Вирусы в Линуксе

ну если идёт про вирусы типа умеющие заражать другие файлы - вряд-ли

а если речь про общепринятый смысл malware - то зловредов до фига и больше

Тут периодически набрасывают, что линукс не предоставляет безопасности, которую ему приписывают, но вирусы под винду периодически вижу, а под линь видел только поломанные вордпрессы и такое прочее на хостинге. Видел адварю на андроиде. А вот есть ли у лоровцев реальные истории, что кто-то получил реальный вирус или трояна, а не дыру в вордпрессе.

Тут дело скорее в политике безопасности, а не в безопасности как таковой. В NT4-2k, безопасность была на высшем уровне, то-бишь, пользователю, шаг влево, вправо = расстрел. В XP и последующих версиях - в принципе то-же самое, только с одним большим НО. Пользователям нельзя НИЧЕГО. Вообще. В отличие от Линукс, где в домашнем каталоге можно творить что угодно. Но системный раздел - не трожь!
Политика разграничения доступа в винде, да и сама организация ОСи - не позволяет такое. Большинству программ, даже системных и основных, нужен пароль администратора. Вот пользователи и «включают» режим суперпользователя по умолчанию. А нет - так возмущений вагон, и звонки среди ночи, «вы мне хреновую ось установили, она пароль требует». Ну вот как-то так.

ЗЫ: Кстати, о птичках. Настроить политики безопасности в винде - можно. Реально, можно. Но сделано это такими криворукими индусскими программистами, причём через жопу, что довольно сложно. ActiveDirectory понятно, в общих чертах. Но настроить ограничения на локальной машинке - лучше увольте меня, пока я не ёбнулся.

не дыру в вордпрессе

так с Windows тоже самое, или фанатизм мешает одинаково на вещи смотреть?

Толь в линуксах дыра в вордпрессе (ну или админе), а в Windows в пользователе, который лютую дичь делает.

Ну и со всякими магазинами тоже бывает бабахает. В Gnome расширениях что-то совали, в Snap Store (дефолтный магазин Ubuntu) совали. Там где нет проверок и достигнет популярность — будет всплывать что-то…

так с Windows тоже самое, или фанатизм мешает одинаково на вещи смотреть?

Знаешь, Windows не мешает. Совсем. Начинал с MS-DOS 6.22 + Norton Commander 3.5, и Windows 3.11, потом - разочаровался. Степень моего падения в ад - RedHat, Slacware, Mint. Так что, все круги ада я прошел. А, не все, Арч разве, но после слаки это конфетки просто.

Я к чему: Плохая ось - это бред. Плохие пользователи. Не шучу. Сколько у нас пользователей поувольнялось, переходя с Word 95 на Word 97 ? Ну да, ну да. Конечно пользователи плохие. Это они, суки, целенаправленно портят компьютеры и всемирную сеть. Скоты и падонки. Давайте их всех убьём?

В таком вот аксепте.
https://www.youtube.com/watch?v=-OgTUioO4ZA

Напомнило.

Начинал с MS-DOS 6.22

Школота.

Я к чему: Плохая ось - это бред. Плохие пользователи.

Но я склонен согласиться с оратором выше (упс, а это кстати ты же и есть… шизофрения?), рассказавшим, почему без работы под админом в винде жизни нет.

Настроить политики безопасности в винде - можно. Реально, можно. Но сделано это такими криворукими индусскими программистами, причём через жопу, что довольно сложно.

И это явно не для рядовых юзеров. А в лялихе безопасность из коробки, по умолчанию и без усилий.

А есть смысл? В смысле, проверять?

на постоянной основе дома - нет. на серверах в интернете - другая ситуация.

так с Windows тоже самое, или фанатизм мешает одинаково на вещи смотреть? Толь в линуксах дыра в вордпрессе (ну или админе), а в Windows в пользователе, который лютую дичь делает.

В вордпрессе дыра на всех ОС одинаковая, а вот с ОС еще может идти жирный бонус в виде вирусов, адвари и распухающей со временем системной папкой.

Ну и со всякими магазинами тоже бывает бабахает. В Gnome расширениях что-то совали, в Snap Store (дефолтный магазин Ubuntu) совали. Там где нет проверок и достигнет популярность — будет всплывать что-то…

Ну как бы я спрашивал про то, с чем конкретно сталкивались. А то говорят бабка может и сама может закрыть окно в автобусе, но я ни разу не видел)

с ОС еще может идти жирный бонус в виде вирусов

Бред какой-то.

распухающей со временем системной папкой

Двойной бред. Это конечно большая угроза безопасности.

Ну так-то принцип Джо работает в линуксах в полную силу

А про Snap Store с майнером как раз местный натыкался.

ЗЫ: вопрос про фанатизм отменяется — да, фанатизм.

Если речь про десктопы, то вирусов нет по очевидной причине: десктопов под Линь настолько мало что смысла писать вирусную нет. Принцип неуловимого Джо.

А так, вроде были несколько вирусов которые прошивки роутеров ломали. Причём прям серьёзные проблемы создали. Забыл как их звали, но можно нагуглить, если интересно.

Про Андроид я вообще молчу, а это технически тоже Линукс.

А так, вроде были несколько вирусов которые прошивки роутеров ломали.

До фига и больше этого было и есть в IoT.

Используется всё что можно: telnet, ssh, http, adb, smb.

А в лялихе безопасность из коробки, по умолчанию и без усилий.

Ну да. В линукс приложение какое-то непонятное полезет в сеть. А нам нечего скрывать.

А в Windows Firewall начнёт возмущаться.

Вот такое из коробки.

Или самое смешное. Много раз видел вопрос — «я в Ubuntu открыл проводник. А он показывает домашнюю папку другого пользователя! Жена моё порно увидала! Где секурность!» Но исправили вот с год назад примерно. А так годами было.

Настроить политики безопасности в винде - можно. Реально, можно.

Вспомнился давний случай, коллега админила нетварь и вот как-то установив nt-ю и офигев от того сколько всего тут разрешено, решила подойти к вопросу правильно, nt-я с ней не согласилась отказавшись грузиться :)

Ну да. В линукс приложение какое-то непонятное полезет в сеть. А нам нечего скрывать.

Ну ок. Есть ли в лялихе приличный гуй к файрволу, я и сам не знаю.

Но исправили вот с год назад примерно. А так годами было.

Вот кстати да, это полнейшая дичь – что на хомяки по умолчанию o+rx. Исправили с год назад, говоришь? В убунте видимо. На артиксе (читай – на арче) я меньше месяца, и ничего не исправлено.

Короче, винда говно, лялих говно, жизнь говно.

В убунте видимо

Да, если не уточняю, то имею в виду дефолтный линукс ака Ubuntu.

Они вообще, бывают?

Смысла нет. Проще написать гайд по установке какого-нибудь зума под линукс и пользователь сам за тебя всё сделает.

А вот есть ли у лоровцев реальные истории, что кто-то получил реальный вирус или трояна

Были, читал про такое здесь, на ЛОРе, ищите в поиске

А так, вроде были несколько вирусов которые прошивки роутеров ломали. Причём прям серьёзные проблемы создали. Забыл как их звали, но можно нагуглить, если интересно.

Роутеры используют пароли root/root или admin/admin по умолчанию (до недавнего времени это было повсеместным явлением), плюс там прошивки пишутся левой ногой дядюшкой Ляо.

Иногда читал про уязвимости прошивок роутеров, и это просто фейспалм. Когда достают прошивку, смотрят в код http-сервера, а там проверка пароля делает что-нибудь вроде:

sum = 0
for c in password:
  sum += ord(c)
if sum % 15 == 0:
  root = True

Я деталей не помню, но помню, что в роутерах сплошь и рядом подобный код.

Да, бывают. Только это в основном не классические самораспространяющиеся вирусы, а просто malware.

Malware берется из двух мест: скачивается самим пользователем мимо дистрибутивных репозиториев и проникает в систему через уязвимости.

Примером первого типа какое-то время назад был первый результат поиска на Docker Hub по ключевому слову minecraft. Там был не minecraft, а майнер. Сейчас его убрали. По второму типу, на взломанные Wordpress’ы часто заливают всякие webshell’ы.

Есть ли смысл проверять, и чем - вопрос открытый. По факту, антивирусы для Linux, отличные от ClamAV и имеющие возможность лицензирования ровно на один хост, вымирают. Примеры недавних трупов - F-Prot, COMODO Antivirus, ESET NOD32 Antivirus for Linux Desktop.

Если ты являешься подрядчиком или субподрядчиком госконтракта в Великобритании, то обязан (из-за сертификации CyberEssentials) настроить сканирование, причем не по запросу, а по факту доступа к файлам, и еще сканировать весь веб-траффик, идущий через браузер, в том числе HTTPS. Т.е. если мы говорим про ClamAV на Linux, то это clamd + clamonacc + squid + c-icap + squid-clamav + куча настроек, чтобы не сломать интернет-радио, Zoom, WebEx, вебсокеты, server-sent-events и прочие сложные случаи. Я не справился.

И да, в процессе (когда подумал, что e2guardian будет проще настроить) еще нашел в нем пару уязвимостей: не проверяется хост в сертификатах и не блокируются уязвимые с точки зрения браузеров параметры TLS-соединений. Первое исправили, но в релиз и тем более в дистрибутивы это еще не попало. Второе объявили последствием моих кривых рук, но тот факт, что по умолчанию e2guardian так себя ведет, а squid - нет, говорит сам за себя. Ну и в ClamAV тоже нашел падение, детали пока под NDA.

Ну и вишенка на торте: clamonacc почему-то не проверяет процессы, запущенные внутри контейнеров, и поэтому для целей соответствия CyberEssentials при использовании контейнеров не подходит.

Теперь по поводу эффективности ClamAV без привязки к CyberEssentials. Майнер в скачанном докер-образе он нашел. Малварь, которую мне пришлось удалять как фрилансеру со взломанных серверов, он нашел в двух случаях из трех. Пример ненайденного - полиморфный webshell, но он определяется как obfuscated php вот этим инструментом (осторожно, коллекция вирусов в комплекте).

не слышал

В смысле, проверять?

Открой просто :22 root с простым паролем, и выдай белый айпишник интерфейсу. И ничего не надо будет проверять. Оно само.

Под сам пингвин в виде бинарников — ну только если сам скомпиляешь и с нужными правами запустишь. И еще написать можешь сам перед этим.

А вот в принятом нынче говнорежиме «грузим из инета кучу говнокода на JS и неглядя запускаем у себя в браузере» — вполне и могут прилетать зловреды в каком-либо виде.

Ну например червь морриса

Под сам пингвин в виде бинарников — ну только если сам скомпиляешь

Бред какой-то. Идёшь на те же порренты, и скачиваешь заражённую нативную игру.

Идёшь на тот же сайт Transmision (который ломали два раза) и ставишь с него троянную версию программы.

Но конечно это на практике нет, потому что Джо.

Идёшь на те же порренты, и скачиваешь заражённую нативную игру.

Ну замени «скомпеляешь» на «скачаешь», ок.

И собственно так же под Windows…

И собственно так же под Windows…

Да. Я в винде никогда не пользовался никакими антивирусами, при этом ради интереса раз в год-два проверял курейтом — чисто было, как на свежей системе.

Но есть один нюанс — засунув флешку в комп с пингвином, ты вряд ли получишь «вирус», тогда как в винде это вполне себе реальная возможность (проходил сам такое на работе).

Уже давно не актуально. Со времён Vista.

И опять же это всё по принципу Джо. Даже в десктопом линуксе наковыряли (не поленились) найти кучу уязвимостей по автозапуску и в превьюшках файлов за последние десять лет. Но Джо…

Уже давно не актуально. Со времён Vista.

В семерке работало.

Ну значит без секурных апдейтов. А чего их ставить? — сломается же что-то 😀 Это кстати и к линуксовым серверам и IoT тоже относится.

Вон как про WannaCry все ныли. Это бомбануло после двух месяцев после выхода секретно обновления.

Но вообще да, все проблемы от кривых рук и отсутствия минимальных знаний компьютерной гигиены.

распухающей со временем системной папкой

Двойной бред. Это конечно большая угроза безопасности.

Не бред вообще-то, если своевременно не чистить, старые ядра или пакеты, то примерно через пару лет, места на root хватать не станет. В смысле, я чувак продвинутый, На ось выделил аж 30 гигов, остальное на /home. Ну и чуток на своп. Многие говорят что нет смысла, а я делаю своп, на всякий случай. Только кстати, от firefox это мало помогает, память кушает как не в себя, похоже и по сети раздаёт, как халявную.

Кстати легко найти подобное

https://msrc.microsoft.com/update-guide/vulnerability/ADV200006

Понятно, что сидеть на Windows без секурных апдейтов — это плохая идея. Как в прочем для любой десктопной ОС — это так…

Вроде вряд-ли что случится, но прилететь внезапно через хорошо изученную и баянистую дыру всё же может.

Вон как про WannaCry все ныли. Это бомбануло после двух месяцев после выхода секретно обновления.

Ха-ха (3 раза). Где ты видел обновляемую периодически винду? В какой блин госконторе? Практически везде - стоит пиратка. Естественно, с отключенными обновлениями.
Кстати, именно поэтому и работает, годами, между прочим. Пока чей-нибудь сынок своими шаловливкими ручками не влезет.

ЗЫ: А обновление от WannaCry - было дело, ставил. Полгода примерно. Потом забил.

Где ты видел обновляемую периодически винду?

О том и написал. И тоже самое с линуксами. Апдейты накатывать на серверах и IoT — это проблема. Да и на малораспространенных десктопах с линуксом — тоже не без веселья с апдейтами.

Практически везде - стоит пиратка.

Вот это сильно сомневаюсь. Вздрючат за такое. Не 90-ые с нулевыми всё же.

Нифига не вздрючат. Проверено на собственном опыте. Как, простите, проверяющие, могут проверить валиднось винды? По системе - всё в порядке, активирована, пишет. Они что, в Майкрософт звонить будут, уточнять? Да и это тоже не вариант. Тем более, что на каждом купленном системнике стикер наклеен, с кодом активации. Правда, Home, но кто ж на подобные мелочи смотрит?

ЗЫ; Насчёт обновления линуксов - это ты зря. Не каждый день, но периодически - в трее уведомление. Обнови, типо. И ядро в том числе.

Насчёт обновления линуксов - это ты зря.

Не зря. Я же не про тебя, админа локалхоста, писал.

Не встречал, даже когда на заре освоения Linux где-то год сидел исключительно под рутом :)

1. Похаканый сервак считается?
2. А долбодятлы которые сами организовали доступ с своей машинке скопипастив/скачав из инета «очень полезную штуку»?

2. А долбодятлы которые сами организовали доступ с своей машинке скопипастив/скачав из инета «очень полезную штуку»?

Вот это - наиболее вероятный сценарий. Антивирус-то стоит у всех, я постарался. иначе звиздец стал глобальным. А так - мелочи жизни.

В какой блин госконторе? Практически везде - стоит пиратка.

Ну вообще говоря программа «купи лицензионную софтину от МЦ и спи спокойно» стартовала уже очень давно. Другой вопрос, что никому не вбилось переустанавливать уже работающие системы. Вот и получается, лицухи сами по себе, оффтопик на компах сам по себе, между собой никак не связаны. Самое главное всё всех устраивает.

Малвари куча, но вот червяков нету, да.

Так можно ловить мамкиных хацкеров в ssh jail

Достаточно обнаружить не очень правильный kms.

В NT4-2k, безопасность была на высшем уровне

Ну да... конечно... man lovesan

Оно само.

Рухнет.

Да бывают, а в последнее время ещё и майнеры.

Зачем что обноруживать, когда можно проверить кол-во лицензий, наклеек и бух. документы. Да и 3ИНФО не просто так ежегодно сдается.

Это вы совсем по правильному пишите, вариант для чуть более «не мелкой конторы». Предполагаем что в конторе X используется Y компов, они купили Z лицух. Если Y-Z небольшое ( с учетом значения Y ) чиселко, значит не паримся. А если Y несколько тысяч, а лицух пара десятков, то начинаем действовать.
Помниться красиво смотрелись варианты, типа сервер 50 лицух, ws 5 штук. :)