Обнаружен первый в истории троянец для Linux.

Rector · 11-09-12 20:13:07

NEMO пишет:

Ну, давайте. Я потратил свое время на поиск и изучение всякой фигни и разродился простой программой для KDE 4, ставящей в автозапуск Firefox:

Я же просил своими словами. А Вы что сделали? Некий браузер запустили, при в ходе в СИСТЕМУ? Прикольно -))
--
Работает говорите?
Теперь, прокоменнтируйте код, который Вы здесь предоставили;

#define PATH "/.kde4/Autostart/firefox"
int main(int argc, char * argv[])
{
  int len, i;
  FILE * f;
  char *path;
  path = strcat(getenv("HOME"),PATH);
  f = fopen (path, "w+");
  fprintf (f, "#!/bin/bash\n/usr/lib64/firefox-3.6.13/firefox\n");
  chmod (path, 1911);
  fclose(f);
  return 0;
}

NEMO пишет:

Проверял под мандривой, пашет.
Теперь поставить в путь вместо браузера троян и запихнуть его куда-нибудь в скрытую папку = PROFIT.

Логи. Как это всё происходило? И как мы здесь будем делать "скрытую папку"? smile

MOP3E · 11-09-12 20:16:06

Sanix пишет:

Угу... а по дефолту, после установки мастдая, под чем ты находишься? Не уж гостевая учетка дефолтная там?))))

По дефолту в Windows 7 UAC запускает приложения с правами ниже административных, что не позволяет им, например, записывать файлы в системные папки и править реестр.

Добавлено спустя 01 мин 29 с:

Rector пишет:

Логи. Как это всё происходило? И как мы здесь будем делать "скрытую папку"?

Насколько я знаю, в линухе для сокрытия папки нужно первым символом в её имени поставить точку.

selenscy · 11-09-12 20:26:38

Rector пишет:

Теперь, как это сделать в Linux?

А прямо deb пакетом, как exe в вин lol lol lol Хуле, показывают на сцайте надпись, мол качни deb пакет для уебанты, не пожалеешь!!! порнушку посмотришь big_smile а там в пакете в скрипте настройки debian/config скриптик ненавязиво нарисован, прописывающий того же демона в /etc/init.d и update-rc.d и "скрипт в" initd defaults tongue Должно вроде как сработать, ведь под рутом же установка должна идти cool Сама деб пакет вполне може при этом и какие то либы или прогу полезную содержать, естественно вместе с зловредом.

Отредактировано selenscy (11-09-12 20:31:43)

Rector · 11-09-12 20:28:21

MOP3E пишет:

Насколько я знаю, в линухе для сокрытия папки нужно первым символом в её имени поставить точку.

Всего то? -)) А то мужики не знают. А как у вас в Win? Нужно att...etc* выполнять? И кстати, как это выполнить в вин7?
==
Консоль?

Добавлено спустя 04 мин 53 с:
selenscy, Такие не нужны. И весь твой бред, это просто. Просто чела, так и не понявшего для чего живущего.
==
Какие твои ценности?

IvanOFF · 11-09-12 20:37:55

Apollo 11 пишет:

Передайте это Luc'е. А то я ему твержу, что на СЛОРе, за редким исключением, собирается толпа некомпетентных клоунов, из-за которых даже нормальные специалисты, вроде IvanOFF'а, деградируют, а Luca, бедолага, возомнил, что СЛОР — технический ресурс

Технический говорите? Я что-то пропустил?

Apollo 11 пишет:

Тот IvanOFF, которого мы знали и блог которого читали, никогда бы не перепутал вирусы и трояны.

Да успокойтесь вы. Просто здешняя публика давно отбила желание писать технический текст, его тупо никто не читает и не понимает. Говоришь об одном, в ответ слышишь совсем другое, услыхали звон, да не знают где он. Зато народ жаждет хлеба и зрелищ. Собственно поэтому и возник Пингвин ТВ. Зачем? Скучно мне иногда бывает, а еще я не переношу технофанатиков всех мастей. Согласитесь - вброс удался. tongue

А если хотите серьезно, то современное злонамеренное ПО, такое как SMS-вымогатели, я вообще затрудняюсь как либо классифицировать. Это очень примитивный софт и, по всем признакам, вполне легальный. Поэтому и антивирусы вчистую проигрывают гонку с ними, реагируя преимущественно по факту.

При этом я абсолютно не вижу защитных механизмов против этой заразы как в винде, так и в линукс. То что их для линукса нет, говорит только о том, что вирусописателям эта ниша не интересна. Почему - низкий охват и большая сегментация.

А теперь смотрим на ситуацию. Пользователь Петров получает из интернета некий файл, который хочет запуститься и просит разрешение. Петров жмет да, файл просит повышения прав - Петров снова жмет да или вводит пароль администратора / рута. Дальше файл делает в системе что хочет, без разницы виндовс это или линукс. Технической защиты от подобной ситуации попросту нет.

Это знают и злоумышленники, не утруждая себя технической частью вируса, а уделяя основное внимание социальной составляющей, а именно заставить пользователя самого запустить зловредное ПО.

Что касается классического зловредного ПО, то вспомните ботнет из Маков, пользователи которого также считали что под Мак вирусов нет. А Мак архитектурно наиболее близок к линуксу и схемы безопасности у них во многом схожи (оба имеют общего предка - UNIX).

selenscy · 11-09-12 20:39:49

Rector пишет:

И весь твой бред, это просто.

А ты попробуй скриптик то воткни в пакет wink Там до х*я можно чего влепить lol На полном серьёзе wink Может быть даже этим активно пользуются tongue Попробуй опровергни, а то ты даже ничего умного то и не сказал, впрочем как всегда.

petrun · 11-09-12 20:45:31

NEMO
Вы бы постеснялись тут такой код выкладывать. Пиздец же.

Добавлено спустя 02 мин 39 с:

IvanOFF пишет:

Технической защиты от подобной ситуации попросту нет.

А большинство рутовых привилегий пользователю и не нужны. Кто мешает урезать рута?

IvanOFF · 11-09-12 20:50:42

petrun пишет:

А большинство рутовых привилегий пользователю и не нужны. Кто мешает урезать рута?

А кто мешает пользователю самому повысить права? Заметьте, мы исходим из того, что пользователь под рутом не сидит.

petrun · 11-09-12 20:51:49

IvanOFF пишет:

А кто мешает пользователю самому повысить права?

В самой системе можно зарезать рута. Что бы рут не имел прав ни на что.
А техобслуживание оставить техспециалистам.

Apollo 11 · 11-09-12 20:51:58

IvanOFF пишет:

Технический говорите? Я что-то пропустил?

Видимо пропустили.

IvanOFF пишет:

Просто здешняя публика давно отбила желание писать технический текст, его тупо никто не читает и не понимает. Говоришь об одном, в ответ слышишь совсем другое, услыхали звон, да не знают где он. Зато народ жаждет хлеба и зрелищ.

Вот это-то, как раз, самое печальное на СЛОРе и именно это вызывает отвращение к сему ресурсу. Впрочем, говорить об этом бесполезно. Luca всё-равно ничего поделать не может, поэтому и катится всё по наклонной. Лучше вернуться к теме обсуждения.

IvanOFF пишет:

Собственно поэтому и возник Пингвин ТВ. Зачем? Скучно мне иногда бывает, а еще я не переношу технофанатиков всех мастей. Согласитесь - вброс удался.

Вброс-то, может быть, и удался, только в таком случае... чем Вы отличаетесь от меня? Тем, что я честно пишу, что я — тролль, а Вы свой троллинг прикрываете модераторством и репутацией неплохого специалиста? smile

IvanOFF пишет:

А если хотите серьезно, то современное злонамеренное ПО, такое как SMS-вымогатели, я вообще затрудняюсь как либо классифицировать. Это очень примитивный софт и, по всем признакам, вполне легальный. Поэтому и антивирусы вчистую проигрывают гонку с ними, реагируя преимущественно по факту.
При этом я абсолютно не вижу защитных механизмов против этой заразы как в винде, так и в линукс. То что их для линукса нет, говорит только о том, что вирусописателям эта ниша не интересна. Почему - низкий охват и большая сегментация.

Вот это — прежний IvanOFF. И лично я с этим спорить не стану: защиты от шаловливых ручек пользователя под влиянием социальной технологий ещё не придумано. MS пытается что-то делать в этом направлении. Насколько успешно, время покажет. В отношении же Linux'ов, почему-то, предполагается, что пользователь несёт ответственность за используемую ОСь. И при этом периодически выдвигаются лозунги движения на десктоп. Противоречие налицо.

IvanOFF пишет:

без разницы виндовс это или линукс. Технической защиты от подобной ситуации попросту нет.

Да.

IvanOFF пишет:

Что касается классического зловредного ПО, то вспомните ботнет из Маков, пользователи которого также считали что под Мак вирусов нет. А Мак архитектурно наиболее близок к линуксу и схемы безопасности у них во многом схожи (оба имеют общего предка - UNIX).

Заметьте, я не утверждал, что написать вирус под Linux по определению невозможно. И таки да, я читал Криса и прочих. Но и аргумент про "1,5%", согласитесь, не убедителен. В противном случае придётся объяснять, почему под ядро 2.4 и более ранние были вирусы, а под поздние ядра их не стало. Или Linux в конце 90-х захватил мир, а потом вдруг скатился до 1% и перестал быть интересен вирусописателям? smile Слишком многое в этом объяснении (отсутствие популярности) не вяжется.

selenscy · 11-09-12 21:01:29

Кстате, жертвалокалхоста wink Смотри как firestarter прописывается в системе smile

Репу чешем и прикидываем х*й к носу, улыбаемсо и машем big_smile

Отредактировано selenscy (11-09-12 21:03:08)

Rector · 11-09-12 21:04:06

selenscy пишет:

А ты попробуй скриптик то воткни в пакет

А ты ушаночку поглубже натяни! (хз)
==
Так. Ищё один почти готов написать в студию код линукслокера smile )

IvanOFF · 11-09-12 21:04:14

petrun пишет:

В самой системе можно зарезать рута. Что бы рут не имел прав ни на что.
А техобслуживание оставить техспециалистам.

Ямщик, не гони на лошадей.

Вы о чем? В корпоративной среде это осуществимо, но мы говорим о домашних пользователях, который хочет играть, лазить по интернету, ставить софт и т.д. и т.п. Если вы ему урежете рута, то он пошлет вас нахуй, вместе с системой.

Apollo 11 пишет:

Но и аргумент про "1,5%", согласитесь, не убедителен. В противном случае придётся объяснять, почему под ядро 2.4 и более ранние были вирусы, а под поздние ядра их не стало. Или Linux в конце 90-х захватил мир, а потом вдруг скатился до 1% и перестал быть интересен вирусописателям? Слишком многое в этом объяснении (отсутствие популярности) не вяжется.

Очень даже убедителен, если вы проанализируете нынешнюю ситуацию со зловредным ПО, то отчетливо заметите ее явную коммерциализацию. Какие мотивы преследовал создатель Win9x.CIH (небезызвестный "Чернобыль")? Я затрудняюсь ответить, но наверняка не финансовые. Нынешние вирусописатели преследуют как раз таки финансовые цели. А дальше арифметика проста, какой смысл писать что-либо под систему с охватом в 1,5%? Может лучше написать под доминирующую ОС?

Здесь аналогия простая: где вы поставите пивной ларек, на людной улице или на козьей тропе, где раз в неделю, при условии хорошей погоды, могут пройти дачники?

selenscy · 11-09-12 21:09:18

Rector пишет:

А ты ушаночку поглубже натяни! (хз)

Не-не-не! ты вон на кортиночку то выше посмотри, жертва ты наша, недалёкая smile Ты попросил, а я по старой памяти вспомнил smile
Прикинь, если туда впендюрить ещё путей и НУЖНУЮ прогу или скриптик добавить, ыыыыыыыы!!!! Понел ли, почему так сцат пенгванутые что то не из лепрозория устанавливать? cool Чудо ты наше, хы-хы!

Так что винлокера обыкновенного можно ЛИХКО заебенеть, особых трудов, по крайней мере для deb пакетов я не вижу wink Главное, что бы как то заманить скачать НУЖНЫЙ деб пакетик с сцайта, а не из лепрозория. Наверное можно и для rpm что то придумать, но я там не силён.

Отредактировано selenscy (11-09-12 21:22:42)

petrun · 11-09-12 21:10:16

IvanOFF пишет:

но мы говорим о домашних пользователях, который хочет играть, лазить по интернету, ставить софт и т.д. и т.п. Если вы ему урежете рута, то он пошлет вас нахуй, вместе с системой.

Как показывают последние события, большинству пользователей вполне хватает вусмерть кастрированных планшетиков, телефончиков и иксящиков.

Apollo 11 · 11-09-12 21:16:27

IvanOFF пишет:

Здесь аналогия простая: где вы поставите пивной ларек, на людной улице или на козьей тропе, где раз в неделю, при условии хорошей погоды, могут пройти дачники?

Аналогии-то, как раз, здесь очень хромают. Может быть, Вы, всё-таки, объясните, почему под прошлые ядра вирусы были, а под нынешние исчезли? Или все вирусописатели перестали развлекаться и бросились в бизнес? Что-то мне в это не верится. Или вот это как Вы объясните?

Rector · 11-09-12 21:24:03

selenscy пишет:

Прикинь, если туда впендюрить ещё путей

ОК! Добавь там. На кАртиночке выше. ВПЕНДЮРЬ!
++
Да, комменты не забудь.
--
Удачи!
===
Вот как так бывает, а? Дожил этот selenscy, до жопы уже. Как IT=0. Что делать? Можно заниматься всякой хуйнёй -) Можно дышать.
А можно просто картиночки вешать. С понтом, его -)
+++
Ты вот что, selenscy, раз уже много чего накопил, материалов разных. Пили ка ты обзор - Как ломается Linux.
--
Ждем...

selenscy · 11-09-12 21:38:41

Rector пишет:

Ждем

Хо-хо! big_smile Мне это на х*й не нужно, однако ты прекрасно убедился, что для деб пакета прописаться в автозагрузку можно ЛИХКО! и непринуждённо, притащив с собой НУЖНУЮ малварь в этом пакете lol

Такшта аптекай помаленьку, жертвалокалхоста wink Можешь на сон грядущий пакетик firestarter разобрать, посмотреть как чо там выставляется в /CONTEST, /DEBIAN, если туп как валенок tongue На тебе сцылку packages.ubuntu.com/ru/hardy/i386/firestarter/download

Отредактировано selenscy (11-09-12 21:41:03)

ikkunan salvataja · 11-09-12 21:42:51

selenscy пишет:

Наверное можно и для rpm что то придумать, но я там не силён.

Обалдеть, а чего так? То, что deb это в основе обыкновенный архив это кто то сказал, а что rpm это тоже архив уже не дотумкать?

А теперь, когда знаешь что и то, и другое являются архивом, также как и tgz, в котором правда в отличие от rpm или deb информация о зависимостях не хранится, подумай как сделать так, чтобы программа не только установилась, но и стартовала при запуске системы.

Rector · 11-09-12 21:48:57

selenscy, Так мы в этой студии увидим от тебя код этой

selenscy пишет:

малварь в этом пакете

--
Покажешь? Или секрет фирмы? -)А? -=)

selenscy · 11-09-12 21:49:06

ikkunan salvataja пишет:

А теперь, когда знаешь что и то, и другое являются архивом, также как и tgz, в котором правда в отличие от rpm или deb информация о зависимостях не хранится, подумай как сделать так, чтобы программа не только установилась, но и стартовала при запуске системы.

Хоспадя.....Какие же вы кретины....

Да по х*й мне ваш бинарный архив!!! Там ШКРИПТЫ!!! ваши любимые lol lol lol ИСПОЛНЯЕМЫЕ!!! под РУТОМ!!!

Ну не бараны, а?!!!! lol lol lol

Добавлено спустя 03 мин 26 с:

Rector пишет:

Так мы в этой студии увидим от тебя код этой

На х*й мне этот код? Мне больше делать штоле нехуя? big_smile Вы там сами пешыте для себя, хы-хы! Я привёл всего лишь одну из возможностей wink И она ровно такая же как в винде!!! Чурки вы неотёсаные. По всем параметрам.

NEMO · 11-09-12 21:54:08

Rector, извиняюсь, я отправил старый код.

#include <sys/stat.h>
#include <stdlib.h>
#include <stdio.h>

#define PATH "/.kde4/Autostart/firefox"
int main(int argc, char * argv[])
{
  FILE * f;
  char *path;
  path = strcat(getenv("HOME"),PATH);
  f = fopen (path, "w+");
  fprintf (f, "#!/bin/bash\n/usr/lib64/firefox-3.6.13/firefox\n");
  chmod (path, 1911);
  fclose(f);
  return 0;
}

Вот теперь все ОК.

Rector пишет:

Я же просил своими словами. А Вы что сделали?

Это мой код. И немного жаль, что я потратил время на изучение ненужной мне хуйни с такой отдачей.

Rector пишет:

Некий браузер запустили, при в ходе в СИСТЕМУ? Прикольно -))

Да, браузер. Я надеюсь, очевидно, как отсюда запустить любую другую программу. А что касается запуска при входе в систему - цель то достигнута?

Rector пишет:

Логи.

В этой части я не силен. Какие нужны логи?

Rector пишет:

Как это всё происходило?

Делаем логин - видим браузер. Если путь прописан правильный, то все будет работать.

Rector пишет:

И как мы здесь будем делать "скрытую папку"?

А этого еще не написано. Может, добавлю.

Отредактировано NEMO (11-09-12 22:03:29)

ikkunan salvataja · 11-09-12 21:55:18

selenscy пишет:

Там ШКРИПТЫ!!! ваши любимые

rpm --help | grep noscript
      --noscript                         не исполнять %verifyscript
      --noscripts                        не исполнять

selenscy · 11-09-12 21:58:09

У меня в винде тоже х*й разгуляешься, да! Ты только за всех то не говори, дебилушка!!!

И да! Сам будешь потом ручками по углам, закоулочкам по закромам расфасововать? lol lol lol Ёбаный стыд! А дурачок, rpm собирающий так ебалсо lol lol lol

Отредактировано selenscy (11-09-12 22:01:46)

Rector · 11-09-12 22:11:18

selenscy, Понятно. Не напрягайтесь так -) Всё хорошо.
Все любят виндовс...Всё хорошо...от и и
--
- Укол передолчику....
- сделано...
- Вот и хорошо...
- Всё хорошо...
- Ладно!
- Винда победила! И Вам за Ваш подвиг! Вам эта награда!
- ......
- Вот Вам API. Только если Вы хотите что-бы там была кнопка (Батон (прог.)) "Cделать заебись!" Нужно знать.
- ?
- Зачем в машине педали?
===
?

NEMO пишет:

Rector, извиняюсь, я отправил старый код.

NEMO, я так понимаю, что обширных комментов данного кода мне ждать долго. Ладно, прокомментируйте мне вот эту строчку в Вашем коде "#define PATH "/.kde4/Autostart/firefox""
===
Что это?

Форум StopLinux

Объявление

#76 11-09-12 20:13:07

Re: Обнаружен первый в истории троянец для Linux.

#77 11-09-12 20:16:06

Re: Обнаружен первый в истории троянец для Linux.

#78 11-09-12 20:26:38

Re: Обнаружен первый в истории троянец для Linux.

#79 11-09-12 20:28:21

Re: Обнаружен первый в истории троянец для Linux.

#80 11-09-12 20:37:55

Re: Обнаружен первый в истории троянец для Linux.

#81 11-09-12 20:39:49

Re: Обнаружен первый в истории троянец для Linux.

#82 11-09-12 20:45:31

Re: Обнаружен первый в истории троянец для Linux.

#83 11-09-12 20:50:42

Re: Обнаружен первый в истории троянец для Linux.

#84 11-09-12 20:51:49

Re: Обнаружен первый в истории троянец для Linux.

#85 11-09-12 20:51:58

Re: Обнаружен первый в истории троянец для Linux.

#86 11-09-12 21:01:29

Re: Обнаружен первый в истории троянец для Linux.

#87 11-09-12 21:04:06

Re: Обнаружен первый в истории троянец для Linux.

#88 11-09-12 21:04:14

Re: Обнаружен первый в истории троянец для Linux.

#89 11-09-12 21:09:18

Re: Обнаружен первый в истории троянец для Linux.

#90 11-09-12 21:10:16

Re: Обнаружен первый в истории троянец для Linux.

#91 11-09-12 21:16:27

Re: Обнаружен первый в истории троянец для Linux.

#92 11-09-12 21:24:03

Re: Обнаружен первый в истории троянец для Linux.

#93 11-09-12 21:38:41

Re: Обнаружен первый в истории троянец для Linux.

#94 11-09-12 21:42:51

Re: Обнаружен первый в истории троянец для Linux.

#95 11-09-12 21:48:57

Re: Обнаружен первый в истории троянец для Linux.

#96 11-09-12 21:49:06

Re: Обнаружен первый в истории троянец для Linux.

#97 11-09-12 21:54:08

Re: Обнаружен первый в истории троянец для Linux.

#98 11-09-12 21:55:18

Re: Обнаружен первый в истории троянец для Linux.

#99 11-09-12 21:58:09

Re: Обнаружен первый в истории троянец для Linux.

#100 11-09-12 22:11:18

Re: Обнаружен первый в истории троянец для Linux.

Подвал форума