Re: Интернет вирус для Линукс

Читал-читал, так и не понял, как он работает. Как влезает - понял, как работает - понял. Как себя запускает - не понял :-)

Re: Интернет вирус для Линукс

Вот и посмотрим на общий уровень ламеризма администраторов систем....
Все отверстия, через которые эта хреновина может пролезть - закрыты давно...
Причём это вообще относится к машинам с ненастроенным брандмауэром...
Я так прикинул - моя машина _никогда_ не была уязвима для этого червяка.
Да и сделан он хреново. Я лучше могу :)

Go ahead

Re: Go ahead

Я и делаю.
Лучше. Но никак не связанное с вирусами и т.п.
Я, знаете ли, вышел из этого возраста.

Re: Интернет вирус для Линукс

Дык полно таких червей уже. Етож разве первый?

Re: Интернет вирус для Линукс

A slabo rasskazat novichkam kak prikrit diri v RED HAT 7? Plizz

Re: Интернет вирус для Линукс

А вот бы лучше рассказали, где в инете про настройку файервола прочитать. Т.е. не как это делается, а как _ПРАВИЛЬНО_ это делается,
ну там типичные ошибки и тд. применительно к небольшой сети в 7-9 машин и типичными юзерами.

Саша.

Re: Интернет вирус для Линукс

А с чего ты решил что в linux есть внешние "diri"? Это тебе не виндуз, родной, у которого всё нараспашку и невозможно понять что откуда берется. ;) В linux есть открытые порты, есть висящие на них сервисы. Чтобы тебе уж совсем спокойно спалось - сходи в /etc/inetd.conf и закомментируй там все тебе ненужное. Если у тебя desktop, а я так понимаю что ты линукс используешь в качестве оного, то можешь смело закрывать все. Подучишся, подразберешся - нужное откроешь. Кстати, имхо что redhat туда лишнее пихает, так это linuxconf

Re: Интернет вирус для Линукс

Мда. Я всегда говорил, что Red Hat -- это MS от Linux'а.

Re: Интернет вирус для Линукс

Да, linuxconf имхо отстой, хотя идея неплохая. Просто реализовать трудно. И это не M$ от линуха, а просто не совсем удачная попытка сделать все в одном флаконе. Вот когда без linuxconf'а нельзя будет настраивать ручками, тогда будет M$...

Re: Интернет вирус для Линукс

> стати, имхо что redhat туда лишнее пихает, так это linuxconf
Не понял, в RH что, по умолчанию заведён сервер удалённой настройки???? Они чего там, с баобабов попадали??
> A slabo rasskazat novichkam kak prikrit diri v RED HAT 7
А чё транслитерацией-то?

http://www.redhat.com/apps/support/updates.html - см там.
Обнови пакеты в части Security, те что не работают|не установлены - есс-но можно не обновлять :)

Внимание на сервер имён, RPC и FTP (если это wuFTP)
Кстати, кажется в RH7 есть какая-то хреновина для облегчения обновлений...

> Т.е. не как это делается, а как _ПРАВИЛЬНО_ это делается,
В смысле блокирующих настроек? Правильно - DENY на всё, открыть только то, что действительно нужно. Где-то я видел рекомендации для новичков, понасиловав Yandex. Там рассказывается, чего НЕ надо закрывать для нормального фунциклирования системы.

Кстати, толковых рекомендаций по настройкам для отдельновисящего ПК я не видел. Всё в свете защиты сети.
А-у-у-у, крутые сетевеки!!! Мне что-ли писать вместо программирования???

Не спать!!!!!

То-то я гляжу в меня пакетами по 21 порту стрелять начали откуда не
попадя и named начал ругаться на запрос версии, а то я уж начал
удивляться: не было никогда у меня ftp, да и DNS мой нигде не
прописан. Теперича все понятно :-(

Re: Re: Интернет вирус для Линукс

А зачем крутые сетевики? И в чем разница между сеткой и отдельно стоя- щей машиной, кроме отсутствия форвардинга? Убираем(комментарим) все лишнее в inetd.conf и отрубаем запуск ненужных демонов. Потом идем и смотрим: что у нас в портах не выше 1024 запускается netstat-ом (netstat -l, кажется). Эти порты не запрещаем. И те, которые после чистки inetd.conf остались тоже. Остальные по 1024 - запираем и пишем в лог (хотя 113 не пишем, а то каждый почтовик будет нам лог засорять, и всякий ftp, на который мы ходим - тоже). Когда надоест наблюдать записи о UDP пакетах по 137 порту, может захочется и его в лог не писать. Выше 1024 порта из демонов цепляется named, squid и Иксы. Ну squid'у можно сказать, чтобы он на внешнем интерфейсе сое- динений не принимал (типа http_port 192.168.1.1:3128 http_port 127.0.0.1:3128 (а внешний порт не прописывать) ну и если всяких parent и sibling нет, то icp_port 0 от named никуда особо не денешься (хотя есть у него в конфиге слово listen-on, если он только кэширующий - он запросов на внешнем интерфейсе принимать не должен, кстати у кого он еще не chroot?). Очень рекомендуется Chroot-bind-HOWTO. (Береженого бог бережет) Ну а с Иксами тут я и сам не знаю. Не пользую я их. И где тут крутизна - не пойму.

Re: Re: Интернет вирус для Линукс

А зачем крутые сетевики? И в чем разница между сеткой и отдельно стоя-
щей машиной, кроме отсутствия форвардинга? Убираем(комментарим) все
лишнее в inetd.conf и отрубаем запуск ненужных демонов. Потом идем и
смотрим: что у нас в портах не выше 1024 запускается netstat-ом
(netstat -l, кажется). Эти порты не запрещаем. И те, которые после
чистки inetd.conf остались тоже. Остальные по 1024 - запираем и пишем
в лог (хотя 113 не пишем, а то каждый почтовик будет нам лог засорять,
и всякий ftp, на который мы ходим - тоже). Когда надоест наблюдать
записи о UDP пакетах по 137 порту, может захочется и его в лог не
писать. Выше 1024 порта из демонов цепляется named, squid и Иксы.
Ну squid'у можно сказать, чтобы он на внешнем интерфейсе сое-
динений не принимал (типа
http_port 192.168.1.1:3128
http_port 127.0.0.1:3128
(а внешний порт не прописывать)
ну и если всяких parent и sibling нет, то
icp_port 0
от named никуда особо не денешься (хотя есть у него в конфиге слово
listen-on, если он только кэширующий - он запросов на внешнем
интерфейсе принимать не должен, кстати у кого он еще не chroot?).
Очень рекомендуется Chroot-bind-HOWTO. (Береженого бог бережет)
Ну а с Иксами тут я и сам не знаю.
Не пользую я их. И где тут крутизна - не пойму.

Re: Интернет вирус для Линукс

Еще одно описание: http://www.drweb.ru/vir/ramen.shtml

Re: Интернет вирус для Линукс

Есть PDF-ка от Редхата. Где все описано и рассказано как систему закрыть. Дока на англицком. Дока не плохая, иногда сам туда заглядываю. Там же описано как под разными юзверями сервисы запускать. Рекомендую. Валяется она... Да где только ее нет. :)

Re: Интернет вирус для Линукс

Не обижайтесь это не к linux'у а ко всем операционным системам.
"Нас ебут а мы крепчаем." Помоему так.

Re: Интернет вирус для Линукс

2 анониму который говорил про то где сквид будет слушать запросы.
У меня несколько вопросов по сквиду
1) а как в одну строчку (там правило такое) написать про несколько сетей. т.е. обьединить записи ниже в одну (а то он понимает только последнюю)?
http_port 192.168.1.1:3128
http_port 192.168.2.1:3128
2) в чем отличие (там все одинаково описано) у icp_port и htcp_port?
3) строчка: deny_info http://www.myhost.ru/pix/nobaner.gif noban
(для замены обрезанных банеров прозрачным гифом) вообще отрубает сквид
как её правильно писать? Спасибо

А как мне быть?

Я столкнулся с одной серьезной проблеммой: у меня вирус не работает!!!;) Что делать?! У меня НЕ запущен lpd и rpc, а вместо wuftpd я использую другой ftp демон. В файле xinetd.conf у меня открыты только 2 строчки ftp и pop-3. Что мне делать ????? Гы-гы-гы :) Ну, и еще я напомню, что я в Linux полный ламерюга. Для тех кто любит придираться к русскому языку: ламер - человек не владеющий знаниями в указаной области, отчасти из-за лении и ограниченных способностией.

Re: Интернет вирус для Линукс

2 anonymous
Немного не так.
1) Запрещаем ВСЁ
2) В 1-ых 1024 открываем то, что нужно, для тех, кому нужно.
3) Думаем, по поводу ICMP (да/нет/не знаю)
4) Думаем по поводу NAMED (и TCP и UDP)
5) В после-1024 разбираемся - 6000-6100 это XWindow, по своим портам серверы БД и т.п.
6) Заводим rp_filter согласно правилам дистрибутива
7) По желанию - разные варианты блокировки/определения сканирования и прочие детекторы вторжения.

2 Oscar
> полный ламерюга.
Значит не полный. :)
Никто не может знать всего. Нельзя объять необъятное. Есть базовый минимум, далее - своя предметная область.

Re: Интернет вирус для Линукс

по всем вопросам о squid - на http://unixway.narod.ru, там все толково описано, мне помогло

Re: Интернет вирус для Линукс

Обнаружен новый опасTный сетевой червь. Симптомы таковы: к вам почтой приходит текст на С с просьбой его записать в определенное место, откомпилировать и запустить. После запуска он запрашивает с терминала адреса дальнейшей рассылки. По сообщениям YellowPost этим опасТным _вирусом_ поражено более 101 процента _машин_ в _Интернете_. Самые страшные разрушения нанесены пользователям Linux систем. По сообщению представителя компании Microcoft, червь не в состоянии нанести ущерба пользователям Windows в-виду отсутствия в нем меню и кнопок. /Mad Bred/

Re: Интернет вирус для Линукс

Обнаружен новый опасTный сетевой червь. Симптомы таковы: к вам почтой приходит текст на С с просьбой его записать в определенное место, откомпилировать и запустить. После запуска он запрашивает с терминала адреса дальнейшей рассылки. По сообщениям YellowPost этим опасТным _вирусом_ поражено более 101 процента _машин_ в _Интернете_. Самые страшные разрушения нанесены пользователям Linux систем. По сообщению представителя компании Microsoft, червь не в состоянии нанести ущерба пользователям Windows в-виду отсутствия в нем меню и кнопок. /Mad Bred/

Re: Интернет вирус для Линукс

Если кто испужался, могу дать совет: есть такая ОС - OpenBSD. С ней головной боли будет гораздо меньше. Но если для кого-то линух дорог сердцу, ставьте на фаирволлы и критически важные серваки Slakware или Debian, не забывая закрыть в них все ненужные порты и сервисы. А редхат и иже с ним можно использовать только за мощными фаирволлами или вообще подальше от интернета. Конечно, грамотный специалист способен сделать и редхаты с мандрейками защищенными, но таких специалистов немного. Я вот предпочитаю незаморачиваться и юзаю OpenBSD.

Re: Re: Интернет вирус для Линукс

Где сквид будет слушать запросы и все прочее было написано в ответ на
жалобные стоны некоторых товарищей по поводу сложностей с настройкой
безопасности - в смысле того, что там все просто, и не боги горшки об-
жигают. Задавай вопросы в форуме по соответствующей теме: Admin или
Security - здесь они малость лишние. По поводу замены баннеров:
указанная тобой строчка будет работать в версии 1.х, а по поводу версии
2.х и вообще как это сделать можно почитать на
http://www.nitek.ru:8101/~igor/squid/ более-менее подробно. Описанные
мной http_port обязаны работать в версии 2.3.STABLE4, по поводу своей
смотри в его конфиге (он самодокументирован). icp_port и htcp_port
относятся к протоколам взаимодействия кэшей. Переведенный FAQ, которым
ты пользуешься, зело старый. Прочти свежий на английском или в крайнем
случае напиши мне dima@intex.spb.ru. Чем смогу - помогу. Еще раз пов-
торяю просьбу задавать вопросы там, где их следует задавать, а не в
разделе новостей. Я читаю конфы регулярно.

А народ-то все таки проснулся !!!!

Re: Интернет вирус для Линукс

2 anonymous
Не болтайте ерундой.
Во первых - Mandrake вообще неуязвим относительно этого червяка.
Во вторых - безопасность OpenBSD (неплохая, кстати штука для поддержания сети) заканчивается тогда, когда заводится FTP-сервер, выключенный по-умолчанию.
Там как раз в FTPD плюшечка... (обновите порт, кстати)
Если изменяется базовая конфигурация - то соответствующие меры по обеспечению безопасности должны быть приняты.

На файрволах RH, Mandrake, Slackware и Debian поведут себя абсолютно одинаково, если администратор - идиот.
Правила обеспечения безопасности в общем-то сходны для всех систем.

Re: Re: Интернет вирус для Линукс

FTPD-плюшечка в OpenBSD уже пофиксена и если админ не идиот он обратит внимание на соответствующий патч, если ему ващще нужно фитипи. А мандрейк все-равно нельзя на критически важные компы ставить, если у тебя конечно не целая жизнь впереди чтобы в нем дыры латать. Слакварь и дебиан имеют менее навязчивую инсталляционную конфигурацию, чем редхэт производные. Можно и их неплохо отконфигурить. Просто с OpenBSD меньше голова болеть будет. А для десктопа мандрейк конечно лучше. Только вынь98 ему в этом плане нисколько не уступает %)

Re: Интернет вирус для Линукс

> FTPD-плюшечка в OpenBSD уже пофиксена и если админ не идиот он обратит внимание на соответствующий патч
Так и в RH вся ерунда уже полгода, как пофиксена. Вопрос по прежнему в "если админ не идиот он обратит внимание на соответствующий патч"

Да и не стоит наверное, наезжать на серверную установку того же Mandrake, если не знаете, какая она, какой security level (и что это такое) задаётся при установке....

ГЫ! ;o)

В линуксовой рассылке получил урл на http://www.DialogNauka.ru/inf/ramen.htm

Занятно читать. Товарисчь написавший это полностью некомпетентен, чего
стоит только одно "определяет версию операционной Red Hat по наличию или
отсутствии файла /etc/inetd.conf" ;)
Главное, что все это - "blah,blah,blah tra-la-la" сводится к "Следует
отметить, что в настоящее время противоядие от червя Linux.Ramen включено
в очередное "горячее" дополнение программы-антивируса Dr.Web, которое можно
получить непосредственно с головной страницы нашего Web-сайта."

Re: Интернет вирус для Линукс

2 anonymous (2001-01-19 16:40:44.0)
мечтаю узнать чем OpenBSD лучше в плане безопастности ?
посмотрел я на нее краем глаза , уууу , мой redhat уже в 1000 раз безопастнее

кроме того процитирую что мне недавно один человек сказал:
Don't use firewalls at all if you are concerned about real (not advertised) security.
Firewalls won't help unless you eliminate all netscape and IE web browsers,
all netscape and outlook mail agents from the protected network.

Re: Интернет вирус для Линукс

Ну твой может и безопаснее, а сколько ты потратил время на обеспечение его безопасности? Ну если с ним годами работать может оно и возможно. Но не составит большого труда убедиться (посмотрев немного на буржуйские сайты), что дырявей Un*xa, чем RH в стандартной или даже custom инсталляции найти сложно. Выяснить, что именно плохо - значит убить много времени. А с OpenBSD в этом плане проще. Там сурьёзные дыры бывают раз в три года, если конечно их самому не сделать.

Re: Re: Интернет вирус для Линукс

Да, видать скорость канала, к которому подключена та опенбсд, что ты видел краем глаза раз в две тысячи выше чем у твоего безопасного рэдхэта.

Re: Интернет вирус для Линукс

Кррасота.. много нового и интересного.. спасибо всем.. ;)

Re: Re: OpenBSD

Ну что там проще???? Что безопаснее???? Читать такое тошно. Поводом для
этого обсуждения была серьезная дырка в wu-ftpd полугодовой давности, а не дыры
в каком-то абстрактном Линуксе. Если уж сравнивать, то сравнивайте на равных
и рассказывайте заодно, как в супер безопасной, "carefully audited" OpenBSD-2.7
примерно в то же время можно было получить удаленного рута на ее родном
суперпроверенном-перепроверенном ftpd. А если вы это не знаете, то заткнитесь,
и слов таких "более безопаснее" больше не произносите. Безопасно там, где
сидит человек, знающий толк в безопасности, и не важно какая это будет система.

Re: Интернет вирус для Линукс

Полностью присоединяюсь к выше описанному мнению. Кстати последний подобный червь которого я видел собственными глазами охватывал и Linux и BSD системы. Я вот тут думаю, а не модифицировать ли червя чтоб он еще и на Mandrа'ках ползал. Поубавит у некоторых спеси. :)

Re: А как мне быть?

Oscar: Что делать? С замиранием сердца ждать, пока не найдут свежую дыру в твоем ftp или pop3 и все туда не ломанутся.

Re: Интернет вирус для Линукс

> чтоб он еще и на Mandrа'ках ползал
А надо? Дурное-то дело известно - нехитрое.
Кстати, рекомендуемый ftpd там сейчас bsd-ftpd :)
Лучше уж сразу, всеплатформенный.
Информация к размышлению:
Реализация Цербера в OpenBSD :)

Re: Интернет вирус для Линукс

Да вообщемто не надо. Это так постращать. Уж с чего бы всем остальным дистрибутивам быть намного секьюрнее. Эксплоиты они на всех рано или поздно найдутся. И пользы тогда от всей этой секюрности параноидальной ноль с маком. А подходы чем проще тем надежнее они не всегда подходят. Помнится в Т\М был рассказ про эволюцию машин в сторону надежности. Так там самым рулезным агрегатом был автомат для раздачи газировки. Рулил всеми ненадежными компами. :)

ламер

2Oscar: твое определение ламера не правильное. то что ты сказал - это чайник, а ламер - это воинствующий чайник! =)

Re: Интернет вирус для Линукс

Эх. Поставить патч от исполняемого стека - сразу полегчает. Кстати, вопрос 2Irsi: В виндах такое бывает? ;)

Re: Интернет вирус для Линукс

Один мой знакомый, большой знаток и любитель MS (сертифицированный по почти всему) считает что вирусы в MS это признак зрелости бизнеса -- антивирусные программы вполне значимая часть рынка и очень неплохие деньги. С этой точки зрения linux еще расти и расти :).

Re: Re: Интернет вирус для Линукс

Лично я хоть и без сети в Linuxе, но Linuxconf выкидываю как бесполезную трату места

Re: Интернет вирус для Линукс

Есть мнения, что вирусы часто создаются создателями антивирусов. Вроде, только что ДрВеб под Linux пошел. Хотя, возможно, это просто совпадение.

Re: Интернет вирус для Линукс

PS: Мнение не мое

Re: Интернет вирус для Линукс

а кто-нить знает, где исходники взять мона?
хотелось-бы поковыряться (чисто в образовательных целях)

Re: ГЫ! ;o)

уважаемый товарищ, а анализировали ли Вы указанный червь? если да, то какие вопросы по поводу определения версии - именно так он (червь) и делает. "Криво!" - воскликнете Вы и будете правы. но что делать - такова мисиля. именно так он написан. а по поводу ссылки - вполне себе нормальная работа соответствующей конторы.

Re: Интернет вирус для Линукс

Архив новостей: http://www.linux.org.ru:8101/view-message.jsp?msgid=131&scroll=section&am...