Автор Тема: О Вирусах в Linux  (Прочитано 125318 раз)

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 427
Re: О Вирусах в Linux
« Ответ #675 : 13.09.2015 07:40:33 »
Бывает уже пакость, которая при запуске, прячется в линуксовом хомяке. И когда новый вайн в системе появляется, она сразу в нём пакостить начинает?
Поставьте какой-нибудь антивирус, например  триальный DrWeb и проверьтесь.

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 4 244
  • antohami@
Re: О Вирусах в Linux
« Ответ #676 : 13.09.2015 10:26:56 »
Бывает уже пакость, которая при запуске, прячется в линуксовом хомяке. И когда новый вайн в системе появляется, она сразу в нём пакостить начинает?

Подобная пакость, как правило прячется в корне каждого диска Винды. В случае с wine в корне каждой директории, помеченной файликом .windows-serial
Так что надо в каждом таком каталоге провести поиск подозрительных подкаталогов. Помнится виндовые трояны любили прятаться в невидимый системный каталог Recycled либо Recycler (то бишь в корзину) Так что если обнаружите оный, сразу удаляйте.

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 427
Re: О Вирусах в Linux
« Ответ #677 : 13.09.2015 22:17:36 »
Основная опасность wine в моем понимании - потенциальная возможность запуска windows-трояна полученного через уязвимость в браузере.
С другой стороны - видимо правильнее все-же изолировать браузер как наиболее уязвимый "из вне" компонент десктопной системы.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 930
Re: О Вирусах в Linux
« Ответ #678 : 14.09.2015 00:05:16 »
Основная опасность wine в моем понимании - потенциальная возможность запуска windows-трояна полученного через уязвимость в браузере.
С другой стороны - видимо правильнее все-же изолировать браузер как наиболее уязвимый "из вне" компонент десктопной системы.

:-) Угу. А ещё лучше выбрать между погоней за последней цифирью в версии и стабильными версиями в которые вливаются только обновления безопасности:
- новый код - новые ошибки.
Так было 20 лет назад, так есть и сейчас.

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 681
Re: О Вирусах в Linux
« Ответ #679 : 14.09.2015 00:31:07 »
Я, когда случаются приступы паранойи, решаю что надо изучить SELinux, но когда начинаю разбираться - ленюсь и паранойя резко проходит :))))

Оффлайн Rik

  • Давно тут
  • **
  • Сообщений: 173
    • Визуальные технологии
Re: О Вирусах в Linux
« Ответ #680 : 04.05.2016 09:06:36 »
Сегодня обновленную Simply до p8 пробовал проверять
chkrootkit выдал Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
а rkhunter говорит что все хорошо...

Чеито?
visual-t.ru Кросс-платформенные технологии визуальной разработки ПО.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 30 553
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: О Вирусах в Linux
« Ответ #681 : 04.05.2016 09:37:21 »
Глючит chkrootkit - он новых реалий не видел. больше года последний релиз.

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 427
Re: О Вирусах в Linux
« Ответ #682 : 11.05.2016 22:47:37 »
Неоднократно встрчал рекомендацию монтировать /home с noexec.
Какой в этом смысл для рабочей станции?
Предполагаетия что зловред/пользователь не смогут выполнить нехороший код...
А на самом деле что?
Ну во первых на python, java и т.п. оно все равно не действует. Этот код спокрйно выполняется несмотря на устанлвенный noexec.
Но это полбкды.
Есть  /tmp, /var/tmp (и наверное еще разные интересные директории), куда имеет права на запись любой пользователь.. И которые noexec не прикрыты.
А если смонтировать а альте  /tmp с опцией noexec то:
# make-initrd
make-initrd: /tmp/.private/root: Unable to check executable bit
make-initrd: Perhaps 'noexec' mount option used?

Получается что noexec на /home (без дополнительных телодвижений со своими побочными эффектами)  дает всего-лишь иллюзию защиты...
« Последнее редактирование: 11.05.2016 22:50:06 от ASte »

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 427
Re: О Вирусах в Linux
« Ответ #683 : 12.05.2016 10:16:15 »
Еще в /var/spool/samba может кто угодно писать как оказалось.

Оффлайн alsoijw

  • Давно тут
  • **
  • Сообщений: 166
  • Fedora 25 GNOME 3 amd64
Re: О Вирусах в Linux
« Ответ #684 : 12.05.2016 22:09:31 »
Просто файл записать недостаточно, его надо бы ещё и запустить. Имхо самый простой способ запустить - через консоль. А если доступна консоль, то поулчается нечто типа curl url | sh
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 427
Re: О Вирусах в Linux
« Ответ #685 : 12.05.2016 23:44:47 »
Я сделал из всего такие выводы:
1. noexec не защищает данные пользователя (python, java, скрипты он не остановит).
2. noexec, проставленный везде куда пользователь имеет права на запись может остановить от эксплоитов повышающих права (поскольку это скорее всего не скрипты а исполняемый код) и от win-вредоносов запускающихся через wine если они каким-либо образом проникнут в систему - например через уязвимость браузера.
3. Таким образом, если устанавливать  noexec, то как минимум на:
/home
/tmp
/var/tmp
/var/spool/samba
 (перемонтировав /var/tmp и /var/spool/samba на tmpfs)
Для root делать свой отдельный tmp чтобы не сломалось как минимум обновление ядра (см. что писал выше про make-initrd).

4.Имеет смысл создать отдельного пользователя без пароля для интернет-серфинга. Залогиниться из консоли он не сможет, но от его имени можно запустить браузер без риска для  своих файлов (даже если какой-то зловредный скрипт запустится он будет ограничен домашним каталогом этогопользователя в котором нет ничего ценного).

5. если нужно что-то собирать, компилить и пр. создаем под это дело отдельного пользователя (с домашним каталогом, смонтированным без noexec)
« Последнее редактирование: 13.05.2016 21:38:35 от ASte »

Оффлайн alsoijw

  • Давно тут
  • **
  • Сообщений: 166
  • Fedora 25 GNOME 3 amd64
Re: О Вирусах в Linux
« Ответ #686 : 13.05.2016 13:49:53 »
эксплоитов повышающих права (поскольку это скорее всего не скрипты а исполняемый код)
Не так давно писали про эксплоти уязвимости ddr3 на javascript.
win-вредоносов
Насколько я знаю их запускают не как ./programm.exe а как wine programm.exeА вообще имхо гораздо проще собрать систему для запуска с флешки/внешнего харда. Загрузил систему, отключил накопитель, начал работать. Даже если эксплоит и сработает, то он будет жить только до перезагрузки.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Инфлэйм

  • Гость
Re: О Вирусах в Linux
« Ответ #687 : 13.05.2016 18:47:40 »
3. Таким образом, если устанавливать  noexec, то как минимум на:
/home
Кстати, в альте дефолтом на хомяка этой опции монтирования нет.
4.Имеет смысл создать отдельного пользователя без пароля для интернет-серфинга.
К чему такие сложности?
будет ограничен домашним каталогом этогопользователя в котором нет ничего ценного).
Я ж не банк какой-нить, чтобы кому то было интересно ломать меня (имхо).

Оффлайн Александр Ерещенко

  • Давно тут
  • **
  • Сообщений: 686
Re: О Вирусах в Linux
« Ответ #688 : 13.05.2016 19:09:53 »
Я ж не банк какой-нить, чтобы кому то было интересно ломать меня (имхо).
Но на основе таких "неинтересных" можно сделать ботнет, который будет ломать, например, тот же банк.

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 427
Re: О Вирусах в Linux
« Ответ #689 : 13.05.2016 19:20:55 »
Насколько я знаю их запускают не как
Код: [Выделить]

./programm.exe

а как
Код: [Выделить]

wine programm.exe

noexec от wine "оттуда откуда не надо" как раз прикрывает