Как он вообще может что либо завершить или удалить без прав рута?

Нет в списке klagent, вирус от лаборатории касперского?

Тем более хомяк обычно noexec, запустить что-то проблематично.

Это не очень сочетается с rustup и python-virtualenv.

Опасаются, что страйк прилетит.

Сценарии разные бывают, поэтому написал «обычно».

Полагаю никак.

Через sudo же.

Интересно, как происходит заражение.

Мне тоже.

Как будучи под юзером выйти в sudo без известного пароля?

ЕМНИП, NOPASSWD именно для этого.

А так делают?

Если есть средство - значит, делают. Конечно, не там, где хомяки в noexec.

ЕМНИП, NOPASSWD именно для этого.

А так делают?

У меня к примеру для изоляции браузеров друг от друга эта схема используется, но смысл то в этом?
Из под не очень ограниченного пользователя попасть под пользователя с ещё меньшими правами?

Думаю, банальным брутфорсом ssh.

Это подразумевает сервер, а там же типа должен быть логин по ключу или fail2ban. Я к тому, что брутом ssh много не нафармишь.

Сначала он становится рутом, используя известные уязвимости в ведре. Забавно, что эксплоиты он компиляет из исходников. Так что шутка про вирус, который для запуска надо пропатчить и вручную скомпилировать - уже не актуальна.

Я не пользуюсь такими штуками, компетентно ответить не могу. Но если твои демоны могут через эту фигню уйти в рут через sudo без пароля, то грош цена изоляциям браузеров.

Ну тепереча Linux не обязательно сервер, а sshd может приехать вместе с вебсервером, который за собой притащит какая-ни-будь модная программа с интерфейсом через веббраузер.

Да вот хотябы transmission имеет же remote acess по http и наверняка для этого вебсервер тащит. Надо к стати бы проверить, не притащило ли действительно мне на хост.

Да вот хотябы transmission имеет же remote acess по http и наверняка для этого вебсервер тащит.

Ну он же наверняка на 127.0.0.1 живет.

Так это вебсерверн, а где гарантия что он по зависимости услужливо ssh не притащил?

P.S. проверил через dpkg --list , не притащил, только libssh и клиент стоят.

А что, мало local-root уязвимостей?

Гарантии нет. Здравый смысл - есть. Ну и кроме того, пользовательские тачки обычно за NAT и так просто к их серверам (любым - HTTP, SSH или еще что-то) не присоединишься. Ладно в винде - приходит по почте Excel с макросами, а в Linux что?

Ну считается же что их нет.

Ну тогда через через всякие снапы/флатпаки/etc, как тут относительно недавно было.

А, таки да. Интересно, в каком-нибудь из них user namespace используется?

А они есть

Это эвивалентно тому что бы признать что под Linux может быть полноценный вирус.

Да, и он может быть. Как существуют и local root уязвимости

прикольно... «Несуществующий» вирус для линукса.

Господа модераторы, раз всё это не так смешно как казалось сначала, может быть имеет смысл перенести тему в security?

Интересно, как происходит заражение.

Скорее всего стандартно - через мозг оператора.

Во flatpak вроде, и похоже по-дефолту использется https://github.com/flatpak/flatpak/wiki/Sandbox.

С саркастической улыбкой цитирую википедию:
«Flatpak предоставляет песочницу, в которой пользователи могут запускать приложения без влияния на основную систему.»

троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт

Годная софтина.

Заражение через flatpak - только преположение. Я лично скорее поверю в snap или троянские репозитории обычных пакетов, чем во взлом user namespace.

Через дырявые CMS, например. Или через любой дырявый сервис, торчащий наружу, если там есть RCE. Потом уже как-то поднимаются права, через уязвимость в ядре или опять же через какие-то дырявые сервисы.

Вообще анонс всех этих «новых» линуксовых троянов в таком виде не имеет смысла, т.к. без рута ничего не сделаешь, а с рутом можно сделать вообще все что угодно. Но видимо вендоры умеют впаривать свои продукты только через такие виндовые методы.

И не лень же им сочинять такие бредовые и бессмысленные «вирусы для линукс». Хотя, с другой стороны - в линукс нынче лезут ничего в нём не понимающие хомячки, а это уже какой-никакой потенциальный рынок для зондов (т.н. «антивирусов»), который требуется окучивать.

У тебя в линуксе запускается браузер. В браузерах находят уязвимости. Часть из них позволяет запускать что-то локально. В ядре тоже есть уязвимости. В том числе local root.

Так на чем основывается твое заявление про бессмысленность вирусов для линукса?

Интересно, в каком-нибудь из них user namespace используется?

Ты упоминаешь userns в положительном или отрицательном смысле? Я к тому, что ещё совсем недавно дырки в userns находили чуть ли не чаще, чем в том, от чего userns призваны защищать, и их вроде именно поэтому нигде особо не используют.

У тебя в линуксе запускается браузер. В браузерах находят уязвимости. Часть из них позволяет запускать что-то локально. В ядре тоже есть уязвимости. В том числе local root.

Вот только эти уязвимости если и работают, то только на конкретном дистре и только с совершенно конкретными версиями софта. И то через раз. Проапгрейдился - всё, приплыли, эксплойт уже патчить надо, чтоб работал.

Так на чем основывается твое заявление про бессмысленность вирусов для линукса?

На их полном отсутствии.

И да, сходи по сцылке и доберись до описания вируса с кусочками «кода». Оборжёшься. И, разумеется, в «коде» ни единого урла, откуда, якобы, этот якобы существующий вирус что-то якобы должен скачивать. Да и гугленье по именам переменных и пр. шняги в этом «коде» приводит только на сайт DrWeb. А ведь оно должно прям повсюду валяться, чтоб скачиваться. Не продумали они рекламную компанию, да.

Да и чисто эстетически - это ваще явно написано каким-то жабокодером. Я много вендовых вирусов повидал - они в подавляющем большинстве написаны красиво и эстетично. Произведения искусства. Так что это - совершенно точно написанный жабомакаками из дрвеба муляж для запугивания хомячков.

вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.»

А антивирус в это время рассматривает котиков в интернете? Похоже на очередной вброс DrWeb. Где можно скачать готовый sh скрипт для тестирования? А то на сайте DrWeb как обычно какие то огрызки.

Господа модераторы, раз всё это не так смешно как казалось сначала, может быть имеет смысл перенести тему в security?

А что тут нового? Или чего-то прям необычного?

Интересно, как происходит заражение.

там же типа должен быть логин по ключу или fail2ban. Я к тому, что брутом ssh много не нафармишь.

Нормально нафармишь. Практика показывает, что норм.

Около половина линуксовых серверов имеет всякие незалатанные уязвимости и это норма.

Ну вот сходу из крупного недавнего могу вспомнить SambaCRY. Вполне успешно эксплуатируется.

ЗЫ: тут ещё про десктоп что-то обсуждают? Ничего не попутали 🙂

Занятно

У Dr.Web, оказывается, есть Linux-решение «для простых людей»:

https://products.drweb.ru/win/security_space/

Операционная система: дистрибутивы GNU/Linux, работающие на платформе Intel x86/amd64 на основе ядра 2.6.37 (и выше) и использующие библиотеку glibc версии 2.13 (и выше).

её «доработали»... сегодня не все пользователи linux могут пропатчить исходники... теперь достаточно скачивать и запускать «чудесные» скрипты. «прогресс, однако» ©

тоже не видел

linux-десктопа с антивирем не видел ни разу.

но Вселенная огромна, где-то должны быть и Linux-десктопы c антивурусами. хм... а у этих самых антивирусных компаний, делающих эти самые AV for Linux должны же быть тестовые машины с указанной конфигурацией...

:)

«настоящий» AV для linux знает, что «вирусов в linux нет»... поэтому ничего и не делает.

Я много вендовых вирусов повидал - они в подавляющем большинстве написаны красиво и эстетично.

Я тоже, и нетолько... Зачем что-то выдумывать гипер изощрённое, если и так работает?

Самое смешное, что помню наколенная подделка толи на дельфях+бантиках. Внутри без всякого палева был зашит пароль и логин от email аккаунта куда всё скидывалось. Можно ржать и смеяться, но так нехило наудилось в итоге в этом почтовике.

скрипт, а не сценарий.