LINUX.ORG.RU

Тактика почтовых вирусов для Windows начинает применятся против пользователей Linux


0

0

В поддельном письме, адресованном пользователям RedHat/Fedora предлагается скачать и установить "обновление безопасности". Обновление представляет из себя троянского коня.

>>> Подробности

★★★☆

Проверено: Demetrio ()
Ответ на: комментарий от anonymous

>> а панель управления открыть и поанинсталлить проги через runas научи как?

runas /user:Administrator explorer - Там тибе и понель - и фсё что душе угодно. Перед этим в настройках эксплорера в админском профиле поднять флаг - "Открывать каждую папку в отдельном процессе"

И кроме того - нету там админов и обычных юзеров. Есть юзеры и группы, в которые они включены.

Ты вообще хоть в доки заглядывал, прежде чем своими руками туда лезть? Судя по всему - нет. Иначе ты бы такую чушь про админов, кто могут всё и юзеров, которые не могут ничего не говорил. А потом будешь тут же ещё другим сказки рассказывать, как тебе винду переставлять через неделю после установки пришлось.

Ron
()
Ответ на: комментарий от anonymous

> расскажм как ты поменяешь системное время не из под админа runas cmd.exe time date

> runas cmd.exe control appwiz.cpl

> . а вот что-то еще по настрйокам runas cmd.exe control .... c:\program files\internet explorer\iexplore.exe -> c: gpedit.msc ....

Единственное - нет удобного гуи/cmd для настройки прав доступа. Нужно экплорер ставить в режим окошко - процесс

WindowsUser ★★
()
Ответ на: комментарий от Alphaer

А давайте к почтовику компилятор прикрутим? Что бы вирусы можно было в сурсах посылать, а они сами скомпилируца.

И с каких это пор редхат стал обновление по почте рассылать? да еще в виде тар.гз.

anonymous
()
Ответ на: комментарий от anonymous

> ты расскажи как разрешить юзерам хрюши менять системное время (ну для примера) не давая при этом пароля рута (ой, Админа) ?

secpol.msc User Rights Assignment -> Change the system time

WindowsUser ★★
()
Ответ на: комментарий от WindowsUser

> Windows Update. Режим Automatic Updates + firewall

Что-то я не понял. Это сразу же делает винду не-дырявой? Если я яйцо (поручик, молчать! куриное!) положу в контейнер, само яйцо от этого станет менее хрупким? CaCO3 в нём чудесным образом заменится на Fe+Fe3C или что? Это говорит только о том, что некое камлание позволяет сделать сии дырки недоступными или залечить их. Так вот, сэр, открою Вам страшную тайну: в линуксе всё это тоже есть! Более того - зная о дырке, ты можешь САМ (!!) исправить её на уровне исходников, а не ждать, тясясь от страха, когда это соблаговолит сделать производитель. Ясна разница? Лично мне это помогало.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

ИМХО

Яйца в линуксе могут прищемить дверью злые дядьки.

А когда у тебя вин хр хоум эдишен, то срабабывает эффект стаи и тебя

заметят с вероятностью (1/число членов в стае)

Sun-ch
()
Ответ на: комментарий от WindowsUser

>Единственное - нет удобного гуи/cmd для настройки прав доступа. Нужно экплорер ставить в режим окошко - процесс

Хм.. А кто видел эксплорер под KDE или Gnome? Я длично никогда, так что предложение не верное.

Да и что это такое режим: окошко - процесс. Это на уровне KDE(GNOME), qt(gtk) или xlib или это системный вызов kernel'я linux устанавливает этот режим.

rjaan ★★
()
Ответ на: комментарий от Sun-ch

> А когда у тебя вин хр хоум эдишен, то срабабывает эффект стаи и тебя заметят с вероятностью (1/число членов в стае)

Это справедливо только для индивидуальных атак, которые в любом случае обычно направлены на серверы (конечно, бывают мудаки, которые от нечего делать просто сканят сеть и кладут всех, кого найдут... но их часто ловят и прищемляют яйца дверью). Здесь же речь идёт о вирусных атаках. Так вот, для них сие правило не работает. Здесь - обратное правило: чем больше стая, тем с большей вероятностью для неё напишут вирус, который всех её представителей и отымеет. Что и наблюдаем на примере msblast. Практика, господа, - она основной критерий истины. И именно она-то и показывает, кому жить веселее всех по части вирусов :)

yozhhh ★★★
()
Ответ на: комментарий от Sun-ch

2Sun-ch (*) (26.10.2004 14:25:04)
>А че смотреть то, я и так знаю.
>ls -l /dev/bpf0
>crw-------- 1 root wheel

Выжимка из man tcpdump
...

Under Linux:
You must be root or tcpdump must be installed setuid to root (unless your distribution has a kernel that supports capability bits such as CAP_NET_RAW and code to allow those capability bits to be given to particular accounts and to cause those bits to be set on a user?s initial processes when they log in, in which case you must have CAP_NET_RAW in order to capture and CAP_NET_ADMIN to enumerate network devices with, for example, the -D flag).

/usr/src/linux/include/linux/capability.h

это если узвер настолько продвинутый, что сможет переварить вывод tcpdump, думаю, сможет и с CAP_NET_RAW разобраться, ну или на крайняк su или sudo или suid (как и в чпуксе и ирисе %-))

anonymous
()
Ответ на: комментарий от Sun-ch

2Sun-ch (*) (26.10.2004 16:08:13)
>заметят с вероятностью (1/число членов в стае)
А дифчёнок тоже считать будут за члены ... стаи? :-)

anonymous
()
Ответ на: комментарий от Sun-ch

>А когда у тебя вин хр хоум эдишен, то срабабывает эффект стаи и тебя

>заметят с вероятностью (1/число членов в стае)

херня какая-то, вирус заражает один комп - а потом обстреливает посетку и не по одному разу

зайди с свеже-проинсталлированной виндозы в инет - заметишь ...

у нас в компании, в телефонах стоит w2k (от такие вот телефоны от HP) slass вирус мой телефон раз восемь перегрузил, падлюка ..

и это мы ещё сидим за всеми возможными файерволами, а телефонная подсетка ешё и свои файерволы имеет и прямого доступа кроме админов ни у кого нет...

anonymous
()
Ответ на: комментарий от Sun-ch

>А когда у тебя вин хр хоум эдишен, то срабабывает эффект стаи и тебя

>заметят с вероятностью (1/число членов в стае)

штудент явно не учил математику ...

вирусы распространяются не с одного единственного хоста.

вирус заражете некоторе количетсво выбранных наугад машин, далее заражённые машины сами начинают заражать - лавинообразный эффект

чем больше уязвимых машин - мет больше лавина

anonymous
()
Ответ на: комментарий от anonymous

>штудент явно не учил математику ...

Профессор нес хуйню.

Хуйня тихо повизгивала и пыталась сползти с рук.

Пост был про "злых дядек", а не про вирусы, это чё вирусы такое письмо

прислали что ли?

Sun-ch
()
Ответ на: комментарий от yozhhh

> Это сразу же делает винду не-дырявой

вопрос был про бласт. Файрволлом закрываешь, даже если и есть дырки и идешь на Windows Update и решаешь проблемы

> а не ждать, тясясь от страха, когда это соблаговолит сделать производитель

я не помню еще ни одного случая, чтобы апдейт у МС вышел позже, чем появился вирус. Напомните, плиз

WindowsUser ★★
()
Ответ на: комментарий от rjaan

> А кто видел эксплорер под KDE или Gnome

а вопрос был про линукс? по-моему, нет...

> Да и что это такое режим: окошко - процесс

Folder Options -> View -> Launch folder windows in a separate process.

Но это не обязательно. Достаточно запустить ИЕ и перевести его в локальный режим (в строке запроса набрать C:, например. Или Control Panel...

WindowsUser ★★
()
Ответ на: комментарий от yozhhh

> Здесь - обратное правило: чем больше стая, тем с большей вероятностью для неё напишут вирус, который всех её представителей и отымеет.

А ты уверен что в линуксе нет подобных дыр? А если есть? Да, ты сможешь ее исправить быстро, наложив патч и пересобрав кернел/подверженный сервис. А остальные миллионы леммингов что делать будут, когда их комп будут "барабанить" и "портить" вирусы? МС вон даже пошла на то, что в очередном СП2 ограничила сетевую активность _жесткой_ прошивкой в tcpip.sys и по умолчанию включила Windows Update. "пока гром не грянет, мужик не перекрестится" - это про пользователей компьютеров

WindowsUser ★★
()
Ответ на: комментарий от WindowsUser

>я не помню еще ни одного случая, чтобы апдейт у МС вышел позже, чем появился вирус.

Отсюда вывод: МС само пишет вирусы! Так?

anonymous
()
Ответ на: комментарий от WindowsUser

>а вопрос был про линукс?

по-моему, нет... Вот именно... Тут вообще нет намека на MS-Windows. Если Вам интересно обсуждать проблемы с этой операционной системой, то ходите на форумы, посвященной этой системе.

Эта статья бледная попытка на подобие вируса, как в MS-Windows.

Это всеравно, что ввести команду в консоле rm -r -f /

rjaan ★★
()
Ответ на: комментарий от WindowsUser

для них (точнее тех их из них кто может потерять деньги, а кины/музыку) сущесвтуют платные (с гарантиями) и бесплатные (любые нормальные дистры) механизмы в том числе автоматического обновления

Syncro ★★★★★
()
Ответ на: комментарий от WindowsUser

Да каждый раз так...

Каждый раз они патч выпускают именно ПОСЛЕ появления вируса.... и не всегда сразу....
Или ты думаешь что в M$ пророки сидят?
У них так вечно.... вирус полинета валит... а потом выходит патч...
Чудестно...

DemonZLa
()
Ответ на: комментарий от Sun-ch

>Пост был про "злых дядек", а не про вирусы, это чё вирусы такое письмо прислали что ли?

а чё тут удивительного? под линух нет, а в виндозе такие трояны не редкость ....

кому здесь не приходили письма с виндозными троянами/вирусами ?

спасибо сами знаете кому :)

anonymous
()
Ответ на: комментарий от rjaan

http://lists.altlinux.ru/pipermail/community/2004-October/133842.html

> Уже пытался запустить вирус под Linux (друзья прислали попробовать Linux > вирус), так он гад никак не хотел запускаться (вечно ему чего-нибудь > требовалось) так ни исходников, ни инструкции по запуску найти не удалось:) > - так и не заработал.

anonymous
()
Ответ на: комментарий от anonymous

"расскажм как ты поменяешь системное время не из под админа?"

А нахуя его менять? Переход на летне-зимнее делает сам, если время не то - поправь в биосе. А если выебнуться захотелось, то юзеру выябываться незачем.

"есть два вида юзеров - юзеры и админы".

В ХP.prof видов юзеров много больше и с разными провами. Есть ещё возможность настроить индивидуально, разрешить или запретить тому или иному юзеру те или иные действия. Как? Учи матчасть.

anonymous
()
Ответ на: комментарий от anonymous

> расскажм как ты поменяешь системное время не из под админа?

runas /user:.... timedate.cpl

"Инсталить проги":

runas /user:.... setup.exe

Короче, RTFM

gggg
()
Ответ на: комментарий от gggg

>> "Инсталить проги": >> runas /user:.... setup.exe да знаю я. только это что-то вроде kdesu - пароль админский надо знать. sudo как-то предпочтительнее, но в винде его нет.

anonymous
()
Ответ на: комментарий от anonymous

> пароль админский надо знать

Это, блин, диагноз! Да, НАДО ЗНАТЬ АДМИНСКИЙ ПАРОЛЬ, на то он и поставлен. Но в принципе для этих целей, можно знать и пароль Power Usera.

gggg
()
Ответ на: комментарий от anonymous

> "Инсталить проги":

> runas /user:....

чё та я не поял, а што, runas не требует знания пароля ??

anonymous
()
Ответ на: комментарий от gggg

>>> пароль админский надо знать

>>Это, блин, диагноз! Да, НАДО ЗНАТЬ АДМИНСКИЙ ПАРОЛЬ, на то он и поставлен. Но в принципе для этих целей, можно знать и пароль Power Usera.

да, блин, диагноз. админский пароль я никому не дам. и если в linux я могу через sudo нахерачить безпарольных пермишенов, то в винде болт. а почему я не хочу давать админский пароль? потому что тогда че уж там городить с пермишенами и юзерами, все равно по каждому чиху будут брать рута. юзер на должен знать рутовый пасс, даже на своей личной тачке - особенно если есть постоянный эникейщик неподалеку. потому что этому самому эникейщику придется чинить последствия безграмотных действий юзера.

anonymous
()
Ответ на: комментарий от gggg

>Это, блин, диагноз! Да, НАДО ЗНАТЬ АДМИНСКИЙ ПАРОЛЬ

ну так в и что лучше ?

для sudo пароля знать не надо ...

sudo date

man sudo

anonymous
()
Ответ на: комментарий от anonymous

>А нахуя его менять? Переход на летне-зимнее делает сам, если время не то - поправь в биосе. А если выебнуться захотелось, то юзеру выябываться незачем.

А в биосе можно заодно прописать загрузку с нужного носителя, с которого можно снести или подобрать пароль админа, или поставить что-то типа руткита. А корпус снимать юзер не будет (как правило). Ну или можно поставить пломбу/замок или прятать корпус. Но это больше для параноиков.

mikhail
()
Ответ на: комментарий от mikhail

>>А в биосе можно заодно прописать загрузку с нужного носителя, с >>которого можно снести или подобрать пароль админа, или поставить >>что-то типа руткита. А корпус снимать юзер не будет (как правило). >>Ну или можно поставить пломбу/замок или прятать корпус. Но это >>больше для параноиков.

да-да. live cd развелось - как собак. только еще - отдельно взятые и корпус снимают.

anonymous
()
Ответ на: комментарий от mikhail

>А в биосе можно заодно прописать загрузку с нужного носителя, с которого можно снести или подобрать пароль админа, или поставить что-то типа руткита. А корпус снимать юзер не будет (как правило).

биос запаролить, дисководы вынуть, блок в отдельную комнату, в сейф спрятать

файловые системы шифровать ..., использовать selinux

чё ещё придумать-та ??

anonymous
()
Ответ на: комментарий от mikhail

да дома это все происходит. есть не в меру любопытный брат. все винды я снес. и даже три месяца работали под линухом. потом все равно пришлось мультибут сделать. но тут уже я рогом уперся, 98 здесь будет только через мой труп. сошлись на хрюше. а в ней опять же - дать админа - так смысла нет, проще было сразу ставить 98. не давать админа - так юзер ни фига не может. runas timedate.cpl в консоли печатать - издевательство, почему в винде нет графической тулзы?

anonymous
()
Ответ на: комментарий от anonymous

>>файловые системы шифровать ..., использовать selinux >>чё ещё придумать-та ??

да-да-да. а под виндой?

anonymous
()
Ответ на: комментарий от anonymous

>>файловые системы шифровать ..., использовать selinux >>чё ещё придумать-та ??

>да-да-да. а под виндой?

ключ на дискетке с собой таскать. pgpdisk рулит. только в поставке он не идет, вот круг и замкнулся - винда сосет не по детски.

anonymous
()
Ответ на: комментарий от McMCC

> Все дело в способе распространения, в виндах ты не хозяин положения, а в линуксе надо быть полным идиотом чтобы повестись на такое...

Я тут подумал. Представь себе админа, подписанного на несколько рассылок. Устал, спать хочется, пришло очередное письмо, какая-то уязвимость, патч для неё, взял скачал и тут же установил. Конечно, нормальный админ, по-идее внимательно прочтёт письмо и подумает прежде чем ставить патчи и всё же можно ожидать, что определённый процент проявит небрежность.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от WindowsUser

> А ты уверен что в линуксе нет подобных дыр?

нет

> А если есть?

скорее всего, есть. И КАЖДЫЙ (!!) вправе их выявить, заявить о них и предложить исправление.

> Да, ты сможешь ее исправить быстро, наложив патч и пересобрав кернел/подверженный сервис. А остальные миллионы леммингов что делать будут, когда их комп будут "барабанить" и "портить" вирусы?

Как с автомобилем. Хочешь - сам свечи меняй. Не хочешь - обращайся в авторизованный центр или к шаману. Только в автомобиле от M$ самому менять свечи категорически запрещено. Вообще что-либо открывать, кроме бардачка, не разрешается. И даже если ты дотащишь машину до центра, тебе, лениво позёвывая, ответят: не-а, сейчас не могём. Нет запчастей. Приходите в конце месяца. А пока можете ездить так :)

> МС вон даже пошла на то, что в очередном СП2 ограничила сетевую активность _жесткой_ прошивкой в tcpip.sys и по умолчанию включила Windows Update

Гыыыы... Осталось только жёстко запретить посещение всех сайтов, кроме microsoft.com и msn :)

yozhhh ★★★
()
Ответ на: комментарий от Sun-ch

> tcpdump и nmap без рута не работают.

su в отдельной консоли или sudo для запуска tcpdump и nmap -- это далеко не то же самое, что работа под админом в виндах или логин под root'ом в Linux.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

>su в отдельной консоли или sudo для запуска tcpdump и nmap -- это далеко не то же самое, что работа под админом в виндах или логин под root'ом в Linux

так и runas не то же самое, самое, что работа под админом в виндах или логин под root'ом в Linux

По поводу установки программ. В Windows есть такая группа - 'Power Users'. Членыы этой группы имеют право устанавливать программы в 99% случаев (ecли Setup.exe этого делать не дает - это проблемы Setup.exe) - Power Users имеют право записи в HKCR, HKLM, Program Files, WINNT и т.п. (кстати они же могут менять время). Но эти poweruserы не могут управлять драйверами и не могут менять свои права и права других пользователей. Если имеется ОСТРАЯ необходимость в том чтобы пользователи могли ставить программы на компютер (хотя это странно, если ты кому-то не доверяеш, не доверяй до конца:) - в этом случае можно создать такого Power Usera и сообщить его login и password простым пользователям. При этом Power User не смжет особенно навредить системе и другим пользователям (например, его не пустят в чужие My Documents).

gggg
()
Ответ на: комментарий от gggg

2gggg (*) (26.10.2004 22:03:22)
А павер юзеры могут менять юзерам пароли (только менять), больше ничего? Или запускать сетевой монитор и зырить только локальную сеть? А удаленно? %-)

sco-killer
()
Ответ на: комментарий от gggg

> так и runas не то же самое, самое, что работа под админом в виндах или логин под root'ом в Linux

runas под виндами почему-то менее удобна чем sudo или su. Штука в том, что винды изначально однопользовательская система и это вылазит во всём. Впрочем, может я готовить runas не умею :-)

anonymous_incognito ★★★★★
()
Ответ на: комментарий от gggg

2gggg (*) (26.10.2004 22:03:22)
И ваааще, когда в этой так называемой "многопользовательской супер-пупер" системе появится хотя бы подобие chroot?

sco-killer
()
Ответ на: комментарий от WindowsUser

>Да, ты сможешь ее исправить быстро, наложив патч и пересобрав кернел/подверженный сервис.

А что, у нас уже ядро занимается связью с общественностью?

У меня вообще ничего наружу не торчит, потому что не нужно.

jackill ★★★★★
()
Ответ на: комментарий от anonymous_incognito

2anonymous_incognito (*) (26.10.2004 22:27:15)
Респект про одноюзерность, я на пару минут опоздал %-)

sco-killer
()
Ответ на: комментарий от anonymous_incognito

>Представь себе админа, подписанного на несколько рассылок. Устал, спать хочется, пришло очередное письмо, какая-то уязвимость, патч для неё, взял скачал и тут же установил.

Представляю. Видит он нестандартное письмо. Заходит на сайт - авотхуй. :)

К тому же как ты будешь вычислять редхатчиков? Медиума наймешь?

jackill ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.