LINUX.ORG.RU

Зомбированные Linux-машины как инструмент фишеров


0

0

Эксперты по безопасности Dave Cullinane (eBay, ранее Washington Mutual), Alfred Huger (Symantec), Iftach Amit (Finjan) отмечают рост использования руткитованных Linux-систем как одного из наиболее могущественных инструментов в арсенале фишеров. Эксперты заявляют, что хотя в количественном отношении Linux-зомби и проигрывают Windows-ботнетам, продвинутые возможности этой операционной системы позволяют организовывать более сложные атаки.

Закладка руткитов производится традиционно, через незакрытые уязвимости. Конкретное применение Linux-машин в фишинговых схемах подробно не описывается.

>>> Подробности



Проверено: Shaman007 ()
Ответ на: комментарий от anonymous

> удобство Linux оборачивается удобством для хакера

В чём удобство, если для получения рута в винде надо просто запустить червя и у тебя будут сотни зомби за несколько дней, а линукс для рута надо ломать руками (причём довольно долго и не факт что сломаешь)?

Moin
()

Виндузятник вслед за другими виндузятниками что-то бездоказуемо вякает о безопасности GNU/Linux

Можно ли ввести правило при подтверждении подобных "новостей" по безопастности или операционным системам - не принимать их от пользователя, сидящем под User-Agent "Windows*"?

anonymous
()
Ответ на: комментарий от Reset

> пользователи предпочтут пользовать антивирус чем трахаться с обновлениями :)

ну да, инерция сознания. подкреплённая маркетинговыми визгами производителей антивирусов...

gaa ★★
()
Ответ на: комментарий от anonymous

> виндах у тебя практически сразу права одмина, а в никсах приходится попыхтеть

> это к вопросу о том если вся система ro, a home - noexec

s/практически/ /

s/попыхтеть/долго ковыряться в поисках старых дырявых приложений или ещё дольше брутфорсить/

Moin
()
Ответ на: комментарий от Reset

> когда линух достигнет 40% и более на десктопах, то с вирусами будет также как и в виндах

По каким это таким причинам? Если в винде любая самая занюханая прога может получать рута за несколько секунд, то в Линуксе это принципиально возможно только через основные сервисы и само ядро. Далее включай машину времени, мне интересно каким это макаром вирусы будут также иметь всех, как это они делают сейчас в винде.

Moin
()
Ответ на: комментарий от Reset

> а ты думаешь, что пользователи будут ставить апдейты? тем более ядро апдейтить ? чего-то я сильно сомневаюсь :)

А почему нет, в декстопных линуксах сразу автоматические обновления через GUI включаются ведь. И что такого в "тем более ядро апдейтить", apt-get не все равно?

sv75 ★★★★★
()
Ответ на: комментарий от gaa

> Можно ещё сунуть винды под виртуальную машину и открыть 139 порт наружу. тем самым можно легко отвести внимание от юниксного сервера на ломание виндофф

Тогда червь поставит себя на винду и будет из под неё пытаться ломать то на чём сидит виртуальная машина.

Moin
()
Ответ на: комментарий от Moin

> Если в винде любая самая занюханая прога может получать рута за несколько секунд

Давай примерчик. Запустим под обычным юзером и посмотрим, появятся ли процессы от имени администратора :)

WindowsUser ★★
()
Ответ на: комментарий от Reset

> не будут рядовые пользователи ничего апдейтить, поставят и будут работать годами пока их не похачат.

Я вот обычный пользователь и у меня не возникает проблемм запустить автоапдейт в линуксе (двумя кликами), благо он не жрёт всю память и процессорное время в отличие от автоапдейта винды.

А даже если и найдутся идиоты которые не хотят апдейтится просто "потому что", то автоапдейт включённый по дефолту уже решит большую часть проблеммы.

Останутся люди которые специально выключают автоапдейт. Но если их ломанут - то это уже их проблеммы.

>> Про апдейты: сколько не наблюдаю виндузятников, они постоянно обновляют саму винду/nero/totalcmd/winrar и т.д

> Это какие-то продвинутые виндузятники, нормальные виндузятники ничего не обновляют

Вот вот! К сути дела: в винде даже продвинутый виндузойд не способен защитить систему. Что уж говорить об "обычном". Тем более, что для обновления винды надо как минимум нажать на каждое приложение и нажать в нём "апдейт", а как максимум переустановить все приложения с потерей настроек. А в Линуксе надо нажать два раза мышью как минимум и вбить один раз пароль для рута для обновления как максимум.

Moin
()
Ответ на: комментарий от WindowsUser

> Давай примерчик. Запустим под обычным юзером и посмотрим, появятся ли процессы от имени администратора :)

Доступ к оперативке в винде не модерируется (см. artmoney, етс. и идти лесом).

Moin
()
Ответ на: комментарий от WindowsUser

>Давай примерчик. Запустим под обычным юзером и посмотрим, появятся ли процессы от имени администратора :)

Причем тут администратор? Появится процесс не суть важно от чьего имени, главное что он будет иметь высокие полномочия и пропишет вредоносный код куда ему надо(админ, SYSTEM или др).

Поищите примерчики, гугл вам поможет.

TheMixa ★★★
()
Ответ на: комментарий от Moin

> каким это макаром вирусы будут также иметь всех, как это они делают сейчас в винде

Например. Вирус прячется где-нибудь в доманшем каталоге какого-нибудь полноценного юзера, а в .bashrc добавляет: alias sudo="$HOME/.hidden/.virus". :) Дальше дело техники. Можно ещё в crontab себя добавить на всякий случай, чтобы запускаться, даже если юзер не логинился. Тут самое сложное, конечно, проникнуть к этому юзеру в домашний каталог, потому что в Линуксе принято ставить софт из официальных репозиториев, а не качать бинарники с китайских варезных порталов. Но учитывая нынешние тенденции... Вон, многие дистры уже прикручивают автозапуск дисков и флэшек, и то ли ещё будет.

ero-sennin ★★
()
Ответ на: комментарий от Moin

>> Можно ещё сунуть винды под виртуальную машину и открыть 139 порт наружу. тем самым можно легко отвести внимание от юниксного сервера на ломание виндофф

> Тогда червь поставит себя на винду и будет из под неё пытаться ломать то на чём сидит виртуальная машина.

Дык, закрыть _любой_ доступ от айпишника винды в iptables делается одной простой командой "iptables -A INPUT -s $win_ip -j DROP"

gaa ★★
()
Ответ на: комментарий от ero-sennin

> 0Например. Вирус прячется где-нибудь в доманшем каталоге какого-нибудь полноценного юзера, а в .bashrc добавляет: alias sudo="$HOME/.hidden/.virus". :) Дальше дело техники.

Труъ-параноики с семидесятых пишут /bin/sudo вместо sudo ;)

Кстати, чей пароль спрашивает команда sudo? Не юзерский ли? Так что если подменять, так подменять su.

gaa ★★
()
Ответ на: комментарий от ero-sennin

> Можно ещё в crontab себя добавить на всякий случай, чтобы запускаться, даже если юзер не логинился.

Ну чтобы в crontab себя писать нужно сначала и пароль отловить.

> Тут самое сложное, конечно, проникнуть к этому юзеру в домашний каталог, потому что в Линуксе принято ставить софт из официальных репозиториев, а не качать бинарники с китайских варезных порталов.

Вот тото и оно, что домохозяйка не будет лезть на китайские варезные порталы. А тот кто полезет соответственно сделает это уже либо осознавая риски, либо предохраняясь.

Как ни крути ситуация с вирусами получается далеко не такая как в винде. Чтобы она стала такаяже надо для начала убрать многозадачность и разделение процессов. И ещё не патчить security баги ядра до выхода нового compiz-а.

Moin
()
Ответ на: комментарий от gaa

Ну я имел ввиду - которые распространаются таким же образом как пхпбб, а не пишуться эксклюзивно. :)

Moin
()
Ответ на: комментарий от Moin

у меня виндоус апдейт не жрёт всё процессорное время и память! (ноутбук асер с 512 пямяти проц турион 3000+) А дома Арч он тоже при апдейте ничего не жрет.

Мораль: Ни надо говорить того чего нет. Поступаете не лучше чем МС который гонит на линукс за те промашки которых там нет.

anonymous
()
Ответ на: комментарий от gaa

> Труъ-параноики с семидесятых пишут /bin/sudo вместо sudo ;)

Не знаю, как было в семидесятых, а в современных линуксах /usr/bin/sudo, это надо быть суровым параноиком, чтоб не обломаться по 20 раз в день такое набирать. :)

> Кстати, чей пароль спрашивает команда sudo? Не юзерский ли? Так что если подменять, так подменять su.

Ну, можно и su подменить до кучи. Можно попытаться запомнить пароль и подсунуть его настоящему sudo. А кроме того, timestamp_timeout по дефолту установлен в 5 минут, так что после того, как юзер один раз сделает sudo, на целых 5 минут всем вирусам наступает раздолье. Правда, sudo следит, чтобы ввод был с терминала, но это отнюдь не проблема.

И потом, не всем нужны рутовые права. Спамботы и без них прекрасно смогут работать.

ero-sennin ★★
()
Ответ на: комментарий от anonymous

> у меня виндоус апдейт не жрёт всё процессорное время и память! (ноутбук асер с 512 пямяти проц турион 3000+) А дома Арч он тоже при апдейте ничего не жрет.

У меня на работе на athlon 64 2000+ с гигом оперативы виндовс апдейт заметно тормозит работу. Наверно потому, что я не оставляю его одним процессов в системе, а пытаюсь в это время что-то кодить в эклипсе. Да и drweb никто мне выгрузить не позволяет. Может стоит снять розовые очки?

gaa ★★
()
Ответ на: комментарий от anonymous

> у меня виндоус апдейт не жрёт всё процессорное время и память! (ноутбук асер с 512 пямяти проц турион 3000+) А дома Арч он тоже при апдейте ничего не жрет.

Жрёт ещё как. Любая мало-мальски трёхмерная игрушка на винде при автоапдейте начинает диавольски тормозить.

> Мораль: Ни надо говорить того чего нет. Поступаете не лучше чем МС который гонит на линукс за те промашки которых там нет.

Ну я сказал то что сам видел на своём примере. Если есть большое желание можно даже привезти мой комп куда-нибудь и потестировать с секундомером.

Moin
()
Ответ на: комментарий от ero-sennin

> Правда, sudo следит, чтобы ввод был с терминала, но это отнюдь не проблема.

Покажите, как её обойти.

> И потом, не всем нужны рутовые права. Спамботы и без них прекрасно смогут работать.

спамбот != вирус

gaa ★★
()
Ответ на: комментарий от ero-sennin

>> Труъ-параноики с семидесятых пишут /bin/sudo вместо sudo ;)

> Не знаю, как было в семидесятых, а в современных линуксах /usr/bin/sudo, это надо быть суровым параноиком, чтоб не обломаться по 20 раз в день такое набирать. :)

А у Вас возникает необходимость по 20 раз в день заходить под рутом? У меня - нет.

Про полный путь ошибся. Но /bin/su точно располагается так :)

Кстати, ещё можно сделать alias ls="rm -rf" и т.д. :) Так в эпоху широкой распространённости unix прикалывались.

gaa ★★
()
Ответ на: комментарий от Moin

>Далее включай машину времени, мне интересно каким это макаром вирусы будут также иметь всех, как это они делают сейчас в винде.

Иметь они будут не совсем всех, а только ламеров, коих 90% пользователей. Под виндами от вирусов тоже только ламера страдают.

Reset ★★★★★
()
Ответ на: комментарий от anonymous

> Ему про уязвимости, а он про рутовый exec(). Лучше потри свой пост, пока мало народу видело.

тогда раскажи мне как по другому поиметь домашний компьютер с линуксом , на котором в 99% не запущено ни одного демона, смотрящего в инет? Те, кто запускают sshd, apache, ftpd, etc, сами все знают

JB ★★★★★
()
Ответ на: комментарий от Moin

> Ну чтобы в crontab себя писать нужно сначала и пароль отловить.

/usr/bin/crontab не спрашивает пароль.

> Вот тото и оно, что домохозяйка не будет лезть на китайские варезные порталы. А тот кто полезет соответственно сделает это уже либо осознавая риски, либо предохраняясь.

Берёшь, например, любую KDEшную тему виджетов. Патчишь её слегка, добавляешь какую-нибудь заманчивую фичу. Потом добавляешь туда свой троянский код и выкладываешь на http://kde-look.org. :) А если ещё собрать rpm-ки и deb-ки и выложить туда же, от желающих обзавестись новым трояном отбоя не будет. :)

Как вариант, выкладываешь tgz на http://linuxpackages.net.

ero-sennin ★★
()
Ответ на: комментарий от gaa

>Наверно потому, что я не оставляю его одним процессов в системе, а пытаюсь в это время что-то кодить в эклипсе.

дело думаю в эклипсе, который и под линухом неслабо тормозит :))

Reset ★★★★★
()
Ответ на: комментарий от Reset

> Иметь они будут не совсем всех, а только ламеров, коих 90% пользователей. Под виндами от вирусов тоже только ламера страдают.

Вопрос был не "кого они будут иметь", а "каким образом".

Moin
()
Ответ на: комментарий от Reset

> не будут рядовые пользователи ничего апдейтить, поставят и будут работать годами пока их не похачат.

в большенстве десктопных дистрах за апдейтами следит специальная тулза, которая при их появлении выдаст окошко с предложением их поставить

JB ★★★★★
()
Ответ на: комментарий от Reset

>> Наверно потому, что я не оставляю его одним процессов в системе, а пытаюсь в это время что-то кодить в эклипсе.

> дело думаю в эклипсе, который и под линухом неслабо тормозит :))

Но без виндовс апдейта он приемлимо работает! Да и сомневаюсь я что vs2008 тормозит меньше

gaa ★★
()
Ответ на: комментарий от Moin

>Я вот обычный пользователь и у меня не возникает проблемм запустить автоапдейт в линуксе (двумя кликами)

двумя кликами это уже не автоапдейт, и если ты его запускаешь, то ты уже не обычный пользователь

Reset ★★★★★
()
Ответ на: комментарий от JB

Это должно делаться как в виндах -- насильная установка апдейтов на этапе выключения/перезагрузки. Иначе все на это окошко будут забивать, даже более того, обычный пользователь не поймет чего от него хотят и просто нажмет на закрытие окна.

Reset ★★★★★
()
Ответ на: комментарий от Reset

> когда линух достигнет 40% барьера

Да уж, 40% бубунты - это страшный сон. И он явью не станет никогда! А вирус тянущий за собой шлейф совместимости с десятком дистрибутивов, ИМХО, нежизнеспособен.

anonymous
()
Ответ на: комментарий от ero-sennin

> /usr/bin/crontab не спрашивает пароль.

а мне говорит: > You (dima) are not allowed to use this program (/usr/bin/crontab)

что я сделал неправильно?

> Берёшь, например, любую KDEшную тему виджетов. Патчишь её слегка, добавляешь какую-нибудь заманчивую фичу. Потом добавляешь туда свой троянский код и выкладываешь на http://kde-look.org.

KDE-Look это уже далеко не китайский варезный портал и безопасность подобных сайтов будет уже зависеть от организации портала, а не от программного обеспечения.

Moin
()
Ответ на: комментарий от gaa

>Да и сомневаюсь я что vs2008 тормозит меньше

Не знаю что такое vs2008, а vs2005 в отличие от eclipse не тормозит, его спокойно можно пускать по 2-3 копии с разными проектами, попробуй в eclipse такое проделать :)

Reset ★★★★★
()
Ответ на: комментарий от ero-sennin

> Берёшь, например, любую KDEшную тему виджетов. Патчишь её слегка, добавляешь какую-нибудь заманчивую фичу. Потом добавляешь туда свой троянский код и выкладываешь на http://kde-look.org. :)

Теоретически так, но практически такого не бывает.

Можно и под винду написать суперкрутой калькулятор с вирусом. Но чтобы реализовать нечто супркрутое, надо иметь неслабый профессионализм, который у вирусописателей(ну не будет же серьёзный дядька писать вирусы!) зачастую отсутствует. Да и интерес к написанию вируса после года работы с калькулятором сполне может угаснуть.

gaa ★★
()
Ответ на: комментарий от Reset

> двумя кликами это уже не автоапдейт, и если ты его запускаешь, то ты уже не обычный пользователь

У меня справа снизу горит офигительно красный восклицательный знак, я жму на него и жму верхнюю строчку "автоапдейт". Вопрос: Какие спецнавыки необычного пользователя я использовал?

Moin
()
Ответ на: комментарий от gaa

> Покажите, как её обойти.

С помощью пары псевдотерминалов, как это делают все терминальные эмуляторы. man 3 openpty

> спамбот != вирус

Это вопрос терминологии. :) А иметь спамбота на своей машине ничуть не приятнее, чем иметь вируса. :)

> А у Вас возникает необходимость по 20 раз в день заходить под рутом? У меня - нет.

Тут достаточно и одного раза. :) Факт тот, что timestamp_timeout по дефолту — 5 минут, и редко кто это дефолтное значение изменяет.

ero-sennin ★★
()
Ответ на: комментарий от Reset

> Не знаю что такое vs2008, а vs2005 в отличие от eclipse не тормозит, его спокойно можно пускать по 2-3 копии с разными проектами, попробуй в eclipse такое проделать :)

Делал, работало. Но давайте сравнивать одинаковые по дате выпуска версии, а то получится, что современный emacs тормознее vs 1.0 :)

> вирусы будут самокомпилируемые, благо gcc ставится по умолчанию почти везде :)

А базу дырок в линухе они будут с сайта производителя вируса скачивать? ;)

Кстати, можно написать вирус на shell, он тоже везде есть. Или на перле с питоном, их тоже из системв не выкинешь, т.к. найдётся хоть одна софтина, которая на них завязана.

gaa ★★
()
Ответ на: комментарий от vadiml

>Вообще-то это больше похоже на п%%%ёшь на голом месте.

Ну почему похоже? Так он и есть.

>хренасе... а чё у линукссакс дизайн такой какой-то под ХеРню заточен, вроде свиста уже вышла, а они всё на старом дизайне - не порядок...

Железо слабовато, а на новое денег нет. Видно уборщики общественных туалетов маловато зарабатывают.

Rodegast ★★★★★
()
Ответ на: комментарий от gaa

> Делал, работало. Но давайте сравнивать одинаковые по дате выпуска версии, а то получится, что современный emacs тормознее vs 1.0 :)

можно сравнить с eclipse 2005го года, но тогда он совсем в пролете окажется :)

Reset ★★★★★
()
Ответ на: комментарий от ero-sennin

>> А у Вас возникает необходимость по 20 раз в день заходить под рутом? У меня - нет.

> Тут достаточно и одного раза. :) Факт тот, что timestamp_timeout по дефолту — 5 минут, и редко кто это дефолтное значение изменяет.

А если у меня sudo разрешено только на zsh, из которого я потом запускаю нужное? Придётся вирус снабжать AI, чтобы он такое распознавал.

gaa ★★
()
Ответ на: комментарий от Reset

> ты увидел красный восклицательный знак, обычный пользователь его не увидит

Тоесть обычный пользователь не способен видеть красные восклицательные знаки? Обычный пользователь дольтоник или не умеет читать? Или и то и другое вместе?

На каких курсах за способность видеть восклицательные знаки дают "сертификат необычного пользователя"?

Moin
()
Ответ на: комментарий от Moin

> You (dima) are not allowed to use this program (/usr/bin/crontab)

Это значит, твой юзер не добавлен в группу cron. Если человек пользуется кроном, то он в этой группе есть, и может править свой кронтаб без всяких паролей.

> KDE-Look это уже далеко не китайский варезный портал и безопасность подобных сайтов будет уже зависеть от организации портала, а не от программного обеспечения.

Но ведь на kde-look кто угодно может залить что угодно. И всегда найдутся желающие скачать и потестить, польстившись на красивые картинки. Ну или зайти на ЛОР в новость об очередном новом компизе и сказать «ребята, я если кому надо, я собрал пакеты под слаку и под дебиан тестинг, вот линка». :) Тут главное проявить фантазию, а она у вирусмахеров всегда работает, как надо.

ero-sennin ★★
()
Ответ на: комментарий от Reset

> Это должно делаться как в виндах -- насильная установка апдейтов на этапе выключения/перезагрузки. Иначе все на это окошко будут забивать, даже более того, обычный пользователь не поймет чего от него хотят и просто нажмет на закрытие окна.

пользователь не поймет только в том случае, если не умеет читать. В конце концов использование линукса подразумевает хоть какое то наличие мозга, поэтому тупоголовых юзеров, тупо кликающих на "ok" в любом окне среди линупсистов нет ;)

JB ★★★★★
()
Ответ на: комментарий от Reset

> ты увидел красный восклицательный знак, обычный пользователь его не увидит

Это в винде панель возле часов всегда засрана так, что там не разберёшься. В линухе там значков мало(без участия пользователя), так что красный восклицательный знак не потеряется.

gaa ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.