обнаружить новый бэкдор для Линукс

Наконец-то!

А кроме Шамана новости больше некому подтверждать? Не, я не намекаю - новости им подтвержденные - супер, правда, в кавычках. Просто, эпично будет, если мое расширение с блокировкой Шамана - подтвердит Шаман.

Шучу. WebExtension for Firefox будет после праздников. Не хотят натив пилить, решил свое сделать. Даже наименование с «Shoma, goodbye!» переименовал в «LORIgnore». Чтобы жопа не загорелась у некоторых. Да и чести много.

Надеюсь, один ростовский гентушник подтвердит, норм парень. Ростовские вообще пацаны хорошие))

Где ссылка на программу? В аур уже завезли?

Хотеть у себя

НУ И что, лорчане? Кто-нибудь то уже кинет ссыль на скачивание, ась?)

В твоих категориях это диск Цэ и c:\Users соответствено.

Смефно)))

Вы sudo забыли дописать.

Не, там по новости - разное поведение. Можно от рута, а можно от юзера. Но лучше, от первого, конечно.

Если серьезно, я не совсем понимаю зачем такую хрень вообще публиковать в «новости».

Или DE накатить другое

Чувак, открой для себя метапакеты в своем пакетном менеджере! Одна команда и у тебя стоит еще один DE. Или открой для себя tasksel, если Debian/Ubuntu, в нем вообще астериксами в TUI это делается.

Официально предлагают. Не, совсем не идиоты. Торвальдс там что-то «мнется» - гнать этих из Ъ С.

Ну в смысле curl address | sh – довольно распространённая практика установки ПО в Linux. Причём оно универсальнее AppImage, snap, flatpack, системный пакетный мэнеджер. Единственное, что нужно ещё контрольную сумму проверять.

Дайте хоть вживую на них посмотреть, а то только в новостях и узнаёшь о вирусах для Linux …

Дайте хоть вживую на них посмотреть, а то только в новостях и узнаёшь о вирусах для Linux …

Ну подними ханипот - это очень просто.

Исследователи из Netlab

Читаешь их анализ, и создаётся впечатление, что он сделан на какой-то венде китайской версии. И точно, netlab-же - китайцы.

А где ссылка на исходники? Хочу потыкать палочкой…

Это и есть исходники и получен весь этот карго на спец системе

Еще и | bash, ахах. Короче очередной вирус в исследовательских целях, по серьезному заразиться которым могут только полные нубы, понятно.

А что, компилятор раста так же принято устанавливать.

Чувак, открой для себя метапакеты в своем пакетном менеджере! Одна команда и у тебя стоит еще один DE. Или открой для себя tasksel, если Debian/Ubuntu, в нем вообще астериксами в TUI это делается.

Тут дело в чём. Задолбали, допустим, тормоза KDE, и накатил ты LXDE - а тормоза как были, так и остались. Тут для чистоты эксперимента лучше дистрибутив переустановить.

Само-

tar, cp, cpio, cat

Эти все надо вручную запускать.

воспроизведение себя самого, порождение собственных копий

Просто для этого надо вмешательство человека.

cp — вирус

cp — вирус?

Если у вас cp запускается без вашего участия и распространяет себя, а потом попадает на другие ЭВМ (по сети ли, или переносом заражённых файлов на флешке, например), и там тоже распространяется, то да.

Если для распространения на других ЭВМ ей потребуется запуск пользователем, то это уже троян.

Нет. Вы написали, что

Вирус это программа способная к саморепликации.

Ср — программа, способная к саморепликации.

Само-

Ср — программа, способная к саморепликации.

Ну и как она будет самореплицироваться без запуска пользователем?

Я вам привёл определени из википедии. Или вы не способны прочесть? Это не про то, что оно будет выполняться без ведома пользователя, это про сам факт воспроизведения.

Почему в новости не указали с каких ip отдавались команды этим бэкдор ? (по ссылке ЭТО есть)

176.107.176.16 Ukraine|Kiev|Unknown 42331|PE_Freehost

мне понравилась мимикрия под systemd. Хотели «как у MS», получили.

Ср — программа, способная к саморепликации.

СР - это child pornography. Вики не даст соврать, ага: http://lurkmore.to/Cp

Ну молодцы, если им сайт хакнут - весело будет. Скачать, проверить контрольные суммы, потом запускать, никак иначе.

Вирус же встраивается в другие программы

Как там в MS DOS живется?

… то можно было бы потыкать их палочкой.

Поттеринг в IBM/RedHat/Linux работает, а не в GNU.

И чо? А пшшш и ненужнод тоже только в IBM/Redhat присутствуют?

Новости из мира антивирусов и всех этих кибер-бибер-безопасников всегда напоминают выдержки из голливудских триллеров. «Есть вооот такие страшные программы и вооот такие ужасные сети невероятных киберпреступных злоумышленников, мы раскрыли и наисследовали, но вам ничего конкретно не покажем, вот пока посмотрите на красивые хакерские скриншоты».

На эту тему вспоминается генератор шпионских устройств NSA - https://ternus.github.io/nsaproductgenerator/.

То есть, подобные репортажи со стороны абсолютно неотличимы от нейросетевого текста, и также абсолютно бесполезны. Зато конркетная эмоциональная тональность и источник, занимающийся коммерческой деятельностью у них есть.

А тебе прям ссылку надо на распространение этого? 🤣

Как секта плоскоземельщиков прям.

Лучше дай ссылку на галерею твоих аватарочных поней. Вот так не зашел, не успел сохранить, а потом зудит, что пропустил!

никогда переход i386->amd64 не делал?

там проще будет как tiinn написал

ну да. svchost-problem as is.

1. Как происходит заражение?
2. Как происходит (и происходит ли) повышение привилегий?

Вирус же встраивается в другие программы (заражет, он же вирус)

Полностью согласен с подобной формулировкой. Более того, мне кажется, что вирусы вымерли как класс. Если кто скажет/покажет именно вирус последних дней, то буду благодарен.

Бекдор уже инструмент для закрепления в скомпрометированной системе. Но если он использует механизмы самораспространения или самовнедрения («ткни меня» или ещё как), то это уже на троянца больше походит. Зловред в общем.

Как происходит заражение?

Пока что метод заражения не известен, думаю, это возможно через уязвимость где-либо (в браузере, приложении), возможно, непосредственным запуском файла.

Как происходит (и происходит ли) повышение привилегий

В этом и интерес, ему не нужно это делать, он просто будет себя иначе вести, если запустил не рут, а пользователь. Но структура у него модульная, это усложняет исследование.

systemd-daemon

Аааа, опять слаку мимо прошли, а я так хотеть этот вирус... обыдно да...