Компания "Доктор Веб" сообщила (http://news.drweb.ru/show/?i=9790) о выявлении вредоносного ПО Linux.Ekoms.1 (http://vms.drweb.ru/virus/?i=7924647), осуществляющего слежку за пользователями систем на базе ядра Linux. В частности, Linux.Ekoms.1 пытается захватить конфеденциальную информацию, которую можно использоваться для дальнейшего шантажа, путём создания скриншотов каждые 30 секунд с их последующей отправкой на сервер злоумышленников.Linux.Ekoms.1 также поддерживает функциональность удалённого выполнения команд и загрузки на внешний сервер произвольных локальных файлов. В состав вредоносного ПО также входит код для скрытой записи звука, но данная возможность отключена по умолчанию. Взаимодействие с сервером производится с использованием шифрованного канала связи (AES, с шифрованием ключа AES при помощи открытого ключа на основе асимметричного алгоритма RSA).
После первого запуска в системе жертвы вредоносное ПО размещается под видом файлов $HOME/$DATA/.mozilla/firefox/profiled или HOME/$DATA/.dropbox/DropboxCache и отправляет сведения о новой поражённой системе на внешний сервер. Для автоматического запуска в системе вредоносное ПО создаёт файл $HOME/.config/autostart/%exename%.desktop. Так как Linux.Ekoms.1 нацелен в основном на поражение рабочих станций, размещение в системе как правило происходит в результате беспечного поведения пользователя, запустившего неизвестный исполняемый файл, установившего непроверенный пакет или использующего для открытия сомнительных сайтов необновлённый выпуск браузера.
URL: http://news.drweb.ru/show/?i=9790
Новость: http://www.opennet.me/opennews/art.shtml?num=43700
Ubunta Zver Edition с рутрекера, да
Так есть всякие Ubunta Mint Edition, почти тоже самое.
Совсем дела плохи видать у дрвеба.
> Совсем дела плохи видать у дрвеба.Крайзис. Евгений Валентинович тоже инновирует: бесплатный антивирус придумал.
Он там столько собирает, что АНБ с ЦРУ позавидуют :).
> В состав вредоносного ПО также входит код для скрытой записи звука, но данная возможность отключена по умолчанию.А включить как-нибудь можно? Или придется ждать обновления от Dr.Web?
Надо перекомпилить с -DENABLE_VOICE_RECORD
А хедеры от пульсы нужно ставить?
$HOME/.config/autostart/%exename%.desktop
))))))
лавры run-runonce виндовского не дают жить?
только оттуда троян запускается? ))))
ой умора... повеселили, черти!
При всем прочем, это простое и рабочее решение, которое может долго и плодотворно работать на компьютерах родителей, жены, простых офисных работников и т.д.
>При всем прочем, это простое и рабочее решение, которое может долго и плодотворно работать на компьютерах родителей, жены, простых офисных работников и т.д.На и на компах слишком самоуверенных кулхацкеров запросто оказаться может.
Ну добавлялся бы он в .bashrc — чем лучше?
> $HOME/.config/autostart/У нормальных юзеров /home монтируется с noexec, а в autostart кладут линки.
Но ДырВеб, скорее всего, не в курсе. :)
.desktop - это и есть линки.
Но вы, скорее всего, не в курсе.
вредоносное ПО размещается под видом файлов $HOME/$DATA/.mozilla/firefox/profiled или HOME/$DATA/.dropbox/DropboxCache
Таки оно тоже в ~/, т.е. хомяк с noexec рулит.
Насколько я помню текст, оно туда копируется - очевидно, чтобы через синхронизацию пролезть на другие компьютеры пользователя.
> У нормальных юзеров /home монтируется с noexec...То есть, если в системе есть нормальный юзер, то ни один другой юзер не может запустить скомпилированную им же программу? :)
переходите на freeeBSD и будет вам спокойно.
> переходите на freeeBSD и будет вам спокойно.лучше сразу на FreeDOS
>> переходите на freeeBSD и будет вам спокойно.
> лучше сразу на FreeDOSНе, fbsd - первый шак к рези^Wмайкрософт уин-доуз
Мдаа ... Таки орогатили тебя черти, не иначе :)
Простите, граждане! Чёрт попутал! Теперь только Винда, родимая! Никакого забагованного Линукса!
> Простите, граждане! Чёрт попутал! Теперь только Винда, родимая! Никакого забагованного
> Линукса!Мили, мило. Но над имитацией Стиля Мастера ещё работать и работать.
> переходите на freeeBSD и будет вам спокойно.Спокойно, тихо, сыро и тесно.
Ты видел это собственными ушами! :)
На FreeBSDы тоже скрипты от простого пользователя исполняются.
> На FreeBSDы тоже скрипты от простого пользователя исполняются.Естественно. И буде скрипт сей под особенности фри адаптирован - наделает ровно столько же. Не больше, но и не меньше.
Во, скоро для десктопа будет готов.
Распространять можно через перацкие игры на трекерах.
Для пиратских игр есть второй системник, можно даже без монитора, колонок и клавиатуры/мыши. С Windows, игра по RDP или VNC. Если интернет широкий, то и через сеть играть можно.
Через VNC только в стратегии всякие можно играть в 1024x768.
В брудвар нельзя. Даже на локалхосте под вайном лагает. Важна каждая микросекунда.
Ага. Лагает, зараза. Кстати, кто знает, как это лечится? Надо же показать детям, во что их отцы мочили их дедов.И Need for Speed III тоже под вайном не фонтан.
> Ага. Лагает, зараза. Кстати, кто знает, как это лечится?winecfg -> graphics -> emulate virtual desktop
Мышь надо перетыкать, т к по сети задержки ощутимые и не работают доп кнопки. Как передавать звук с винды на линь не нашел. Пульсаудио под вин оказалось, что и нет.
Естественно про всяике rdp лучше и не заикаться, втыкаем в монитор второй провод просто.
> Распространять можно через перацкие игры на трекерах.А по-нормальному, через штатные репы дистрибутива, вирус ставить нельзя? Отстой!
А где взять? Хочу потестить!!!
На официальном сайте доктора веба.
Я не нашел ссылки, правда, может скинуть?
> Так как Linux.Ekoms.1 нацелен в основном на поражение рабочих станций, размещение в системе как правило происходит в результате беспечного поведения пользователя, запустившего неизвестный исполняемый файл, установившего непроверенный пакет или использующего для открытия сомнительных сайтов необновлённый выпуск браузера.Готов поверить только в дырявый браузер. Вот вы часто левые бинарники под линуксом запускаете?
А дыра в браузере проигнорирована, т к рвет шаблон? Какой смысл говорить о других путях заражения уже?
И да, если бы линем кто-то пользовался из обычных людей, и программы были стронние не из репозиториев, то запускали бы часто.
Вам выдали какой-то уже реальный вирус, а все ржут как и 10 лет назад. Что за идиотизм? А сколько настоящих сложных вирусов у вас на смамом деле в системе никто не скажет, т к даже антивируса толком нет.
Дурик, реальный вирус в Линуксе можно было написать и 10 лет назад.
Цимес в том, что, в отличие от винды, где его достаточно написать, и он начнет работать, в Линуксе он спотыкается на первом же препятствии - noexec, например. Толку-то в том, что он настоящий и страшный, если система его тупо не запустит?
Браузер может сколько угодно прописывать этот вирус в автозапуск от имени пользователя. Но если он скачан в /tmp (а браузер по умолчанию открывает файлы, закачивая их именно туда) - то даже если он переживет перезагрузку, система просто не запустит программу из /tmp. Это в винде во временных папках пользователя может сидеть и править системой табун "настоящих сложных вирусов", ибо defective by design.
Ты говоришь о всяких уловках.
На дефолтной ubuntu и pdf.js от фурифокса хорошо работали, и недавняя уязвимость ffmpeg.
Но если ты тыжпрограммист, то тебе конечно ничего не страшно, так же как практически и на венде.
Ну, в чем-то вы правы. Тот же /tmp в Убунте по умолчанию не закрыт noexec.
Однако если говорить о реальных опасностях, то для сидящего на Убунте пальму первенства по-прежнему с большим отрывом занимает Wine, настроенный на запуск всего, что имеет расширение exe или scr.
Пользуясь случаем, поинтересуюсь у знающих. fstab:
tmpfs /tmp tmpfs noatime,nodev,noexec,nosuid 0 0Друг всё правильно на моем компе сделал?
> Пользуясь случаем, поинтересуюсь у знающих. fstab:
>tmpfs /tmp tmpfs noatime,nodev,noexec,nosuid 0 0
> Друг всё правильно на моем компе сделал?Разве что noatime на relatime поправить, ср.:
http://git.altlinux.org/gears/g/guile-evms.git?p=guile-evms....
http://git.altlinux.org/gears/g/guile-evms.git?p=guile-evms....
Большое спасибо, информативно!
>> Пользуясь случаем, поинтересуюсь у знающих. fstab:
>>tmpfs /tmp tmpfs noatime,nodev,noexec,nosuid 0 0
>> Друг всё правильно на моем компе сделал?
> Разве что noatime на relatime поправить, ср.:relatime по умолчанию в ядрах 2.6.30+
Видимо, если брату не "грозит" ядро < 2.6.30, njо попhавить => удалить.У дистрибуто-строителей и апстрим-контрибуторам, понятно, ширина допущений может не знать границ.
//Да, с удивлением узнал/понял, что оно вообще [может быть] актуально для tmpfs. Однако findmnt --target ... (отдельное спасибо арч-вики) показал rw,relatime,size=....k на tmpfs-е, смонтированном с "простым" `-o size=NNN`.
> relatime по умолчанию в ядрах 2.6.30+
> Видимо, если брату не "грозит" ядро < 2.6.30, njо попhавить => удалить.Если что, в тех ядрах была страшненькая ext4, а на ext3 сидеть по такому поводу для разделов, где xfs не подходит, как-то неохота. Ну и не соображу сходу, где такие вообще остались (не говоря уж поддерживаются).
А noexec на /tmp не приведет к проблемам, например со всякими установщиками типа netbeans, texas sdk? Ниже вон кто-то писал что для aptitude пришлось мутить скрипты.Для десктопа (а не сервера), это больше сомнительная идея. Если у тебя пробивка идет через браузер, то можно и хомяк попытать на удачу. Или его тоже как noexec лепить? Вообщем как всегда удобство и секурность слегка друг другу мешают.
Посмотреть с какой папки пытается запустится, сделать временный ln -sf в любую другую директориюP.S. очень большая проблема{сарказм]
> А noexec на /tmp не приведет к проблемам, например со всякими установщиками
> типа netbeans, texas sdk? Ниже вон кто-то писал что для aptitude
> пришлось мутить скрипты.TMPDIR – наше все.
TMPDIR=/особый_тмп foo
> Вообщем как всегда удобство и
> секурность слегка друг другу мешают.«в общем», безграмотное ты школоло, секурности — как обычно — мешает только говнокод. но, понятно, починить говнокод намного сложнее, чем поломать секурити.
> Дурик, реальный вирус в Линуксе можно было написать и 10 лет назад.Просто система на декстопе никому не нужна, а сервера ломают по-другому. Все верно?
>> Дурик,
> Все верно?Ну да, похоже, вы не зря откликаетесь на это обращение...
> А дыра в браузере проигнорирована, т к рвет шаблон? Какой смысл говорить
> о других путях заражения уже?
> И да, если бы линем кто-то пользовался из обычных людей, и программы
> были стронние не из репозиториев, то запускали бы часто.
> Вам выдали какой-то уже реальный вирус, а все ржут как и 10
> лет назад. Что за идиотизм? А сколько настоящих сложных вирусов у
> вас на смамом деле в системе никто не скажет, т к
> даже антивируса толком нет.Под linux и так хватает годный программ из не официального репозитория, PPA. Пример: CDEmu, Grub Customizer, Notepaqq, youtube-dlg (GUI для youtube-dl), скрипт для установки Java от Oracle, wine, XAMPP, Shotcut, VeraCrypt.
Браузер Firefox вообще лучше ставить с официального сайта потому что в официальный репах медленно обновляется (с сайта имеет свою встроенную функцию обновления работающую из sudo). Тоже касается eclipse, thunderbird, VirtualBox и многого другого софта.
> с сайта имеет свою встроенную функцию обновления работающую из sudoКакой удобный бэкдор.
> Браузер Firefox вообще лучше ставить с официального сайта потому что в официальный репах медленно обновляется (с сайта имеет свою встроенную функцию обновления работающую из sudo).Нахера ставить что-то "общесистемно" не из репозитория?
Хочешь поставить свежий firefox с сайта mozilla.org? Поставь в $HOME/apps
И будет он обновляться без sudo и без риска сломать всю систему. Правда в однопользовательской системе всё важное и нужное лежит в $HOME, ну и спам при желании можно рассылать не имея root.
А лучше - не выпендриваться и найти репозиторий - пусть даже сторонний с репутацией.
Чтобы перехватывать клавиатуру, слушать микрофон, делать скриншоты и слать это всё в интернет - пользовательского окружения более чем достаточно. У подавляющего большинства - однопользовательская система.
> даже антивируса толком нетЕсли у юзера мозгов толком нет, то он не поможет.
> А сколько настоящих сложных вирусов у
> вас на смамом деле в системе никто не скажет, т к
> даже антивируса толком нет.Прокапитаню:
"Сложные" вирусы (и не только – любая вирусня не слишком низкого уровня плюс средненький "крипт0р" с регулярными обновлениями) начинают распознаваться даже "илитной" антивирусней только тогда, когда автор или распространитель забивают на "поддержку" и обновления.Или вы думаете, что авторы "крипторов" каждый месяц выдумывают что-то новенькое? Отнюдь – как передрали сам принцип с PoC-а 2004 года[0], со всеми ненужностями (в смысле: то, что нужно было для PoC при загрузке с диска, можно было смело опустить при непосредственной модификации екзешника – но для этого нужно было прочитать и разобрать спеки на ПЕ), так и применяли 10 лет, чуть ли не молясь на тех, кто в свое время портировал код с Си на VB6, а потом на Net.
Разве что стали частично использовать АПИ из ntdll, но это уже так, частности. Принцип не изменялся – весьма специфичная последовательность вызовов.
Народ из RE-шников ради лулзов генерик-распаковщики писал, т.к. даже уровень "илитных произведений вирусного искуства", как правило, не превышал сложности UPX/AsPack-a ... а вот господа из антивирусных почему-то за все время так и не почесались, довольствуясь распознованиям по сигнатурам.
[0] http://web.archive.org/web/20120328114901/http://www.securit...
> т.к. даже уровень "илитных произведений
> вирусного искуства", как правило, не превышал сложности UPX/AsPack-a ... а вот
> господа из антивирусных почему-то за все время так и не почесались,
> довольствуясь распознованиям по сигнатурам.война была равна: сражались два…
> Что за идиотизм?Вот и оставляйте его при себе, раз не понимаете в предмете вообще ничего.
> А дыра в браузере проигнорирована, т к рвет шаблон? Какой смысл говорить
> о других путях заражения уже?
> И да, если бы линем кто-то пользовался из обычных людей, и программы
> были стронние не из репозиториев, то запускали бы часто.
> Вам выдали какой-то уже реальный вирус, а все ржут как и 10
> лет назад. Что за идиотизм? А сколько настоящих сложных вирусов у
> вас на смамом деле в системе никто не скажет, т к
> даже антивируса толком нет.В том и идея Unix что в системе только софт, проверенный рутом и из надежных источников.
А всякое разное запускать надо запретить ;)
>В том и идея Unix что в системе только софт, проверенный рутом и из надежных источников. А всякое разное запускать надо запретить ;)А вас уже выпустили из психушки?(С)Шурик
>>В том и идея Unix что в системе только софт, проверенный рутом и из надежных источников. А всякое разное запускать надо запретить ;)
> А вас уже выпустили из психушки?(С)ШурикДа выпустили. Я здоров головой. Я офигеваю на эти притязания к секьюрности типа давай я тебе позапускаю и посмотрим какой твой линукс секьюрный. Я не даю запускать!!!
> И да, если бы линем кто-то пользовался из обычных людей, и программы
> были стронние не из репозиториев, то запускали бы часто.а если бы у бабушки был мужской половой уд, она была бы дедушкой, да.
> от вы часто левые бинарники под линуксом запускаете?Увы, приходится. Недавно вот skype установил, т.к. для работы требуется.
Установи в отдельную виртуалку этого самого по себе трояна.
Есть же http://www.opennet.me/base/sec/skype_aparmor_limit.txt.html#
По нажатии S apparmor выкинул ошибку AttributeError: 'NoneType' object has no attribute 'replace' и издох. Такие дела.
Человек-девелопер, пощади. Я не умею чинить то, что ломают злонамерненно, у меня скилл не тот.
> Увы, приходится. Недавно вот skype установил, т.к. для работы требуется.Хмы, а веб-версия или плагин для пиджина вам не подходят?
> Хмы, а веб-версия или плагин для пиджина вам не подходят?Не очень понял как там голосовую связь организовать. Скачивается какой-то pkg для макоси, его не в блекджек ни в красную армию.
> не"Ни", посыпаю голову пеплом.
https://github.com/sameersbn/docker-skype
> Вот вы часто левые бинарники под линуксом запускаете?Одного хватит. При make исходного кода очень нужной, но нигде больше не найденной программы. Если собирать под пользователем иксов с доступом к сети без ограничения.
>Компания "Доктор Веб"дальше можно не читать
Компания "производитель любого антивирусного ПО"...
Дальше можно поржать! :-)
а нормальным людям посмеяться
И только на OS X сухо и спокойно.
Доктор и здесь на страже:
https://news.drweb.ru/show/?i=5976&lng=ru
Недооценили вы доктора
Хм, иожет и для Haiku OS вирус отыщут? http://www.youtube.com/channel/UC3EpWm_Dzw0DjhIfrm7eocw
> Linux.Ekoms.1 пытается захватить конфеденциальную информациюоно не "захватывает информацию", а "пытается захватить"; а также не сказано, насколько эффективен тот код, который сказано что он там есть.
поэтому #найстрайдухтырвэб, так сказать.
Оно у них .exe файлы запускает в Linux - http://vms.drweb.ru/virus/?i=7924647&lng=ru
Так же бесплатная загрузка демо-вирусов прилагается, или по серийному номеру.
А забавно будет если эти "вирусы" будут идти в комплекте с wine, чтобы работать.
Глядишь и wine допилят Кашмарский с Даниловым, лишь бы продажи увеличить.
Есть ли разница, как ты ELF64 executable назовёшь. Этот "экзешник" они сами и комируют на машину жертвы.
Новость следует читать так:
Мы не нужны даже на шиндоус, поставь наш блоб на linux, мы очень нужны, правда, правда, видишь как страшно жить: трояны, которые ты должен сам запустить и настроить.
Ах этот огромный рынок Linux - Desktop машин
Особенно в Китае. И зачем его вообще писать? Показать свою косолапость?
Проприетарщина, как и любая зараза, всегда всюду лезет.
> Ах этот огромный рынок Linux - Desktop машинЭт как поглядеть. Иная станция под Linux важнее для общества, чем мильён тех машин с котиками и вконтактиками.
А чём это котики и вконтактики под линуксом важнее их же под форточкой?
тем что они на нем хранятся на серверах?
Тем, что их там обычно нет?
Создает фильтр для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по которым осуществляется во временной папке, и загружает подходящие под эти критерии файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1 загружает с сервера злоумышленников исполняемый файл /tmp/ccXXXXXX.exe
Не нашел на winehq багрепорта оно хоть на нем работает?
> Создает фильтр для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по
> которым осуществляется во временной папке, и загружает подходящие под эти критерии
> файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1
> загружает с сервера злоумышленников исполняемый файл /tmp/ccXXXXXX.exe
> Не нашел на winehq багрепорта оно хоть на нем работает?А если wine не установлен, оно его само будет устанавливать ?
Тогда ему нужен експлоит для поднятия прав до рута
> Тогда ему нужен експлоит для поднятия прав до рутарасскажите это в офисе др.веб
Когда исходники откроют, но кому они нужны?
> Тогда ему нужен експлоит для поднятия прав до рутаВ соседней новости лежит.
Не сработает в системах, где только один пользователь - root
У меня вообще не работает(10 пользователей).
> Не сработает в системах, где только один пользователь - rootНу ок, чувак. Ты сам напросился.
1. В нормальных системах под рутом не сидят. Верно? Есть оси - включая твой любимый линь - один из 2048 дистров - где при установке выламывают ручонки, заставляя создать юзверя не рутового. Так, нет? Один - есть.
2. Берем любой сервер. cat /etc/passwd - чо видим?Дальше продолжать или сам дотумкаешь?
Кому нужна ось ради оси? Ах да, вас, дpoчеров локалхоста, тут мильёны.
>Есть оси - включая твой любимый линь - один из 2048 дистров - где при установке выламывают ручонки, заставляя создать юзверя не рутового.Если ты кроме Ubuntu других дистрибутивов не видел - не мои проблемы. Линь - это не дистрибутив - это операционная система, а у тебя в голове каша из всего выше перечисленного.
И да на VDS работаю от рута
Вы искренне считаете, что под Linux работают только файлы *.sh???
На моем? Да.
А как запустить на linux исполняемый файл без моего ведома, если если у меня chmod +x может только рут?
а из /tmp исполняемые фалы вообще не запускаются
УМВР
noexec в fstab для tmpfs пропиши
У меня почему-то был скрипт, перемонтирующий /tmp с exec для запуска aptitude.
через уязвимости
Это те которые надо 30 минут компилить на моей машине под мою платформу?
perl -e 'rm -rf /*'
Не работает, пишет rm -rf без root незя
Illegal division by zero at -e line 1.
Вы не поверите :^)
Сценарий: sh сценарий, cat сценарий | sh
Бинарник: /lib64/ld-linux-x86-64.so* бинарник
А как без терминала?
Хотя и без терминала, работает. Но кто запускает левые скрипты?
Я имею ввиду, чтобы сделать сценарий1: "cat сценарий2 | sh" все равно нужны права на выполнение сценарий1.
> кто запускает левые скрипты?~/.bashrc
~/.bash_profile
~/.profile
~/.bash_logout
~/.xinitrc
~/.Xdefaults
...
А кто сюда без прав на выполнения что-то пропишет?
> А кто сюда без прав на выполнения что-то пропишет?А напуркуа там права для выполнения?
https://wiki.archlinux.org/index.php/xinitrc
https://wiki.archlinux.org/index.php/Xprofile
А как вирус туда, что либо запишет без прав на выполнение, проблемы с причинно-следственной связью?
> А как вирус туда, что либо запишет без прав на выполнение,молча
> проблемы с причинно-следственной связью?очередной эксперд, на полном серьезе считающий, что для запуска вирусни через дырку в браузере эту вирусню обязательно нужно скачать на ФС и запустить execve-м?
А чтоб браузер запустить не нужны права на выполнение? И еще раз, Вы же эксперт, самый главный вопрос: причем здесь linux к этой новости? Такое можно делать в любой системе, где выполняются два условия: тупой пользователь и дыры в браузере.
> А чтоб браузер запустить не нужны права на выполнение?Нет конечно, и вообще, зачем Вам браузер в Вашем сферичном, вакуумно-секурном окружении?
> Вы же эксперт, самый главный вопрос:Ну что Вы, куда мне до Вас! Конечно же Вы абсолютно правы: обязательно нужны права на выполнение, а не просто на запись!1
> дыры в браузере
Ну, в вашей вселенной может в браузерах дырок и нет, а вот в нашей, увы:
https://www.cvedetails.com/top-50-products.php> причем здесь linux к этой
Притом, что большинство местных експертов с дефолтными umask=022, tmp c exec+suid, кучей левых реп с ппа, "как рекомендовали в блоге", флешем и браузером от основного и единственного пользователя на полном серьезе считает, что предустановленная убунта неуязвима по определению, а отнюдь не из-за неуловимости Джо.
Я написал, в любой системе где есть два условия и: тупой пользователь и дыры в браузерах. То есть в любой!
>просто на запись!сейчас пойдем по кругу: включить систему > подключить к сети > запустить! программу > получить скрипт который наследует права программы > заражены.
Или: включить систему > ничего не делать > вирусов нет.
Все же просто!
/lib64/ld-linux-x86-64.so* не правильно отдает директории, и ни чего нормально не запускает, если оно не находится в /bin
> /lib64/ld-linux-x86-64.so* не правильно отдает директории, и ни чего нормально не запускает, если оно не находится в /bin$ cp /bin/ls /tmp/
$ /lib64/ld-linux-x86-64.so.2 /tmp/ls bla-bla
./ls: cannot access bla-bla: No such file or directoryls не в /bin, запущен без проблем.
Я про программы, которые используют свои собственные библиотеки. И что бы выполнить /lib64/ld-linux-x86-64.so* нужны права на выполнение!
ld.so ...
А кто выполнит ld.so?
> Вы искренне считаете, что под Linux работают только файлы *.sh???Вы искренне считаете что в Linux работают .exe программы без wine ?
Конечно, работают.
Возьмите любой бинарник, добавьте ему такое расширение - оно совершенно не помешает ему запуститься.
И DMG файлы под Линукс тоже работают. Возьмите любой бинарник...
Например?
sudo cp /bin/ls ls.exe
./ls.exe
./ означает что мы пускаем #!, но как его пустить если нет прав на исполнения или система спрашивает запустить ли исполняемый фал если он не находится в /bin?
> ./ означает что мы пускаем #!,ORLY?! Местные IT Ыгспёрды ... это что то с чем то! :)
Hint:
sudo cp /bin/ls ls.exe
./ls.exestrings ls.exe | grep '#!'
так что же мы запустили то?! 8-0
:-))))))
если я пропишу sudo то файл копируется с правами на выполнение, но троян работает без sudo
Разговор был за расширение.
Так вот, расширение файла в Линукс никак не влияет на его исполняемость.
А зачем его прописывать?
Какой такой приоритет на linux?
32
> если я пропишу sudo то файл копируется с правами на выполнениеsudo имеет отношение к правам на целевой каталог, а вовсе не к правам на исходный/полученный файл.
гигтег?
А зачем создатели "трояна"(скрипта) используют расширение .exe для исполняемых фалов? У drweb привычка писать так трояны от windows осталась?
> А зачем создатели "трояна"(скрипта) используют расширение .exe для исполняемых фалов?а чтобы кулхацкеров потроллить.
Если начинаются с #!/bin/sh - да. Так-то последние буквы после точки не имеют значения.
то есть без sh нельзя? drweb скатился? Как и было раньше?
Ни разу не видел поделок на Mono?
> Создает фильтр для имен файлов вида "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst", поиск по
> которым осуществляется во временной папке, и загружает подходящие под эти критерии
> файлы на управляющий сервер. Если в ответ поступает строка uninstall, Linux.Ekoms.1
> загружает с сервера злоумышленников исполняемый файл /tmp/ccXXXXXX.exe
> Не нашел на winehq багрепорта оно хоть на нем работает?Вот вам и защита, сочтут, что это виндовый бинарник, и даже не станут его смотреть.
Защита? Много домохозяет знаете, которые в tmpfs смотрят. Это ubuntu-проблемы с запуском исполняемых фалов(по умолчанию) из tmp
А лицензия какая? Небось только с DrWeb поставляется, так сказать preinstall пакет...
Чё-то густо пошло, каждый день почти.
Microsoft не дремлет, уже компании canonical redhat поддерживают, началась стадия разрушения...
Ремейк мозга после новогодних праздников
Все те-же виндовые замашки... Вполне себе смахивает на штатное средство мониторинга рабочих станций...
Судя во всему, это и есть "средство мониторинга" от авторов печально известного "Стахановца"...
надо написать такой вирус, для венды, который, попав на компьютер, сам ставит юзеру дебиан.
Теперь все шишки твои, даже если напишет кто-то еще.
ага, с предупреждением: "Уважаемый пользователь Windows 8.1! Сейчас Ваша система будет обновлена до версии 8.2 Debian Jessie".
> ага, с предупреждением: "Уважаемый пользователь Windows 8.1! Сейчас Ваша система будет
> обновлена до версии 8.2 Debian Jessie".Вы из какой тайги выползли?! Давно уже :) си линк:
http://goodbye-microsoft.com/
Отличный "стартап" для Kickstarter.
> надо написать такой вирус, для венды, который, попав на компьютер, сам ставит
> юзеру дебиан.Активность вируса будет не скрыть, и эникеи всего мира получат кучу запросов на установку нормальной ОС вместо этого вируса.
Это должен быть вирусняк класса винлокер - надо дать шанс откупиться на время, отправив "смс на короткий номер", например. Тоже своего рода донейты, чё )
skype тоже троян
> skype тоже троянSkype имеет веб-версию, в которой можно только чатик. Но там удобно кидать ссылочки на Firefox Hello. Возможно это хитрый ход маркетологов Microsoft по обходу запросов от АНБ на встраивания троянов, в сайтик троя не встроить.
Ага, добрый microsoft [сарказм]
Будет блобо-дополнение для браузеров
>в сайтик троя не встроить.Есть ещё проприетарный JavaScript на чужом сервере, который на многое способен.
> Skype имеет веб-версию, в которой можно только чатик. Но там удобно кидать
> ссылочки на Firefox Hello. Возможно это хитрый ход маркетологов Microsoft по
> обходу запросов от АНБ на встраивания троянов, в сайтик троя не
> встроить.Под Ежа у них есть виндоплагин, который предлагаеццо поставить. Чего оно делает - не в курсе, не юзал :D.
А у меня /tmp смонтирован с noexec и нет wine. Что мне делать? Опять не сработает вирус?
Смонтируйте /tmp с exec и установите вайн. Должно помочь.
Это дефолт же.
Можно ли от рута перехватывать wayland соединения?
Дайте ссылку на вирус!!!!
когда уже анонимус устроится работать в доктор веб, что бы лучше держать нас в курсе
"Компания "Доктор Веб" сообщила о выявлении вредоносного ПО"
А почему бы не сообщить в каком файле этот вирус, откуда его можно скачать?
Потому, что drweb говно, пока не будет официально поддерживать СПО(и не откроет все исходники), главное нагадить на систему у которой нет проблем как у windows
Что делать тесюм у кого очень маленькая исходящая скорость? Скриншоты оно и звук отправляет. Ха ха.
> Что делать тесюм у кого очень маленькая исходящая скорость? Скриншоты оно и
> звук отправляет. Ха ха.Тесюм не повезло, ибо интернета у них не будет совсем :-)
А я новость плюсую. Чем больше провожу ручной аудит по безопасности, тем крепче сплю. Ну не доверяю я префиксу "авто".
И много у тебя самопроизвольно запускающихся скриптов?
> И много у тебя самопроизвольно запускающихся скриптов?Он вообще выдумщик и фантазёр :)
Я рад что не было у Вас ситуаций, у меня были и в cron, rc.local и в том же autostart(где есть GUI).
> Я рад что не было у Вас ситуаций, у меня были и
> в cron, rc.local и в том же autostart(где есть GUI).так об этом тебе молчать надо, а не есть гуано прилюдно.
Продать, что ли, дрВебу идею нормального трояна, а не показушного?
С этим, чувствуется, у ребят фантазии остро не хватило... Для пиара он, может быть, и ничего - за пользователем же страшно следят! - но с технической точки такой залп по воробьям, что просто стыдно за автора.
А коменты видели на сайте drweb:
Опасный троянец для ОС Linux! Спасибо за предупреждение и подробности!
теряем линукс ...
Спасибо за информацию.
Коварный троянец!
Негодяйство кругом.
И снова троянец для Linux
и только один:
Доктор Веб защитит все операционные системы от любых угроз!!!)))
Какие они самолюбивые:-) Какой троян, какие молодцы. Вах, вах:-)
Не удивительно, т.к. за комменты к статьям на сайте дают какие-то баллы, вот и приходят совершенно левые люди комментировать.
Помогите уже хоть какого-то червя запустить под Opensuse Leap42.1!
Не хотят работать....
> Помогите уже хоть какого-то червя запустить под Opensuse Leap42.1!
> Не хотят работать....
Имхо пора создать раздел на сайте "юморные новости" что-то в этом роде. И туда постить новости. Хоть посмеятся можно, реально настроение поднимает.
Или что-то типа: запускаю трояны под любой версией *nix, беру недорого.
>выявлено троянское по
>dr webшо, опять?
Мега антивирус от этого трояна для linux с открытым исходным кодом:
# chown root:root ~/.config/autostart
А потом что нужно прописывать через sudo
Ебилды трояна встудию.
Это opensource? Где исходники?
Какая в пингвине вирусеая запись звука? Они в легальном скайпе то его не могут заставить работать.
> Какая в пингвине вирусеая запись звука? Они в легальном скайпе то его
> не могут заставить работать.На Slashdot посоветовали: прибить процесс pulseaudio.
> Какая в пингвине вирусеая запись звука? Они в легальном скайпе то его
> не могут заставить работать.А, кстати, да! Что-то тут выше заботливо предлагают и /tmp c exec и wine посвежей для него поставить - надо ж и об основных функциях позаботиться! А то опозорим платформу-то! Надо более профессионально подходить к вопросу и делать работу со звуком в вирусне, например, через jack.
> Какая в пингвине вирусеая запись звука?отличная. вот как только автор понимает, что ему на самом деле важно: пшшшшшаудио или звук, так сразу звук начинает работаеть великолепно. а пшшшшшаудио никак, но это проблемы буратин.
Респект Доктор Веб за упорство. Вы ещё исходники выложите этож Линукс. Без исходников не взлетит.
Выявлено троянское ПО для Linux c функциями сохранения скриншотов и записи звукаА почему модераторы удалили мое сообщение об не существование сего "Вируса" и про то что это реклама drweb на говноресурсах? ведь:
1. звук не пишет
2. само не устанавливается
3. доказательств существования нет
4. не запускается без xdg
5. не работает с noexec в tmp
6. Это просто скрипт который надо явно запустить.
7. Про браузеры: это не уязвимость линукса, а уязвимость браузера!!!
8. Установка не проверенного пакета - проблемы самого пользователя.Может следует удалить новость, а то я тоже сейчас скрипт на python напишу и буду всем говорить, что это вирус...
Если ваши посты удаляют без объяснения - возможно, модератор просто знает, что человеку, который пишет такую херню, бесполезно что-то объяснять...
Я вспомнил я там про opennet.ru плохо написал. А в чем херня?
Насколько я помню тот удаленный пост - в целом.
нет
> Может следует удалить новостьНе знаю, кто удалял, но как комодератор могу предложить Вам ознакомиться с содержимым по следующим ссылкам:
* http://wiki.opennet.ru/ForumHelp (включая FAQ)
* http://www.opennet.me/contact.shtml (администратор сайта, который и принимает решения о публикации/изменении/удалении новостей)Также обратите внимание, что к новостям принимаются правки ("исправить" в основном виде сразу под текстом). Только постарайтесь писать ещё более взвешенно.
Вы где видели вирусы которые мистическим образом сами по себе в системе появляются? Во всех случаях виноват пользователь. Любой вирус необходимо запустить и совсем необязательно это должен быть скрытый руткит или еще какая беда. Предлагаю провести аналогию с обычным домашним пользователем Linux, который "переехал" с Windows. Вы до сих пор наивно полагаете что установка Linux таким людям реально что-то меняет? Делает мир безопасней? Разве-что им руки отрубить... А смотреть необходимо в реалиях "хомячков", а не крутых гиков.
Да это все правильно, но где сам вирус, ни слова где он вообще распространяется... Или у вируса лицензия такая, что drweb не может дать этот "вирус", а то создатели засудят?
>А смотреть необходимо в реалиях "хомячков"Смотреть надо в реалиях коряво настроенной, по умолчанию, системой для хомячков. Оскорбляет даже то как назвали "троян"...
>Вы где видели вирусы которые мистическим образом сами по себе в системе появляются?windows zvercd, intenet explorer(через activeX) :-)
Червь Морриса
> Вы до сих пор наивно полагаете что установка Linux таким людям реально что-то меняетНа самом деле меняет. Они ничего зловредного поставить не смогут (исключения есть, но их очень мало). Но это действительно не из-за исключительной защищенности линуксов, а малой популярности.
Тот же ведроид это отлично показал, хотя там возможностей для зловредного ПО в разы меньше, чем на десктопах. Но принцип "скачай трояна и поставь сам" вполне нормально действует, как бы тыжпрограммистам было бы не смешно...
Я не совсем понимаю ваши аргументы в пользу той или иной ОС.
Разве есть сложность в ограничении прав пользователя в Windows? Создайте пользовательскую учетную запись без прав администратора. Справедливости ради, следует отметить - это необходимо сделать и не является правилом по умолчанию. Это большой "косяк" который был намерено допущен ради удобства пользователя. Правда, такого же комфорта как в Linux или OS X - не ждите. Придется открывать консоль чтобы сделать те или иные необходимые действия. Хотя, можно было просто спросить пароль и предоставить полную свободу действия в удобном графическом окружении, а не "мрачном" cmd. И это в Windows... И все же - это возможно. Было бы желание!
> Разве есть сложность в ограничении прав пользователя в Windows?there's no more powerful thing than the default (c) ~/.sig одного старого приятеля
Эээ, какие-то бредни. В вендах есть UAC - он вполне нормально справляется с разделением прав. Не вижу особой прям уж особой разницы с Linux или OS X (да, я использую три ОС сразу на разных устройствах). Хотя на более ранних вендах - это был реально стыд и позор с правами.
Но вот отключение UAC - это одно из самых популярных занятий пользователей. Это даже при том случае, если UAC просит повышение привелегии просто нажатием кнопки. А попробуй пользователей заставить вводить пароль на повышение привелегий - сразу же пошлют :D
Это тот UAC, который закатывает истерику на любую программу без цифровой подписи (то есть на большинство программ)? Прекрасный образец профанации безопасности, прекрасный...
Так приучать пользователя вводить пароли, не думая, как это удается M$ - это шедеврально, к этому приходится относиться, как к искусству, потому что технологические понятия тут бессильны.
> Это тот UAC, который закатывает истерику на любую программу без цифровой подписиПрям чудеса какие-то. По цифровым подписям будет худо только при установки дров на сколько я знаю. UAC на обычную программу без цифровой подписи ругаться не будет. (могу ошибаться, ибо вендами активно не пользуюсь, но вроде так). Тем более вендовый дефолт легко позволяет сделать пользователя без пароля (в отличии от OS X и линукса), что я думаю большинство пользователей и делает...
PS: в чем смысл писать бред, размешанный фанатизмом, не очень относящийся к реальности - мне не понятно.
> UAC на обычную программу без цифровой подписи ругаться не будет. (могу ошибатьсяМожете и ошибаетесь. Мне, как автору "обычной программы без цифровой подписи", приходится объяснять пользователям, что делать, когда нынешние "десяточки" на голубом глазу "защищают" их от установки программы, вынуждая к неочевидным действиям. Пользователи искренне перестают понимать, что происходит, и действуют наобум, щелкают наугад и вводят пароли, не пытаясь разобраться, зачем. Прекрасная почва для вирусописателей.
Кстати, именно администраторская учетка без пароля только добавляет экстрима в этот процесс.
Ниче там не меньше,учитывая что большинство ведер не получают обновления вообще,не говоря уж об обновлениях безопасности.
> Вы где видели вирусы которые мистическим образом сами по себе в системе
> появляются? Во всех случаях виноват пользователь.Порой "вина" пользователя состояла в... выставлении свежепоставленной винды в интернет. Нахвататься блох успевала даже быстрей, чем слить обновления.
Так, поправочка. И да, чуток меняет.
Ну не в интернет, а в интранет (типа раньше локалки провайдеров были популярны, там реально было весело, разгуляться и потренироваться можно было вдоволь)Да, и около 80% веб серверов на линуксе (большинство из них мелкого значения) по статистике positive technologies сидят без секурных обновлений.
1-day уязвимости страшнее всего, и они не щадят любую ОС ;)
> 1-day уязвимости страшнее всего, и они не щадят любую ОС ;)Во-первых, сказать хотели "zeroday", но не угадали. Во-вторых, ознакомьтесь с понятием attack surface. В-третьих, практикой добить могу, но пока не буду :-)
Нет, я хотел сказать то, что хотел. 0-day и 1-day принципиально разные термины.
Под 1-day имеется в виду "боянистые" уязвимости, уже залатанные производителями. Зачастую находятся от обратного, например просмотром патчей. Ну или ещё тупее - через уже готовую информацию на блюдечке. Поэтому получение на руки намного проще чем в случае 0-day, а в массовом применение может легко дать нужный улов.
PS: остальное вообще непонятно к чему было "умничанье".
> Нет, я хотел сказать то, что хотел.Тогда примите извинения.
> Под 1-day имеется в виду "боянистые" уязвимости, уже залатанные производителями.
Да, уже почитал http://www.infosecisland.com/blogview/20897-One-Day-Exploits... -- оказывается, для такого уже и термин придумали, спасибо, не знал.
> PS: остальное вообще непонятно к чему было "умничанье".
Давайте тогда и я попробую объяснить.
>>> 1-day уязвимости страшнее всего
Именно из-за "страшнее всего" и решил, что имели в виду 0-day. Они обычно хуже.
>>> и они не щадят любую ОС ;)
А вот как раз к 1-day гораздо более уязвимы ОС с меньшим количеством вариаций поставляемых бинарников/конфигураций.
> Нахвататься блох успевала даже быстрей, чем слить обновления.Это - да :-\
>И да, чуток меняет.Ви есть много кушать! "чуток"?
Если по умолчанию в свежеустановленном дистрибутиве линукс выключить в файловом менеджере разрешение на запуск скриптов, то получится неплохой антивирус для домохозяек. Кулцхакеров не спасёт, все равно в терминал полезут...
Это из разряда местных баек. На моей памяти такого никогда не происходило. Вы сами должны понимать абсурдность подобных заявлений. Чтобы ОС выступала инициатором заражения без участия пользователя?! Да вы что...
windows 10 уже все это делает(скриншоты, запись звука, передавание файлов, удаление программ, установка программ и т.д., по умолчанию) и предоставляет третьим лицам, эра вирусовпейсателей и антивирусов закончилась - все есть в системе. Не удивлюсь, что даже в предустановленные убунты всякие скрипты прописывать будут
> Вы где видели вирусы которые мистическим образом сами по себе в системе
> появляются? Во всех случаях виноват пользователь. Любой вирус необходимо запуститьЯ видел у своих подопечных. Вирь приперся на машинку с виндами из рекламной сети на новостном сайте. Пользователи ничего сами не ставили, работали работу (да, у них работа на новостных сайтах). После перезагрузки - хренак, вы заблокированы, отправьте СМС. Отсутствие админских прав и свежий Каспер никаких препятствий животине, прописавшейся в автозапуск пользователя, не создали.
Если вы работаете с административными привилегиями по умолчанию... Вы дали вирусу все что ему нужно - права.
Если вы не умеете читать, это только и исключительно ваша проблема.
Исключено. Это работа с административными правами или просто "фейковая" блокировка с пользовательскими правами. Да и тут все тривиально - это регулярные резервные копии с адекватными правами доступа. Даже если зловред использует шифрование. Использование IE вместо нормального браузера - это тоже впроблема. Самая большая брешь по безопаности сидит перед вашим монитором.
Вы до сих пор не поняли: надо было ставить drweb, вон он даже в linux вирусы находит, больше никто не находит, а он находит. Представьте, что на windows будет!!! :-)
> Представьте, что на windows будет!!! :-)На windows ощущение что он включает какой-то особый механизм "активной превентивной защиты". Читай: сжирает все ресурсы так, чтоб вирусня отваливалась из-за неудовлетворенных минимальных требований к памяти/сети/производительности ))
Хм... я был уверен, что эта технология запатентована Касперским...
> Я видел у своих подопечных. Вирь приперся на машинку с виндами из рекламной сети на новостном сайте. Пользователи ничего сами не ставили, работалиДа, вполне возможно. Скорее всего из-за java plugin'а в браузере. Админские права для пробивки и поимения не нужны.
Как вы выразились, различные "поимения" в пользовательском режиме - не более чем детский шалости. Для вас "проактивная" защиту и придумали.
>Компания "Доктор Веб" сообщила о выпуске вредоносного ПО Linux.Ekoms.1пофиксил во имя луны
Я убежденный сторонник opensource и линуксоид с начала этого века. Но вот что хочу сказать ребятам, фанатам ОС Linux:
вредоносное ПО примерно одинаково писать и под Win, и под *nix, и под MacOS. Под открытые ОС технически даже легче (исходники всей системы с ядром по рукой). Просто нужно вникнуть в специфику ОС. Принципиальной разницы нет. Вот, например, для вирусов, указанных в статье, не нужен рут. А вредонос работает, информация утекает, и часто этого достаточно для расширения области атаки, в конечном итоге, для полного взлома ОС.
Другое дело, что при правильном использовании вышеуказанных ОС, Linux, имхо, однозначно дает больше возможностей по настройке и грамотному использованию в целях минимизации риска компрометации ОС.
Вот я, например, использую 'супер секурную' gentoo linux cо специальным профилем hardened. Все прекрасно.
Но если кул хакер или агент спецслужбы вклинится в процесс разработки пакетов ОС, хорошо себя зарекомендует в сообществе и в определенный момент внесет преднамеренную ошибку (читай закладку в исходный код), а пейлоад уже прилетит при эксплуатации? Или, если говорить о gentoo, то хоть код и собирается у меня на компе, то что мешает ответственному за пакет аккуратно подправить в ebuild урл для скачки исходного кода и т.п.? Да, потом разберутся, но заметить могут и не сразу ;(
Так что, уважаемые линуксоиды, не понтуйтесь попусту, это глупо и непрофессионально. Никакой Linux не суперзащищенный. Просто ОС с открытыми исходными кодами оставляет несоизмеримо больше возможностей квалифицированному человеку во всех смыслах. Но этим надо уметь пользоваться и тратить на это время. В этом вся суть
Бред, особенно про opensource и преднамеренно внесённые ошибки (закладки). Вы далеки от процесса и принципов разработки opensource. Даже комментировать нечего.
Поясните, пожалуйста. Почему известные на данный момент критические ошибки в открытом/пропиетарном ПО не могли быть созданы специально?
Понимаю, что за определенными коммитами стоят очень известные разработчики с непререкаемым авторитетом в сообществе, но даже они обычные люди. Они играют в Сети, скачивают что-то, их компы и моб. и др. устройства могут быть скопроментированы. Они не боги, в конце концов, а такие же как мы, в определенном смысле.
Когда нет объективных аргументов, то в ход идут слова "бред", "чушь" и т.п.
Хорошо, пусть я "далек от процесса и принципов разработки opensource" (хотя смею заверить - вы сильно ошибаетесь, но к сожалению, на данный момент я не хочу да и не могу раскрывать аспекты своей проф. деятельности и связь с opensource проектами). Пусть так. Очень прошу, потратьте немного времени и хоть в нескольких предложениях по существу поясните мне, дураку, почему я неправ, желательно в технических терминах, то что "даже комментировать нечего", я прекрасно понял. Снизойдите, умоляю.
>Они играют в Сети, скачивают что-то, их компы и моб. и др. устройства могут быть скопроментированы.Ну комитит он и что дальше, узнал, что его скомпрометировали, вернул как было, в чем проблема? У всех других разработчиков тоже есть свой git и форки и форки форков для тестирования...
>Когда нет объективных аргументов, то в ход идут слова "бред", "чушь" и т.п.бред
>и не могу раскрывать аспекты своей проф. деятельности и связь с opensource проектамираскрывать связь с opensource проектами, Карл!
бред
>почему я неправ, желательно в технических терминахна github или еще куда идите...
> Ну комитит он и что дальше, узнал, что его скомпрометировали,
> вернул как было, в чем проблема?Давно делали git bisect через merge commit? Если кто такое умеет как ни в чём не бывало -- научите отсталого.
> Бред, особенно про opensource и преднамеренно внесённые ошибки (закладки).Вообще-то он довольно грамотно всё изложил; Вам же напомню про красивую попытку: http://bugtraq.ru/rsn/archive/2003/11/34.html
>К счастью, в силу сказанного в преамбуле, ни в одно из публикуемых ядер это изменение попасть шансов не имело.
>2003 год
>BitKeeper
>CVS зеркалоДавайте сравним с windows xp?
> Давайте сравним с windows xp?Друг, я Вам хотел показать не то, что в штатах негров линчуют -- это и так понятно -- а то, что у нас тоже порой стреляют. И что по этому поводу расслабляться рано, как и отметил другой тоже ранее будто не замеченный здесь человек (по крайней мере почерк для меня новый).
Да, вот только далеко зашли от темы: пользователь должен запустить скрипт, чтобы он работал(спасибо drweb, а то никто не знал), до коммитить в исходники и компрометировать разработчиков.
> Вот, например, для вирусов, указанных в статьеВот, например, в статье ни про какие вирусы не говорится.
> не понтуйтесь попусту
"Чем кумушек считать трудиться..."
>> Вот, например, для вирусов, указанных в статье
> Вот, например, в статье ни про какие вирусы не говорится.
>> не понтуйтесь попусту
> "Чем кумушек считать трудиться..."Понял. Нужна конкретика, детали. Но вот просто ответьте, чем принципиально сложнее внедрить вредонос, действующий от непривилегированного пользователя, скажем в Ubuntu, чем от грамотного юзера в Windows 8/10, не работающего из под админской записи? В последних версиях винды внедрен защитный механизм контроля целостности потоков исполнения и много чего еще "по мелочи", мастдаи постарались, уж поверьте мне. А в линухе это местами реализуется с помощью SELinux/AppArmor, относительно "жидким" укреплением ванильного ядра и пр. Вся беда венды, что под ней сидят безнадежные ламо, и под них прогибаются раком со смаком разрабы. А защитные механизмы современных версий венды реально круты, и если при ее настройке и использовании совсем похерить нах*й удобство и сделать максимальный упор на безопасность, то чтобы догнать и превысить этот уровень в линухе нужны серьезные усилия и однозначно самостоятельный патчинг ядра и/или выбор gentoo linux hardened, имхо.
>чем принципиально сложнее внедрить вредонос, действующий от непривилегированного пользователя, скажем в Ubuntu, чем от грамотного юзера в Windows 8/10
>непривилегированного пользователя Ubuntu
>грамотного юзера в Windows 8/10тем что на windows в вашем конкретно описанном случае,"грамотный" пользователь, а на убунту непривилегированный?
В продолжение:
подумайте, сложно ли при определенных финансовых ресурсах и заинтересованности внедриться в процесс разработки открытого ПО? А достаточно всего лишь одного или несколько широко используемых опенсурс проектов ПО в основных дистрибутивах. Достаточно популярных, но второстепенных, на которые не тратят свое пристальное внимание реально крутые профессиональные разработчики из рэдхата и др. А у независимых разрабов опенсурс-сообщества своя жизнь, семья, карьера, дети и т.д. Чем не инструмент давления, если говорить о спецслужбах?
То-то.
>подумайте, сложно ли при определенных финансовых ресурсах и заинтересованности внедриться в процесс разработки открытого ПО?Да, сложно, а потом еще потерять все доверия пользователей(исходник то открыт)
Все верно, но с одно лишь оговоркой. Открытый код позволяет провести аудит на предмет закладок и прочей беды. Это неоспоримый плюс. Но тот факт что это аргумент приводят дилетанты или просто хомячки - просто дико раздражает. Сам факт открытых кодов даем им так необходимое чувство безопасноти и чувства превосходства над проприетарными системами. При том что они самостоятельно не проверили ни строчки кода! Какой-то там Вася Пупкин провел и мы ему дружно и всем "стадом" верим. Вот верят и хрен ты что им докажешь! Так открытый код превращается в предмет "чисто для понтов". Здравый смысл тут "отдыхает"
>аргумент приводят дилетанты или просто хомячкитакие как вы?
>[оверквотинг удален]
> связи (AES, с шифрованием ключа AES при помощи открытого ключа на
> основе асимметричного алгоритма RSA).
> После первого запуска в системе жертвы вредоносное ПО размещается под видом
> файлов $HOME/$DATA/.mozilla/firefox/profiled или HOME/$DATA/.dropbox/DropboxCache
> и отправляет сведения о новой поражённой системе на внешний сервер. Для
> автоматического запуска в системе вредоносное ПО создаёт файл $HOME/.config/autostart/%exename%.desktop.
> Так как Linux.Ekoms.1 нацелен в основном на поражение рабочих станций,
> размещение в системе как правило происходит в результате беспечного поведения пользователя,
> запустившего неизвестный исполняемый файл, установившего непроверенный пакет или использующего
> для открытия сомнительных сайтов необновлённый выпуск браузера.Имхо, в сообществе поклонников опенсурс существует опасная иллюзия, что все разработчики популярных опенсурс-проектов, и/или сотрудники компаний, отвечающих за формирование ведущих дистрибутивов Linux четко следуют стандартам и правилам безопасности ИТ индустрии везде, где происходит процесс разработки ПО.
Это сказка.
ИБ-пофигизм местами присутствует даже у сотрудников гигантов проприетарного софтверного бизнеса с большим бюдетом на ИБ. Что же говорить об индустрии свободного софта?
Многие разработчики опенсурс проектов могут считать, что сообщество и так должно ценить, что они тратят свое личное время на бесплатную разработку проекта за "спасибо" и признание, и никто не имеет права им еще и диктовать, как правильно обеспечивать процесс информационной безопасности разрабатываемого ими лично продукта.
Адекватные меры ИБ требуют существенных финансовых затрат и личных ограничений для разработчиков. Как можно запретить разработчикам популярных опенсурс-продуктов свободно распоряжаться личными комп., моб. средствами, которые как-то используется и для разработки?
Да, многие разработчики умеют это и отлично справляются, т.к. на кону их репутация.
Ошибочно распространять это на всех. Есть и супер молодцы и откровенные раздолбаи. Ведь главное, что "программа работает", а еще ведь "тысячи глаз по всему миру" исследуют исходный код, он ведь открыт!
Вот так все и думают реально проверяют и вникают доли доли процента.
А потом обнаруживаются ошибки и программные закладки, не обнаруживаемые годами в открытом коде.
Прошу прощения, если разбил чью-то иллюзию. Но просто вдумайтесь.Примеров ошибок (ли?) в открытом коде, типа goto fail; goto fail; немало. А вот и забавный пример простенькой закладки: https://github.com/alerj78/lucky7coin/issues/1
> URL: http://news.drweb.ru/show/?i=9790
> Новость: http://www.opennet.me/opennews/art.shtml?num=43700
Приведете примеры закладок в проприетарном ПО. В проприетарном ПО запрещено прописывать программы в авторан пользователю? Одна из защит опенсурс в том что у Васи стоит 4.5 версия программы, а у Пети 4.7, а "вирус" был на писан под уязвимость 4.6, при этом этой уязвимости нет в 4.5 и 4.7, а Надя вообще использует альтернативу программы.
Вопрос у кого работать будет вирус?И как все, что вы написали связанно, с тупыми пользователями, запускающие левые скрипты?
Функционал напоминает Back Orifice :) Неужели всякие Убунты наконец-то сравнялись с виндой 98 года???
А мне функционал напоминает скрипт на bash и папкой со своим набором софта. Например drweb не сказал как "троян" делает скриншоты.
Т.е. вы механизмах работы ОС не разбираетесь? В виндовсе, например вполне можно снять скриншот при помощи powershell без сторонних программ вообще. Уверен, что в современных DE под линукс тоже найдутся способы это делать имеющимся функционалом.
А если у меня не стоит ни одной программы для скриншотов? А если вирус написан под одну DE? про это тоже ни слова, что ж это за антивирус такой?
> А если у меня не стоит ни одной программы для скриншотов? А
> если вирус написан под одну DE? про это тоже ни слова,
> что ж это за антивирус такой?setterm -dump 1 -file screen.dump - без DE
setterm: не удаётся прочитать /dev/vcsa1: Отказано в доступе
Еще идеи?
> setterm: не удаётся прочитать /dev/vcsa1: Отказано в доступе
> Еще идеи?Да, конечно. Для начала man setterm. Потом осознать, что это работает в консольной сессии, а не через ssh.
>> setterm: не удаётся прочитать /dev/vcsa1: Отказано в доступе
>> Еще идеи?
> Да, конечно. Для начала man setterm. Потом осознать, что это работает в
> консольной сессии, а не через ssh.Не работает в консольной сессии:
setterm: не удаётся прочитать /dev/vcsa1: Отказано в доступе
Ну пипец у тебя руки кривые. У меня все прекрасно работает. Что я делаю не так?
> Ну пипец у тебя руки кривые. У меня все прекрасно работает. Что
> я делаю не так?у тебя руки кривые? Или ты от рута сидишь?
>> А если у меня не стоит ни одной программы для скриншотов? А
>> если вирус написан под одну DE? про это тоже ни слова,
>> что ж это за антивирус такой?
> setterm -dump 1 -file screen.dump - без DEв ssh-сессии делали?
то есть, опять не работает. ну что за беда!интересно, как скоро анонимус найдёт другие варианты? и сколько.
> А если у меня не стоит ни одной программы для скриншотов? А если вирус написан под одну DE? про это тоже ни слова, что ж это за антивирус такой?А если я спам не читаю, если у меня фильтр настроен, то что ж это за спамер такой?
Думается мне, что пора ужесточать правила перехода по каталогам в GNU/Linux.Сейчас можно сделать вот так:
cd $HOME/$DATA///////////////////.mozilla/firefox/и ведь, зараза, в таком случае переходит в
cd $HOME/.mozilla/firefox/
>Думается мне, что пора ужесточать правила перехода по каталогам в GNU/Linux.Зачем?
Кстате про тупых пользователей.
У меня вот такое ощущение, что некоторые линуксоиды весьма доверчивы и по умолчанию доверяют левым репозиториям.Так то создал на своей VPS левое PPA для Ubuntu в стиле "Web Upd8". Натолкал пакетов популярных, которые устарели в стандартных репах, запихал полезную нагрузку, которая бы сразу не палила. Веб морду бы сделал на bootsrap такую в стиле оформления github. Раскрутил в поисковике. Думаю что-то поиметь можно было.
PS: Тоже и других дистрибутивов касается.
Возьми у мамы конфетку, только кажись и подписи на нормальных дистрибутивах нужны? Домохозяйке надо твой сертификат приклеить(через терминал).
И да BolgenOS не взлетел.
>Думаю что-то поиметь можно было.Можно, но не красавицу, а просрать кучу свободного времени, чтоб твои друзья ламеры скачали не нужную им программу, так как им firefox за глаза хватает...
Подпись спасёт в ситуации, когда злоумышленник пытается сделать плохое с хорошим сервером-репозитории (привет случаю с deb multimedia, когда они профукали домен, но новый владелец, если бы захотел ничего бы не смог толкового наделать)
Если я сам делаю honey-ppa, то тут мимо. При добавлении на сайте добавляю инструкции о добавлении цифровой подписи моего evil ppa сервера.
> При добавлении на сайте добавляю инструкции о добавлении цифровой подписи моего evil ppa сервера.Я хорошо говорить по русски...
Просто на сайт выложить инструкцию о добавлении цифровой подписи моего evil ppa сервера. Собственно как https://www.virtualbox.org/wiki/Linux_Downloads
А если у домохозяйки debian fedora или opensuse? В школе что каникулы?
> А если у домохозяйки debian fedora или opensuse?Ну это слишком смешно...
Почему?
Раз ты про школу упоминул, азазаза (или как у вас там)
В раче есть AUR, там есть репутация пакетов голосованием и прочая ерунда.
Но так никто же не проверяет толком. Тоже можно закинуть удочку с полезной нагрузкой, которая бы не палилась особо.PS: да, само собой улов будет малый, это тебе же не венда с 80% (?) рынка десктопов...
Ага, такие же как ты, школьники, поставят себе арч и твое ядро с aur, сто проценттов...
Если честно, слабовато у тебя с пониманием сообщества...
А кому твой сайт нужен?
Тем временем DrWeb Live CD перешел на запуск виндового сканера через Wine.
А смысл развивать и поддерживать линукс-версию, если ее все равно никто не покупает?
Ну и устроили тут флейм...
Антивирусы для Linux не нужны, ололо!
Ну да, вам не нужны, узбагойтесь уже. Но есть две интересные вещи.
Первая: тот же drweb под линь качает вирусные базы, в которых лежат сигнатуры любого зверья, они такие же, как на виндовом антивирусе.
Вторая: А исчо есть такая хрень, которая называется "файлообменник" или "файлопомойка". И работает оно на Linux. В сети из виндовых машин. Которых 200+ штук.
И пользователи этих 200+ машин кидают в этот обменник свое файло, включая исполняемое, включая скачанное из энторнетов.
Конечно, антивирус на клиентских машинах рулит, но антивирус на файловом сервере позволяет очень шустро прибить все зверье еще до того, как оно расползется по локалке.
То же можно сказать за почтовый сервер, куда валиццо спам с аттачами из серии финансовый_отчет_pdf.exe.
Но это проблемы одминов, простому юзеру с бубунтой на десктопе ничего не грозит.
А зачем drweb если есть свободный clаmav? Качает сигнатуры(как в лодке качает?), другая хеш-сумма:-) (сигнатура) вируса и твой антивирус не работает... Дыры в системе надо закрывать, и права правильно выставлять... Не нужен проприетарный антивир в линуксе, ибо оно такой же вирус!