вирусы под линукс? конечно есть.

точнее даже так, сначало появился первый вирус под линукс, но чтобы его запустить приходилось патчить ядро, потом появился второй вирус, но его приходилось строить накладывая три патча сверху, следом появилось поделие на java, но оно не переживало перезагрузки, даже вирусом назвать нельзя. И тут вирмейкеров заинтересовали сервера которые хостяться на линуксах и стали писать поделия на пхп, которые в автоматическом режиме начали добавлять вредоносный код на сайты на том же пхп, и все сразу заорали про вирусы.

но вот эксплоиты под линукс были, есть и будут всегда, отличие экстплоита от вируса в том, что для экстплоита обязательно должен быть тот, кто подберёт и запустит эксплоит под определённую дырку и проверит результат работы, а вирус отрабатывает автоматически на очень ограниченном наборе уязвимостей зато массово.

соответственно, пока будет бесчисленное разнообразие дистрибутивов и бесчисленное разнообразие окружений, массово распространяемый вирус под такую платформу писать бессмысленно.

На самом деле это слегка мнимая защита. Разница только в том, что старой реализации можно было утащить passwd на другой хост и там ломать, а в новой можно и локально через login мучать.

теперь расскажи, каким образом вирус прочитает хеш пароля?

Ну вот у меня пароль 123, хеш md5 202cb962ac59075b964b07152d234b70, подобрать его просто. Особенно по словарю. А как _прочитать_?

Да-да-да. Прям вот так возьмут и выкинут.

ну я не знаю, жадные спрячут в кладовку. Что сейчас делают с компами 2005го?

P.S.: /tmp у нас тоже в noexec.

а /var/tmp? Не переживай, найти можно.

Тоже, кстати. Забыл упомянуть, однако в fstab прописывал.

chown -R делать на каждый чих

Слака такая Слака.

Вообще, прыщавый Вася нужен, чтобы пялить. Странно, что ты, имея жену, об этом и не вспомнил. %)

Linux можно настроить, а венду — нельзя.

Будучи упоротым фанатиком? Однозначно нельзя. %)

ты его не поставишь так просто, нужно либо ЭЦП добавить, либо задать ПМу специальные опции

Хорош теоретизировать, клоун. Давно Убунту/Дебиан ставил?

Не слышал такого. Можно примеры поломки?

Проверкой ЭЦП занимается, насколько я знаю, APT. А пакеты устанавливает dpkg. И никакой проверки при dpkg -i *.deb производиться не будет.

Добавляем в это окошко надпись «не запускайте незнакомые пакеты не из репозиториев», ?????, профит.

В Винде на каждый чих вылазит UAC (а в ХР что-то наподобие) с соответствующим предупреждением, и это не мешает идиотам жать ОК или вовсе отключать эту защиту.

Кто запустит — ссзб, никакие вирусы в этом не виноваты.

О чем, собственно, и речь. У кого руки ровные — и под Виндой о вирусах не слышал. А криворуких ни один Линукс не спасет. %)

Что сейчас делают с компами 2005го?

Апгрейдят. Или родственникам дарят. Но в любом случае, покупают взамен новый _ПК_. Еще ни одного человека не видел, чтобы у него был _только_ планшет или _только_ смартфон. Как довесок к ПК/ноутбуку — да.

И что это никак не доказывает «дырявость» unix'а.

Это ты сам придумал.

теперь расскажи, каким образом вирус прочитает хеш пароля?

А зачем его читать? Вообще без разницы в каком формате пароль хранится. Классический blackbox. На вход '123', на выход 'да' или 'нет'. И храни ты свой пароль хоть в triple-des-blowfish-md5-sha256. ☺

PS: От слабых паролей (как в случаее Morris) вообще ничего не спасает.

Разница в том, что в винде есть вирусы, способные заручиться в обход Uac. А в линуксе нет.

Разница в том, что в винде есть вирусы, способные заручиться в обход Uac.

Если система регулярно обновляется, риск заражения таким вирусом минимален. При этом его все равно нужно откуда-то скачать/принести на флешке и запустить. А таргетированная атака, если она целесообразна, возможна на любую ОС.

А в линуксе нет.

Здесь снова анекдот про Неуловимого Джо.

Недавно видал на винде с антивирусом и последними обновленияси дыру: в скайп приходит ссылка, ты ещё тыкаешь, хром ещё качает и сразу же запускает. Дальше помогает только переустановка. Уязвимость одновременно в хроме и в шинде.

Добавляем в это окошко надпись «не запускайте незнакомые пакеты не из репозиториев»

ты там что угодно пиши, все равно запустят.

плюсую по обоим пунктам

Если система регулярно обновляется

Ох лол, часто ли выходят обновления?

При этом его все равно нужно откуда-то скачать/принести на флешке и запустить.

или словить эксплойт веб браузером

Лоровские аналитики вообще не в теме :(

Например, сейчас по интернету гуляет несколько модификаций этого зверька: https://github.com/eurialo/lightaidra (да-да, это опенсорс!). Есть ещё несколько активных червей, о которых в гугле вообще нет упоминаний.

Про десктопный линукс: есть бложики с хаутушками, ведущими на опакеченную малварь. Инджой ё копипастинг с хаутушек.

ps Пишу из бесплатного вайфая через тор.

Описание от автора, орфография сохранена:

Недотроян для ОС Linux. Выполняется на уровне пользователя, запускается пока только с запуском терминала.

Каждому боту можно выдать имя/группу, и выдавать личные/групповые команды.

Команды - закодированые в base64 bash-скрипты в принципе, можно и бинарный файл запустить.

Управление осуществляется через веб-сайты, на которые загружены нужные файлы подробнее в архиве.

Принимаются конструктивная критика, советы пожелания и т.д. Раржпегрилейтед.

круто.
а где почитать можно и есть ли информация о размерах ботнетов?

Недавно видал на винде с антивирусом и последними обновленияси дыру: в скайп приходит ссылка, ты ещё тыкаешь, хром ещё качает и сразу же запускает. Дальше помогает только переустановка. Уязвимость одновременно в хроме и в шинде.

Таких эксплойтов и в Линуксе хватает. Открой opennet да почитай, что ни день, то уязвимости.

И вот это вот:

в скайп приходит ссылка

хром ещё качает и сразу же запускает

ну ты понял, да? Не тыкай на подозрительные ссылки в говносервисе, это же так просто. И обычно Хром выдает предупреждение об опасности загрузки исполняемых файлов и требует подтверждения. В каком исправлении Хрома это пофиксили, где почитать?

Дальше помогает только переустановка.

Дальше отправляешь образец разработчикам антивируса и ждешь пару часов до выпуска обновлений баз. Грузишься в безопасном режиме и сносишь зловреда.

Есть более простые методики, такие как восстановление по контрольным точкам или заморозка системного диска. Казалось бы, пользуйся инструментами, доступными из коробки, ан нет, идиотам лишь бы чего-нибудь переустановить. %)

часто ли выходят обновления?

Мелкие обновления — каждый день. Большие пакеты обновлений, требующие перезагрузки, — раз в неделю.

В позапрошлом году ловил. Продолбался минут сорок с вайнтриксом и даже скачиванием чего-то руками. Но таки запустил порнобанер. Вначале показалось прикольным - он по центру экрана и весь стол заблокирован. Но потом понял что это просто скриншот стола в полноэкранном режиме который даже c Alt просто отодвинуть можно (((

Нету толком информации. Недавно была публикация, о которой все уже благополучно забыли: http://internetcensus2012.bitbucket.org/paper.html

Вот ещё какой-то человек описал свои исследования: http://stproject.info/blog/?p=2035

И обычно Хром выдает предупреждение об опасности загрузки исполняемых файлов и требует подтверждения.

Вот именно, он даже обычный запрос загрузки не выдал. Просто загрущил и запустил, без предупреждений.

Только это уже не вирус, а обыкновенные кривые руки. Защищаться от этого не нужно, даже наоборот

это уже не вирус

вирусы в классическом понимании не особо актуальны.
коммерческие трояны, боты и тд преобладают.

Дык это и трояном назвать можно с натяжкой. Пользователь сознательно и с полной ответственностью, будучи предупрежден в наносимом вреде уничтожил свою систему. Никто кроме него в этом не виноват, не вижу смысла делать защиты от такого.

Вот именно, он даже обычный запрос загрузки не выдал. Просто загрущил и запустил, без предупреждений.

Значит эксплойт подготовили, не факт что только для Хрома. Хотя это в некотором роде показательно, Гугл любит макать МС в дерьмо из-за уязвимостей в Винде, а сам и браузер обезопасить не в состоянии. Ня.

Что за антивирус? Олсо UAC был включен? Если да, хочу хоть каких-то пруфов.

Ня.

У меня фокс :)

Что за антивирус?

Нод.

Олсо UAC был включен?

Не уверен, но вроде включен.

Если да, хочу хоть каких-то пруфов.

Не будет, так как уже месяца 3 прошло. У меня был архив с вирусом, но давно утерян в песках времени.

Проверкой ЭЦП занимается, насколько я знаю, APT. А пакеты устанавливает dpkg. И никакой проверки при dpkg -i *.deb производиться не будет.

ну это твоя проблема, на самом-то деле. Сочувствую. Я думал в этих ваших убунточках всё автоматизировано, а тебя послушать, так хуже венды(венда ещё спрашивает, ставить или не ставить? Раньше спрашивала)

На Delphi вполне можно ))

Вот так и под Виндой пользователи с полной ответственностью тащат в систему горы неподписанного говна, а потом во всем оказываются виноваты Баллмер с Гейтсом. %)

Чтобы сварганить что-то серьезное, использующее 0-day и имеющее подпись, нужны деньги и специалисты, а главное — четкое понимание того, зачем это нужно. И даже в случае заражения таким монстром как Stuxnet, виноват по большому счету ололо-специалист, «не заметивший» на своей флешке левые ярлыки и не забивший вовремя тревогу. %)

В Винде на каждый чих вылазит UAC (а в ХР что-то наподобие) с соответствующим предупреждением, и это не мешает идиотам жать ОК или вовсе отключать эту защиту.

они не идиоты, они _вынужденны_ ставить неподписанное ПО. В этой ваше венде даже браузер и то левый надо ставить.

Но в любом случае, покупают взамен новый _ПК_

вопрос времени.

Это ты сам придумал.

нет. Ошибка была выявлена и исправлена. А вот в венде, насколько я знаю, пароль до сих пор за несколько сек подобрать можно.

У меня фокс :)

Ну он тоже не с первого раза закрывает. :)

Не уверен, но вроде включен.

Если да, то по идее запуск исполняемых файлов (по крайней мере, без доверенной подписи) и запись в подкаталоги С:\ без подтверждения невозможна.

У меня был архив с вирусом, но давно утерян в песках времени.

В Eset хоть отправил? Багрепорты-то в любимом Линуксе, небось, шлешь?

А зачем его читать? Вообще без разницы в каком формате пароль хранится. Классический blackbox. На вход '123', на выход 'да' или 'нет'. И храни ты свой пароль хоть в triple-des-blowfish-md5-sha256. ☺

если ты не в курсе, там задержка после неверной аутентификации. Когда ручками набираешь незаметно, а вот брутфорсить ты будешь так дооолгоооо.

PS: От слабых паролей (как в случаее Morris) вообще ничего не спасает.

мееедлееенаааяяя реакция спасает. Потому-что человек всё равно тормозное животное, и задержек не замечает. Ему всяко нужно время, что-бы выругаться, если он в пароле ошибся :)

Спасибо Моррису за эту фичу.

Если система регулярно обновляется, риск заражения таким вирусом минимален. При этом его все равно нужно откуда-то скачать/принести на флешке и запустить. А таргетированная атака, если она целесообразна, возможна на любую ОС.

возможна конечно. Но на порядок сложнее. Точнее на пять порядков.

В Eset хоть отправил?

Админ отправил куда-то.

Если да, то по идее запуск исполняемых файлов (по крайней мере, без доверенной подписи) и запись в подкаталоги С:\ без подтверждения невозможна.

Точно утверждать не могу, а проверять уже поздно. МБ и выключен был.

ты там что угодно пиши, все равно запустят.

правильно. Система вообще не должна табличек юзеру показывать. Кроме случая, когда случилось СТРАШНОЕ. Это только говновенда на каждый чих таблички бросает, вот их все и давят не глядя.

А проверять отдельные пакеты нет смысла, т.к. они получаются централизованно очень редко. Подписываются именно репозитории. Можно подписать и пакет, но это ничего не даёт - если пакет получен из стороннего источника - ключей для проверки у пользователя нет, а в остальных случаях используются репозитории, где проверка как раз есть.

К тому же пакет часто получается локально - при помощи сборки dpkg-source или checkinstall, тогда подписывание вообще является делом бессмысленным.

Так что всё логично, а системы проверки ключей основана, всё-таки на репозиториях, а .deb пакеты в основном получаются локально.

И да, у меня Debian.

мееедлееенаааяяя реакция спасает.

Ню-ню? О side-channel-attacks мы тоже никогда не слышали?

Про десктопный линукс: есть бложики с хаутушками, ведущими на опакеченную малварь. Инджой ё копипастинг с хаутушек.

ога. Эти «бложики» со времён FIDO и крякеров интернетов(в те годы надо было платить поминутно).

ps Пишу из бесплатного вайфая через тор.

пиши. Ты сам себе враг, а вовсе не КаГБэ внешние силы, от которых ты скрываешься.

заморозка системного диска.

не проще-ли венду в /dev/null?

Опять ты пришел херню пороть...

Ну ок.

они не идиоты, они _вынужденны_ ставить неподписанное ПО.

_Весь_ софт у меня в системе имеет подписи. Еще раз: _ВЕСЬ_. Даже проигрыватель.

В этой ваше венде даже браузер и то левый надо ставить.

Ff в Винде более левый, чем в Шлаке? Ню-ню, пеши исчо. %)

Ванга, ты?