LINUX.ORG.RU

Концепт-вирус на Linux


0

0

итак, продолжаем попытки запостить новость про subj. Появился концепт-вирус, одинаково хорошо заражающий PE на Win32 и ELF на Linux (на платформе x86). подробности на руссском языке: http://zdnet.ru/?ID=203312 - на ZDNet http://www.bugtraq.ru/rsn/archive/200... - на BugTraq

>>> Подробности от Symantec



Проверено:

ну и чего ?

с 91-го года я ни разу не пострадал от вирусов ни на одной платформе, а на линухах - вообще сложно описывать понятие _вирус_.

если админ идиот, то конечно...

anonymous
()

Дык там такой и подразумевается, админ-идиот... Что-то вроде вируса типа письма:

Это письмо представляет из себя интернет-вирус нового поколения. К сожалению, я пока не научился писать размножающиеся программы, поэтому разошлите это письмо по всем адресам в Вашей адресной книге. Кроме того, я не умею писать программы, которые удаляют файлы и директории, поэтому удалите их, пожалуйста вручную. Спасибо!

А полиморфные вирусы существуют вроде бы уже давно и их вроде бы даже лечат...

CybOrc
()
Ответ на: комментарий от CybOrc

Можно подумать, что никто никогда не занет смысла PR...

Естественно это все давно известно, и естественно, что это давно лечат.

Мне особо понравилась вот эта строчка:

"по-настоящему могут быть заражены только системы, работающие в так называемом суперпользовательском режиме доступа к системе."

Неужели есть еще такие дурни, которые под рутом работаю?

Dao_Dezi
()

> Неужели есть еще такие дурни, которые под рутом работаю?

Takie byli, est' i budut vsegda ;)

"Those who play with root eventually kill a tree ;))"

mc_ewans
()

только я так и не понял, что-бы заработал вирус я должен его запустить (полученное письмо с вложением, или что-то в этом роде), или есть у него другие пути?

anonymous
()

anonymous (*) (2002-06-06 16:47:08.318):

видимо да, а для определенных вирусов дистрибутив должен быть только от RedHat и не менее, чем 6.2. версии, чтобы работало :-)

anonymous
()

Кстати, в моем, не системном каталоге elf-executables не более 3-х штук - мои программы. И в целом они больше никуда не перемещаются с машины. Софт ни откуда, кроме как CD дистрибутива не ставлю. Так-что по-моему сама идея вируса (не червя) под Linux довольно гиблая.

anonymous
()

у линукса в этом плане ситуация, IMHO, лучше, чем у виндов... большинство прог под линух идут с сырцами, которые (если я ничего не пропустил в этой жизни) еще не научились заражать... так шо если админы придерживаются правила перекомпилять проги перед установкой то вероятность подцепить какую-нить гадость весьма невелика...

hoopoe ★★
()

Ну понятно, что админ идиот. Вирусы и на Винде могут появится только если админ идиот. Иначе откуда им там взятся. А вообще админы на сервреах бывают. А на серверах вирусы разве что в файл помойках ползают. (Черьви насколько я понял в данном контексте за вирусы не считаются ибо уже сто лет как они по Линуксу ползают, а на Юнихе они были наверное когда и Винды не было)

shuras
()

да нет, вполне реальная идея. тут в каком-то соседнем треде говорилось про наличие линуха в тамошних университетах - типа есть и много. чем не полигон? если кто помнит, вирусня под дос тоже из таких мест выползла..
а вообще вы на заголовок смотрели? написано же - концепт. не опасен, не опасен.. конечно этот не опасен.. но вот когда к нему добрая душа в универе каком-нить приделает локальный эксплойт - вот тогда придет медный таз.
потом, почти у всех вроде бы винды стоят? и бы есть давно драйверок под нт что бы с ext2 читать/писать, у меня был как-то... имхо, хорошее сочетание...

qrot
() автор топика

2qrot (*) (2002-06-06 18:55:35.951):

Насчет ext2 я задумывался, поэтому и написал, что у меня ReiserFS. А к ней драйверка еще нет...

anonymous
()
Ответ на: комментарий от hoopoe

>большинство прог под линух идут с сырцами, которые (если я ничего не
>пропустил в этой жизни) еще не научились заражать...
скажи пожалуйста сколько ты сырцов проверил
на предмет наличия в них деструктивных функций,
открытия портов на машине и т.п.?

anonymous
()

На сколько я помню, в каком-то журнале было приведено сравнение Виндусов (вообще всех продуктов МС) и Юниксов. За всю историю Юниксов (около 30 лет) для них было меньше 10 страшных вирусов/червей. За всю историю МС продуктов (с 1982 года если, то 20 лет) для неё написано что-то около нескольких десятков тысяч вирусов таких же страшных, ну ещё теперь и почтовых червяков стало много.

Как избавлялись от вирусов в Юниксах: заделывали дыры. Как избавляются от вирусов в МС среде: Ставят Антивирус. ЧТо лучше, думаю, понятно.

И как же, интересно мне знать, заражённый файлик, запущенный не рутом, будет размножать вирус ??? У него вообще-то прав не хватит, о чём наверное должно стать известно либо пользователю либо админу.

На счёт исходных текстов, которые невозможно заразить: откуда Вы знаете, что ваш компилятор не заражён ??? Ну скомпилируете вы и его, а где гарантия, что тот компилятор, которым Вы собираете новый, не заражён ??? Хорошо, проверите Вы первый компилятор Антивирусом, где гарантия, что АНтивирус собран незаражённым компилятором ? :-)))

Об этом говорил ещё сам то ли Риччи, то ли Кэриган :-)))

Призываю всех вирусописателей и рыроиспользователей заняться чем-нить мирным и полезным !!! :-)))

Warmonger
()

>И как же, интересно мне знать, заражённый файлик, запущенный не рутом, будет размножать вирус ??? У него вообще-то прав не хватит, о чём наверное должно стать известно либо пользователю либо админу<

эксплоит программы с правами суперпользователя. Вполне реально.

anonymous
()

anonymous ([46]*) (2002-06-06 19:31:36.124):

дорого это сырцы проверять, можно для начала сравнивать md5sums от производителя, или вообще gpg пользовать для проверки подлинности пакета :Р

anonymous
()
Ответ на: комментарий от anonymous

>>эксплоит программы с правами суперпользователя. Вполне реально.

ну как сказать реально, дождаться эксплоита и инфильтроваться (тоже нужно знать как именно можно это сделать) в ситему в промежуток времени между появлением эксплоита и его устранением...

В общем ничего нового и интересного не кроет в себе ента новость...

anonymous
()

2 Warmonger: >На счёт исходных текстов, которые невозможно заразить: откуда Вы знаете, что ваш компилятор не заражён ??? Ну скомпилируете вы и его, а где гарантия, что тот компилятор, которым Вы собираете новый, не заражён ??? Хорошо, проверите Вы первый компилятор Антивирусом, где гарантия, что АНтивирус собран незаражённым компилятором ? :-)))

применив вашу логику на уже закаченный бинарный файл, получим еще более ужасную картину, ко всему перечисленному, скомпилированный файл мог заразиться по пути к вам, пройдя через уже зараженную систему.

hoopoe ★★
()

2hoopoe: это не логика Warmonger, это и вправду логика кого-то из великих, точно не помню уже чья...

qrot
() автор топика

Ага. Кто-то умный сказал: Истина изреченная - есть ложь!

anonymous
()

А кто-нибудь по ссылка на симантик ходил?

Лично я третий день удивляюсь крутости вируса, умеющего заражать программу cp с правами 777.

fearan
()

Очень часто приходится наблюдать людей не имеющих понятие о вирусах. Здесь, среди приверженцев Linux да и UNIX в целом таких тоже очень много. Классический вирус не использует дыры в безопасности, он не портит данные, не стирает BIOS, не пишет всякую дрянь на экране. Всё что он делает - он размножается. При этом используются стандартные и разрешённые возможности системы. Как правило любая система предоставляе доступ к некоторым файлам - вот вам один путь. Как правило любая система позволяет создавать фильтры, которые следят и анализируют действия пользователя, например использование su - вот вам второй путь. Как правило большенство конечных пользователей обмениваются бинарными файлами и не используют контроль модификаций типа MD5 - вот вам третий путь. Заражение исходников - тоже не новость, в своё время гулял вирус заражающий сорсы на Pascal, C. Всего этого вполне достаточно для размножения вирусов на любых, в особенности пользовательских системах. Единственный естественный сдерживающий фактор - низкая распространённость определённых систем. И ещё для справки, первые вирусы писались очень давно в университетах и изучались как часть Computer Science.

anonymous
()

> Как правило любая система позволяет создавать фильтры,
> которые следят и анализируют действия пользователя, например использование su - вот вам второй путь.

А можно послать тебя на хрен двадцать третьим путем? Тупорылый обезьян - вот кто ты.

> большенство конечных пользователей обмениваются бинарными файлами и не используют контроль
> модификаций типа MD5 - вот вам третий путь

Пока что обмен идет между виндовыми юзерами и иногда между виндовыми и линуксовыми. Когда линукс станет
преобладать на десктопе, главные дистрибуторы наверняка предложат вариант обмена файлами
через нейтральный аккаунт. И все твои инсинуации разлетятся как снежный ком.
Тупорылым юзерам будет один раз жирным шрифтом рассказано, как обмениваться файлами
секьюрно. Кто не понял, пойдет в то же место, что и ты ;)

anonymous
()

Ну народ :)) ну веселье :))
Вы что не знаете, что самый страшный вирус на компьютере это Linux?
который выводит из строя мониторы и жесткие диски так, что потом
приходиться покупать новые?
:-))))))))))))))))))))))))))))))
а если серьезно то зачем есть такая утилита как tripware?
которая по идее должна отслежиавать все изменения

l-xoid ★★★★★
()

Поясните тупому usery, как секьюрно обмениваться файлами. Очень необходимо.

anonymous
()
Ответ на: комментарий от anonymous

В линуксе, по крайней мере в настоящее время, практически нет никакого смысла
обмениваться бинарными исполнимыми файлами между юзерами. 99% идет от вендора в сырцах,
а оставшиеся - от известных контор - оракл и т.п. Я когда скачиваю программу новую,
на бинарные пакеты вообще внимания не обращаю. Только сырцы в tar.gz.
Скрипты проверяются элементарно. А если бы и возникла необходимость запустить
чужой бинарник, я сначала бы кинул его в chroot и протрассировал бы.

anonymous
()

А глупый вопрос. Тут я прочитал, что в системе 3-4 файла ELF. Так может проще перекомпилять их, чтобы они получились другого формата, а из ядра убрать поддержку ELF ?

anonymous
()

2anonymous (*) (2002-06-07 12:00:10.579): Честно говоря я пришел в Linux года 4 назад и всю свою сознательную жизнь бил поддержку a.out, оставляя только поддержку elf и все всегда работало.

Может быть что-то перепутано? В a.out кажется не может быть динамических библиотек (может быть я не прав).

Но в общем, если в системе все так, то ДА, можно. Но тогда скажи, что у тебя за система.

2l-xoid (*) (2002-06-07 10:52:17.619):

Раз в неделю tripware можно запускать для очистки совести, но эта проверка должна много времени занимать. Хотя - да. Но смысл? У меня desktop, все сервисы закрыты. Программы я ставил только с Master CD или Sisyphus. Там просто есть все, что мне нужно. И потом, apt вроде бы проверяет и подпись и контрольную сумму.

anonymous
()

Я так и не понял - он в природе встречается , или разработан в лаболатории Семантека ? А то складывается ощущение что эти вирусы, когда нет добровольных помошников, всякие антивирусописатели и разрабатывают. И кстати в переспективе нас ждет много гемора от поделия м-р Робертсона и его Lindows. Он же не хочет, гад делать многопользовательнось по человечески, говорит, что его бабушка это не вкуривает :-) Правда как это связнно , мне лично мало понятно, есть же suid с capabilites и прочие радости.

kernel ★★☆
()

На HP-UX 11 все файлы формата a.out и shared libraries нормально работают.

anonymous
()
Ответ на: комментарий от hoopoe

Как раз сырцы заражать - одно удовольствие! Пишем простенький вирус на шелле, так, чтоб он заражал только configure скрипты - они большие, и в них никто никогда не смотрит - но и пересобирают редко. При этом известно, что make install потом с весьма большой вероятностью скажут под root-ом. Идея простая. Нечто вроде этого я давном давны на DCL под VMS делал, скриптовый вирус, заражающий только шибко большие скрипты и распространяющий бинарный вирус. Надежных средств защиты от подобных издевательств так придумать и не получилось.

Antichrist
()
Ответ на: комментарий от Antichrist


>Как раз сырцы заражать - одно удовольствие! Пишем простенький вирус на >шелле, так, чтоб он заражал только configure скрипты - они большие, и в >них никто никогда не смотрит - но и пересобирают редко. При этом >известно, что make install потом с весьма большой вероятностью скажут >под root-ом. Идея простая.

И ее уже осуществили :) Вспоминая историю с fragroute :)

> Нечто вроде этого я давном давны на DCL под >VMS делал,

Как же, баловались DCL-ем в этом направлении на RSX11M+ лет 15 назад :) довольно забавно было :))

скриптовый >вирус, заражающий только шибко большие скрипты и >распространяющий >бинарный вирус. Надежных средств защиты от подобных >издевательств так >придумать и не получилось.


PS: Некоторое время назад (год или два) была дыра в утилитке man
вот это было действительно прикольно (вирус в man файлах)
правда нужны были таки права root-а - но ведь man-ы то и root читает :)

/SS

anonymous
()

2kernel (*) (2002-06-07 13:17:55.69): Ну, положим возня с Lindows большинству тут не грозит, т.к. все знают, чего стоит неделя работы под root'ом - после случайного rm можно и системку-то больше не найти. :-)

2Antichrist (*) (2002-06-07 17:35:46.662): Я думаю, что для того же AVP это фигня, правда кто-же будет скрипты проверять, хотя я с некоторого времени их по возможности просматриваю. Кстати видимо по этому в ALT Master srpms собирают не под root'ом.

anonymous
()

2 /SS да с обезьяной погановато вышло меня как раз дернуло dsniff поставить в этот момет но быстренько я это чудо раскусил :-) действительно просто и со вкусом

опятьже можно вспомнить эксплоит-траян для бинда вот это было очень круто тут чтобы просеч надо не только с знать но и понимать технику написания шелкода ...

anonymous
()
Ответ на: комментарий от Antichrist

> configure скрипты - они большие, и в них никто никогда не смотрит - но и пересобирают редко.

Опять подметатель пурги вылез ;( Я, например, почти всегда читаю configure, и потом
он довольно легко и не так уж редко "пересобирается" скриптом autogen.sh,
потому как строго говоря не является "исходником". Это генерируемый файл.

anonymous
()

Да, насчет сборки из сорцов... И насчет "не видел людей чтоб исходник проверяли на предмет наличия в них деструктивных функций, открытия портов на машине и т.п" Я и сам таких не видел ;-) Дык хотя б ЭмДэПять проверять следует у того, что из инета тянется. А насчет заразы чтоб сорцы заражала - о-о-о!! Это был бы номер! Начиная с кернела! Эдакая "едрена вошь" (kernel bug) :))) Вот это был бы концепт!

Rolex ★★
()
Ответ на: комментарий от anonymous

>>А глупый вопрос. Тут я прочитал, что в системе 3-4 файла ELF. Так может проще перекомпилять их, чтобы они получились другого формата, а из ядра убрать поддержку ELF ?

Человек говорил, что у него в _домашнем каталоге_ 3-4 файла ELF, к которым у него есть доступ на запись. В /usr их сотни, но к ним нет доступа на запись, и заразить соответственно их нельзя.

>>Я, например, почти всегда читаю configure

И сколько у тебя времени в среднем занимает чтение configure ( средний configure сопоставим по числу байт с небольшой повестью )?

>>> и потом он довольно легко и не так уж редко "пересобирается" скриптом autogen.sh, потому как строго говоря не является "исходником". Это генерируемый файл.

Тогда можно заражать в придачу acinclude.m4.

Hamster
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.