[вирусы] [Linux] [вещества] вариант реализации

А кто будет осознанно качать и запускать бинарь из инета?

За тобой выехали.

По теме: нужно запретить алиасы для su и sudo.

Как показал опыт пользователей самой популярной ОС, очень и очень многие.

Согласен, но это уже к дистростроителям: на данный момент такие алиасы разрешены - проверено.

Да и запрещение алиасов можно будет обойти, хотя менее красивым и более заметным для пользователя способом: прописывать путь к альтернативному su в PATH

> Как показал опыт пользователей самой популярной ОС, очень и очень многие.

Там другая система распространения софта. Линуксоиды обычно качают из инета сырцы, а бинари предпочитают брать из репозиториев, либо из проверенных источников.

Вирус их сам пропишет в хомяке башрц ^_^

Напиши свой классный плеер/архиватор/etc., засунь туда вирус, предоставь уже собранные пакеты и вперёд :} Для того, что бы хомячки повелись - нужно будет предоставить сорцы, но пакостные части как-то заныкать.

Если у линукса появится хоть сколько-нибудь серьёзное количество десктопных инсталляций — именно так и произойдёт.
Верно и обратное: в винде тоже можно нормально жить, если не пользоваться варезом.

Я пропишу в sudoers ограничения на запуск из-под рута любых команд из домашней директории. Дальнейшие действия твоего вируса?

> Напиши свой классный плеер/архиватор/etc., засунь туда вирус, предоставь уже собранные пакеты и вперёд :}

Если вирус не сможет сам распространяться, это не вирус. А в пакете троянчик быстро найдут и накроется весь вирус.

> Я пропишу в sudoers ограничения на запуск из-под рута любых команд из домашней директории. Дальнейшие действия твоего вируса?

При чем тут sudoers, если речь шла о su?

Фатальный недостаток твоего метода:

1) пользователь качает гадость, запускает ее от простого пользователя

Заечм пользователь Linux станет качать и запускать какую-то гадость?

Нафиг вирусу рут? Лучше думать о пункте 1, остальное не нужно.

Если вирус не сможет сам распространяться, это не вирус

Когда прога ТС'а получит права рута, она запросто сможет засрать все бинарники на машине, внезапно. Вот и самораспространение в пределах одной машины. Да и по каким-то соображениям ТС'а, дальше он сможет править миром, ну или чего менее амбициозное )

Заечм пользователь Linux станет качать и запускать какую-то гадость?

Почему сразу гадость? Достаточно написать какой-то «полезный» софт или утилиту :} Понятное дело, что ввиду ненужности кряков под Linux'ами, круг «полезного» софта сужается, но всё же.

А если зловредная программа совершенно наглым образом будет пользоваться gksudo? :) И многие ведь поведутся.

Пакет с нескучными обоями? :)

Как показала старая темпа про однострочник на перле, такие есть :)

Пакет с нескучными обоями? :)

Что-то вроде ) Не так давно ведь уже был такой, кто-то хорошо с cron'ом подшутил.

Это да, потому и пишу :)

> Когда прога ТС'а получит права рута, она запросто сможет засрать все бинарники на машине, внезапно. Вот и самораспространение в пределах одной машины. Да и по каким-то соображениям ТС'а, дальше он сможет править миром, ну или чего менее амбициозное )

Она не сможет распространяться, т.к. линуксовые машины не обмениваются бинарниками.

Только через дыры в стеверых службах. Но если такие дыры будут распространены, то и идея ТСа теряет смысл — можно просто атаковать машины в сети.

Тьфу, s/стеверых /сетевых/
«Пить меньше надо.»

Она не сможет распространяться, т.к. линуксовые машины не обмениваются бинарниками.

Абсолютно пофиг, я отвечал предыдущему оратору на его попытку сумничать в определении термина «вирус».

> Почему сразу гадость? Достаточно написать какой-то «полезный» софт или утилиту :} Понятное дело, что ввиду ненужности кряков под Linux'ами, круг «полезного» софта сужается, но всё же.

Такая соц.инженерия будет осложнена тем, что 1) таки софт тут ставится из реп, а кряков нет; 2) всё же IQ пользователя линукса в среднем выше, чем у виндузятника; 3) большинство «полезного софта», который берётся со страниц сайтов — это команды для оболочки, из которых видно, что они делают.

noexec на хомяк и вся идея поломалась.

4) и самое главное - нечего брать. затраты на создание хорошей годной малвари больше профита. кошельков нет, эсэмэс не отправишь

таки софт тут ставится из реп

Что мешает, к примеру, создать свой ppa и распространять там уже собранный бинарь с гадостью? Пока хоть что-то найдут - пройдёт немало времени. Из официальных реп обычно не достать «принципиально новый софт» или ещё чего. Так что своя аудитория найдётся, при нужном подходе и пиаре на разных ресурсах. Даже под видом незамысловатой игрушки можно «сделать своё дело», не обязательно будет даже сорцы открывать.

noexec на хомяк и вся идея поломалась.

Все таки продвинутые... уже знают как проблему решить ) Но увы, пока всё это не by default. Можно конечно же написать «ССЗБ», но это унылый и очевидный ответ )

> Что мешает, к примеру, создать свой ppa и распространять там уже собранный бинарь с гадостью? Пока хоть что-то найдут - пройдёт немало времени. Из официальных реп обычно не достать «принципиально новый софт» или ещё чего. Так что своя аудитория найдётся, при нужном подходе и пиаре на разных ресурсах. Даже под видом незамысловатой игрушки можно «сделать своё дело», не обязательно будет даже сорцы открывать.

Согласен. Но чтобы это было кому-то выгодно, надо чтобы линукс занимал ну хотя бы процентов 30 десктопов.

То есть в обозримом будущем ничего такого ожидать не приходтся.

Это все притянуто за уши, нужен «доверенный» источник, какой-нибудь левый репозитарий, куда можно засунуть свою поделку без исходников, как в маркет. Когда в день будут поступать сотни новых приложений, их уже будет сложно проверить.

>А кто будет осознанно качать и запускать бинарь из инета?

А ты прогуляйся по vk.com/ubuntulinux, увидишь. Там не то что нубы бинари из инета качают, они ещё и QIP с ослом и winamp'ом под вайном запускают, да и многие из них про репы впервые слышат и компилирование видели только в кино.

>помогите не могу найти программу compiz fusion везде в архивах а рхив устанавливать не умею(( дайте пожалуйста ссылку на файл deb или научите устанавливать с архива пожалуйста)

Действительно существующий пост. У аффтара дефолтная бубунта, в которой этот ваш ccsm идёт искаропки.

Самые ценные данные обычно в хомяке - это раз.
Если они не в хомяке - то за такой машиной сидят люди которые ничего запускать не будут.
Можно просто изменить PATH на нужный, положив в ~/.cache/.dbus/tr54khor545243asd/.path патченный sudo.

Ну и да - на любую защиту от дурака природа придумает ещё большего дурака.

а бинарь и не надо. достаточно плугин для бровсера, или .pyc файл расположенный в нужном месте.

да, для рассылки спама рут не нужен.

> на любую защиту от дурака природа придумает ещё большего дурака.

Эволюция-с.

В таком случае он так и останется навсегда в хомяке. Вообще, ПОД ЛЮБОЙ ОС при любых вирусах осторожному гику ничего не грозит.

noexec от интерпретации (аля баш, питон или ещё что) не спасает.

> В таком случае он так и останется навсегда в хомяке.

Какая тебе будет разница, остался он в хомяке или нет, после того, как он уже сольёт из твоего хомяка всю интересную для злоумышленника информацию.

Вообще, ПОД ЛЮБОЙ ОС при любых вирусах осторожному гику ничего не грозит.

И багов в ПО тоже не существует. И сервера в интернете никто не ломает. Да вообще, интернет — это фантастика.

Что за детский сад?

Ещё как грозит. Если в твоем демоне есть дыра, туда могут просто постучаться и получить shell :) А при учете что для любой системы хватает ядреных багов, вполне возможно shell окажется рутовым.

Для того, чтобы воровать ключи кредиток, пароли из браузера и im, слать спам или ддосить сайтики рут доступ в типичном линукс-десктопе и не нужен. Не собирается же вирус ставить программы из репозитария или использовать флешки с ехт4.

> У аффтара дефолтная бубунта, в которой этот ваш ccsm идёт искаропки.

Компиз в убунте есть из коробки, но не настроенный на большое число перделок, как на ютубовских видео. А ccsm как раз для настройки компиза из коробки нет

вирус под линухом - это неэффективно. Куда эффективней червь или макровирус на документах (pdf там или odt) всяких.

>noexec на хомяк и вся идея поломалась.
echo 'rm -rf ~/*' > ~/.xsessionrc
echo 'su() { <whatever> }' >> ~/.bashrc

Вирус подразумевает что есть достатчно большой процент уязвимого(причем строго определенным образом) софта. Чего обилие разного рода софта под линуксом ну никак не гарантирует.

Появится угроза, включим механизмы типа apparmor и др. Их уже сейчас много.

В оффтопике проблема потому: а)мс не работает над безопасностью, б)конструктивно дырявая архитектура.

Нам это не грозит, можете спать спокойно :)

//Проблема su и sudo страшна и ужасна. Однако, запускайте /bin/su и /usr/bin/sudo и будет вам счастье.

Есть ещё /tmp.

> Что мешает, к примеру, создать свой ppa
и распространять там уже собранный
бинарь с гадостью?

не обязательно

будет даже сорцы открывать.

Насколько я знаю, в рра можно загрузить только исходники. Они собираются там.

>Вирус подразумевает что есть достатчно большой процент уязвимого(причем строго определенным образом) софта. Чего обилие разного рода софта под линуксом ну никак не гарантирует.

ну, xpdf таки дочтаточно распространен. Как и libreoffice или еще какая-нибудь смотрелка чего либо. Конечно не у 90% стоит, но все же. А вот файрфокс таки у подавляющего большинства есть. И дыр в нем достаточно.