Зомбированные Linux-машины как инструмент фишеров

> вирусы будут самокомпилируемые, благо gcc ставится по умолчанию почти везде :)

gcc по умолчанию ставится только в генте

Да, знакомого дизайнера недавно так-же взломали. И тож его сервер использовали для фишинга пока ему пачками не повалили письма. И, вот сейчас проверил, ответы этого сервера всё-ещё показывют не обновлённую suse 9.3 (с её пакетами 2005-го года)..

>тупо кликающих на "ok" в любом окне среди линупсистов нет ;)

скоро будут :)

> на сайте ms я ничего про выход vs2008 не нашел, есть только beta2

хм, а я уже экспресс-версию слил. наверно, через прокси лоровской машины времени :)

> так что красный восклицательный знак не потеряется.

ну даже если и заметит, то нажать на него не догадается :) в неизвестность пользователи обычно не лезут, "чтобы ничего не сломать" :)

> хм, а я уже экспресс-версию слил. наверно, через прокси лоровской машины времени :)

http://msdn2.microsoft.com/en-us/express/future/bb421473.aspx

ты бету2 слил

>> хм, а я уже экспресс-версию слил. наверно, через прокси лоровской машины времени :)

> http://msdn2.microsoft.com/en-us/express/future/bb421473.aspx ты бету2 слил

Один хрен сливал "чтоб было" :)

> Это значит, твой юзер не добавлен в группу cron. Если человек пользуется кроном, то он в этой группе есть, и может править свой кронтаб без всяких паролей.

> Но ведь на kde-look кто угодно может залить что угодно. И всегда найдутся желающие скачать и потестить, польстившись на красивые картинки. Ну или зайти на ЛОР в новость об очередном новом компизе и сказать «ребята, я если кому надо, я собрал пакеты под слаку и под дебиан тестинг, вот линка». :) Тут главное проявить фантазию, а она у вирусмахеров всегда работает, как надо.

Залить сможет, но там есть как минимум "рейтинг" закачки, который надо накрутить чтобы кто-то чего-то скачал. Червивым способом вирус тоже распространятся не будет... До винды не дотягивает.

> зайти на ЛОР в новость об очередном новом компизе и сказать «ребята, я если кому надо, я собрал пакеты под слаку и под дебиан тестинг, вот линка»

Тут тоже не прокатывает. С ЛОРа по ссылкам не хотят.

> Это значит, твой юзер не добавлен в группу cron. Если человек пользуется кроном, то он в этой группе есть, и может править свой кронтаб без всяких паролей.

А зачем с ним вобще работать?

> ну даже если и заметит, то нажать на него не догадается :) в неизвестность пользователи обычно не лезут, "чтобы ничего не сломать" :)

Это в винде не лезут, потому что любой пук в сторону от нажимания "ок" убивает систему с вероятностью в 50% (в стиле "положит или не положит"). "Линукс - избавьтесь от страха".

>> Это значит, твой юзер не добавлен в группу cron. Если человек пользуется кроном, то он в этой группе есть, и может править свой кронтаб без всяких паролей.

> А зачем с ним вобще работать?

Как зачем? А как же поддержка голодающих спамоботописателей из развивающихся стран!

А если серьёзно, то одному человеку из тысячи такая функциональность действительно может понадобиться. Но до массовости это не дотягивает.

s/хотят/ходят/

> угу, когда линух достигнет 40% и более на десктопах, то с вирусами будет также как и в виндах

в линуксе элементарно можно сделать так, чтоб ни 1 вирь не запустился, а вот в винде -- нет, а антивир ловит только знакомые ему вири + грузит систему.

> а ты думаешь, что пользователи будут ставить апдейты? тем более ядро апдейтить ? чего-то я сильно сомневаюсь :)

если будет витесь авто-update, как в винде, то я ядра сами будут обновляться. У меня на тестовой машине в CentOS 5 yum автоматом обновляет ядра, а вот на серверах yum update я делаю ручками :)

можно, только кто это будет делать? не пользователь точно :)

Мне каца это участь любой десктопной системы, системы за которыми работают не профессионалы.

> Разве ещё не все виндузятники знают слово "антивирус"?

знают, и проверяют файлы антивирусом, который им воткнули еще при покупке компа, без единого обновления, бывает что ему уже лет по 5. И главное абсолютно уверены что у них ничего нет

>> Разве ещё не все виндузятники знают слово "антивирус"?

> знают, и проверяют файлы антивирусом, который им воткнули еще при покупке компа, без единого обновления, бывает что ему уже лет по 5. И главное абсолютно уверены что у них ничего нет

Разве не все антивирусы(даже та "панда", которую втыкают повсюду) через некоторое время ругаются, что базы могли устареть?

> Дык, закрыть _любой_ доступ от айпишника винды в iptables делается одной простой командой "iptables -A INPUT -s $win_ip -j DROP"

для наружных адресов гораздо интереснее TARPIT, а не DROP

>> You (dima) are not allowed to use this program (/usr/bin/crontab)

> Это значит, твой юзер не добавлен в группу cron.

ну я пользуюсь cron'ом, хотя тоже не добавлен в группу crontab -- мне проще раз в год отредактировать /etc/crontab

> Разве не все антивирусы(даже та "панда", которую втыкают повсюду) через некоторое время ругаются, что базы могли устареть?

что такое "панда" не знаю, а вот каспера 5-7 летней давности вижу полно.

>как по другому поиметь домашний компьютер с линуксом , на котором в 99% не запущено ни одного демона, смотрящего в инет?

а какая разница? о_О дырявые демоны и скрипты заменяют дырявые браузеры и почтовики. и причём здесь рут? у всех нормальных админов каждый демон работает под своей учётной записью, а рута можно получить только через багу в ядре.

2 ТруЪ ПраноикамЪ:

У меня в системе нет ни su ни sudo, ибо носят они другие имена и лежат в других каталогах =)

> а какая разница? о_О дырявые демоны и скрипты заменяют дырявые браузеры и почтовики. и причём здесь рут? у всех нормальных админов каждый демон работает под своей учётной записью, а рута можно получить только через багу в ядре.

еще раз, откуда у чайника на компе дырявые сервисы, смотрящие в инет?

> У меня в системе нет ни su ни sudo, ибо носят они другие имена и лежат в других каталогах =)

Я подозреваю, что у тебя и bash называется "басх" :) "рм -рф /бин" и т.д.

>ты увидел красный восклицательный знак, обычный пользователь его не увидит

Ну, например, в Убунте его сложно не заметить. К тому же там есть галочка "Устанавливать обновления безопасности без подтверждения".

>угу, когда линух достигнет 40% и более на десктопах, то с вирусами будет также как и в виндах
Опа, а что, в виндах уже аналог selinux появился?

> 2 ТруЪ ПраноикамЪ:

> У меня в системе нет ни su ни sudo, ибо носят они другие имена и лежат в других каталогах =)

Не иначе, C:\WINDOWS\system32\runas.exe. :P

> Опа, а что, в виндах уже аналог selinux появился?

Пользоваться десктопом со включенным SELinux-ом так же сложно, как и в виндах работать не под администратором. Когда авторы программ будут сами писать для них политики и класть в тарболы, тогда, может, что-то и сдвинется, а пока он у всех выключен.

>ты увидел красный восклицательный знак, обычный пользователь его не увидит
Обычные пользователи - это кто? Те, кто прется на красный свет под предлогом "картинки не грузяццо"?

>Пользоваться десктопом со включенным SELinux-ом так же сложно, как и в виндах работать не под администратором. Когда авторы программ будут сами писать для них политики и класть в тарболы, тогда, может, что-то и сдвинется, а пока он у всех выключен.
При 40% Linux на десктопе? Ты эта, логический блок включай периодически, а?

>И главное абсолютно уверены что у них ничего нет
Это еще что, здесь тусуются виндузятники, которые не пользуются антивирусами, файрволлами, не апдейтят систему и тоже уверены, что у них ничего нет (оторвали, наверное) :-)

> При 40% Linux на десктопе? Ты эта, логический блок включай периодически, а?

В вендах, при >90% на десктопе, до сих пор многие программы требуют админа для нормальной работы. В висте это обошли, но каким путём! И в Линуксе будет такая же помойка. Вы представляете, сколько сил надо, чтобы для каждой из тысяч программ написать нормальную политику? Да люди скажут: лучше уж вирусы, чем такой геморрой. :)

> В вендах, при >90% на десктопе, до сих пор многие программы требуют админа для нормальной работы. В висте это обошли, но каким путём!

каким путём?

>что такое "панда" не знаю, а вот каспера 5-7 летней давности вижу полно.
Панда - это такой вид китайского енота, а каспер - это приведение с мотором, дикое, но симпатишное :-)

похудели, похудели, похудели...

только без буквы "п" и буквы "д"

>eBay recently did an in-depth analysis of its threat situation, and while the company is not releasing the results of this analysis, it did uncover a huge number of hacked, botnet computers, said Dave Cullinane, eBay's chief information and security officer, speaking at a Microsoft-sponsored security symposium at Santa Clara University.

То бишь (знаком "(?)" обозначено, те места, в правильности перевода которых я не уверен):

eBay недавно провел анализ угрозы такой ситуации, и, хотя компания и не открыла результаты анализа, по утверждению Dave Cullinane, главы отдела(?) информационной безопасности eBay, на спонсированном ОФФТОПИК'ом симпозиуме по безопасности в Santa Clara University, она обнаружила (?) огромное число взломанных, ботнет-компьютеров.

>"The vast majority of the threats we saw were rootkitted Linux boxes, which was rather startling. We expected Microsoft boxes," he said.

Соотв.:

"(????) Наибольшую часть видимой угрозы представляли руткитнутые ( :) гы - комм. переводчика) компьютеры с установленной OS GNU/Linux (аффтару статьи man GNU/Linux - прим. все того же), что несколько ошеломило. Мы ожидали что это будут компьютеры с МS Вантуз".

Вывод: Лупа была большой и из-за нее ничего не было видно.

>Пользоваться десктопом со включенным SELinux-ом так же сложно, как и в виндах работать не под администратором.
Пользоваться или правила писать? А на кой пользователю писать эти самые правила? выбрал при установке "чиста для стола" и все :-)
>Когда авторы программ будут сами писать для них политики и класть в тарболы, тогда, может, что-то и сдвинется, а пока он у всех выключен.
Не надо за всех, ок?

>> Ему про уязвимости, а он про рутовый exec(). Лучше потри свой пост, пока мало народу видело.

> тогда раскажи мне как по другому поиметь домашний компьютер с линуксом , на котором в 99% не запущено ни одного демона, смотрящего в инет? Те, кто запускают sshd, apache, ftpd, etc, сами все знают

Т.е. предлагаешь зачислить выполнение от рута к уязвимостям? Пиши тогда bug-report. Exploit и PoC у тебя есть. Методологическое обоснование тоже твоё.

> каким путём?

http://en.wikipedia.org/wiki/User_Account_Control

Там сделали что-то вроде per user namespaces, только по-своему, по-костыльному. :) Если программа из-под простого юзера пытается писать куда-нибудь в С:\Program Files\My Program, венда прозрачно перенаправляет её в C:\Users\username\AppData\куда-то там. С реестром тоже что-то подобное происходит.

И ещё, когда программа пытается сделать что-то, на что у юзера нету прав прав, венда не бьёт эту программу по рукам, а мило предлагает юзеру ввести пароль администратора.

>В вендах, при >90% на десктопе, до сих пор многие программы требуют админа для нормальной работы.
Ну и фиг с ними, с виндами :-)
>В висте это обошли, но каким путём! И в Линуксе будет такая же помойка.
Откуда дровишки, что помойка?
>Вы представляете, сколько сил надо, чтобы для каждой из тысяч программ написать нормальную политику?
Сколько? Не забываем, это надо сделать всего один раз :-)
>Да люди скажут: лучше уж вирусы, чем такой геморрой. :)
Люди - они разные :-)

> Там сделали что-то вроде per user namespaces, только по-своему, по-костыльному. :) Если программа из-под простого юзера пытается писать куда-нибудь в С:\Program Files\My Program, венда прозрачно перенаправляет её в C:\Users\username\AppData\куда-то там. С реестром тоже что-то подобное происходит.

Интересно, скоро диск закончится?

> И ещё, когда программа пытается сделать что-то, на что у юзера нету прав прав, венда не бьёт эту программу по рукам, а мило предлагает юзеру ввести пароль администратора.

Мне кажется, или от этого будет ещё хуже?

Подобный контроль доступа используется в приложениях на мобилках: там на всё подряд задаются такие вопросы. Правда есть небольшое различие: софтины, подписанные каким-то там сертификатом от производителя телефона, запускаются и работают безо всяких вопросов. Чую, что скоро мс начнёт продавать сертификаты на рутовый доступ, а не купившим их будет портиться жизнь кучей ненужных вопросов.

> Т.е. предлагаешь зачислить выполнение от рута к уязвимостям? Пиши тогда bug-report. Exploit и PoC у тебя есть. Методологическое обоснование тоже твоё.

не передергивай. Я лишь сказал что единственный способ протроянить десктоп с линуксом, это запустить троян непосредственно на компе. К тому же большенство чайников по началу сидит под рутом. В данном случае вероятность взломать через дырявые сервисы ничтожно мала

>откуда у чайника на компе дырявые сервисы, смотрящие в инет?

Отвечаю: ниоткуда. Только толку от этого никакого, ибо в том же ФФ дыры находят постоянно. ;)

>Можно ли ввести правило при подтверждении подобных "новостей" по безопастности или операционным системам - не принимать их от пользователя, сидящем под User-Agent "Windows*"?

User-Agent можно легко подделать...

Ну и что? Частичное улучшение качества новостей лучше, чем никакое.

>СЛАВА РОБАТАМ!

Слава лопстирам??? о_О

Я тут много читал про то что, пользуясь судо вирус сможет получить права суперпользователя, "введя" всего лишь пароль пользователя. А подскажите (без шуток) откуда он его (пароль юзера) возьмет-то?

> в линуксе элементарно можно сделать так, чтоб ни 1 вирь не запустился, а вот в винде -- нет

почему нет ? в винде на ntfs тоже есть права на запуск файлов - их можно отнять у пользователя.

> Доступ к оперативке в винде не модерируется (см. artmoney, етс. и идти лесом).

модерируется. для записи в адресное пространство другого процесса нужно сначала получить его хендел с правом записи, а OpenProcess не даст его если нет прав. artmoney же пишет в процессы того же самого юзера - соответственно и права есть по умолчанию.

>Разве не все антивирусы(даже та "панда", которую втыкают повсюду) через некоторое время ругаются, что базы могли устареть?

Иногда они по английски ругаются и не все его знают.