Если не запускать левых бинарников (не из официального репозитория и из неподписанных доверенными ключами пакетов) - то не нужен. Виндовые флешки можно clamav'ом сканировать (который реально оправдывает свое название и является хламом). Если есть недоверие к приложениям и хочется их разграничить - selinux или виртуалки. Такие дела.
И от быдлофлешевирусов антивирусы не спасут. И пока юзер втыкает в видео на «вконтактиге», быдлофлешеплеер спокойненько может тырить у него сохраненные браузером пароли, явки куки и т.п.
И от быдлофлешевирусов антивирусы не спасут. И пока юзер втыкает в видео на «вконтактиге», быдлофлешеплеер спокойненько может тырить у него сохраненные браузером пароли, явки куки и т.п.
Ага. Ну, правда, не верю, что в контакте этим занимаются, а вот на всяких левых сайтах да, легко.
«уязвимости в веб-браузерах»
отключить javascript, flash
p.s. чувак я с линуксом работаю 2 года (а присутствующие в треде ,наверно, еще больше) ... и никого, как видишь это не волнует, а это значит проблемы -НЕТ....
p.s. чувак я с линуксом работаю 2 года (а присутствующие в треде ,наверно, еще больше) ... и никого, как видишь это не волнует, а это значит проблемы -НЕТ....
Потому что большинство умеет думать головой, а не только в нее есть =)
Бггг, ну а я больше пяти лет и что? Собственно, вредоносное ПО я обнаружил совершенно случайно, пропарсив зачем-то вывод netstat и обнаружив там подключение к irc, которым никогда не пользовался. Если ты не знаешь о проблеме, это не значит что ее нет. Ты может и не потеряешь своих учетных записей, а чей-то ботнет пополнить можешь. Благо зловред завелся у меня под урезанной учетной записью, созданной для домашних пользователей интернета.
Можно и по «левым» сайтам лазить. Главное - делать это с включенным noScript и отклюенным flash (а можно эту дрянь вообще не устанавливать - спокойней будет).
У некоторых на компьютере более одного пользователя и остальные с компьютером на Вы. Меня спасло то, что я выделил отдельную учетную запись для серфинга по инету.
Не надо путать вирусы и руткиты. А если попарсить netstat или еще лучше wireshark'ом каким посмотреть, что происходит, когда работает скайп, можно обнаружить много интересного.
Именно вирус? Нет. Того зловреда, что я отловил, я не стал сохранять. Видимо нужно было для таких вот скептиков. Могу только сказать, что он подключался к irc, маскировал себя под ssh, но имя пользователя, из-под которого он был запущен, его выдавало.
А мы о вирусах говорим. Для защиты от руткитов надо лишь iptables настроить. Ну и на всякий случай особым параноикам можно rkhunter периодически запускать.
Именно вирус? Нет. Того зловреда, что я отловил, я не стал сохранять. Видимо нужно было для таких вот скептиков. Могу только сказать, что он подключался к irc, маскировал себя под ssh, но имя пользователя, из-под которого он был запущен, его выдавало
еще уточни, что это было под виндовс сервер, и все успокоятся =D
Зачем права рута для запуска бинарников? Еще раз: лежало это говно в /tmp, было запущено под именем ssh от урезанного пользователя, подключалось к irc. Учитывая, что под тем пользователем не запускалось ничего кроме фф, я делаю вывод, что эксплуатировалась уязвимость в браузере. Я прибил процесс, вычистил /tmp, ребутнул машину - симптомы не повторялись. Где тут потребовались права рута я не знаю. О том, что это не руткит, я делаю вывод из того, что я в таком случае вряд ли его вообще обнаружил. Так, член ботнета для пинга MS.
лежало это говно в /tmp, было запущено под именем ssh от урезанного пользователя, подключалось к irc.
Интересно, нафига было руткит запускать из-под какого-то «левого» пользователя? Точно кто-то рутовский пароль «угнал», и на всякий случай запустил свой бинарь не от рута, чтобы подозрений меньше было.
Учитывая, что под тем пользователем не запускалось ничего кроме фф, я делаю вывод, что эксплуатировалась уязвимость в браузере.
Чтобы запустить что-то из /tmp, его туда сначала положить надо. А это уязвимости в браузере делать не умеют. Хотя, хз: может, когда-то в огнелисе было столько дыр, что он мог и пиццу разогревать?
Хотя, конечно, не исключена ситуация заражения плагина огнелиса: он сделал «молчаливое» обновление, а после перезапуска вместо плагина запустилась еще какая-то дрянь. Такой исход вполне возможен.
Да какой нафиг руткит? Бот.
Браузер при стандартном поведении не дает доступ к фс, это да, но что мешает обойти эти ограничения при наличии уязвимости (я понимаю, что это зависит от уязвимости)?
Плагинов под тем пользователем не было. По крайней мере я не устанавливал, а пользователи вряд ли смогли бы это сделать.
Значит, это был какой-то очень дырявый огнелис, который использовался, несмотря на наличие 100500 дырищ. Причем, наверняка эти дырищи были уже закрыты.
Бубунта ближе к мастдайке. Там все через одно место делается, если только не убьешь пару-тройку дней на приведение бубунты в нормальный вид. Но тогда проще дебиан поставить.