Автор Тема: Вирус в образе сервера  (Прочитано 13329 раз)

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 045
  • UNIX System V init
Re: Вирус в образе сервера
« Ответ #15 : 18.10.2020 12:30:15 »
Вот пусть автор топика и отправит. :-)

Нахер-нахер :-)
Я бы не решился подавать заявку на ликвидацию ложного срабатывания.
Иначе когда-нибудь это срабатывание станет не ложным и подлостей наделает, по самые уши:
https://yandex.ru/q/question/computers/heur_trojan_script_miner_gen_chto_delaet_1c6f9124/
https://adwareremoval.info/trojan-script-miner/
ZX Spectrum 128K
Привет от NM:  # echo -e "\n[device]\nwifi.scan-rand-mac-address=no" >> /etc/NetworkManager/NetworkManager.conf

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 045
  • UNIX System V init
Re: Вирус в образе сервера
« Ответ #16 : 18.10.2020 14:02:45 »
adinf вот что серьезное было под dos,

Один из лучших антивирусов под линукс, был консольный:
panda antivirus linux free

Может служить примером хорошего стиля программирования.

Но не без своих тараканов:

Преимущества:

Собран по принципу всё своё ношу с собой
$ rpm -qpivl ./pavcl_linux.rpm
Name        : pavcl                        Relocations: (not relocatable)
Version     : 9.0.0                             Vendor: (none)
Release     : 1                             Build Date: Чт 12 янв 2006 13:24:47
Install date: (not installed)               Build Host: spd
Group       : Applications/System           Source RPM: pavcl-9.0.0-1.src.rpm
Size        : 18142626                         License: Panda Sowftware International
Summary     : Panda Antivirus for Linux 9.0.0.6
Description :
El antivirus pavcl es una utilidad de consola que permite escanear
un sistema de ficheros buscando los posibles virus que pudieran
encontrarse en los archivos
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/etc/panda/pavcl
-rw-r--r--    1 root    root                0 янв 12  2006 /opt/pavcl/etc/panda/pavcl/pavcl.sav
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/Chinese_Simplified
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/Chinese_Simplified/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/English
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/English/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/French
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/French/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/German
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/German/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/Italian
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/Italian/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/Japanese
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/Japanese/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/Portuguese_Portugal
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/Portuguese_Portugal/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/languages/Spanish
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/languages/Spanish/panda.chp
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/usr
drwxrwxr-x    2 root    root                0 янв 12  2006 /opt/pavcl/usr/bin
-rwxr-xr-x    1 root    root           164272 янв 12  2006 /opt/pavcl/usr/bin/pavcl
drwxrwxr-x    2 root    root                0 янв 12  2006 /opt/pavcl/usr/lib
lrwxrwxrwx    1 root    root               41 янв 12  2006 /opt/pavcl/usr/lib/libPskalloc.so -> /opt/pavcl/usr/lib/libPskalloc.so.1.3.1.0
-rwxr-xr-x    1 root    root            25204 янв 12  2006 /opt/pavcl/usr/lib/libPskalloc.so.1.3.1.0
lrwxrwxrwx    1 root    root               38 янв 12  2006 /opt/pavcl/usr/lib/libPskas.so -> /opt/pavcl/usr/lib/libPskas.so.1.3.1.3
-rwxr-xr-x    1 root    root            64588 янв 12  2006 /opt/pavcl/usr/lib/libPskas.so.1.3.1.3
lrwxrwxrwx    1 root    root               40 янв 12  2006 /opt/pavcl/usr/lib/libPskavs.so -> /opt/pavcl/usr/lib/libPskavs.so.1.3.1.13
-rwxr-xr-x    1 root    root          2611076 янв 12  2006 /opt/pavcl/usr/lib/libPskavs.so.1.3.1.13
lrwxrwxrwx    1 root    root               40 янв 12  2006 /opt/pavcl/usr/lib/libPskcmp.so -> /opt/pavcl/usr/lib/libPskcmp.so.1.3.1.11
-rwxr-xr-x    1 root    root           457260 янв 12  2006 /opt/pavcl/usr/lib/libPskcmp.so.1.3.1.11
lrwxrwxrwx    1 root    root               39 янв 12  2006 /opt/pavcl/usr/lib/libPskfss.so -> /opt/pavcl/usr/lib/libPskfss.so.1.3.1.1
-rwxr-xr-x    1 root    root            50424 янв 12  2006 /opt/pavcl/usr/lib/libPskfss.so.1.3.1.1
lrwxrwxrwx    1 root    root               40 янв 12  2006 /opt/pavcl/usr/lib/libPskhtml.so -> /opt/pavcl/usr/lib/libPskhtml.so.1.3.1.1
-rwxr-xr-x    1 root    root           354840 янв 12  2006 /opt/pavcl/usr/lib/libPskhtml.so.1.3.1.1
lrwxrwxrwx    1 root    root               40 янв 12  2006 /opt/pavcl/usr/lib/libPskmdfs.so -> /opt/pavcl/usr/lib/libPskmdfs.so.1.3.1.0
-rwxr-xr-x    1 root    root            37940 янв 12  2006 /opt/pavcl/usr/lib/libPskmdfs.so.1.3.1.0
lrwxrwxrwx    1 root    root               40 янв 12  2006 /opt/pavcl/usr/lib/libPskpack.so -> /opt/pavcl/usr/lib/libPskpack.so.1.3.1.2
-rwxr-xr-x    1 root    root            60108 янв 12  2006 /opt/pavcl/usr/lib/libPskpack.so.1.3.1.2
lrwxrwxrwx    1 root    root               40 янв 12  2006 /opt/pavcl/usr/lib/libPskutil.so -> /opt/pavcl/usr/lib/libPskutil.so.1.3.1.3
-rwxr-xr-x    1 root    root            67372 янв 12  2006 /opt/pavcl/usr/lib/libPskutil.so.1.3.1.3
lrwxrwxrwx    1 root    root               41 янв 12  2006 /opt/pavcl/usr/lib/libPskvfile.so -> /opt/pavcl/usr/lib/libPskvfile.so.1.3.1.2
-rwxr-xr-x    1 root    root            29412 янв 12  2006 /opt/pavcl/usr/lib/libPskvfile.so.1.3.1.2
lrwxrwxrwx    1 root    root               39 янв 12  2006 /opt/pavcl/usr/lib/libPskvfs.so -> /opt/pavcl/usr/lib/libPskvfs.so.1.3.1.2
-rwxr-xr-x    1 root    root            76788 янв 12  2006 /opt/pavcl/usr/lib/libPskvfs.so.1.3.1.2
lrwxrwxrwx    1 root    root               38 янв 12  2006 /opt/pavcl/usr/lib/libPskvm.so -> /opt/pavcl/usr/lib/libPskvm.so.1.3.1.1
-rwxr-xr-x    1 root    root           134216 янв 12  2006 /opt/pavcl/usr/lib/libPskvm.so.1.3.1.1
drwxrwxr-x    2 root    root                0 дек 16  2005 /opt/pavcl/usr/lib/panda
-rw-r--r--    1 root    root             6455 янв 12  2006 /opt/pavcl/usr/lib/panda/panda.chp
-rw-r--r--    1 root    root         13866091 янв 12  2006 /opt/pavcl/usr/lib/panda/pav.sig
-rw-r--r--    1 root    root            12681 янв 12  2006 /opt/pavcl/usr/lib/panda/pavcl.lng
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/usr/man/man1
-rw-r--r--    1 root    root             2151 янв 12  2006 /opt/pavcl/usr/man/man1/pavcl.1.gz
drwxrwxr-x    2 root    root                0 окт  3  2005 /opt/pavcl/var/log/panda
-rw-r--r--    1 root    root                0 янв 12  2006 /opt/pavcl/var/log/panda/pavcl.log
-rw-r--r--    1 root    root                0 янв 12  2006 /opt/pavcl/var/log/panda/pavcl.rpt

и не требовал пересборки по каждому чиху линукс (что и сегодня достаточно большая редкость)
$ head -n 5 /etc/os-release
NAME="starter kit"
VERSION="p8 (Hypericum)"
ID=altlinux
VERSION_ID=p8
PRETTY_NAME="ALT Starterkit (Hypericum)"
$ ldd-requires /opt/pavcl/usr/bin/pavcl
Архитектура двоичного файла соответствует ОС
Уже установлены все библиотеки
$ ldd /opt/pavcl/usr/bin/pavcl
linux-gate.so.1 (0xb7fbb000)
libPskas.so => /opt/pavcl/usr/lib/libPskas.so (0xb7fa5000)
libPskalloc.so => /opt/pavcl/usr/lib/libPskalloc.so (0xb7f9d000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7f66000)
libc.so.6 => /lib/libc.so.6 (0xb7deb000)
libdl.so.2 => /lib/libdl.so.2 (0xb7de5000)
libPskutil.so => /opt/pavcl/usr/lib/libPskutil.so (0xb7dd2000)
/lib/ld-linux.so.2 (0xb7fbd000)
libPskvfile.so => /opt/pavcl/usr/lib/libPskvfile.so (0xb7dc9000)
# apt-get install ./pavcl_linux.rpm -s
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Выбрано pavcl для './pavcl_linux.rpm'
Следующие НОВЫЕ пакеты будут установлены:
  pavcl
0 будет обновлено, 1 новых установлено, 0 пакетов будет удалено и 29 не будет обновлено.
Inst pavcl (9.0.0-1@1137065087 localhost)
Conf pavcl (9.0.0-1@1137065087 localhost)

Мало гадил в систему
$ rpm -qp --scripts ./pavcl_linux.rpm
postinstall scriptlet (through /bin/sh):
#With this script we :
# - put the path to the binary in the PATH environment variable, for all the users
# - put the path to the man page in the MANPATH environment variable.

#First, the path to the binary will be put in the /etc/profile file
if [ -w /etc/profile ]; then
grep -xq 'export PATH="$PATH:/opt/pavcl/usr/bin"' /etc/profile
RESULT=$?
if [ "$RESULT" = "1" ]; then
echo "" >> /etc/profile
echo "export PATH=\"\$PATH:/opt/pavcl/usr/bin\"" >> /etc/profile
echo "" >> /etc/profile
fi
else
echo "No modificable system-wide profile file. The Pavcl binary won't be in the path and it's located in /opt/pavcl/usr/bin"
fi

#set the path for the current session
export PATH=$PATH:/opt/pavcl/usr/bin

#Now, the path of the man page will be put in the /etc/manpath.conf file or the /etc/man.config file
if [ -w /etc/manpath.conf ]; then
grep -xq 'MANPATH /opt/pavcl/usr/man' /etc/manpath.conf
RESULT=$?
if [ "$RESULT" = "1" ]; then
echo "" >> /etc/manpath.conf
echo "MANPATH /opt/pavcl/usr/man" >> /etc/manpath.conf
echo "" >> /etc/manpath.conf
fi
elif [ -w /etc/man.config ]; then
grep -xq 'MANPATH /opt/pavcl/usr/man' /etc/man.config
RESULT=$?
if [ "$RESULT" = "1" ]; then
echo "" >> /etc/man.config
echo "MANPATH /opt/pavcl/usr/man" >> /etc/man.config
echo "" >> /etc/man.config
fi
else
echo "No writable manpath.conf or man.config. The man page will not be available"
fi
postuninstall scriptlet (through /bin/sh):
#Post uninstall script. This script will delete empty directories

if [ -e /opt/pavcl/languages/Chinese_Simplified ]; then
rmdir /opt/pavcl/languages/Chinese_Simplified 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages/English ]; then
rmdir /opt/pavcl/languages/English 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages/French ]; then
rmdir /opt/pavcl/languages/French 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages/German ]; then
rmdir /opt/pavcl/languages/German 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages/Italian ]; then
rmdir /opt/pavcl/languages/Italian 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages/Japanese ]; then
rmdir /opt/pavcl/languages/Japanese 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages/Portuguese_Portugal ]; then
rmdir /opt/pavcl/languages/Portuguese_Portugal 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages/Spanish ]; then
rmdir /opt/pavcl/languages/Spanish 2>/dev/null || true
fi
if [ -e /opt/pavcl/languages ]; then
rmdir /opt/pavcl/languages 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr/man/man1 ]; then
rmdir /opt/pavcl/usr/man/man1 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr/man/es/man1 ]; then
rmdir /opt/pavcl/usr/man/es/man1 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr/man/es ]; then
rmdir /opt/pavcl/usr/man/es 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr/man ]; then
rmdir /opt/pavcl/usr/man 2>/dev/null || true
fi
if [ -e /opt/pavcl/etc/panda/pavcl ]; then
rmdir /opt/pavcl/etc/panda/pavcl
fi
if [ -e /opt/pavcl/etc/panda ]; then
rmdir /opt/pavcl/etc/panda 2>/dev/null || true
fi
if [ -e /opt/pavcl/etc ]; then
rmdir /opt/pavcl/etc 2>/dev/null || true
fi
if [ -e /opt/pavcl/var/log/panda ]; then
rmdir /opt/pavcl/var/log/panda 2>/dev/null || true
fi
if [ -e /opt/pavcl/var/log ]; then
rmdir /opt/pavcl/var/log 2>/dev/null || true
fi
if [ -e /opt/pavcl/var ]; then
rmdir /opt/pavcl/var 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr/lib/panda ]; then
rmdir /opt/pavcl/usr/lib/panda 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr/lib ]; then
rmdir /opt/pavcl/usr/lib 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr/bin ]; then
rmdir /opt/pavcl/usr/bin 2>/dev/null || true
fi
if [ -e /opt/pavcl/usr ]; then
rmdir /opt/pavcl/usr 2>/dev/null || true
fi
if [ -e /opt/pavcl ]; then
rmdir /opt/pavcl 2>/dev/null || true
fi

Имел кучу опций, мог запускаться интерактивно и как резидент
$ /opt/pavcl/usr/bin/pavcl -help
Syntax:         pavcl [Parameter] [What to scan] [Parameter]
E.g.  :         pavcl /home/user1 -aex

Possible parameters:
 -auto    Scan without user intervention.
 -nob     Do not scan boot sectors.
 -lis     Show virus list
 -del     Delete infected files.
 -cmp     Search for viruses into compressed files.
 -clv     Disinfect the viruses found.
 -exc:    Use exclusion list
 -ext:    Use valid extension list
 -help    Show help
 -heu     Activate heuristic detection method.
 -heu:    Activate heuristic detection method with level (0-3).
 -onlype  Use only PE Heuristic during analysis
 -nbr     Does not allow interrupting the program with Ctrl-C.
 -nomalw  Do not detect Malware
 -nojoke  Do not detect Jokes
 -nodial  Do not detect Dialers
 -nohackt Do not detect Hacking Tools
 -nospyw  Do not detect Spyware
 -nof     Do not analyze files
 -nocookiesDo not detect Tracking Cookies.
 -nor     Do not generate result files.
 -noscr   Do not output to console.
 -nos     Deactivate sounds.
 -nsub    Do not scan nested subdirectories.
 -path    Scan the directories specified in the path environment variable.
 -sig:    Alternate location for signature files
 -ren     Rename infected files.
 -rto     Restore original name for renamed files
 -rpt:    Report file
 -save    Saves the parameters to a file for its use the next time it is run.
 -esp     Change language to SPANISH.
 -eng     Change language to ENGLISH.
 -aex     Scan all files, independently of their extension.
 -info    Show configuration status information.
 -no2     Do not perform the second action
 -tsr     Run in resident mode.
 -ulr     Finish resident mode.
 -xbit    Analyze all executable files.
ENTER advances 1 line, Space advances 1 page, ESC terminates ... ...


Но имел и недостатки:

- Только 32 bit:
$ file /opt/pavcl/usr/bin/pavcl
/opt/pavcl/usr/bin/pavcl: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.0.0, stripped

- Антивирусную базу (/opt/pavcl/usr/lib/panda/pav.sig) можно получить только по логин/пароль.


Для желающих посмотреть что это за зверь.
« Последнее редактирование: 18.10.2020 15:22:26 от Speccyfighter »
ZX Spectrum 128K
Привет от NM:  # echo -e "\n[device]\nwifi.scan-rand-mac-address=no" >> /etc/NetworkManager/NetworkManager.conf

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 7 262
  • Sunny 273 RUS crew
Re: Вирус в образе сервера
« Ответ #17 : 18.10.2020 15:26:41 »
heuristic
Что означает эвристический (анализ) в случае с "Касперским" - обнаружено с помощью эвристического анализа.
Именно так. То есть это не конкретная сигнатура, а он так подумал. О чём и речь: мало ли, что он там надумал.

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 214
Re: Вирус в образе сервера
« Ответ #18 : 18.10.2020 16:38:45 »
Помнится пришло обновление на KMPlayer. Ну я, значится, запускаю его, и только новая версия плеера установилась - "Каспер" как начал ругаться! "Обнаружена троянская программа", метод: "Эвристический анализ". Думаю, что-за... Обновляю ведь с оф. сайта. Перепроверил сигнатурным сканером - ничего нет. Всё чисто. Так-что... ;-)

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 214
Re: Вирус в образе сервера
« Ответ #19 : 18.10.2020 17:02:27 »
Вот пусть автор топика и отправит. :-)

Нахер-нахер :-)
Я бы не решился подавать заявку на ликвидацию ложного срабатывания.
Иначе когда-нибудь это срабатывание станет не ложным и подлостей наделает, по самые уши:
https://yandex.ru/q/question/computers/heur_trojan_script_miner_gen_chto_delaet_1c6f9124/
https://adwareremoval.info/trojan-script-miner/
Ну так "Google" - наше всё! ;-D

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 214

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 045
  • UNIX System V init
Re: Вирус в образе сервера
« Ответ #21 : 18.10.2020 17:36:13 »
А если понизить уровень эвристики или отрубить совсем? И проверить ещё раз.
Как говорит документация на сам каспер, где-то так:

UseAnalyzer

Enable / disable Heuristic Analyzer.
The Heuristic Analyzer scans the standard sequence of operations allowing the nature of
the file to be determined with a reasonable degree of certainty. The advantage of using
this method is that new threats are detected before virus analysts have encountered
them.
Available values:
yes – enable Heuristic Analyzer;
no – disable Heuristic Analyzer.
Default value: yes.


HeuristicLevel

The level of detail of the heuristic analysis.
This level sets the balance between the thoroughness of searches for new threats, the
load on the operating system's resources and the time required for scanning. The higher
the detail level, the more resources it will require and the longer it will take.
Available values:
Light – least detailed scan, minimum system load;
Medium – medium scan, balanced system load;
Deep – most detailed scan, maximum system load;
Recommended – recommended value.
Default value: Recommended.


pavcl нужно было ещё заставить использовать эвристику, явным указанием опция:параметр, а в каспере она по-умолчанию врублена.
ZX Spectrum 128K
Привет от NM:  # echo -e "\n[device]\nwifi.scan-rand-mac-address=no" >> /etc/NetworkManager/NetworkManager.conf

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 045
  • UNIX System V init
Re: Вирус в образе сервера
« Ответ #22 : 18.10.2020 17:43:04 »
https://yandex.ru/q/question/computers/heur_trojan_script_miner_gen_chto_delaet_1c6f9124/
https://adwareremoval.info/trojan-script-miner/
Вывод один: не пользоваться "Windows" - и страшно не будет. ;-)

Конечно :-)
Но раздавать всякий завирусованый мусор, тоже вроде не комильфо.

Но всё равно прикольно:
Уже и в документацию к ядру, это js-говно засунули. Надо ещё и в само ядро что-нибудь такое говно положить. И  будет модный молодёжный линукс.
« Последнее редактирование: 18.10.2020 17:50:47 от Speccyfighter »
ZX Spectrum 128K
Привет от NM:  # echo -e "\n[device]\nwifi.scan-rand-mac-address=no" >> /etc/NetworkManager/NetworkManager.conf

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 214
Re: Вирус в образе сервера
« Ответ #23 : 18.10.2020 17:58:26 »
В данном конкретном случае я не столько стебусь над "Виндой", сколько опираюсь на то, что указано в первой ссылке. Там указаны 2 ключевых слова в первом-же пункте:
Цитировать
Повреждение системных файлов и реестров Windows, а также ввод вредоносных кодов.
, это означает, что подобный код может представлять опасность, но только для "Windows", а реестр. Так его в Linux нет...

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 184
    • Email
Re: Вирус в образе сервера
« Ответ #24 : 18.10.2020 18:50:24 »
   Все эти рассуждения бесполезны. То, что антивирус что-то там показал — не означает, что в этом файле что-либо есть. Но и в равной степени не означает, что ничего такого в нём нет. "Опасно только для виндовс" тоже не аргумент. Этот js выполняется в linux? Да, выполняется. А код троянца вполне может быть модифицирован или изначально работоспособен под linux. В том же касперском, действия троянца во всём зоопарке линуксов могли просто не проверять. Даже если этот файл с точностью до бита соответствует тому, что есть на kernel.org, тоже не говорит ни о чём. kernel.org уже взламывали и насколько там всё хорошо после этого проверили и не повторялось ли оно, тоже тот ещё вопрос. В подобной куче, прикопать троянца очень даже можно. А за документацией следят хуже чем за кодом. Она вполне может десятилетиями не меняться и не проверяться.
   Вообще-то единственный, действительно разумный способ — это тщательный аудит этого файла. Остальное — просто болтовня. Вот в таких случаях вся псевдоотечественность линуксов в полный рост и вылазит. Реально контролируют код только его настоящие авторы.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 045
  • UNIX System V init
Re: Вирус в образе сервера
« Ответ #25 : 18.10.2020 19:39:42 »
Угу. Тут даже добавить нечего.
В том js-скрипте документации ядра, даже не десятки тысяч, а скорее всего под сотню или за сотню тысяч элементов. Эту исполняемую гору мусора, никто кроме автора не сможет проверить. Туда если заглянуть, там вообще тихий ужас в одну строку:
$ wc -l ./hlam-kernel-doc/usr/share/doc/kernel-doc-old-4.19.128/output/searchindex.js
0 ./hlam-kernel-doc/usr/share/doc/kernel-doc-old-4.19.128/output/searchindex.js
$ wc -m ./hlam-kernel-doc/usr/share/doc/kernel-doc-old-4.19.128/output/searchindex.js
2459622 ./hlam-kernel-doc/usr/share/doc/kernel-doc-old-4.19.128/output/searchindex.js

И kernel.org, да, ломали, было дело.

И если уже на то пошло, засунули же эту фигню в линукс:
# grep -l policykit.exec /usr/share/polkit-1/actions/*
/usr/share/polkit-1/actions/org.freedesktop.policykit.policy
/usr/share/polkit-1/actions/org.gtk.vfs.file-operations.policy
/usr/share/polkit-1/actions/org.pkexec.cpu-x.policy
/usr/share/polkit-1/actions/org.xfce.power.policy
/usr/share/polkit-1/actions/org.xfce.session.policy
/usr/share/polkit-1/actions/org.xfce.thunar.policy
/usr/share/polkit-1/actions/org.x.xf86-video-intel.backlight-helper.policy

https://bugzilla.altlinux.org/show_bug.cgi?id=37516#c4

Правда на sysv она не работает, но что это меняет?
« Последнее редактирование: 18.10.2020 19:57:30 от Speccyfighter »
ZX Spectrum 128K
Привет от NM:  # echo -e "\n[device]\nwifi.scan-rand-mac-address=no" >> /etc/NetworkManager/NetworkManager.conf

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 214
Re: Вирус в образе сервера
« Ответ #26 : 19.10.2020 15:57:27 »
Этот js выполняется в linux? Да, выполняется.
Так я ж не спорю. Я имею ввиду, что то, что для "Windows" может представлять опасность, для "Linux" может быть абсолютно безопасно.
Кстати,
для любителей ссылаться на "Википедию":
Цитировать
Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе.
Это про эвристический анализ. Главное, как мне кажется, выделил жирным шрифтом.

Оффлайн flint1975

  • Давно тут
  • **
  • Сообщений: 1 266
    • Email
Re: Вирус в образе сервера
« Ответ #27 : 22.10.2020 08:56:42 »
   Все эти рассуждения бесполезны. То, что антивирус что-то там показал — не означает, что в этом файле что-либо есть. Но и в равной степени не означает, что ничего такого в нём нет. "Опасно только для виндовс" тоже не аргумент. Этот js выполняется в linux? Да, выполняется. А код троянца вполне может быть модифицирован или изначально работоспособен под linux. В том же касперском, действия троянца во всём зоопарке линуксов могли просто не проверять. Даже если этот файл с точностью до бита соответствует тому, что есть на kernel.org, тоже не говорит ни о чём. kernel.org уже взламывали и насколько там всё хорошо после этого проверили и не повторялось ли оно, тоже тот ещё вопрос. В подобной куче, прикопать троянца очень даже можно. А за документацией следят хуже чем за кодом. Она вполне может десятилетиями не меняться и не проверяться.
   Вообще-то единственный, действительно разумный способ — это тщательный аудит этого файла. Остальное — просто болтовня. Вот в таких случаях вся псевдоотечественность линуксов в полный рост и вылазит. Реально контролируют код только его настоящие авторы.
    Очень здравое рассуждение!
Не, все рассуждения вполне увлекательны и интересны, но, а какова процедура  разрешения подобных ситуаций в нашей инфраструктуре?
Потому как могут найтись параноидальные руководители в различных организациях которые скажут вирусный софт нам не нужен, а разбираться не станут.
    И, внимание, другие образы, которые содержат документацию к ядру - не срабатывают на касперском!!!

Оффлайн Koi

  • Мастер
  • ***
  • Сообщений: 1 604
  • валар дохаэрис
    • Канал на youtube
Re: Вирус в образе сервера
« Ответ #28 : 22.10.2020 10:56:17 »
Касперские занимаются анализом кода, как и DW. Возьмите и напишите в сапорт им и приложите файл, пусть смотрят. Неважно сколько там строк, антивирус сработал не на файл в общем, а на конкретный блок кода, думаю в кс и dw есть программы для анализа файлов с указанием подозрительных строк кода, а дальше пусть их эксперты читают.
DW наверно предпочтительнее так как это в их интересах, приложить данные о системе и скрин от касперского, типа ваш антивирь не работает, а вот каспер...
Они для того и существуют чтоб всем этим заниматься.

Или давайте я отправлю если вам лень.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 184
    • Email
Re: Вирус в образе сервера
« Ответ #29 : 22.10.2020 14:27:13 »
антивирус сработал не на файл в общем, а на конкретный блок кода
Это не так. Проверяется легко. Разрежьте файл на две части и проверьте каждую — ничего не найдёт.