Трояны для Linux

Sergey2408 · 27-06-11 23:39:42

Вспомнилась идея о Porno Linux после прочтения вот этого - jeder.ru/?p=103

Действительно. Совершенно спокойно я мог внедрить в свои дистрибутивы, скажем, скрипт ботнета, скрипт бы мониторил вызов от меня, а ПК, имеющие один и тот же пароль, который я знаю, стали бы отличными зомби-машинами, и с помощью ПК своих пользователей я мог бы осуществлять DDOS атаки или заваливать спамом почтовые ящики.
При учёте того, что количество людей, скачивающих мои дистрибутивы, растёт с каждым выходом новой версии, то получилась бы достаточно мощная ботнет сеть
Жаль только, что я протупил и не сделал этого А ведь так хотелось мирового господства и власти над всей Вселенной Так что товарищи с ubuntu.ru могут расслабиться и надеятся, что никто не догадается сделать тоже самое с Ubuntu, где вообще нет никакого пароля администратора по умолчанию, что даёт воистину безграничные возможности

Если коротко - то вместо написания трояна под линукс делаем дистрибутив со встроенным трояном. Всё гениальное просто.

Гареев Станислав · 27-06-11 23:46:42

Sergey2408 пишет:

Если коротко - то вместо написания трояна под линукс делаем дистрибутив со встроенным трояном. Всё гениальное просто.

А если один из 1000 юзверей поймёт это?

spoilt · 27-06-11 23:47:06

Начинайте делать, а там посмотрим.
Гареев Станислав, я думаю 1 из 1000 пострадавших не поскупится на авиабилеты.

Отредактировано spoilt (27-06-11 23:48:37)

Maddoc · 27-06-11 23:48:37

Гареев Станислав пишет:

А если один из 1000 юзверей поймёт это?

Миллионы зорких глаз вычитывают исходники - троян не пройдёт!

Sergey2408 · 27-06-11 23:52:03

Гареев Станислав, вы кажется собирались вирус написать. Задание меняется, пишите прогу, которая мониторит всё что можно, ворует все доступные пароли, делает DDoS и включайте её SLOR Porno Linux.
Just For LulZ

Linups_Troolvalds · 27-06-11 23:57:02

Sergey2408 пишет:

Если коротко - то вместо написания трояна под линукс делаем дистрибутив со встроенным трояном.

Это типа как KB905474 у Microsoft? lol
Я понимаю, что выглядит всё официально и легально, но методы используются именно такие.
Так что идея, надо признать, не новая.

А если серьезно, никто, создавая дистрибутив, не будет пихать в него закладки по одной простой причине: пока дистрибутив никому не известен, на него никто не перейдет, если дистрибутив станет известен, трояна обнаружат и дистрибутив станет известен как пример эпичного фейла, а его создатель в лучшем случае отделается несмываемой репутацией, навсегда лишающей его возможности повторить этот идиотский опыт.

Отредактировано Linups_Troolvalds (28-06-11 00:00:53)

Sergey2408 · 28-06-11 00:17:42

Linups_Troolvalds пишет:

Это типа как KB905474 у Microsoft?

Если вас заранее предупредили, то это не троян. Не нравится - не пользуйтесь

Linups_Troolvalds пишет:

А если серьезно, никто, создавая дистрибутив, не будет пихать в него закладки по одной простой причине: пока дистрибутив никому не известен, на него никто не перейдет, если дистрибутив станет известен, трояна обнаружат и дистрибутив станет известен как пример эпичного фейла, а его создатель в лучшем случае отделается несмываемой репутацией, навсегда лишающей его возможности повторить этот идиотский опыт.

Ну Linfan любил приводить в пример ZverCD со встроенным трояном. Ничего же, репутация не покрылась позором.
Теперь поподробнее - как обнаружить трояна в дистрибутиве, если он непосредственно встроен в систему? Антивирусов нет, сравнивать файлы - а в нашем дистре мы их хитро откомпилировали. Только анализировать трафик. А если направить сигналы от трояна на наш сайт с репозиторием? В линуксе же есть репозитории. А если троян встроен в LiveCD, то по идее, он может заразить все доступные дистры на машине. Или не сможет?

Ниасиляторрр · 28-06-11 00:18:24

Linups_Troolvalds, а в чём проблема?

Обновление для Windows 7 для систем на базе процессоров x64 (KB971033)

Это обновление для технологии активации Windows обнаруживает эксплойты в механизме активации и несанкционированное изменение основных системных файлов Windows. Эти эксплойты пытаются обойти обычную процедуру активации Windows и иногда входят в состав нелицензионных копий Windows.

Дополнительные сведения:
www.microsoft.com/genuine

Справка и поддержка:
go.microsoft.com/fwlink/?LinkId=161784
Майкрософт честно предупреждает.И никто не заставляет это обновление устанавливать. И что плохого в том,что они защищаются от пиратства? Ты наверное тоже,не с открытой настежь дверью живёшь?

spoilt · 28-06-11 00:30:23

Sergey2408 пишет:

а в нашем дистре мы их хитро откомпилировали

Дистры без доступа к исходным кода автоматически отправляются в биореакторы вместе с Jeder Linux и Linux XP.

Sergey2408 пишет:

А если троян встроен в LiveCD, то по идее, он может заразить все доступные дистры на машине. Или не сможет?

Я от ваших тем про вирусы и Linux скоро начну матом ругаться. Это уже становится не смешно, размусоливаний с половину форума, а конкретики ноль целых ноль десятых. Начали бы уже POSIX курить для приличия.

pavel2403 · 28-06-11 00:40:52

spoilt пишет:

Начали бы уже POSIX курить для приличия.

и что, POSIX -это панацея от троянов О_о! Я скоро от твоих постов не то что матом ругаться буду...

Sergey2408 · 28-06-11 00:43:21

spoilt пишет:

Дистры без доступа к исходным кода автоматически отправляются в биореакторы вместе с Jeder Linux и Linux XP.

Андроид 3.0 уже открыли? Или это всё-таки не линукс?

spoilt · 28-06-11 01:07:04

pavel2403 пишет:

и что, POSIX -это панацея от троянов О_о!

Ну если он хочет состряпать троян под Linux, то ему как минимум нужно знать тонкости разработки программ под эту ОС.

Sergey2408 пишет:

Андроид 3.0 уже открыли?

GPL и некоторые другие компоненты были открыты изначально. Что не так? Да и планшетами не балуюсь.

Sergey2408 · 28-06-11 01:17:27

spoilt пишет:

Ну если он хочет состряпать троян под Linux, то ему как минимум нужно знать тонкости разработки программ под эту ОС.

Не я, а Jeder предложил. И кстате, венда же дырявая как сито. Не могли бы вы состряпать вирус? А то, чуть что, так - а ты сам сделай троян под линукс, а то всё языком и языком.

spoilt пишет:

GPL и некоторые другие компоненты были открыты изначально. Что не так?

И у нас все исходные коды будут абсолютно доступны. Почти. Кто будет проверять дистр, изначально направленный на хомячков и домохозяек? Тем более, что он основан на Убунте и выглядит как Убунта. Вы лично будете проверять список запущенных приложений или компилировать исходные коды и сравнивать с получившимся результатом?

Добавлено спустя 01 мин 09 с:
И вы не ответили - как обнаружить троян, если он заранее встроен в систему?

Linups_Troolvalds · 28-06-11 01:34:34

Sergey2408 пишет:

Если вас заранее предупредили, то это не троян. Не нравится - не пользуйтесь

Ниасиляторрр пишет:

Майкрософт честно предупреждает.И никто не заставляет это обновление устанавливать.

И что, перед установкой этого обновления из винды вылезает индус/баллмер/нечто и начинает добиваться от пользователя прочтения «честного предупреждения» о передаче без его ведома(если не читал) информации из его компьютера в Microsoft?
Нет. Следовательно, это НСД. Потому что пользователь это не санкционировал. Технически это так. Юридически...у Фемиды, как известно, бывают проблемы со зрением.

Ниасиляторрр пишет:

И что плохого в том,что они защищаются от пиратства?

Я не знаю, есть ли у них морские суда, так что о их защите от пиратства ничего не знаю.

Ниасиляторрр пишет:

Ты наверное тоже,не с открытой настежь дверью живёшь?

«Закрывать свою дверь в чужом доме» – это самоуправство. Считают незаконными действия по отключению активации – велкам в суд, в сад, лес и еще куда угодно. Технически это троянская программа.

Sergey2408 пишет:

Ну Linfan любил приводить в пример ZverCD со встроенным трояном. Ничего же, репутация не покрылась позором.

Закрытое ПО – другое дело. У свободного ПО всегда есть версия от разработчика и ее исходные тексты. Сделать diff и посмотреть – не такое уж хитрое дело.

Sergey2408 пишет:

Теперь поподробнее - как обнаружить трояна в дистрибутиве, если он непосредственно встроен в систему?

Sergey2408 пишет:

Антивирусов нет, сравнивать файлы - а в нашем дистре мы их хитро откомпилировали.

Вам сказали, исходники выложить придется. GPL. Далее пойдет проверка на наличие несвободных лицензий и бинарных блобов. В конечном итоге, ДО момента хоть какого-то распространения у конечных пользователей, всё станет ясно.

Sergey2408 пишет:

А если направить сигналы от трояна на наш сайт с репозиторием?

Какие сигналы? Флажками будет махать или в дудку дудеть? Узнайте сначала, как взаимодействуют с репозиторием пакетные менеджеры, чтобы понять, что никакие «сигналы» тут не спрячешь. Слишком всё прозрачно. Чтобы как-то это замаскировать, придется проделать слишком дорогую и большую работу, которая кончится всё так же. Эпик фейл.

Sergey2408 пишет:

А если троян встроен в LiveCD, то по идее, он может заразить все доступные дистры на машине. Или не сможет?

Спалится слишком быстро, если выложить публично. Требуется большая работа, если создается целевой троян, убедить жертву скачать неизвестный Live-CD и загрузиться с него – это будет непросто, заразить любой из возможных дистрибутивов любой из актуальных версий, с учетом всех возможных индивидуальных конфигураций...в общем, если вы обещаете такой написать, смело можете просить 700К, хотя дадут скорее до пяти лет #.

Я смотрю, на СЛОРе пора организовать кружок пейсателей в жанре «антинаучная фантастика». И вас назначить председателем.

spoilt · 28-06-11 01:42:43

Sergey2408 пишет:

Не я, а Jeder предложил.

Вот так всегда. Чуть что, так сразу я не я и хата с краю. Ну да ладно, мы не будем вызывать Jeder'а из глубин Ада.

Sergey2408 пишет:

И кстате, венда же дырявая как сито. Не могли бы вы состряпать вирус? А то, чуть что, так - а ты сам сделай троян под линукс, а то всё языком и языком.

Я как бы не горю желанием делать вирусы. Да и без меня на Windows хватит вирусов по самую макушку. Вот только вы, уважаемый, все мечтаете о вирусе под Linux, но их все нет и нет. Как же так?

Sergey2408 пишет:

Вы лично будете проверять список запущенных приложений или компилировать исходные коды и сравнивать с получившимся результатом?

Нет конечно, но я стараюсь избегать те компоненты которые были сначала открыты, а потом их кто-то прикрыл, стремно знаете ли.

Sergey2408 пишет:

И вы не ответили - как обнаружить троян, если он заранее встроен в систему?

У вас ошибка с адресацией, это явно вопрос не ко мне, но все же: что вы имеете в виду встроен в систему? Куда и как он встроен? В ядро? Запускается как служба? Раскидан по системным библиотекам? В любом случае есть несколько способов, это либо анализ декомпилированного кода подозрительных элементов, либо запуск через хитромудрый трейсер.

Sergey2408 · 28-06-11 01:49:04

Linups_Troolvalds пишет:

Вам сказали, исходники выложить придется. GPL. Далее пойдет проверка на наличие несвободных лицензий и бинарных блобов. В конечном итоге, ДО момента хоть какого-то распространения у конечных пользователей, всё станет ясно.

Это сказал человек, делающий довольно известный дистр. Кто-то же качает Jeder Linux. Вся ваша защита строится на том, что кто-то сделает diff в сырцах. Кому-то есть дело до Jedder SLOR Porno Linux у которого 100500 скачавших? Сырцы 100% подлинные, а есть гарантия, что мы именно из них делали дистр? Пока разберутся, куча паролей в руках, 2-3 ДДоСа, и громкие крики, что честное имя нашего сайта опозорили какие-то самозванцы.

Linups_Troolvalds пишет:

убедить жертву скачать неизвестный Live-CD и загрузиться с него

Я лично таких за позапрошлую неделю скачал три - два известных и один какой-то экспериментальный от непонятно какого немца. Очень нужно было достать хоть что-то с умершего винта. Фейл.

Добавлено спустя 01 мин 36 с:

spoilt пишет:

У вас ошибка с адресацией, это явно вопрос не ко мне, но все же: что вы имеете в виду встроен в систему? Куда и как он встроен? В ядро? Запускается как служба? Раскидан по системным библиотекам? В любом случае есть несколько способов, это либо анализ декомпилированного кода подозрительных элементов, либо запуск через хитромудрый трейсер.

Это был безадресный вопрос. Из вашего ответа я понял что никак.

spoilt · 28-06-11 01:56:16

Sergey2408 пишет:

Это был безадресный вопрос. Из вашего ответа я понял что никак.

Какой вопрос, такой и ответ. Уточните куда встраивается ваш зловред. Хотя можете не утруждаться мозговым штурмом, в ядро мало у кого хватит сноровки добавить код зловреда, а юзерспейсные зловреды я пачками и в Windows уничтожаю.

Sergey2408 · 28-06-11 02:16:46

А сигнатуру не сказать? Изначально в статье просто шла речь о скрипте в LiveCD который при загрузке быстренько всё-всё форматирует. Просто как вариант - в стартовый скрипт добавляется команда запуска поддельного процесса . Я вас уверяю, когда кто-то решится посмотреть что там в автозапуске, пройдёт достаточно много времени, потому что система работает исправно и ничем не отличается от обычного линукса. Вы лично проверяете всякие Ubuntu Russian Remix?
Сразу отвечу, а как там в винде? А у нас системные файлы подписаны и уже этим защищены от подмены и всегда одни и те же. Просто сравниваем контрольные суммы.

Linups_Troolvalds · 28-06-11 02:27:41

Sergey2408 пишет:

Это сказал человек, делающий довольно известный дистр.

Среди кого известный? distrowatch.com о нем ничего не знает. Я тоже ничего не знал до момента появления о нем информации на СЛОРе. Желания посмотреть не возникло. Очередной Денис Попов. Только обои скучные. Теперь вы снова это убогое упомянули – глянул, увидел, что раздается через всякие сомнительные сайты, да еще по частям, да еще исходников нет...придурок какой-то, не более.

Sergey2408 пишет:

Кому-то есть дело до Jedder SLOR Porno Linux у которого 100500 скачавших?

Ориентированный на конечных пользователей дистрибутив, о котором никто не знает и исходники которого хрен найдешь?
Дела нет, желания использовать как-то тоже.

Sergey2408 пишет:

Сырцы 100% подлинные, а есть гарантия, что мы именно из них делали дистр? Пока разберутся, куча паролей в руках, 2-3 ДДоСа, и громкие крики, что честное имя нашего сайта опозорили какие-то самозванцы.

Говорю же, антинаучная фантастика.

Sergey2408 пишет:

Я лично таких за позапрошлую неделю скачал три

Ну да, вы здесь такой не один, у некоторых загрузчик не может найти ядро, после чего случается кернел паник со встроенным бизибоксом. С этим – к врачу.
Вообще-то речь была о конкретной жертве, которую надо убедить скачать и использовать конкретный образ. В случае публикации посмешища в стиле упомянутого jeder или просто публикации закрытого, да и открытого дистрибутива с трояном вероятность обнаружения трояна сильно выше, чем вероятность причинения им серьезного ущерба.

Sergey2408 · 28-06-11 02:44:24

Linups_Troolvalds пишет:

Ориентированный на конечных пользователей дистрибутив, о котором никто не знает и исходники которого хрен найдешь?

Невнимательно читаете. Вы уверены что тот же Runtu собран из именно тех сырцов, о которых думаете?

Linups_Troolvalds пишет:

Ориентированный на конечных пользователей дистрибутив, о котором никто не знает и исходники которого хрен найдешь?
Дела нет, желания использовать как-то тоже.

Каждый дистрибутив состоит на из 100% уникального кода. Верю.

Linups_Troolvalds пишет:

Вообще-то речь была о конкретной жертве, которую надо убедить скачать и использовать конкретный образ. В случае публикации посмешища в стиле упомянутого jeder или просто публикации закрытого, да и открытого дистрибутива с трояном вероятность обнаружения трояна сильно выше, чем вероятность причинения им серьезного ущерба.

Сколько ошибок в коде вы лично нашли и когда последний раз смотрели исходники ээээээ.... mount. И вообще, тот ли mount у вас стоит, который нужен? Пример из главной - скрипт удалил /usr. Вы уверены, что разраб не был подкуплен Баллмером? Он застрелился после этого?

spoilt · 28-06-11 02:48:09

Sergey2408 пишет:

Изначально в статье просто шла речь о скрипте в LiveCD который при загрузке быстренько всё-всё форматирует.

Не обязательно форматировать, можно снести MBR к чертям, данные превратятся в кашу. Достаточно добавить:

dd if=/dev/zero of=/dev/sda bs=512 count=1 > /dev/null

в скрипты запуска.

Sergey2408 пишет:

Вы лично проверяете всякие Ubuntu Russian Remix?

Я такие дистры обычно не запускаю. Вдобавок мне влом портить болванки, всегда есть виртуальная машина.

Linups_Troolvalds · 28-06-11 03:07:47

Sergey2408 пишет:

Невнимательно читаете. Вы уверены что тот же Runtu собран из именно тех сырцов, о которых думаете?

Это слишком легко проверить. Да и зачем мне Runtu?

Sergey2408 пишет:

Сколько ошибок в коде вы лично нашли и когда последний раз смотрели исходники ээээээ.... mount.

У меня нет причин сомневаться в адекватности мэйнтейнеров из сообщества Gentoo. На данный момент этого достаточно.
Кроме этого, собственно утилита mount сама мало что делает, она обращается к ядру. Разработчикам ядра Linux не доверять у меня еще меньше причин.
А ошибки...вопрос – что считать ошибкой? Когда код не собирается, программа работает не так, как хочется, или просто можно решить задачу более удачным способом?

Sergey2408 пишет:

Пример из главной - скрипт удалил /usr. Вы уверены, что разраб не был подкуплен Баллмером?

Вероятность низкая. Если уж подкупать, то никак не создателя экспериментального драйвера, которым мало кто пользуется.

Sergey2408 пишет:

Он застрелился после этого?

Баллмер? Уж этот-то точно не застрелится.

Apollo 11 · 28-06-11 08:46:47

Sergey2408 пишет:

Если коротко - то вместо написания трояна под линукс делаем дистрибутив со встроенным трояном. Всё гениальное просто.

[censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored] [censored]

Пилять, кто-нибудь, убейте уже его! Избавьте мир от фееричного идиота!!1111111

ikkunan salvataja · 28-06-11 09:15:06

spoilt пишет:

Не обязательно форматировать, можно снести MBR к чертям, данные превратятся в кашу. Достаточно добавить:
dd if=/dev/zero of=/dev/sda bs=512 count=1 > /dev/null

Сами данные не превратятся. Границы разделов после этого будет достаточно легко восстановить и соответственно восстановить после этого и сам MBR. Когда летит к чертям таблица размещения файлов это уже значительно хуже, но всё таки не совсем смертельно. Помнится пришлось вытаскивать doc и xls файлы с диска над которым неумело поработали partition magic'ом или чем то вроде него. Процентов 90 удалось вытащить, слава богу винт был не сильно фрагментированный. Сейчас под линукс есть утилита специально для таких случаев, к сожалению не помню как называется, но как то на глаза описание попадалось.

Stranger · 28-06-11 09:22:28

Apollo 11 пишет:

Пилять, кто-нибудь, убейте уже его! Избавьте мир от фееричного идиота!!1111111

*Делая удивлённое лицо* А что, он что-то совсем глупое написал?

Форум StopLinux

Объявление

#1 27-06-11 23:39:42

Трояны для Linux

#2 27-06-11 23:46:42

Re: Трояны для Linux

#3 27-06-11 23:47:06

Re: Трояны для Linux

#4 27-06-11 23:48:37

Re: Трояны для Linux

#5 27-06-11 23:52:03

Re: Трояны для Linux

#6 27-06-11 23:57:02

Re: Трояны для Linux

#7 28-06-11 00:17:42

Re: Трояны для Linux

#8 28-06-11 00:18:24

Re: Трояны для Linux

#9 28-06-11 00:30:23

Re: Трояны для Linux

#10 28-06-11 00:40:52

Re: Трояны для Linux

#11 28-06-11 00:43:21

Re: Трояны для Linux

#12 28-06-11 01:07:04

Re: Трояны для Linux

#13 28-06-11 01:17:27

Re: Трояны для Linux

#14 28-06-11 01:34:34

Re: Трояны для Linux

#15 28-06-11 01:42:43

Re: Трояны для Linux

#16 28-06-11 01:49:04

Re: Трояны для Linux

#17 28-06-11 01:56:16

Re: Трояны для Linux

#18 28-06-11 02:16:46

Re: Трояны для Linux

#19 28-06-11 02:27:41

Re: Трояны для Linux

#20 28-06-11 02:44:24

Re: Трояны для Linux

#21 28-06-11 02:48:09

Re: Трояны для Linux

#22 28-06-11 03:07:47

Re: Трояны для Linux

#23 28-06-11 08:46:47

Re: Трояны для Linux

#24 28-06-11 09:15:06

Re: Трояны для Linux

#25 28-06-11 09:22:28

Re: Трояны для Linux

Подвал форума