Linux в опасности!

3

2

Всем известно, что для запуска любого приложения в Linux требуется одно из условий - на файле приложения должен быть установлен execute permissions флаг.
Благодаря лишь одному этому условию, невозможно случайно запустить вирус скаченный из интернета или полученный на флешке, он просто не запустится, надо вручную устанавливать флаг.
Пользователи Linux оказались под простой и надёжной защитой.

Но такая ситуация не даёт покоя рептилоидам и прочим мошенникам.
«Что-же делать? ...» - думают они - "... Как нам зарабатывать деньги, заражать компьютеры, продавать антивирусы и прочую, оказавшуюся ненужной, херню?"
И решили: «Надо внедрить диверсантов и потихоньку всё испортить!»

Итак, заметил, что с каких-то пор, эти пидиверсанты внесли изменения дефолтных прав доступа при монтировании ntfs, vfat и прочих ф.с. - все файлы по умолчанию стали исполняемыми, установлен execute permissions флаг.
Теперь если скачать файл с вирусом и поместить его на диск с файловой системой ntfs или fat32, или воткнуть флешку с вирусом, то он сразу будет исполняемым и его можно случайно или преднамеренно запустить.
Такие вот дела.

Я конечно сразу это исправил себе вот таким патчем:

--- a/src/udiskslinuxfilesystem.c
+++ b/src/udiskslinuxfilesystem.c
@@ -331,7 +331,7 @@
 
 /* ---------------------- vfat -------------------- */
 
-static const gchar *vfat_defaults[] = { "uid=", "gid=", "shortname=mixed", "utf8=1", "showexec", "flush", NULL };
+static const gchar *vfat_defaults[] = { "uid=", "gid=", "shortname=mixed", "utf8=1", "showexec", "flush", "dmask=022", "fmask=133", NULL };
 static const gchar *vfat_allow[] = { "flush", "utf8", "shortname", "umask", "dmask", "fmask", "codepage", "iocharset", "usefree", "showexec", NULL };
 static const gchar *vfat_allow_uid_self[] = { "uid", NULL };
 static const gchar *vfat_allow_gid_self[] = { "gid", NULL };
@@ -339,7 +339,7 @@
 /* ---------------------- ntfs -------------------- */
 /* this is assuming that ntfs-3g is used */
 
-static const gchar *ntfs_defaults[] = { "uid=", "gid=", NULL };
+static const gchar *ntfs_defaults[] = { "uid=", "gid=", "dmask=022", "fmask=133", NULL };
 static const gchar *ntfs_allow[] = { "umask", "dmask", "fmask", "locale", "norecover", "ignore_case", "windows_names", "compression", "nocompression", "big_writes", NULL };
 static const gchar *ntfs_allow_uid_self[] = { "uid", NULL };
 static const gchar *ntfs_allow_gid_self[] = { "gid", NULL };

Upd.: https://yadi.sk/d/g0gL_MY_N6I1Kw

А что сделал ты, линупсоид?

Ссылка

←	VM Parrot 4.6 работа firefox через Proxychains-NG

Появилась реклама интернет-сайта в лотке системных уведомлений в OpenSUSE 15.1

→

← 1 2 3 →

Анон предлагает выжечь напалмом всю сабжевую херву и поставить слаку.

anonymous
(07.09.19 18:13:09 MSK)

Теперь если скачать файл с вирусом и поместить его на диск с файловой системой ntfs или fat32, или воткнуть флешку с вирусом, то он сразу будет исполняемым и его можно случайно или преднамеренно запустить.

Если перед этим преднамеренно смонтировать раздел с разрешением что-либо с него запускать.

grem ★★★★★
(07.09.19 18:14:22 MSK)
Последнее исправление: grem 07.09.19 18:14:48 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от anonymous 07.09.19 18:13:09 MSK

Анон предлагает выжечь напалмом всю сабжевую херву и поставить слаку.

https://mirrors.slackware.com/slackware/slackware-14.2/source/a/udisks2/

Тобишь CRUX.

Deleted
(07.09.19 18:18:19 MSK)

Ссылка

Executable bit это инструмент для разграничения прав пользователей, а отнюдь не средство защиты от малвари. Если ты в состоянии «случайно» запустить хз откуда взявшийся бинарник, ты точно так же можешь «случайно» установить оттуда левый пакет или запустить левый скрипт интерпретатором

annulen ★★★★★
(07.09.19 18:20:38 MSK)

А что сделал ты, линупсоид?

Ничего

LINUX-ORG-RU ★★★★★
(07.09.19 18:38:11 MSK)

Ссылка

заметил, что с каких-то пор

А ты быстрый. Я это лет 10 назад заметил.

Lorovec
(07.09.19 18:39:17 MSK)

Ответ на: комментарий от Lorovec 07.09.19 18:39:17 MSK

Ну я тоже, просто не поэт

superuser ★★★★★
(07.09.19 18:41:13 MSK) автор топика

Ссылка

Для этой проблемы? Ничего.

Есть более значительные угрозы, которые кроются в уязвимостях. Вот так, например, недавно обосрался KDE: Незакрытая уязвимость в KDE

EXL ★★★★★
(07.09.19 18:41:50 MSK)

«мусорные» файловые атрибуты довольно частое явление собственно

anonymous
(07.09.19 18:42:11 MSK)

Ссылка

Ответ на: комментарий от EXL 07.09.19 18:41:50 MSK

Это проблемы KDE

superuser ★★★★★
(07.09.19 18:42:18 MSK) автор топика

Ответ на: комментарий от superuser 07.09.19 18:42:18 MSK

Считаешь, что в том, чем ты пользуешься, нет уязвимостей?

EXL ★★★★★
(07.09.19 18:49:41 MSK)

Ответ на: комментарий от EXL 07.09.19 18:49:41 MSK

Может ещё есть, девелоперсы тоже люди и продаются... за шекели

superuser ★★★★★
(07.09.19 18:55:20 MSK) автор топика

переменная окружения UMASK вроде как есть.

anonymous
(07.09.19 18:59:59 MSK)

Ответ на: комментарий от superuser 07.09.19 18:55:20 MSK

Вот и я к тому клоню, что пакость через подобное делается независимо от того, имеется ли x-флаг на исполнительном файле или нет.

EXL ★★★★★
(07.09.19 19:00:19 MSK)

Ссылка

Ответ на: комментарий от anonymous 07.09.19 18:59:59 MSK

есть noexec в опциях монтирования, вроде как

slowpony ★★★★★
(07.09.19 19:22:08 MSK)

Ответ на: комментарий от annulen 07.09.19 18:20:38 MSK

Если ты

Не так давно долфин запускал сам в тихую при определённых действиях над скрытым файлом в директории. Решето

peregrine ★★★★★
(07.09.19 19:26:01 MSK)

Ссылка

Ответ на: комментарий от slowpony 07.09.19 19:22:08 MSK

кстати да и тем *nix-ы и сильны

anonymous
(07.09.19 19:28:55 MSK)

Ссылка

суперюзер а не знаешь что запустить файло можно и без прав --x--x--x!

mumpster ★★★★★
(07.09.19 21:09:44 MSK)

ntfs, vfat

Но зачем?

anonymous
(07.09.19 21:12:40 MSK)

Ссылка

Ответ на: комментарий от mumpster 07.09.19 21:09:44 MSK

Смысл в том что стало возможно случайно запустить вирь кликом мышки в файловом менеджере.
Про ld-linux.so хомячкам пока рано говорить.

superuser ★★★★★
(07.09.19 21:47:36 MSK) автор топика
Последнее исправление: superuser 07.09.19 21:51:34 MSK (всего исправлений: 1)

ext4 такому не подвержен?

burato ★★★★★
(07.09.19 23:41:11 MSK)

Ответ на: комментарий от burato 07.09.19 23:41:11 MSK

нет, если специально не настроишь

superuser ★★★★★
(07.09.19 23:41:47 MSK) автор топика
Последнее исправление: superuser 07.09.19 23:42:20 MSK (всего исправлений: 1)

Ссылка

А я не линупсойд и не пропускаю приём таблеток.

kekelia
(07.09.19 23:48:15 MSK)

Ответ на: комментарий от kekelia 07.09.19 23:48:15 MSK

Линупсоид не дурак - непонятных таблеток не принимает.

superuser ★★★★★
(07.09.19 23:52:25 MSK) автор топика

Ответ на: комментарий от superuser 07.09.19 23:52:25 MSK

Согласен, санитары вечно бурду суют.

kekelia
(07.09.19 23:55:54 MSK)

Ответ на: комментарий от kekelia 07.09.19 23:55:54 MSK

Куда смотрят правозащитники?! И ЕСПЧ!?
Видимо и там одни пирептилоиды. Все на майдан!

superuser ★★★★★
(07.09.19 23:57:32 MSK) автор топика
Последнее исправление: superuser 08.09.19 00:02:24 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от annulen 07.09.19 18:20:38 MSK

‘‘случайно’’ установить оттуда левый пакет

Для этого надо набирать пароль рута.

‘‘случайно’’ запустить левый скрипт интерпретатором

Это может произойти запросто если в *.desktop прописана соответствующая команда.

torvn77 ★★★★★
(08.09.19 07:27:26 MSK)

Ссылка

Мне надо исполнять исполнямые файлы на ntfs, от того, что текстовые файлы будут исполняемыми, большой беды не случится. Да и на такой случай есть noexec в опциях монтирования.

anonymous
(08.09.19 08:41:30 MSK)

Ссылка

Главное правило построения безопасной *NIX OS.

Вся выделяемая оперативная память, с возможностью изменений, должна процессором по сегментно или постранично помечатся как не исполняемая, а исполняемая выделятся в режиме только для чтения.

Это касается как программы, так и ядра OS.

Проверка:

paxtest blackhat

anonymous
(08.09.19 11:26:58 MSK)

Ответ на: Главное правило построения безопасной *NIX OS. от anonymous 08.09.19 11:26:58 MSK

Главное правило построения безопасной *NIX OS.

Все разделы доступны для изменений должны монтировался с запретом исполнения, а разделы монтируемые для исполнения должны монтировался в режиме только для чтения.

Проверка:

mount |grep 'rw' |grep -v 'noexec'

anonymous
(08.09.19 11:31:05 MSK)

Ответ на: комментарий от annulen 07.09.19 18:20:38 MSK

А может ему покажется лень делать ещё одно действо, и он решит отказаться от процесса.

anonymous
(08.09.19 11:38:24 MSK)

Ссылка

Ответ на: Главное правило построения безопасной *NIX OS. от anonymous 08.09.19 11:31:05 MSK

Главное правило построения безопасной *NIX OS.

Сравнение SysV и systemd (комментарий)

А что сделал ты, линупсоид?

Сравнение SysV и systemd (комментарий)

anonymous
(08.09.19 11:41:39 MSK)

Noexec - необходим. Но его наличие не исключает необходимости проверки антивирусником файлов доступных на запись и всего интернет трафика: https://www.opennet.ru/opennews/art.shtml?num=51397 уязвимости подобного рода в ПО, в некоторых случаях, могут запускать вирус без участия пользователя и прямого выполнения exec.

anonymous
(08.09.19 11:51:58 MSK)

Итак, заметил, что с каких-то пор, эти пидиверсанты внесли изменения дефолтных прав доступа при монтировании ntfs, vfat и прочих ф.с. - все файлы по умолчанию стали исполняемыми, установлен execute permissions флаг.

Один выстрел с гаубицы гарантировано уничтожает сразу все ПО написанное для уменьшения вещей безопасности:

/etc/sysctl.conf
kernel.grsecurity.rmount_protect = 1

Сравнение SysV и systemd (комментарий)

anonymous
(08.09.19 11:58:05 MSK)

Ссылка

Ответ на: Главное правило построения безопасной *NIX OS. от anonymous 08.09.19 11:41:39 MSK

Они потихоньку убивают Linux. Вот сволочи!

superuser ★★★★★
(08.09.19 14:04:37 MSK) автор топика

Ссылка

Ответ на: комментарий от superuser 07.09.19 21:47:36 MSK

Про ld-linux.so хомячкам пока рано говорить.

гыгыгы )))

PS: кстати, я в своё время успешно боролся похожим способом - просто ставил -o noexec, в частности, для /tmp. один раз даже спасло от какого-то руткита, они не смоглди в ld-linux.so :)

mumpster ★★★★★
(08.09.19 18:53:37 MSK)
Последнее исправление: mumpster 08.09.19 18:55:05 MSK (всего исправлений: 1)

Вообще удивлен, как, при куче разной степени полезности конфигов и опций в линуксе, эти приснопамятные дефолты udisks2 никак не конфигурируются на живой системе. Так что фиксы ТС мне знакомы

anonymous
(09.09.19 07:04:17 MSK)

Ссылка

Linux в опасности!

Одень шапочку из фольги и все пройдет

anonymous
(09.09.19 07:09:16 MSK)

Ссылка

Ответ на: комментарий от anonymous 07.09.19 18:13:09 MSK

вспоминая относительно недавнюю историю про финансовые проблемы главного по слаке - какие же вы лицемерные потребители.

anonymous
(27.09.19 15:45:31 MSK)

Ответ на: комментарий от superuser 07.09.19 21:47:36 MSK

Смысл в том что стало возможно случайно запустить вирь кликом мышки в файловом менеджере.

Специально для таких как ты в гноме удаляют вообще возможность запускать хоть что-то из наутилуса.

morse ★★★★★
(27.09.19 16:14:29 MSK)

Ответ на: комментарий от mumpster 08.09.19 18:53:37 MSK

noexec, в частности, для /tmp.

Некоторые приложения генерируют исполняемые временные файлы, которые исполняют. Без указания переменной TMPDIR= срут в /tmp, который с noexec. Говнософт-с.

anonymous
(27.09.19 16:14:39 MSK)

Ссылка

Боже мой, да всем насрать!

~~Macrocosm~~
(27.09.19 16:16:35 MSK)

Ответ на: комментарий от anonymous 27.09.19 15:45:31 MSK

Проблемы были не из за того, что финансы не шли, а из за того, что шли не туда. Так часто бывает, что талантливый человек, талантлив не во всём. Не у всех предпринимательская жилка. Жаль конечно.

anonymous
(27.09.19 16:17:02 MSK)

Ссылка

Ответ на: комментарий от Macrocosm 27.09.19 16:16:35 MSK

Опять выходишь на связь, мудило!

anonymous
(27.09.19 16:18:04 MSK)

Ответ на: комментарий от anonymous 27.09.19 16:18:04 MSK

Эдик, ты?

~~Macrocosm~~
(27.09.19 16:20:15 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.09.19 11:51:58 MSK

Антивирус никак не защищает от вирусов, кроме совсем уж старых, известных и примитивных в условиях отказа патчить уязвимость, эксплуатируемую малварью.

peregrine ★★★★★
(27.09.19 16:48:32 MSK)

Ссылка

Ответ на: комментарий от morse 27.09.19 16:14:29 MSK

Специально для таких как ты в гноме удаляют вообще возможность запускать хоть что-то из наутилуса.

https://www.youtube.com/watch?v=7NvRLJXWYD4

superuser ★★★★★
(27.09.19 17:03:20 MSK) автор топика

Ссылка

Что за бредовый поток сознания? Почему у меня ни на одном из ядер (в т.ч. 5) нет такого извращения?

anonymous
(27.09.19 19:10:39 MSK)

Ответ на: комментарий от anonymous 27.09.19 19:10:39 MSK

не в ядрах дело, да и это временно

superuser ★★★★★
(28.09.19 03:29:18 MSK) автор топика

Ответ на: комментарий от superuser 28.09.19 03:29:18 MSK

Увы, нету больше Штольмана разгрести этот бардак ⚰️

anonymous
(28.09.19 14:02:20 MSK)

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 →

←	VM Parrot 4.6 работа firefox через Proxychains-NG

Security

Появилась реклама интернет-сайта в лотке системных уведомлений в OpenSUSE 15.1

→

Главное правило построения безопасной *NIX OS.

Главное правило построения безопасной *NIX OS.

Главное правило построения безопасной *NIX OS.

Похожие темы