Разработчики Mozilla опубликовали (http://blog.mozilla.com/addons/2010/02/04/please-read-securi.../) уведомление, связанное с обнаружением в каталоге addons.mozilla.org (http://addons.mozilla.org) двух дополнений, в которых были интегрированы вредоносные троянские вставки. Проблемы найдены в версии 4.0 дополнения Sothink Web Video Downloader и всех версиях Master Filer. По предварительным данным данные дополнения после их публикации успели установить примерно 5 тысяч пользователей.
Троянский код нацелен на поражение только машин под управлением ОС Windows: Sothink Web Video содержит троян Win32.LdPinch.gen, а Master Filer - Win32.Bifrose.32.Bifrose. После установки зараженных дополнений, троянское ПО поражает основную систему, вылечить которую может только специализированное антивирусное ПО (для очистки недостаточно просто деинсталлировать расширения).URL: http://blog.mozilla.com/addons/2010/02/04/please-read-securi.../
Новость: http://www.opennet.me/opennews/art.shtml?num=25313
А откуда такие сюрпризы там берутся? Сервера их ломают что ли?
>А откуда такие сюрпризы там берутся? Сервера их ломают что ли?Это были экспериментальные версии расширений. Они проверяются исключительно автоматически и только если из зааппрувят становятся официальными версиями. Автоматическая проверка лажанулась.
Начитался я подобного и ччас у меня все браузеры запускаются от отдельного пользователя webbr скриптом на перл
В Vmware/vbox/qemu надо по вебу лазить,
причем в режиме не сохраняемого снапшота,
с лимитом памяти в 256Мб, и диском настолько же.
В Vmware/vbox/qemu надо по вебу лазить,В них тоже полно дыр.
Не надо, без толку.Я ччас подумал - торрент у меня тоже от torruser, иксы от x11user, а от меня пожалуй только gvim, компилер и ещё по мелочи.
Но дома я работаю не всегда, так что меня как бы и нет ;-)Правда mplayer по старинке от рута, раньше он то ли rtc хотел, то ли приоритет высокий, не помню уже
Счас с vdpau на воде и т.п. в 1920x1080 жрёт макс 15-20% - странное ощущение вообще-то :-((Как бы хацкеры проклятые не придумали троянских фильмов! ;-)
>В Vmware/vbox/qemu надо по вебу лазить,
>
>В них тоже полно дыр.
>Не надо, без толку.
> иксы от x11user,Опа, поделись с планетой сокровенным секретом, как запустить Xorg не от рута???
Гоним батенька, гоним... :)
Тока не забываем про
ls -la /usr/bin/Xorg
-rws--x--x 1 root root 1943112 Янв 30 16:50 /usr/bin/Xorg
Во-о-о-он, букавку s видишь?! :) Вот он троянчик...
> Опа, поделись с планетой сокровенным секретом, как запустить Xorg не от рута???Зашел под пользователем, любым, набрал startx - вот и весь секрет!
/usr/bin/Xorg вооще-то суидный!
Так что толку ИМХО не много, разве что акробат не подгадит.
>> Опа, поделись с планетой сокровенным секретом, как запустить Xorg не от рута???
>
>Чо гоним, сдурел?
>Зашел под пользователем, любым, набрал startx - вот и весь секрет!
>/usr/bin/Xorg вооще-то суидный!А как же у тебя тогда xauth, который пускаешь не от рута, подключается у рутовому Xorg.
А, ты не юзаешь хauth, ну тогда поздравляю, ты открыл ещё большую дырень :)
> А как же у тебя тогда xauth, который пускаешь не от рута, подключается у рутовому XorgДа никак он не подключается.
Сначала я suidperl (он тоже суидный, но только в /etc/permissions надо разрешить) копирую файлик из $ENV{'XAUTHORITY'} в HOME того юзера от кого запускаю, потом устанавливаю $(, $), $>, $<, XAUTHORITY и execМожет и есть дыра, в иксах, самих ;-)
>> А как же у тебя тогда xauth, который пускаешь не от рута, подключается у рутовому Xorg
>
>Да никак он не подключается.
>Сначала я suidperl (он тоже суидный, но только в /etc/permissions надо разрешить) копирую файлик из $ENV{'XAUTHORITY'} в HOME того юзера от кого запускаю, потом устанавливаю $(, $), $>, $<, XAUTHORITY и execГенту чтоля?
> Генту чтоля?Это про /etc/permissions?
опенсуся
>> Генту чтоля?
>Это про /etc/permissions?
>опенсусяОпа... А я его и никогда не смотрел... :) Не верю! (c)
>[оверквотинг удален]
>В них тоже полно дыр.
>Не надо, без толку.
>
>Я ччас подумал - торрент у меня тоже от torruser, иксы от
>x11user, а от меня пожалуй только gvim, компилер и ещё по
>мелочи.
>Но дома я работаю не всегда, так что меня как бы и
>нет ;-)
>
>Правда mplayer по старинке от рута,1. заводишь группу video, если не такой...
2. грузишь модуль nvida с параметрамиmodprbe nvidia NVreg_DeviceFileUID=0 NVreg_DeviceFileGID=33 NVreg_DeviceFileMode=0660
где 33 это id группы video3. добавляешь юзера в группу video.
4. Всё!!!
> NVreg_DeviceFileUID=0 NVreg_DeviceFileGID=33 NVreg_DeviceFileMode=0660Это у меня есть, причем строка точь в точь
Показывает и от юзера, говорю - от раньше осталось
Да и троянских фильмов ИМХО пока нет ;-)
>> NVreg_DeviceFileUID=0 NVreg_DeviceFileGID=33 NVreg_DeviceFileMode=0660
>
>Это у меня есть, причем строка точь в точьА ты SGID на mplayer приклей, сам от себя застрахуйся :)
>Показывает и от юзера, говорю - от раньше осталось
>Да и троянских фильмов ИМХО пока нет ;-)CPU и планировщик меньше грузить будет, точнее наоборот,
приоритет у планировщика для этого процесса меньше будет.
> точнее наоборот, приоритет у планировщика для этого процесса меньше будет.Да, да, Вы совершенно правы!
Но т.к. дома у меня не сервак, а торренты пусть подождут, но фильм я жалаю смореть без заиканий!Хотя согласен, нефиг, сейчас и так нормально кажет
>> точнее наоборот, приоритет у планировщика для этого процесса меньше будет.
>
>Да, да, Вы совершенно правы!
>Но т.к. дома у меня не сервак, а торренты пусть подождут, но
>фильм я жалаю смореть без заиканий!
>
>Хотя согласен, нефиг, сейчас и так нормально кажетКончно, CUDA есть!!!
Всё жду когда поддержку атишного стрим допилят. Они его наконец и в самое дешёвое запихнули. Хотя как и с нвидией это был вопрос дров...
5450 вроде держит, спецификации открыли(кажись), глядишь и софт с ним подружится.
>Как бы хацкеры проклятые не придумали троянских фильмов! ;-)Да вообще-то придумали. Читайте новости про переполнения буферов и прочая. После этого пускать плеер от рута несколько расхочется, т.к. эксплойты в фильмах срывающие буфер в принципе вполне возможны и даже существуют для как минимум нескольких типов плееров.
> В них тоже полно дыр.О да, представляю так -- лазишь так в защищеном окружении в KVM на вконтактике, старательно откатывая снэпшот каждые 10 минут, а потом хоп-па -- от тебя начинает идти всем друзикам спам про "узнай тайну своей смерти". Оказывается это смс-лохотронщики научились через уязвимость в KVM из джаваскрипта ставить троян в хост-систему!
>Начитался я подобного и ччас у меня все браузеры запускаются от отдельного
>пользователя webbr скриптом на перла чего, нет ещё дистрибов где по дефолту всякая программа запускается от своего индивидуального юзера?
>>Начитался я подобного и ччас у меня все браузеры запускаются от отдельного
>>пользователя webbr скриптом на перл
>
>а чего, нет ещё дистрибов где по дефолту всякая программа запускается от
>своего индивидуального юзера?Есть, UNIX называется, - у каждого процесса есть SID PID PPID TID ...
Одному процессу низя лезть в другой напрямую, SIGFLT называется...
write(), sync(), mmap() и соседи работают от UID + GIDОстальное излишки... так как целей на запись меньше, чем на чтение.
То есть, записать можно: на диск, в сеть, принтер, экран, память, ..., периферию,
а тех кто это может сделать, ну почти бесконечно много.Так что, деление на группы по типам используемых ресурсов вполне хватает.
Вот SELinux, PAX, Apparmor, прикалываются с мандатами, подписями файлов, доп. атрибутами...
Только по факту еще вопрос кто больше геморроя доставит - вирус или мандатный контроль. Вирус имеет юзера единоразово, а мандатный контроль - постоянно :)
>Только по факту еще вопрос кто больше геморроя доставит - вирус или
>мандатный контроль. Вирус имеет юзера единоразово, а мандатный контроль - постоянно
>:)вирус может так поиметь одноразово что другого раза не потребуется
откройте для себя apparmor/selinux
> только машин под управлением ОС Windowsну и хрен бы с ними... мы их не знаем...
Мда, такими темпами скоро ИЕ будет более безопасным в отличие от.
>Мда, такими темпами скоро ИЕ будет более безопасным в отличие от.Надеюсь на сайте мозилы стоит
for i in `whois microsoft.com | grep "IP Address:" | awk '{print $3}' | uniq`;
do
iptables -I INPUT -s $i -j REJECT;
done:)
>Надеюсь на сайте мозилы стоит
>
>for i in `whois microsoft.com | grep "IP Address:" | awk '{print
>$3}' | uniq`;
> do
> iptables -I INPUT -s $i -j REJECT;
>done
>
>:)Огорчу автора этого кода.
% whois microsoft.com | grep "IP Address:" | wc -l
0
автор не огорчится.$ whois microsoft.com | grep "IP Address:" | wc -l
25
$ whois microsoft.com | grep "IP Address:" | wc -l
0
увы, не повезло (
Да уж...>for i in `whois microsoft.com | grep "IP Address:" | awk '{print $3}' | uniq`;
> do
> iptables -I INPUT -s $i -j REJECT;
>doneiptables -I INPUT -s mircosoft.com -j REJECT
...
Проверка:
iptables-save
...
-A INPUT -s 65.55.39.12/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 207.46.31.61/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 207.46.31.61/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 65.55.39.12/32 -j REJECT --reject-with icmp-port-unreachable
...
>Да уж...
>
>>for i in `whois microsoft.com | grep "IP Address:" | awk '{print $3}' | uniq`;
>> do
>> iptables -I INPUT -s $i -j REJECT;
>>doneДа уж...
>iptables -I INPUT -s mircosoft.com -j REJECT
>Проверка:
>
>iptables-save
>...
>-A INPUT -s 65.55.39.12/32 -j REJECT --reject-with icmp-port-unreachable
>-A INPUT -s 65.55.39.12/32 -j REJECT --reject-with icmp-port-unreachable
>-A INPUT -s 207.46.31.61/32 -j REJECT --reject-with icmp-port-unreachable
>-A INPUT -s 207.46.31.61/32 -j REJECT --reject-with icmp-port-unreachable
>...2 адреса только :)
>2 адреса только :)Значит только 2. А whois малость несерьезно:
for i in `whois microsoft.com | grep "IP Address:" | awk '{print $3}'`; do nmap -p 80 $i | grep open ; done | wc -l
7Особенно если ознакомится кому принадлежат эти адреса.
Ваше счастье, что cдеть новости про опенсорс, а не аналитика дыр в браузерах. Потому как на других сайтах гудят про новые дыры в IE. Причём в самом IE а не в дополнениях.
>Мда, такими темпами скоро ИЕ будет более безопасным в отличие от.Угу, вот только почему-то всех кого я видел из протрояненых через веб - поломали именно через IE. Вон только недавно сплойт на IE гулял в диком виде при пофигизме MS и всех передолбали им нафиг. А MS родило патч только когда правительства (!!!) ряда стран официально рекомендовали не юзать IE своим гражданам. Представляете себе масштабы поимения чтобы правительства вообще заморочились этим вопросом? oO
Как будто, если их сканеры теперь ничего не находят, это дает какие-то гарантии. Сама система расширений в том виде, в каком она сейчас реализована, ущербна.А пользователям давно пора научиться, что можно устанавилвать только приложения снабженные цифровой подписью автора, которому доверяешь. В дистрибутивах Linux это работает на уровне репозиториев. По хорошему, вместо того, чтобы втюхивать пользователям всякие антивирусы, нужно учить информационной безопасности, но ведь выгодно втюхивать антивирусы и создавать видимость, что они необходимы и что они решают проблему.
Система расширений не при чём, ботнет можно на любой ОС сделать, проьлема между монитором и клавиатурой. Если недалёкому человеку брякнули что есть такой самый безопасный Файрфокс, который рекомендуют даже правительства прогрессивных стран, то он будет как и раньше с ИЕ запускать его с админскими правами, с отрубленным файрволлом и обновлениями (а как же, иначе ничего не пашет!) и продолжать устанавливать супер-проги для просмотра сайта вконтакте и кодеки для порно-сайтов.
куча коментов, всё какую то фигню обсуждают.
никто не написал как же запускается зловредный код.
там бинарные библиотеки в расширения?
Да какая разница. Есть факт, что даже расширения с офф. сайта идут с троянами. Но самое поганое то, что многие инсталяторы от нечистых на руку производителй ПО и просто откровенно зловредная дрянь умеет неплохо прописываться в профиле фаерфокс в качестве расширения, а ФФ оказывается без рук, что своими штатными средствами эти расширения полностью удалить.
>нечистых на руку производителй ПО и просто откровенно зловредная дрянь умеет
>неплохо прописываться в профиле фаерфокс в качестве расширения, а ФФ оказывается
>без рук, что своими штатными средствами эти расширения полностью удалить.При установке ФФ на другой компьютер я после установки копирую каталог с расширениями со старого компа на новый и ФФ подхватывает их. Мне это удобно. Удобно и вирусам. А ФФ не спрашивает ничего о таких подложенных расширениях. А мог бы и спросить. Свои расширения я знаю - разрешил бы. А подложенные таким способом расширения от вирусов не прошли бы ручной контроль.
Я именно об этом. Профиль фаерфокса в текущем состоянии - это отличный плацдарм для злоумышленника (на виндовой платформе точно).
>таких подложенных расширениях. А мог бы и спросить. Свои расширения я
>знаю - разрешил бы. А подложенные таким способом расширения от вирусов
>не прошли бы ручной контроль.Да, кстати MS этим пользуется для втюхивания своей дотнетовской малвари без спроса :)
У меня firefox portable, и каталог с расширениями у него на флэшке - не в стандартном месте в системе, тем не менее на каждом компьютере Firefox подцепляет расширения от Microsoft, от антивируса, Real Player, и прочей требухи.
QT и прочие акробаты отключаются через plugin.scan в about:config, а в остальном пинайте того, кто вам такой портабельный собрал.
>У меня firefox portable,У меня тоже - "флеха с убунтой" называется. При этом я как бы уверен что на моей флехе нет троянов и кейлоггеров от кульхаксоров тырящих пароли и номера кредиток.
>и каталог с расширениями у него на флэшке - не в стандартном месте в системе,
>тем не менее на каждом компьютере Firefox подцепляет расширения от Microsoft,Парни из Редмонда заполняют соотв. ключ реестра. Более того - эти красавцы укурились настолько что даже если у вас и нет никакого файрфокса, эти перцы создадут ключ для файрфокса (!!!) и пропишут туда свой булшит. Особенно прикольно смотрится на DC и Exchange где файрфоксом и не пахло вообще. Фрукты из редмлнда совсем долбанулись в проталкивании своих технологий и скатились к откровенной хакережке чужих программ. Думаю в свете этого фоксу надо подтянуть гайки.
>от антивируса, Real Player, и прочей требухи.
Они себя в реестр системы прописывают. И, собственно, а как проге понять - она сама записала это туда или ей поднасрали? А что самое интересное, хаксорстсовать начал и сам MS, втюхивая свои аддоны в добровольно-принудительном порядке. И, главное, не очень понятно вот что: если гадит вендор ОС то как с этим бороться? Ведь запросы приложения разруливает ОС. И ей не вопрос разрулить их так как захочется левой пятке ее вендоров.
ну и любители жэ тут через жэ гланды автогеном выпиливать....
Есть жэ страничка https://developer.mozilla.org/en/Command_Line_Options
где можно узнать что опция -profile нужна для указания точного пути к профилю. при этом профиль может лежать где-угодно и как угодно, а не только в ~/.mozilla/firefox или в C:\DOCUME~1 там всяких...
>куча коментов, всё какую то фигню обсуждают.
>никто не написал как же запускается зловредный код.Винды нету :]
После почти десяти лет дружбы и полного взаимопонимания с мозиллой, перешел на claws-mail и на midori. А тут и вот это подоспело. Чую убунтизацию ффокса.
>claws-mail и на midori.А что делаете с кучами баннеров занимающими полэкрана и нагло мигающими + не в меру активными яваскриптами?
Лечится это вполне.
$ ls ~/.local/share/midori/scripts
FlashBlock.user.js unhide-password.user.js youtube.com.js
Адблока поддержка есть также, путем в нужном месте указания url на фильтры.Также и в .../styles возможно что-то на манер
* {
font-family: "DejaVu Condensed Sans" ! important;
}Есть некоторые элементы непрожаренности местами (типа, сессия сохраняется не в столь полном объеме, как у ффокса -- теряется история в табах и сами табы в произвольном порядке располагаются), но его очень активно работают, так что все наладится в очень обозримом будущем.
(на правах скрытой рекламы :)
Mozilla Firefox05765gghi;j[ijn mnk
Пока тут все выясняют у кого и чего больше...
Нет ответа на достаточно интересный вопрос: чем проверялись дополнения ДО? Каким антивирусом.
И чем проверяются сейчас?
>Пока тут все выясняют у кого и чего больше...
>Нет ответа на достаточно интересный вопрос: чем проверялись дополнения ДО? Каким антивирусом.
>
>И чем проверяются сейчас?Этот вопрос интересен только тем, кто считает антивирусы панацеей, слепо им поклоняется и не знает базовых принципов работы оных.
>>Пока тут все выясняют у кого и чего больше...
>>Нет ответа на достаточно интересный вопрос: чем проверялись дополнения ДО? Каким антивирусом.
>>
>>И чем проверяются сейчас?
>
>Этот вопрос интересен только тем, кто считает антивирусы панацеей, слепо им поклоняется
>и не знает базовых принципов работы оных.Этот вопрос интересен тем, кто интересуется сутью проблемы, а не занимается демагогией про панацею-непанацею, знания собеседника и не уводит тему в сторону.
Этот вопрос важен, так как антивирусная защита всего приходящего контента - важный этап и очень мощное сито. Поэтому вопрос: есть что по делу?