В продолжение про безопасность в линухе.

nixadmin · 06-07-11 21:06:42

pavel2403 пишет:

Ну и в догонку: www.securitylab.ru/news/406197.php

Читал про этот бэкдор ещё здесь - www.linux.org.ru/news/security/6457372

Проверял на Fedora 14, vsftpd 2.3.4 из репозитория.
Не работает.

Отредактировано nixadmin (06-07-11 21:07:04)

Linups_Troolvalds · 07-07-11 05:16:13

Белая рысь пишет:

Где на написано, что это именно самораспространяющиеся малвари

Написано, что заражение идет самым что ни на есть банальным способом, фальшивые кодеки, кейгены и т.д., содержащие руткит. После единственной глупости, допущенной пациентом, ведут себя вполне самостоятельно. Я не спорю, что домашнего линукс-юзера, ведущего себя как идиот(и бездумно запускающего какие попало файлы под рутом), тоже можно достать через подобные вещи. Только если в случае винды мы имеем уже миллионы реально участвующих в ботнете зомби, то в случае с линуксом в вышеуказанной статье мы видим некоторый эксплойт, который в «лабораторных» условиях использует специально написанное дурное «уязвимое приложение», которое с видом лихим и придурковатым делает strcpy() для данных, чей объем неизвестен.

Белая рысь пишет:

Про 4.2 - не знаю, надо потестить, но ставить кучу дистров мне лень. Поверю на слово

Ну так отсутствие библиотек нужной версии – это не есть бинарная несовместимость. Подсовываем библиотеки и работаем.
Пример:

▼Скрытый текст

Белая рысь пишет:

А какая вирусу-то разница?

Очень большая разница. При грамотной настройке доступа и работе пользователя под ограниченной учетной записью в общем случае нет рабочих методов заражения системы, даже через руткит. Так что корпоративные экземпляры обычно менее подвержены вирусам.

Отредактировано Linups_Troolvalds (07-07-11 07:55:59)

Keeper · 07-07-11 12:55:35

дохтур пишет:

Нет, вообще никаких антивирусов-антималварей-файерволов не стоит

Не верю. Пиши конфиги системы, будем ставить эксперимент.

Добавлено спустя 04 мин 01 с:

kenzzzooo пишет:

Keeper, я бы тоже не стал что-то делать бесплатно

Одно дело утверждать, а потом прятать голову в песок. Другое, делать за бесплатно.

дохтур · 07-07-11 13:29:27

Keeper пишет:

Не верю. Пиши конфиги системы, будем ставить эксперимент.

Windows XP SP3, NTFS, NoDriveTypeAutorun, все последние обновления, ограниченная учётная запись пользователя
---
Для успешного заражения stuxnet нужна также уязвимость, приводящая к эскалации привилегий - сейчас подобных из разряда 0day насколько мне известно, не имеется. Т.е. без подобной уязвимости всё "лечится" простым движением - удалением [данных из] профиля пользователя

Отредактировано дохтур (07-07-11 13:56:22)

Babusha · 07-07-11 13:54:44

У меня Windows 7, обновления не качал месяц, выключен юак, полностью разворочина ВСЯ система прав доступа, отключен антивирус, сижу под учеткой одмина, даже не знаю, есть ли вирупсы или нету :Р

Отредактировано Babusha (07-07-11 13:55:18)

Keeper · 07-07-11 13:59:35

дохтур пишет:

Windows XP SP3, NTFS, NoDriveTypeAutorun, все последние обновления, ограниченная учётная запись пользователя

Давай полный конфиг системы. Иначе будем строить на этом "облачном" конфиге. smile

MOP3E · 07-07-11 14:01:37

Babusha пишет:

У меня Windows 7, обновления не качал месяц, выключен юак, полностью разворочина ВСЯ система прав доступа, отключен антивирус, сижу под учеткой одмина, даже не знаю, есть ли вирупсы или нету :Р

Короче, страдаешь хернёй и жутко рад этому.

Mazzy · 07-07-11 14:03:15

Babusha, ты просто сказочный тип big_smile

SemyonKozakov · 07-07-11 14:03:15

Babusha пишет:

У меня Windows 7, обновления не качал месяц, выключен юак, полностью разворочина ВСЯ система прав доступа, отключен антивирус, сижу под учеткой одмина, даже не знаю, есть ли вирупсы или нету :Р

Это настолько толсто, что даже похоже на тонкий вброс...

дохтур · 07-07-11 14:38:21

Keeper пишет:

Давай полный конфиг системы. Иначе будем строить на этом "облачном" конфиге.

pastebin.com/CyQMp5Ka Железо обновил в январе, конфиг (хоть с дампами видеобиоса/pci) тоже могу выложить, если понадобится cool

Babusha · 07-07-11 14:44:24

SemyonKozakov пишет:

Это настолько толсто, что даже похоже на тонкий вброс...

Это не вброс, и ты помнишь мою тему про права smile . Просто с моим 3G от лайфа в деревне, вирусы просто в канал не влезают big_smile .

Rorschach · 07-07-11 14:46:27

Babusha пишет:

Просто с моим 3G от лайфа в деревне

На правах рекламы

Babusha пишет:

в деревне

Ясно чо ты такой дремучий

Гареев Станислав · 07-07-11 22:28:24

Babusha пишет:

даже не знаю, есть ли вирупсы или нету :Р

Таки да.

Keeper · 08-07-11 09:59:21

дохтур пишет:

pastebin.com/CyQMp5Ka Железо обновил в январе, конфиг (хоть с дампами видеобиоса/pci) тоже могу выложить, если понадобится

Ну что же. Уже хоть что-то. И так, кто-то еще кроме меня, хочет поставить эксперимент?

kenzzzooo · 08-07-11 10:30:31

Keeper пишет:

И так, кто-то еще кроме меня, хочет поставить эксперимент?

какой именно?

Keeper · 08-07-11 10:34:31

Вот это,

дохтур пишет:

Нет, вообще никаких антивирусов-антималварей-файерволов не стоит

Конфиг стандартный + развернутый. sp3, отключен авторан, юзерские права. При таком раскладе, мы не должны заразится.

дохтур · 08-07-11 18:02:10

Keeper пишет:

Ну что же. Уже хоть что-то.

Так выставил, будто с неимоверным трудом допросился smile
Как результаты, кстати, удалось хоть что-то записать за пределы профиля пользователя? tongue

Keeper · 08-07-11 18:42:32

дохтур пишет:

Как результаты, кстати, удалось хоть что-то записать за пределы профиля пользователя?

Я пока еще не тестил. И потом, я просто закину вин на виртуалку, отключу фаер и настрою урезаные права с отключеным автораном, и буду работать как обычно. Так?

Отредактировано Keeper (08-07-11 18:42:54)

Угрюм Бурчеев · 08-07-11 18:59:55

Я пока еще не тестил. И потом, я просто закину вин на виртуалку, отключу фаер и настрою урезаные права с отключеным автораном, и буду работать как обычно. Так?

Давай, мне оч интересно.

mav · 08-07-11 19:35:59

Keeper пишет:

отключеным автораном, и буду работать как обычно. Так?

Напиши в быдлояндекс "скачать порно без смс" походи по ссылкам и запусти экзеши оттуда.

Keeper · 08-07-11 19:56:04

mav пишет:

Давай, мне оч интересно.

А самому не?

mav пишет:

Напиши в быдлояндекс "скачать порно без смс" походи по ссылкам и запусти экзеши оттуда.

Так и сделаю, ведь мне никто не запрещал.

дохтур · 08-07-11 21:15:30

Keeper пишет:

И потом, я просто закину вин на виртуалку, отключу фаер и настрою урезаные права с отключеным автораном, и буду работать как обычно.

Keeper пишет:

mav пишет:
Напиши в быдлояндекс "скачать порно без смс" походи по ссылкам и запусти экзеши оттуда.
Так и сделаю, ведь мне никто не запрещал.

Ну да ладно big_smile
Но не забываем, что наша цель - загадить именно систему, т.е. создать проблему, сносом данных из [ограниченного] пользовательского профиля не решаемую. Пруфом считается воспроизводимая ситуация (линк|файл+последовательность действий etc.) Поехали! smile
---
FS везде NTFS естессно, чтоб вдруг не вздумалось tongue

Отредактировано дохтур (08-07-11 21:22:55)

Keeper · 08-07-11 22:47:47

дохтур пишет:

Ну да ладно
Но не забываем, что наша цель - загадить именно систему, т.е. создать проблему, сносом данных из [ограниченного] пользовательского профиля не решаемую. Пруфом считается воспроизводимая ситуация (линк|файл+последовательность действий etc.) Поехали!
---

Не-не-не. Мы обсуждали возможность заражения. И не надо больше ничего выдумывать, поздно.

kenzzzooo · 08-07-11 23:33:08

Keeper пишет:

Не-не-не. Мы обсуждали возможность заражения. И не надо больше ничего выдумывать, поздно.

а чего нового-то выдумано?

Keeper · 08-07-11 23:35:30

kenzzzooo пишет:

а чего нового-то выдумано?

дохтур пишет:

сносом данных из [ограниченного] пользовательского профиля не решаемую

Как бы заражение подразумевает не только это. Да и деструктивные вирусы удаляющие данные, встречаются редко.

Форум StopLinux

Объявление

#26 06-07-11 21:06:42

Re: В продолжение про безопасность в линухе.

#27 07-07-11 05:16:13

Re: В продолжение про безопасность в линухе.

#28 07-07-11 12:55:35

Re: В продолжение про безопасность в линухе.

#29 07-07-11 13:29:27

Re: В продолжение про безопасность в линухе.

#30 07-07-11 13:54:44

Re: В продолжение про безопасность в линухе.

#31 07-07-11 13:59:35

Re: В продолжение про безопасность в линухе.

#32 07-07-11 14:01:37

Re: В продолжение про безопасность в линухе.

#33 07-07-11 14:03:15

Re: В продолжение про безопасность в линухе.

#34 07-07-11 14:03:15

Re: В продолжение про безопасность в линухе.

#35 07-07-11 14:38:21

Re: В продолжение про безопасность в линухе.

#36 07-07-11 14:44:24

Re: В продолжение про безопасность в линухе.

#37 07-07-11 14:46:27

Re: В продолжение про безопасность в линухе.

#38 07-07-11 22:28:24

Re: В продолжение про безопасность в линухе.

#39 08-07-11 09:59:21

Re: В продолжение про безопасность в линухе.

#40 08-07-11 10:30:31

Re: В продолжение про безопасность в линухе.

#41 08-07-11 10:34:31

Re: В продолжение про безопасность в линухе.

#42 08-07-11 18:02:10

Re: В продолжение про безопасность в линухе.

#43 08-07-11 18:42:32

Re: В продолжение про безопасность в линухе.

#44 08-07-11 18:59:55

Re: В продолжение про безопасность в линухе.

#45 08-07-11 19:35:59

Re: В продолжение про безопасность в линухе.

#46 08-07-11 19:56:04

Re: В продолжение про безопасность в линухе.

#47 08-07-11 21:15:30

Re: В продолжение про безопасность в линухе.

#48 08-07-11 22:47:47

Re: В продолжение про безопасность в линухе.

#49 08-07-11 23:33:08

Re: В продолжение про безопасность в линухе.

#50 08-07-11 23:35:30

Re: В продолжение про безопасность в линухе.

Подвал форума