Компания Dr.Web сообщила (https://news.drweb.ru/show/?i=9921&lng=ru&c=14) о выявлении троянского ПО для Linux, встроенного в распространяемую в бинарном виде утилиту (http://vms.drweb.ru/virus/?_is=1&i=8036728) для совершения атаки путем наводнения адреса жертвы UDP-пакетами. Кроме заявленной функциональности, утилита также выполняет троянские действия и оставляет в системе пользователя бэкдор. Для UDP-флуда требуется запуск программы с правами root, поэтому вредоносное ПО сразу получает полный доступ к системе. Пользователям рекомендуется избегать загрузки программ из непроверенных источников и не запускать сторонние бинарные файлы в системе.
После запуска троянского ПО в систему загружается и устанавливается один из трёх бэкдоров (1 (http://vms.drweb.ru/virus/?_is=1&i=8036732), 2 (http://vms.drweb.ru/virus/?_is=1&i=8036735), 3 (http://vms.drweb.ru/virus/?_is=1&i=8036738)), предоставляющих злоумышленникам возможность выполнять произвольные команды в системе пользователя. Бэкдор сохраняется в файлах /lib/.socket1 или /lib/.loves, очищает правила iptables и активируется через изменение файла /etc/rc.local и через создание задания в cron, после чего периодически соединяется с внешним управляющим сервером, получая от него команды. Например, поддерживаются команды участия в DDoS-атаке, запуска произвольного кода, сканирования портов, загрузки файлов и т.п.URL: https://news.drweb.ru/show/?i=9921&lng=ru&c=14
Новость: http://www.opennet.me/opennews/art.shtml?num=44238
Неплохо. Чтобы в Linux подцепить вирус нужно иметь как минимум root-права, и тупость типичного неопытного пользователя Windows с желанием жать куда-попало, да устанавливать что попало.Это даже не троян, а просто утилита для поддержки коммунити хакеров, которая помогает ддосить.
Ну для мэлвари совсем рут права не нужны, хватит и привилегий пользователя для много чего.
Замечание про "не устанавливать что попало" конечно верное, но не всегда можно оценить достоверно. Мне вот как-то не очень было запускать hashcat (не так давно у него и сорсов не было) на своей основной машине, но как-то лень победила и параноить по поводу изоляции не стал, а тупо запустил...
Для этого есть noexec на пользовательский каталог и на tmp
Ну тогда первый отписавшийся облажался: для защиты в винде достаточно настроить политики безопасности.
Ну настрой кому-нибудь на домашнем компе. Не забудь потом рассказать о последствиях.
> Ну настрой кому-нибудь на домашнем компе. Не забудь потом рассказать о последствиях.Работаю с такого. ЧЯДНТ?
Я с noexec не смогу работать, ибо программист. А то у вас всё так просто получается, что аж завидно.
Так может и не получается, а просто диванный теоретик пишет...
https://bugzilla.redhat.com/show_bug.cgi?id=1268994
https://bugzilla.redhat.com/show_bug.cgi?id=156594
https://bugs.launchpad.net/ubuntu/+source/debconf/+bug/90085
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786361Только баги собирать при noexec на /tmp
Из этого списка особенно нужна "простата". Без неё вообще никак.
Ну так необязательно же всем пользователям noexec, программисту можно не запрещать исполнять. Программист - он же мозгами может пользоваться лучше, чем домохозяйка.
> Ну так необязательно же всем пользователям noexec, программисту можно не запрещать исполнять.
> Программист - он же мозгами может пользоваться лучше, чем домохозяйка.Очень вольное допущение. Может - не означает, что будет.
Попробуй работать с TPEkernel.grsecurity.tpe_gid = 1001
kernel.grsecurity.tpe_invert = 1Только пользователь в группе 1001 сможет запускать свои проги со своих каталогов. Остальные только то что root установил.
noexec на /home & /tmp & /var - необходимы! Программисты могут держать отдельный раздел с WX правами и монтировать его себе в домашний каталог.
> noexec на /home & /tmp & /var - необходимы! Программисты могут держать
> отдельный раздел с WX правами и монтировать его себе в домашний каталог.Вопрос: что помешает хакеру сделать это же самое?
> noexec на /homeЕсли я не могу писать в каталог пользователя, то как мне помешает noexec. Если я могу писать в каталог пользователя, то пишу в bashrc, и как мне помешает noexec.
noexec может спасти только от вредоносного ПО, в котором это не предусмотрено. Как только количество noexec-хомяков станет значимым - предусмотрят.
> Для этого есть noexec на пользовательский каталог и на tmpМожно пойти чуть дальше и собрать себе ядро без поддержки загрузки модулей и без форматов исполняемых файлов. Это будет большим обломом для хакеров.
> тупость типичного неопытного пользователя WindowsВ статье про Windows ни слова. Если ведёте внутренние диалоги сами с собой - ведите их про себя. Иначе окружающие вас здоровые люди будут смущаться.
> В статье про Windows ни словаТак латентные же. Олсо, на линуксовом ведройде тот же принцип вполне работает. Пользователи сами ставят всякую ерунду.
Ну чтож поделать... - не все же "умные" тыжпрограммисты...
Пользователь и не должен быть опытным, чтобы использовать компьютер. Про это очень хорошая книга написана "Психбольница в руках пациентов" (под пациентами там имеются в виду программисты, которые почти всегда заодно и дизайнеры интерфейсов).
>Пользователь и не должен быть опытным, чтобы использовать компьютерЧтобы пользоваться каким-нибудь инструментом тоже особо опытным быть не надо, но чтобы себе чего-нибудь не отхватить нужно знать тб и осилить инструкцию.
Почему с компьютерами все по-другому?
Потому что инструкции сложнее раз в 10. И даже не из-за самой "сложности", а из-за непривычных концепций, которые в отличии от прикладной механики дети не учат с детства в гаражах с друзьями и отцами.
Хотя с нынешним подрастающим поколением это не всегда так.
Не суй пальцы в розетку, если не электрик.
"нужно знать тб"Как насчёт доезжания на красный свет на перекрёстке?
В правилах кстати по поводу начала движения на зелёный есть оговорка...
>Пользователь и не должен быть опытнымДолжен.
Прежде чем что-то делать — ознакомься с информацией по предмету в достаточном объёме. Это касается строительства и вождения, ремонта мебели и кройки-шитья, готовки и стирки, рыбалки и занятий спортом. Вообще всего. С чего б это вдруг использование сложных технических средств для получения, обработки и передачи информаций стало возможным без обучения?
Если подхватишь какую заразу, или тебя ломанут, ведь никому не скажешь на форуме, а тупо смолчишь. Но повыпендриваться случая не упускаешь. А ведь виной тому недостаток знаний, сынок... да
А если авто забарахлит, то небось поедешь в сервис и там выпендриваться тоже не станешь?
1. Если.
2. Сдаётся мне, ты моложе, "папаша".
3. Авто нет и приобретение не планируется.
Дизайн интерфейсов и Линукс - это очень сложная и щекотливая тема. Лично я (имхо, бл!!) вижу сегодня ростки некого комплексного дизайна только в GNOME3. Всё остальное - дед итил репку, пока внучка мыла жучку.
Ну вот бывают ещё неопытные пользователи граблей. А ведь инструмент попроще компьютера...
>Пользователь и не должен быть опытным, чтобы использовать компьютер.*сарказм* "Телефона! Телефона! Чукча кушать хочет!" (c) Народное творчество
С дури можно х*р сломать. Как то так...
> Так латентные же. Олсо, на линуксовом ведройде тот же принцип вполне работает.
> Пользователи сами ставят всякую ерунду.
> Ну чтож поделать... - не все же "умные" тыжпрограммисты...Ну с Ведроидом тут Гугл расстарался, сделав всё, чтобы никсовая ось стала потенциальным ведром с червями навроде Винды. Рута отобрал, в результате чего любая залётная зараза становится главнее пользователя. Обновление единым куском раз в месяц в лучшем случае, да и то только если вендоры железку ещё поддерживают. Куча дебильных ограничений, заставляющих ставить софт для их обхода (там всё через гланды, от монтирования разделов до смены DNS-серверов). Дропнули весь никсовый софт, вынуждая пользователей искать замены, которые пишет кто попало и как попало. Свои репы немодерируемые (на предмет заразы, те же блокировщики рекламы оттуда на раз выпиливают). Утилиты для подрезания прав приложениям только в 6-й версии официально появились. Результат всех этих действий вполне закономерен.
>> Так латентные же. Олсо, на линуксовом ведройде тот же принцип вполне работает.
>> Пользователи сами ставят всякую ерунду.
>> Ну чтож поделать... - не все же "умные" тыжпрограммисты...
> Ну с Ведроидом тут Гугл расстарался, сделав всё, чтобы никсовая ось стала"Linux is NOT UNIX!" (c) Линус Торвальдс
> потенциальным вeдpом с червями навроде Винды. Рута отобрал, в результате чего
> любая залётная зapаза становится главнее пользователя. Обновление единым куском раз вДеньги все хочат - за патчи к линю буханку хлеба не продают.
> месяц в лучшем случае, да и то только если вендоры железку
Жрать захочешь - еще не так раскорячишься. Все вы храбрые, пока папка с мамкой кормят и бессеребренники ровно до тех пор, пока лично вам коммунальный счет не принесут.
> ещё поддерживают. Куча дeбильных ограничений, заставляющих ставить софт для их обхода
> (там всё через гланды, от монтирования разделов до смены DNS-серверов). Дропнули
> весь никсовый софт, вынуждая пользователей искать замены, которые пишет кто попало
> и как попало. Свои репы немодерируемые (на предмет заразы, те же
> блокировщики рекламы оттуда на раз выпиливают). Утилиты для подрезания прав приложениямКак страшно жить!
> только в 6-й версии официально появились. Результат всех этих действий вполне
> закономерен.Это СПО, деточка. Тут всегда так. Чем дальше - тем страшнее.
Это скорее всего отсылка к холивару о безопасности Windows против Linux.
> В статье про Windows ни слова.Это же классика "оттуда":
"хакир-утилита, только сегодня! Взломай любой <твиттер-вконтактик-сосед-мыло.ру-итд> ! Скачай без СМС! При установке отключи антивирус, т.к. злые антивирусы не любят хакир-программа!"Это если совсем для начинающей к^Hхакиров.
Для более продвинутых на "илитарных закрытых форумах" раздают бесплатные "FUD" трояны с встроенным угонщиком паролей. Еще более продвинутым продают ботов c "бэкдором" (т.е. "хакиры" занимаются распространением, а сливки достаются отнюдь не им).Ну а тут решили достать всех тех, кто "ушел" на пингвина – тут особой разницы нет, ведь используют уязвимость прокладки между стулом и клавиатурой.
> В статье про Windows ни слова.Вы не внимательны. Dr.Web - это только про Windows.
вирус? файловый да. Но его и винде не подцепишь. Чтобы троян получить это не нужно.
к тому же например скрипты в deb,rpm пакетах выполняются с правами root.
Не помню точно. В чистом systemd уже кажется нет никакого /etc/rc.local?
там юнит для этого всегда лепят
Выключен по умолчанию. Еще и крона может не быть, а только systemd timers.
Так из каких же источников её ещё загружать, если в репозиториях её нет?
Ни из каких. Это из серии "так куда ж идти, если не к шлюхе, если жены/подруги нет?"
Остается открытым вопрос, - кто пользуется сторонними источниками по в linux, при наличии реп?
Те, кому нужны последние версии приложений, т.к. в репах версия как правило быстро устаревает.
Обожемой, надеюсь, они уже выпустили обновление антивирусных баз!?!?
> Обожемой, надеюсь, они уже выпустили обновление антивирусных баз!?!?Конечно, не беспокойтесь. Сначала базы, потом троян. :)
нужны вопросы почему не нужно ничего кроме репозиторного распространения программ?
> нужны вопросы почему не нужно ничего кроме репозиторного распространения программ?нужны вопросы, почему софт для DoS-а в репозитории не возьмут?
>> нужны вопросы почему не нужно ничего кроме репозиторного распространения программ?
> нужны вопросы, почему софт для DoS-а в репозитории не возьмут?Кровавый гежим гнобит свободу пользователей.
Так а что за утилита-то?
По ссылкам только «старые песни о главном»: «Покупайте наших слонов!».
Даже в комментариях одни упоротые: гимны поют и хозяина славят.
> Так а что за утилита-то?Утилита для DoS-а. Поэтому, в репозиториях её быть не может. А обсуждение того, нужна ли такая утилита, это уже совсем другой вопрос. В репозиториях и по вполне нормальным причинам не всегда бывает нужный софт, или не всегда бывает нужная версия.
Запросто может, и бывает. Может быть в сторонних (но всё равно с репутацией, подписями и т.д.), может быть и в основных (например, как инструмент для тестирования безопасности).А вообще - если она бинарная - то на фиг с пляжа в любом случае.
> Утилита для DoS-а. Поэтому, в репозиториях её быть не может.Не могу вспомнить что именно, но видел такое (кажется *.com и кажется в Debian)... То ли загрузчик какой-то хитрый был, то ли какая-то утилита для HDD, то ли memtest. Вот хоть убей не помню...
Недавно тестировали свой продукт в виртуалке с установленной Fedora 23 netinstall в минимальной конфигурации без X и прочего. Голая система и java. При тестировании (iftop) заметил запросы на непонятные ip, которые шли через 1-2 минуты. Решил посмотреть, что это и оказалось это адреса сайтов службы такси и клуба собак))) Сначала подумал, что наши что-то натворили, загрузил чистый образ системы и тоже самое. Видимо, при установке с netinstall подхватилось зеркало с этой заразой( На образах систем с debian, opensuse такого не замечено.
Это чего теперь? Бойся Линукса с родного репозитория приходящего? Не, тогда лучше жить на винде - там антивирь стоит по-умолчанию.
> Это чего теперь? Бойся Линукса с родного репозитория приходящего? Не, тогда лучше
> жить на винде - там антивирь стоит по-умолчанию.Ты ничо не попутал? Дефолтным только подтираться, как и каспером с даниловым. Интеллигентные люди юзают симантек эндпойнт, благо он бесплатен для неуправляемого клиента.
У вас там что, проверки по ключам нет? Какой хрен разницы, что а зеркало - списки пакетов с контрольными суммами подписываются ключом, который знает инсталлятор - во всяком случае,в дебиане всё именно так.
В Арче тоже бывает - мейнтейнер забыл pgp ключ обновить - инсталлятор его разворачивает. Редко бывает, конечно.
> В Арче тоже бывает - мейнтейнер забыл pgp ключ обновить - инсталлятор
> его разворачивает. Редко бывает, конечно.В арче на эту тему есть огромная дырень, о которой разработчики в курсе с прошлого года (и им наши пытались уже и на пальцах объяснить) -- в общем, не чешутся.
А есть сслылка на обсуждение?
> А есть сслылка на обсуждение?Кому интересен трёп, когда нужны уже патчи - и резко?
Именно поэтому звоночек (если рассказ — правда) очень интересный. Лично мне теперь очень хочется проверить, насколько надёжны механизмы защиты репозиториев...
Либо не оригинальный образ, либо утекли ключи, что плохо, либо наброс (наиболее верятно). Чексумму образа проверял? Чексумма какая? Какое зеркало в итоге было вредным?
Нетинсталл качали с официального сайта Fedora (download.fedoraproject.org). При установке сами зеркало не выбирали, доверились установщику. Доставляли необходимые пакеты тоже с официальных зеркал (опция fastestmirror в dnf), проверка подписей включена. Обмен трафиком шел с taksa-club.org.ru и еще несколько адресов (адреса на память не вспомню).
Хост система винда, а виртуальная сетевая карта виртуальной машины в режиме bridge с хостовой, так?
> На образах систем с debian, opensuse такого не замечено.А на альте? :)
>> На образах систем с debian, opensuse такого не замечено.
> А на альте? :)Михаил,
Мы теперь здесь и цифровые подписи, отпечатки ключей образов и релизов Вашего дистрибутива проверять будем?
>>> На образах систем с debian, opensuse такого не замечено.
>> А на альте? :)
> Михаил,
> Мы теперь здесь и цифровые подписи, отпечатки ключей образов и релизов Вашего
> дистрибутива проверять будем?Он думает, его неуловимый Джо один из 2047 дистров занял уже доминирующее положение, как ведройд.
По ссылкам на "вирусы":"К сожалению, произошла ошибка обработки вашего запроса. Пожалуйста попробуйте обратиться к нашему сайту позднее. Если ошибка повторится, пожалуйста, напишите на адрес webmaster@drweb.com. В письме укажите точное время возникновения ошибки, а также действия необходимые для её воспроизведения.
Приносим извинения за доставленные неудобства."
Вот только заголовок почитал, сразу на дрвеб подумал.
> Вот только заголовок почитал, сразу на дрвеб подумал.По существу есть что сказать?
Ох. rc.local, cron... У меня этого нет в дистрибутиве. Что же будет делать троян? Ьроян явно для убунты только работает.
Нужно больше гайдов с
% curl http://somecoolsoft.info/quickinstall.sh | sudo bash
А все от незнания...
pktgen - и ненадо никаких сторонних утилит, ибо модуль ядерный....
Как скачать для теста?
p.s. только чур без отправки смс
> Для UDP-флуда требуется запуск программы с правами root,
> поэтому вредоносное ПО сразу получает полный доступ к системе.Щёлкает пальцАми и получает? В исходном сообщении всё-таки более информативно: "Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root, — без этого она отказывается работать".
> Щёлкает пальцАми и получает?Оправка пакета с минимальным интервалом возможна только с правами root, иначе никакого флуда не получится, поэтому эта программа ничего не просит, а по своей сути только под root-ом работает. Например, попробуйте запустить "ping -f", абсолютно тоже самое.
Ну как бэ это и дураку понятно, всем и так понятно, а Вы, Михаил, как всегда...
Ну зачем вы себя так унижаете..
Интересно, у меня одного в голове всплыло "Dr.Web" просто прочитав название не переходя ещё по ссылке?
Ты не одинок. Пиар есть пиар, сеошники не дремлют, а работу работают - пишут линукс вирусы и распространяют их через всякие помойки, лишь бы народ качал/ставил покупал антивирусы для linux(?) вместо того, чтобы понять, как сделать так, чтобы их не было от слова совсем и что для этого надо сделать.
> Ты не одинок. Пиар есть пиар, сеошники не дремлют, а работу работают
> - пишут линукс вирусы и распространяют их через всякие помойки, лишь
> бы народ качал/ставил покупал антивирусы для linux(?) вместо того, чтобы понять,
> как сделать так, чтобы их не было от слова совсем и
> что для этого надо сделать.Уже поздно, если ты не заметил. Только заново рожать.
Пользователям рекомендуется избегать работы под root.
> Пользователям рекомендуется избегать работы под root.Всем рекомендуют. После этого появляется забавная документация с sudo в начале каждой строки. Это полная победа над здравым смыслом, я считаю.
>> Пользователям рекомендуется избегать работы под root.
> Всем рекомендуют. После этого появляется забавная документация с sudo в начале каждой
> строки. Это полная победа над здравым смыслом, я считаю.sudo - зло. Ты вообще не понимаешь, от кого работаешь.
Тоже мне новость. Троян в каждом втором PPA, а часто и в родных бинарных пакетах.