и с теми правами, какие сам себе может максимально установить.

И вот это и есть решающее отличие винды от линукса!

В винде вирус может запустить процесс с любыми правами, которые сам себе установил, вплоть до администратора!!!!

В юниксе вирус может запустить процесс только с правами того, кто его запустил!!!

Поэтому распространение вирусов в юниксе очень затруднено.

Глупый юзер пару раз переставит линукс - потом задумается "А не дурак ли я?" А в винде всё едино......

togusak
()
Ответ на: комментарий от vada

2 vada

>Разговор шел, что юзверь скомпилил эксплоит, и запустил его. Мы имеем смонтированный хом с флагом noexec, что означает запрет на запуск бинарников. Ну да, шеловский, или еще какой скрипт выполнить несложно. Рассказывай как бинарник выполнить. Видимо я сильно морально устарел, раз такого не знаю.

Вадим.. ты не устарел, просто есть вот такое бл...ство:
Dselect об этом не раз говорил. Как например:

> noexec на ~?
Бл***, ну сколько раз можно повторять:

# mount -t tmpfs tmpfs /mnt -o rw,nosuid,noexec,nodev,mode=1777

$ cp /bin/ls /mnt

$ /mnt/ls

bash: /mnt/ls: Permission denied

$ /lib/ld-linux.so.2 /mnt/ls

articles build deb disser src tmp work

P.S. Задолбали, честное слово, уже раз 50 этот пример показывал.

Dselect (*) (14.05.2004 16:26:04)

P.S.
Смотрим в сторону RSBAC, SELinux.

Alter ★★
()
Ответ на: комментарий от Alter

>Alter (*) (16.07.2004 13:03:55)

Уважаемый Alter, а разве # mount -t tmpfs tmpfs /mnt -o rw,nosuid,noexec,nodev,mode=1777 ты делаеш не с правами рута? А ежели прав рута нет, то как говорится - на нет и суда нет. Или я не прав?

anonymous
()
Ответ на: комментарий от Irsi

У меня лишь одна надежда, что вместо рута будут по умолчанию делать типичного пользователя.

P.S. Что касается работы - AD, у всех права порезаны дико, ничего - все сидят, им на 1c + excel + word хватает, а больше лезть никуда не надо.

P.P.S. Тем не менее, несмотря на долбанный avp monitor все равно вирусы умудряются цеплять те, кому разрешено в инет входить.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

Оно у тебя в fstab должно быть прописано, чтобы ты рутом не лез куда не нужно.

jackill ★★★★★
()
Ответ на: комментарий от togusak

2togusak:
> В винде вирус может запустить процесс с любыми правами, которые сам себе установил, вплоть до администратора!!!!
> В юниксе вирус может запустить процесс только с правами того, кто его запустил!!!

Оба пункта - бред. RTFM короче. В теории обе системы соотвествуют п.2, по краней мере должны соотвествовать, на практике - п.1...

Irsi
()
Ответ на: комментарий от Irsi

> В юниксе вирус может запустить процесс только с правами того, кто его запустил!!!

А чё в комиксах уже не пишут про эскалацию привелегий?

Sun-ch
()
Ответ на: комментарий от Irsi

2Irsi (*) (16.07.2004 14:11:07)
А вот как поведет себя вирус с правами Domain Admin? И часто ли админы сидят под юзером на своей машине?
Или в этой ситуации спасает RDP онли? Плюс неиспользование IE и OE %-)

sco-killer
()
Ответ на: комментарий от Sun-ch

2Sun-ch (*) (16.07.2004 14:16:36)
>А чё в комиксах уже не пишут про эскалацию привелегий?
Дык ты же сам и пишешь :-) Забывая про PaX, grsec, owl etc %-)

sco-killer
()
Ответ на: комментарий от sco-killer

2sco-killer:
> А вот как поведет себя вирус с правами Domain Admin?
Точно также как и с правами root.

> И часто ли админы сидят под юзером на своей машине?
Всегда. Domain Admins нужен только для выполнения админстративных функций и не имеет ни Rouming Profile, ни e-mail box, ни кучи других вещей без которых полноценная работа невозможна. По крайней мере у нас.

Irsi
()
Ответ на: комментарий от sco-killer

"PaX - не дай себе обосраться"

/*
* own-ettercap - Ettercap local root exploit
* - Alicia [GOBBLES]
*

........

* Openwall, StackGuard, Stackshield, PaX, libsafe, and Solaris
* noexec_user_stack do nothing to stop this;

Sun-ch
()
Ответ на: комментарий от Irsi

2Irsi (*) (16.07.2004 14:34:59)
>Точно также как и с правами root.
Ну мы вроде насчет рутов договорились :-) su, sudo и kendo рулят :-)
>Всегда. ... По крайней мере у нас.
О !!! У Вас !!! И, наверное, только у Вас :-)

sco-killer
()
Ответ на: комментарий от sco-killer

2sco-killer:
> Ну мы вроде насчет рутов договорились :-) su, sudo и kendo рулят :-)
Тогда договорились и на счет админов - Run as.. рулит и все дела...:)

Не только у нас - в любой нормальной организации. То что лохов куча - не аргумент, потому что пофиг под чем эти лохи сидят... Был один клиент, стаж работы в линусе на тот момент - года три, убеждал что работать под рутом это удобно и правильно... Их просто мало потому что линукс мало распостранен, если вдруг его популярность вырастет, то число идиотов, работающих под ним будет расти темпами сильно опережающими рост его популярности...

Irsi
()
Ответ на: комментарий от Irsi

>Оба пункта - бред. RTFM короче. В теории обе системы соотвествуют п.2, по краней мере должны соотвествовать, на практике - п.1...

MSblast

Во время эпидемии DeutschePost и ряд других крупных компаний отключили свои серверы от интернета, чтобы как-то спасти свои внутренние сети....

?????????

togusak
()
Ответ на: комментарий от Sun-ch

2Sun-ch (*) (16.07.2004 14:37:20)
Ну, знаешь, сниффер - это да, чиста десктопная фича, у 98% каждого юзера есть, вирусам лехко будет :-) Ждем'с вирусов хороших и разных :-)
А еще эксплоиты есть?

sco-killer
()
Ответ на: комментарий от Irsi

2Irsi (*) (16.07.2004 14:54:25)
>Не только у нас - в любой нормальной организации. То что лохов куча - не аргумент, потому что пофиг под чем эти лохи сидят...
Секундочку, а чем объяснить все эти эпидемии? Только количеством лохов? Очень интересная позиция :-)
>Их просто мало потому что линукс мало распостранен, если вдруг его популярность вырастет, то число идиотов, работающих под ним будет расти темпами сильно опережающими рост его популярности...
Ну поймает новичок, сидящий в Linux под рутом какую-нть заразу, систему переставит пару раз и отучится. Это при условии, что его раньше этому не научила одна строчка на PERL :-)

sco-killer
()
Ответ на: комментарий от sco-killer

А как же без сниффера?

Это тогда не линукс-хакер, а чисто карапуз, который только с винды слез.

Однокласники просто не поймут такого подхода.

Sun-ch
()
Ответ на: комментарий от Alter

> $ /lib/ld-linux.so.2 /mnt/ls

> articles build deb disser src tmp work

> P.S. Задолбали, честное слово, уже раз 50 этот пример показывал.

Честно задолбали этот пример приводить на нормальном дистре это уже как год не работает. Под ОБЫЧНЫМ ядром с kernel.org без всяких патчей.

Так что пример мимо кассы.

anonymous
()
Ответ на: комментарий от Sun-ch

2Sun-ch (*) (16.07.2004 15:34:20)
>А как же без сниффера?
А накой? Дома он на% не упал, а свитчи нынче дешевеют :-)
>Это тогда не линукс-хакер, а чисто карапуз, который только с винды слез.
Ну тогда конечно, чисто карапузы - ничто, имидж - всё :-)
>Однокласники просто не поймут такого подхода.
И хакнут комп учителя :-)
P.S. В снифферах постоянно какую-то каку находят, снифам рут нужен для прямого доступа к интерфейсу.

anonymous
()
Ответ на: комментарий от Alter

> P.S. Задолбали, честное слово, уже раз 50 этот пример показывал.
>
> Dselect (*) (14.05.2004 16:26:04)

Я не поленился и проверил (ничего, что чуток пути поменял, да?):

# mount -t tmpfs tmpfs /tmp/mnt -o rw,nosuid,noexec,nodev,mode=1777
$ cp /bin/ls /t
$ /t/ls
bash: /t/ls: Permission denied
$ /lib/ld-linux.so.2 /t/ls
/t/ls: error while loading shared libraries: /t/ls: failed to map segment from shared object: Operation not permitted

Ну и??????? Где обещанная дырка?
Ядро - 2.4.22 патченное от RH

PAL
()
Ответ на: комментарий от Irsi

>Не только у нас - в любой нормальной организации. То что лохов куча - не аргумент, потому что пофиг под чем эти лохи сидят... Был один клиент, стаж работы в линусе на тот момент - года три, убеждал что работать под рутом это удобно и правильно... Их просто мало потому что линукс мало распостранен, если вдруг его популярность вырастет, то число идиотов, работающих под ним будет расти темпами сильно опережающими рост его популярности...

А где ты видел чтобы в любой нормальной организации эти лохи знали пароль root'a или администратора ????? Да ещё AD????

И почему они должны знать пароль root???????

В любой нормальной организации устаналивает всё админ и административные пароли от всех компютеров хранит у себя в сейфе!!!

Вашего админа надо уволить - он понятия не имеет о елементарных понятиях IT-Secutity!

togusak
()
Ответ на: комментарий от togusak

2togusak: "мы очень много работаем, поэтому нам некогда думать" - видимо это и про их админов тоже...:) Я как-то во время этой эпедемии не пострадал, видимо потому что на ружу у меня не светится ничего, окромя необходимого минимума...

Irsi
()
Ответ на: комментарий от PAL

> /t/ls: error while loading shared libraries: /t/ls: failed to map segment from shared object: Operation not permitted

>Ну и??????? Где обещанная дырка?

>Ядро - 2.4.22 патченное от RH

Даже на обычном ядре работать эта шняга не будет.

anonymous
()
Ответ на: комментарий от anonymous

А дело тут не в сниффере как таковом.

Просто PaX и все прочие перечисленные там, хорошо помогают при поносе,

но при запоре не всегда.

Опять же прикрутить грсек может не каждый, исполнение кода из стека

может захотеть какая нибудь игрушка.

Короче, то что хорошо подходит для корп. среды с строгим контролем и

квалифиц. персоналом для дом. использования может быть непригодно.

Линукс сейчас занимает, с большим отрывом, 1 место среди дефейсн.

веб серверов, и это в перв. очередь связывают с низк. квал. админов.

Чего Вы тогда хотите от домашних юзеров.

Sun-ch
()
Ответ на: комментарий от sco-killer

2sco-killer: количество некомпететных пользователей ОС экспонинциально зависит от ее популярности (% на рынке десктопов).

"Ну поймает новичок, сидящий в WinXP под админом какую-нть заразу, систему переставит пару раз и отучится. Это при условии, что его раньше этому не научила ни одна из сотен известных зараз."
Тебе самому не смешно? Не стоит присваивать линуксу некие мистические свойста - типа ламер сел за линукс и вскоре стал гуру. Не будет этого, эффект скорей будет обратный - под виндами юзер знает о своей уязвимости и какое-то кол-во это знание заставляет шевелиться, ставить фаерволы, антивирусы и т.д. За линуксом они же, увернные в своей неуязвимости расслабится и тут же станут легкой добычей... А то что вирусов и червей пока мало, так это только пока - понапишут если что.

Irsi
()
Ответ на: комментарий от Irsi

> эээ, этот клиент работал не в нашей организации, Ы? :) Мы с ним на irc общались...:)

Тогда не надо приводить примеры одиноних идиотов и не выдавать это как " Не только у нас - в любой нормальной организации..."

togusak
()
Ответ на: комментарий от Irsi

> А то что вирусов и червей пока мало, так это только пока - понапишут если что.

Менталитет..... Ему "апельсин", а он ....

togusak
()
Ответ на: комментарий от Sun-ch

2Sun-ch (*) (16.07.2004 15:55:54)
>Опять же прикрутить грсек может не каждый, исполнение кода из стека
>может захотеть какая нибудь игрушка.
Пример в студию, X-ы не предлагать :-)
А насчет не может, а почему, собственно? Всё необходимое есть, кроме знаний, конечно, но это дело времени :-)
>Короче, то что хорошо подходит для корп. среды с строгим контролем и
>квалифиц. персоналом для дом. использования может быть непригодно.
Не факт, по крайней мере, если человек на работе использует определенную ось, дома у него стоит что-то подобное или то, что дети установили :-)
>Линукс сейчас занимает, с большим отрывом, 1 место среди дефейсн.
>веб серверов, и это в перв. очередь связывают с низк. квал. админов.
а google занимает первое место с большим отрывом среди поисковых серверов :-)
>Чего Вы тогда хотите от домашних юзеров.
Лично я? Ничего. Принцип ССЗБ никто не отменял :-)
А если домашний юзер установил, например, Trustix? С перепугу :-)

sco-killer
()
Ответ на: комментарий от Irsi

>количество некомпететных пользователей ОС экспонинциально зависит от ее популярности (% на рынке десктопов).
>Тебе самому не смешно?
Нет, скорее грустно :-(
>Не стоит присваивать линуксу некие мистические свойста - типа ламер сел за линукс и вскоре стал гуру.
Ну под виндой так и получается :-)
>Не будет этого, эффект скорей будет обратный - под виндами юзер знает о своей уязвимости и какое-то кол-во это знание заставляет шевелиться, ставить фаерволы, антивирусы и т.д.
Юзер ничего не знает по умолчанию. Для того, чтобы научиться летать, надо сначала научиться стоять и ходить (с) Ф. Ницше.
>За линуксом они же, увернные в своей неуязвимости расслабится и тут же станут легкой добычей...
Уверен?
>А то что вирусов и червей пока мало, так это только пока - понапишут если что.
C# и .NET в руки :-) Бум ждать :-) До сих пор десяток написали, может через лет через пять еще десяток напишут :-)

sco-killer
()
Ответ на: комментарий от Sun-ch

>Линукс сейчас занимает, с большим отрывом, 1 место среди дефейсн. веб серверов, и это в перв. очередь связывают с низк. квал. админов. Чего Вы тогда хотите от домашних юзеров.

Во-первых: апаче - это не линукс. Не нравится - ставь WebSphere или ещё чего....

А домашним юзерам это надо?...

Во-вторых: админ с низк. квал. он что угодно угрохает Linux, Windows, MAC, Unix.....

PS: И сидит сейчас Вася Пупкин с выдернутым кабелем в руках и с тоской вспоминает то время, когда он на линуксе ездил по интернету, не боясь кликать мышкой куда угодно.....

togusak
()
Ответ на: комментарий от sco-killer

2sco-killer: да пойми ты же ты - кол-во вирусов и червей прямо зависит от популярности ОС, точнее скорей не прямо, а квадратично. Какой смысл писать червя под ОС, которая занимает менее 1% рынка десктопов? Никакого - он все равно не получит широкого резонанса. А сейчас червей все больше используют для своих нужд, основная задача - поиск и установления контроля над компьютерами имеющими высокоскоростное подключения, с целью организации DDoS, рассылки спама и т.д... Так что 1%, да и 3% никому не интересны, по сравнинию с более чем 90%...

Irsi
()
Ответ на: комментарий от togusak

2togusak: да пойми ты - речь идет о несколько более общих вещах и тенденциях, чем некоторые конкретные недостатки и преимущества некоторых конкретных програмных продуктов.
Еще раз - для распостраннености червей и вирусов абсолютно не важно какая ОС лучше, а какая хуже, основным фактором влияющим на это является ее популарность. Все. Все остальное маловажно по сравнению с популярностью.

Irsi
()
Ответ на: комментарий от Irsi

2Irsi (*) (16.07.2004 16:49:40)
>да пойми ты же ты - кол-во вирусов и червей прямо зависит от популярности ОС, точнее скорей не прямо, а квадратично. Какой смысл писать червя под ОС, которая занимает менее 1% рынка десктопов?
А просто по пионэрски каку сделать? :-)
>Никакого - он все равно не получит широкого резонанса. А сейчас червей все больше используют для своих нужд, основная задача - поиск и установления контроля над компьютерами имеющими высокоскоростное подключения, с целью организации DDoS, рассылки спама и т.д...
Судя по твоему постингу, ты провел очень детальный анализ психологии вирусописателей :-)
P.S. Да, что там насчет IE и OE? Можно их использовать для домашней работы на >90% десктопов или ... :-)
P.P.S. Опять упираемся в подготовленность пользователей, а что ты (и не только ты) говорил раньше про сложность Linux для десктопа? :-)

sco-killer
()
Ответ на: комментарий от Irsi

> да пойми ты - речь идет о несколько более общих вещах и тенденциях, чем некоторые конкретные недостатки и преимущества некоторых конкретных програмных продуктов.

Следи за своей логикой.

В доказательство своей правоты этот пример:

Линукс сейчас занимает, с большим отрывом, 1 место среди дефейсн. веб серверов, и это в перв. очередь связывают с низк. квал. админов.

Теперь ты говоришь прямо противоположное.... ??????

>Еще раз - для распостраннености червей и вирусов абсолютно не важно какая ОС лучше, а какая хуже, основным фактором влияющим на это является ее популарность. Все. Все остальное маловажно по сравнению с популярностью.

Это утверждение высосано из пальца. "Это так, и по-другому быть не может, потому что не может быть по-другому!"

Менталитет......

togusak
()
Ответ на: комментарий от sco-killer

2sco-killer: даже по пионерски сделать каку интересней более чем 90%, а не менее чем 1%...:)
Да, я неплохо знаю психологи пионеров - на линуксоидах изучал... ;)

> Опять упираемся в подготовленность пользователей, а что ты (и не только ты) говорил раньше про сложность Linux для десктопа? :-)

Чтоб стать популярным линуксу придется поиметь дистр, который так же прост для десктопа как и винда... Ну или лучше как десятка :) Такого дистра пока нет, но все попытки создать такой дистр имеют очень нехорошие особенности в плане безопасности, при этом зачастую в этом плане дефолтная конфигурация в плане безопасности еще хуже виндовой...

По поводу OE & IE - я использую и что? Проблем нет... И что? Но это у меня - я все же прежде чем по аттачментам кликать думаю сначала... Впрочем могу напомнить про одну дырочку в The Bat!, которая позволяла записать файл в любую часть FS, которая тебе доступна по rw...

Irsi
()
Ответ на: комментарий от togusak

2togusak:

> Линукс сейчас занимает, с большим отрывом, 1 место среди дефейсн. веб серверов, и это в перв. очередь связывают с низк. квал. админов

Ну это не я сказал, но все же...
В чем причина низкой квалификации админов, а? Не в том ли что публичный веб сервер на линуксе с апачем является самым распостраненым? Чем более распостранена система, тем больше админов требуется, а число умных и грамотных людей ограниченно... Вот и бирут всяких красноглазых на роль админов, ибо нормальные всегда в дефеците... То есть опять же - прямая зависимость от популярности...

Irsi
()
Ответ на: комментарий от Irsi

Irsi (*) (16.07.2004 17:13:02)
>Да, я неплохо знаю психологи пионеров - на линуксоидах изучал... ;)
На пионэрах изучал, не надо передергивать.
>Чтоб стать популярным линуксу придется поиметь дистр, который так же прост для десктопа как и винда...
Чтобы стать популярным как винда надо стать виндой. А Linux и так популярен, как Linux %-) ну разные это системы, РАЗНЫЕ.
>Ну или лучше как десятка :)
Угу, только для этого Mac нужен, а он не так популярен, как x86, но тем не менее удобен. Парадокс, однако, как и в примере с Linux :-)
>По поводу OE & IE - я использую и что? Проблем нет... И что? Но это у меня - я все же прежде чем по аттачментам кликать думаю сначала...
А остальные не думают, просто ходят в инет мозилой и оперой :-) Под Linux %-)
>Впрочем могу напомнить про одну дырочку в The Bat!, которая позволяла записать файл в любую часть FS, которая тебе доступна по rw...
А что, уже бат под Linux вышел? IMHO, kmail удобнее :-)

sco-killer
()
Ответ на: комментарий от Alter

>$ /lib/ld-linux.so.2 /mnt/ls

Вот мля! Работает!!! :((((((((((

Все! Нахер! монтируем хом только ro! %)

vada ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.