Пользователь
0,0
рейтинг
27 июля 2007 в 16:18

Администрирование → Вирусы для *n*x существуют!

Если вы уверены, что перейдя на Ubuntu вы застрахуетесь от вирусных атак, значит будущее Земли под угрозой. *nix-платформы набирают мировую популярность, а вместе с этим растет угроза вирусного цунами, которое захлестнет компьютеры неопытных пользователей. Защищенность *nix от вирусов относительна, а в ближайшее время, как мне кажется, вообще будет признана мифом.
Вот несколько фактов, способных этот миф развенчать, а вас заставить установить ClamAV и проверяться почаще.

Пионеры


Как это ни удивительно, первые вирусы писались и функционировали под Unix. Стоит упомянуть такой харизматичный образчик, как Elk Cloner, написанный где-то в 1980—82 годах. Его вредоносная деятельность заключалась в печати стихотворения:
It will get on all your disks
It will infiltrate your chips
Yes it’s Cloner!

It will stick to you like glue
It will modify ram too
Send in the Cloner!

Ну и в бесконтрольном размножении, разумеется. Кроме него, на память приходят пионер вирусостроения Фрэд Коэн (Fred Cohen) и несколько его вирусов под VAX/4BSD — пока еще забавы, но всё же Unix-вирусы, с которых всё и началось.

Иллюзии


Сложно оставить свои чувства без объяснения. Если кажется, что Linux неуязвим, должны же быть для этого какие-то причины. Вот что обычно мы придумываем.

Система разграничения прав пользователей не оставляет вирусу никаких шансов


На самом деле это так, только пока вы не выходите за рамки пользовательских полномочий. Если вы привыкли работать в администраторском или root-аккаунте, никакие права вас уже не спасут.
На прежней работе я натурально бил своих программистов по рукам, если успевал заметить на экране окно с рутовыми привелегиями. Окно после битья закрывал без вопросов и сохранения.

Открытые исходники не могут содержать вирусы —  их бы сразу нашли


Верно, но вы их когда-будь сами искали? Вы уверены в безопасности своей копии исходников? А пользователи *Ubuntu — сколь часто вы ставите софт из исходников? Может, вы предпочитаете двоичные упаковки? Их так же легко просмотреть на наличие опасного кода? Признайте: вы их никогда не просматривали. А сторонние репозитории в вашем sources.list уже есть?
Обмен программами между неопытными пользователями идет в двоичном виде, и это уже не причина для вашего спокойствия.

Существует столько разных дистрибутивов различных *nix-систем. У них слишком много различий, вирусы не распространятся широко


Но именно широкий ассортимент систем породил на свет ANSI C и кроссплатформный софт. Успех Firefox и наличие С-компилятора практически на каждой копии *nix-системы должны разубедить вас в этой причине.
Стандартизация двоичного формата для исполняемых файлов еще больше развеивает уверенность. Кроме того, ассемблер — он везде ассемблер, вопрос состоит только в архитектуре процессора целевой системы. У вас PowerPC, SPARC или Intel x86?

Способы


Как вирус заразит компьютер, зависит только от компетентности и фантазии автора вируса, ибо путей существует множество. Вот хотя бы несколько.

Скрипты оболочки (shell scripts) и неосторожные пользователи


Один из самых простых и доступных способов написать программу… или вирус. Для Unix-вируса достаточно и 200 байт шелл-кода. Наличие различных широко распространенных мощных скриптовых языков (Perl, Python) только увеличивает опасность.
Примером использования shell-скриптов является "man page«-вирус, поражающий страницы справки man. Он не может распространиться, покуда вы сами не отдадите форматированную man page кому-нибудь, но зато благодаря возможностям GNU troff он может выполнять программы и иметь доступ к файлам.
Ну а сам факт предпочтения Linux, а не Windows, вовсе не уменьшает количества пользователей, запускающих всё подряд, особенно то, что им прислали по e-mail или залили на ftp.

Черви и уязвимости


Наиболее распространенный сегодня класс вирусов не ждет, пока пользователь их запустит — черви активно проникают в систему, используя уязвимости. Дальнейшие действия этих программ — опять-таки дело вкуса авторов.
А уязвимости в вашем Linux или BSD точно есть — ведь система не стоит голой, как Давид, она обвешана кучей всякого софта, функционирующего (в том числе в фоне, без вашего внимания) каждую секунду, пока работает компьютер. При следующем обновлении загляните в changelog какой-нибудь упаковки поближе к системной части, много ли уязвимостей (vulnerabilities) прикрыли разработчики? Так вы поймете, что несколько «дыр» точно было. Сколько еще осталось — вам опять-таки неизвестно. Кстати, давно ли вы обновляли системные пакеты?

Поддельные библиотеки


Есть в *nix такая переменная среды, как LD_PRELOAD. Теоретически, ею необходимо пользоваться, если вашему софту требуется специфическая версия библиотеки, а в системе установлена другая версия. Практически — если на место специфической библиотеки подставить вирус, то это уже не ваша система.
Чтобы уменьшить количество минусов за этот пост, концептуальный код такой библиотеки я здесь приводить не стану, но его слишком легко найти в Интернете.

Вирусы ядра


Одна из самых опасных концепций — вирусы, способные внедриться в ядро (kernel image) системы. Они уже действительно смогут делать с системой все что угодно, избавиться от них будет сложнее, так что в итоге это одна из наибольших опасностей для беспечных линуксоидов. Пока такие вирусы существуют только теоретически, но когда-нибудь теория станет практикой.

Windows-вирусы и Wine


Как это ни удивительно, многие трояны, вирусы и черви для Windows могут работать под вашим Linux — стоит только установить Wine. Непонятная приверженность некоторых свитчеров к Microsoft Internet Explorer вкупе с установкой его через скрипт ies4linux только усиливает эффект — вы получаете дырявую ОС, функционирующую внутри менее дырявой. Шанс потерять данные или стать спам-зомби возрастает (при несоблюдении элементарных норм компьютерной гигиены).

Примеры


  • Lion Worm поражает Linux-системы с запущенным DNS-сервером BIND версий 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, и всех 8.2.3-beta.
  • Linux.Diesel Virus в терминологии AVP «benign, nonmemory resident parasitic virus».
  • Linux.Vit.4096. По ссылочке даже диаграмма, иллюстрирующая принцип поражения системы.
  • Ramen virus использует уязвимости в системе безопасности стандартных Red Hat Linux 6.2 и 7.0
  • Winux Virus — кроссплатформенный концепт-вирус для Windows и Linux. Пока не распространился.
  • *nix malware — итоги 2005 и тенденции развития — старая статейка по теме из Лаборатории гражданина К.

Лекарства


rimmer333 @rimmer333
карма
59,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Администрирование

Комментарии (142)

  • –3
    Тю, открыл Америку :) . А спросить у любого человека, который действительно пользуется *никс операционкой, про вирусы нельзя было? Или обязательно нужно только по слухам и догадкам оринтироваться?
    Линукс и Со, защищеннее чем форточки не потому что там якобы нет вирусов.
    • +4
      Я ПОЛЬЗУЮСЬ LINUX! Профессионально и более 7 лет уже. Советую почитать текст, там приведены факты, что защищенность с общеупоминаемыми причинами относительна. Там приведены примеры функционирующих вирусов. Америки я не открывал, а лишь подобрал факты, просто хочется, чтобы новички Linux знали, что не всё так безоблачно.

      Так почему же Linux и Co с вирусами защищённее? Приведите, пожалуйста, факты, примеры.
      • +1
        Статья хорошая, я и не отрицал это. А линукс защищеннее из-за своей политики безопастости. Например в винде обычный пользователь практически вынужден работать под учетной записью администратора что совсем не способствует сохранности данных. Вы же не сидите в линуксе под рутом?:) А винда например в своем хелпе пишет что мол извините, но режим совместимости доступен только для администратора (а без него многие программы не запускаются) и прямо советует работать с админскими правами.
        Технологически линукс пока тоже совершеннее - файловая система, ядро.
        • 0
          Я то не сижу под рутом. Но некоторым начинающим «гораздо проще» именно так и делать. Система ограничения прав их раздражает, и обходят они ее самым доступным им способом - работают под рутом.

          И аргументами своими выв меня так и не убедили. Файловая система как таковая тоже не спасает - ведь кто-то когда-то пишет эти файлы. Кто-то может в них записать что-то. При каких условиях может - головоломка для хакера. Что запишет - вопрос. Ядро... про него уже написано в статье... Вобщем, предохраняйтесь.
          • +1
            В последних версиях Ubuntu root доступ отключён. Можно лишь использовать sudo.
            • 0
              Причём только группа администраторов имеет доступ к этой команде.
            • 0
              Зато в онлайн доках подробно описано как его включить.
              Тем более никто не запрещает сделать sudo su.
              • 0
                поправка — sudo -s запускает shell от root
                • 0
                  sudo su
                  sudo su -s
                  sudo -s
                  sudo /bin/bash

                  способов много — результат один.
                  • 0
                    ну если для вас нет разницы будет ли в памяти болтаться лишняя программа, то конечно. sudo -s хорош именно тем, что открывает тот shell который прописан у админа в passwd. да и в наборе это самый короткий вариант.
          • 0
            приемлемые для новичков дистрибутивы как правило делают работу под рутом затруднительной. В Ubuntu например учётная запись рута заблокирована. Единственный дистрибутив, предлагающий пользователю работать рутом - Linux XP;)
            А вот интересно, угроза безопасности при беспечно настроенном sudo (типа NOPASSWD:ALL) остаётся? Меня вот именно этот момент всегда беспокоил, и потому я не могу себе позволить настроить sudo на беспарольный запуск.
            • 0
              Не надо так делать. В крайнем случае увеличить таймаут запоминания пароля. Вредоносная программа ведь может попробовать через sudo снести /home или сделать rm -rf? :) Впрочем, главное — для ввода команд через sudo нужно всегда писать собственно `sudo` в начале строке, что повышает уровень осознания совершаемых действий — а себя стоит бояться в первую очередь.
              • 0
                вот и я как раз об этом же
              • 0
                Правильней - вызывать sudo с полным путём ;) Не забываем про ~/.profile с его alias'om ;) Ведь вирус может перезаписать этот файл и подменить вызов судо собой ;)
          • +1
            Всегда поражали "совки"!

            Работать под рутом это как ездить в машине не пристегнувшись или на мотоцикле без шлема. Ехать можно, но в случае аварии последствия гораздо хуже.

            В никсах гораздо меньше распространён всякий "варез", т.к. хватает ОГРОМНОГО кол-ва свободного ПО. Там, где в винде юзверь ищет крэк и запускаете неизвестно что, в никсах он устанавливает подписанный автором (из исходников) или мэнтэйнером (бинарный) пакет.

            Уберечься от вредоносного ПО (читай вирусов) сливая файлы хрен знает откуда НЕВОЗМОЖНО ни в одной ОС.
        • 0
          Например в винде обычный пользователь практически вынужден работать под учетной записью администратора
          Странно, меня никто не вынуждал работать под учетной записью админа :) Работаю себе под restricted user и не испытываю никаких неудобств. Другое дело, что под Win были (а может и сейчас есть) эксплоиты типа privilege elevation, так что работать под restricted user это не панацея.
        • 0
          В Виндоус никто никого не вынуждает, проблема лишь в том, что у большинства пользователей ПК напрочь отсутствует понятие о культуре работы за компьютером.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Хы, посмеялся :) . Не буду комментировать общие фразы про опен-сорц, все равно не поможет. Скажу только что в моем примере речь шла про одиночного пользователя одиночного компьютера (а таких миллионы) у которых нет "персонального одмина". Ясное дело что в корпоративной среде правила игры несколько меняются (хотя и не намного).
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Ты видно забыл посмотреть в мой профиль ;) . Люди с отрицательной кармой вообще никак не могут голосовать.
            • 0
              да не смешно это :(
          • +2
            Ну если IBM, Red Hat, Canonical, а также Google и Dell — стадо студентов, то Microsoft — горстка учеников начальной школы.
          • 0
            За Линуксом уже давно стоят корпорации, можно было и почитать что-нибудь по теме. А ваш WPS и рядом не стоял с bash-скриптами;)
            • 0
              А в наверное программировали на wps? Сомневаюсь, раз так говорите.
              • 0
                Вы наверное не поверите, но вы - не единственный человек на этой зеленой планете, который умеет писать скрипты на wps:) Хотя я думаю, вам будет сложно это осознать. И сразу же встречный вопрос, а вы писали шелл-скрипты в никсах?
                • –2
                  Несомненно ВЫ счтитаете себя единственным пейсателем на шеллах?
                  • 0
                    Естественно, а как вы думали?:)
            • 0
              За Linux'ом стоят корпорации только лишь потому, что надеются что Linux поможет им забороть Microsoft и они смогут завоевать потерянный Microsoft'ом рынок. Собственно, поборов Microsoft мы получим IBM, Novell (когда то кстати монополист) и т. п. Спрашивается что лучше?
              • 0
                Мы получим открытую операционную систему на большинстве десктопных установок. Спрашивается, что лучше?
                • 0
                  а вы уверены
                  1. что качество, которое получится в итоге будет лучше?
                  2. свободная операционная система останется свободной?
                  • 0
                    Оно уже лучше, по крайней мере в задачах, которые нужны мне. А насчёт второго пункта - тут на GPLv3 перейти не могут, потому, что ядро уже давно не один человек делает, и для перелицензирования нужно разрешение всех поставщиков кода для ядра, иначе прийдется выбрасывать их код.
          • 0
            Товарищ, Вы не в теме. Может уже пора перестать долбиться рогами в закрытые ворота. Если конечно Вы считаете, что все вокруг дураки ... можете продолжать долбиться. Хотя может, Вы работаете в MS, тогда это Вас оправдывает.
          • –1
            Камрад, я с тобой! В месте мы сила! Покажем линуксятникам их место!!!
            • 0
              показывайте. Внимательно смотрим.
              • 0
                Да они уже тут в каментах сами себе показали, только руками разводить приходится, добавить нечего :) Один коммент archimed7592'a ниже чего стоит! :)
          • 0
            Людям играться некогда, нужно работать.
            То, что ты не умеешь работать под линуксом - это твои личные половые сложности.
          • 0
            Холивор как он есть.
        • –3
          Ядро менее совершенно. Оно монолитное, а у Windows - гибридное
          • 0
            Сыр с дырками менее совершенный, чем сыр без дырок... Или наоборот? ((=
            • –1
              Много слов и ни одного по делу.
              Вы видимо вообще не разбираетесь в ядрах.
              Не ОС дырявая, а головы пользователей часто дырявые из-за беспечности. Тем более, почитайте статистику найденных и устранённых уязвимостей ОС.
              Кстати, думаю, Вы бы не отказались, если б так горячо порицаймая Microsoft предложила работу
              • 0
                По делу. Микро-гибридо-монолитность архитектуры ещё ничего не значит. У всего есть + и -
              • 0
                Про головы согласен.

                По статистике % заражённых машин под вин выше чем под остальные системы. Про ложь и статистику наверно все уже знают выражение.

                В MS не пойду. Вообще не понятно к чему этот пассаж.
                • 0
                  Боюсь нарваться на минусы... Но всегда хотел спросить. Я не за и не против. Просто в порядке уточнения статистической информации. Может ли быть так, что % зараженных машин под Виндоус выше, чем у остальных просто потому, что % машин, оснащенных Виндоус выше, чем оснащенных не Виндоус?
                  • +1
                    вам же говорят про % от общего числа а не про абсолютное число таковых.
                    на мой взгляд большой % зараженных windows легко объясним востребованностью в заражении оной ОС. Что касается Linux то её сторонников не так много (а их квалификация зачастую слишком высока для запуска зараженных почтовых вложений), что разрабатывать вредоносный софт под Linux пока не выгодно.
                    • 0
                      Вредоносный софт под UNIX разрабатывать выгодно - поскольку вламываться в системы можно не только чтобы заботнетить, но и чтобы воровать важную информацию.
                      • 0
                        и по вашему от таких попыток спасёт антивирус? =)
                        • 0
                          От этого может спасти IDS (intrusion detection system). А может и не спасти... Антивирус, IDS или что ещё можно придумать хороши только как дополнительная меры защиты, в любой системе.
          • 0
            Я вот тут указал конкретную уязвимость CVE-2007-0843, о которой в Microsoft сообщили ещё 17 января 2006 года. Microsoft подтвердил её наличие и определил важность как "service pack class". Но вот, год спустя! выпущена Windows Vista с той же самой уязвимостью.

            Вывод: они не учатся ни у других, ни когда им посылают точную информацию об уязвимости, они даже сами у себя не учатся. И тут даже пусть бы было микроядро и realtime возможности — они не спасут, потому что проблема абсолютно в другом.

            PS. Для Windows много руткитов уровня ядра — на всех хватит.
        • 0
          В винде с правами, кстати, все в порядке.
          И никто не будет отрицать, что разграничение прав доступа к ФС организовано лучше, чем в *nix–системах. (Как оно реализовано я молчу, но модель отличная :))
          • 0
            Во всяком случае в w2k/w2k+3 server
          • 0
            кстати, являясь сторонником Linux, я часто выбираю именно микрософтову схему прав доступа в своих разработках. Она действительно во многих случаях лучше других.
      • +1
        гыгы, использую линуксы и *bsd тоже 7 лет, и про вирусы только слухи слышал, да в интернете читал... не знаю никого кто хоть когда-нибудь видел вирус живьём.
        Не надо пугать людей призрачной угрозой!!!

        ЗЫ
        а зачем программистам рутовские права вообще давать? прогрессивное человечество давно уже знает, что такое sudo
        • 0
          Вот под sudo всё и было. Файловый менеджер, все терминальные сессии, даже какие-то игрушки - всё что угодно, стоит только отвернуться. Идиотизм у человека в крови, естественное свойство.
          • +5
            понятное дело, видел таких множество, но юниксовый админ на то и админ, чтобы не давать такое творить - программерам совсем ни к чему иметь рутовские права, а в судо давать разрешения только на пару-тройку необходимых команд.
            Это ведь основные заповеди ЮНИКС!
            • 0
              ну хоть кто-то дело говорит! :)
        • 0
          И я, кстати, не слухи слыхал, а своими глазами видел исходники концептов. Вы, кстати, про Bliss слышали что-нибудь. А пугать я никого не собирался. Linux гибче многих других в плане безопасности за счет Open Source - природы. Обновляйтесь из проверенных источников регулярно, про антивирус не забывайте - кажется, эти советы универсальны. Только по Ubuntu обновления практически ежедневны, много уязвимостей закрывают быстро, так что главное - не отставать. И ваша машина не станет спам-зомби, как ноутбук моего бывшего шефа.
          • +4
            В Linux часто обновления выпускаются по пустяковым уязвимостям, например есть sgid-игра, которая пишет таблицу результатов благодаря этому sgid. Так вот, если пользователь может при помощи этой игры производить манипуляции с таблицей результатов — выпускается апдейт. Казалось бы мелочь, а всё-таки.

            А у Microsoft есть куча серьёзнейших уязвимостей, которые они определяют как Service Pack-grade. Чего только стоит один ReadDirectoryChangesW(), который вообще никак не проверят права файлов и пользователей, что позволяет учётной записи с правами гостя (!) мониторить изменения всей файловой системы.
            • 0
              А что подразумевается под словом «мониторить»?
              Просто получить список измененных ресурсов или получить контент?

              Если просто список — что в этом такого?
              • 0
                В именах файлов может содержаться секретная информация — например, если это файлы сессий у веб-сервера. Также через мониторинг изменений можно выяснить кто и что делает в конкретный момент в системе, например, для большей вероятности успеха race-condition атак.
              • 0
                Извиняюсь, не ответил на первый вопрос. Это значит получать список изменённых файлов и тип действия (запись, создание, переименование и др).
    • +1
      Помоему сей пост будет крайне полезен для
      1. Тех кто хочет перейти на Linux по причине "отстутствия" вирусов
      2. Священных воинов холиваров, использующих как аргумент - отсутствие вирусной угрозы на Linux.
      И для 1х и для 2х этот пост может стать "открытием Америки".
    • +3
      Чем больше чайников, типа меня, начнут пользоваться линуксом, тем больше проблем у этого самого линукса сразу и появится. Вирусы "не интересуются" линуксами только потому, что "целевая аудитория" малочисленна и технически подкована.
  • +6
    > Если вы привыкли работать в администраторском или root-аккаунте, никакие права вас уже не спасут.
    В свежей ubuntu вам туда просто не дадут зайти (и так должно быть в любой грамотно настроенной системе, просто в ubuntu это сделали уже "из коробки"). В любой книге эта прописная истина написана на одной из первых 50 страниц.

    > Вы уверены в безопасности своей копии исходников?
    Я уверен в цифровой подписи пакета, которую для меня проверяет dpkg.

    > Кроме того, ассемблер — он везде ассемблер,
    Несовместимости в системных вызовах есть даже в пределах одной ветки ядра: 2.6.* Для обычных программистов C библиотека libc успешно скрывает эти несовместимости, а ассемблерщик будет долго думать, почему его программа не работает (а документации по этому поводу практически нет даже для i386, про остальные архитектуры вообще нереально найти толковую информацию про программирование на ассемблере).

    > Скрипты оболочки (shell scripts) и неосторожные пользователи
    Если мне пришлёт кто-то программу по почте и я её запущу — этот то же самое что я бы сам дал взломщику доступ в систему. Это не проблема Linux, это проблема плохой осведомлённости пользователя.

    > Черви и уязвимости
    Самый реальный вариант заражения, но! требует установленного и работающего демона с необходимыми параметрами. Из раздела "Примеры" — у скольких домашних пользователей стоит собственный DNS-сервер? А опытные админы, которым DNS реально нужен, часто обновляются и следят за известными уязвимостями.

    > Вирусы ядра
    Это вы про руткиты с загружаемыми модкулями ядра? Для того чтобы установить руткит, нужно сначала стать root на целевой системе.
    • +2
      Видимо, надо пост отредактировать. Если кто еще не понял: речь идет о том, что нельзя поставить себе Linux, когда под виндой «вирусы достали», и на всю жизнь успокоиться относительно них. Надо повышать свою грамотность в обращении с системой, надо понимать, зачем введены те или иные ограничения, зачем у вас пароль спрашивают постоянно - а не подсаживаться на автологин и ставить в автозагрузку себе Krusader с рутовыми правами. От привычки в консоли первым делом вводить sudo -s тоже надо избавляться, если такая появилась. Нет её - и слава богу. Я не говорю, что у вас лично руки кривые и вас сейчас отымеют. В конце концов, Windows тоже можно администрировать так, что и мышь не проскользнет. Пример - мой домашний комп. 4 года под WinXP, с активной работой в Интернете, играми, прямыми коннектами по сетке и даже модему к другим компам, и т.п. - ни одной переустановки системы, ни одного вируса в оперативке (присылали, заливали, но запустить не смогли). Это предупреждение для новичков. Обновляться и следить за своими действиями надо под любой осью, буква Икс в названии и всё, что она несет, ни от чего не защищает.
      • 0
        Просто многие ваши доводы несостоятельны сами по себе. Для многих способов заражения взломщику уже требуются права в системе (LD_PRELOAD, kernel rootkit). Реальных способов заразиться, как и в Windows, всего два:
        * запустить вирус своими руками (причём работа из-под root усугубляет ситуацию)
        * через уязвимый демон

        Да, забыл про LD_PRELOAD. В Windows такая фишка тоже есть, этот вектор атаки совершенно не нов сам по себе. И в любом случае, для того, чтобы ей воспользоваться, уже нужно иметь права в системе.
    • +1
      > Если мне пришлёт кто-то программу по почте и я её запущу — этот то же самое что я бы сам дал взломщику доступ в систему. Это не проблема Linux, это проблема плохой осведомлённости пользователя.

      Проблема в следующем - пользователю сказали что *n*x - абсолютно защищенная система, и когда он увидит что ему прислали "lines" которого ему так не хватает и виндовый не идет, то запустит. И "одмин" который вместо того чтобы тратить траффик на апдейты будет порнуху лить. Потому что *n*x - абсолютно защищенная система. Пользователь и "одмин" так осведомлены.

      > нужно сначала стать root на целевой системе
      - эскалация прав разве невозможна? Перед тем как внедрить руткит... Скорее всего будут созданы (или уже может созданы) средства поиска уязвимости на машине для последующего заражения аналогично виндовому mpack. Что-нибудь да и найдется.
      • 0
        > И "одмин" который вместо того чтобы тратить траффик на апдейты будет порнуху лить.
        Если не апдейтить Windows и выставить его в сеть с настройками по умолчанию, он будет заражён менее чем через час *без содействия пользователя* — были проведены реальные исследования, не могу найти ссылку. Может кто знает ссылку?

        Любую систему нужно апдейтить. И следить за ней. Ведь в инструкции пользователя рассказывается как запустить программу в данной ОС? — и пользователи это обязательно читают. Тогда там наверное и рассказывается, как запустить программу обновления — если пользователи этого не читают...

        > эскалация прав разве невозможна?
        ОК, чтобы поставить руткит нужны права root. Чтобы получить root, нужно или чтобы вредоносный код был изначально запущен с правами root, или он должен использовать эскалцию прав — а это уже вторая по счету уязвимость в одной системе, и что более важно — в одном вирусе. А для автоматического поиска по базе каких-то уязвимостей нужно чтобы вирус содержал информацию о всех них. Тогда это уже будет порядочного размера бинарник.
        • 0
          > Если не апдейтить Windows
          это мы с вами понимаем, но есть пропаганда которая утверждает что это иная система, где ничего подобного вирусам и проблемам нет.
      • 0
        есть небольшая, но интересная особенность POSIX систем. если к вам по почте пришёл файл и вы его сохранили на диск, то одним нажатием вы его не запустите как это происходит в винде. вам сначала ПРИЙДЁТСЯ ВРУЧНУЮ выставить атрибут исполнимости. Либо если это скрипт ВРУЧНУЮ выбрать shell через который вы его собираетесь запустить. Это весьма неплохой порог для вхождения — пользователь с виндовым опытом автоматики не сможет запустить, а тот, кто разбирается имеет время подумать и не поддаться на такую провокацию.

        Значительно более опасной в почте Outlook является возможность запуска вложений БЕЗ ведома пользователя, поскольку Microsoft идя на поводу удобства сделал возможным запуск javascript и парсинг html через "больной" движок безо всякой команды со стороны пользователя. вот и получается, что в винде без антивируса и шагу ступить нельзя.
    • 0
      В любой Ubuntu можно перепилить сук под собой:
      $ sudo su
      • 0
        А ещё можно отредактировать файлы конфигурации, чтобы под рутом пускало в графический режим...
    • 0
      >> Вы уверены в безопасности своей копии исходников?
      > Я уверен в цифровой подписи пакета, которую для меня проверяет dpkg.

      А у Вы берете пакеты только из официальных репозитариев?
      • 0
        Первый диск, на котором находятся ключи для подписи, выкачал через BitTorrent при помощи .torrent-файла с официального сайта, потом сравнил MD5 полученного диска. Остальные пакеты всё равно откуда брать, потому что ключи получены из доверенного источника.
      • 0
        года за два активного использования убунты ещё ни разу не понадобились пакеты из других (неофициальных) репозитариев.
  • –2
    Разумеется, аффтар прав в том, что под рутом сидеть не надо.

    Под виндой не-администратором сидеть невозможно, неудобно.

    Системы типа Ubuntu всегда спрашивают пароль, если что-то надо переустановить. Это оптимальное решение для пользователя.

    Да, уязвимости есть и у Линукса. Но тут хотя бы не посылают "порнуха.ехе" по аське, а скачав файл надо ручками права для запуска поставить. В общем, это куда сложнее под юниксом заразить. Я даже не знаю, что нужно скачать, чтобы оно "запустилось" с вирусом.

    Аффтар хорошо раскрыл тему man'ов, но кто по аське манами кидается? Домохозяйки? В общем, я плакал.

    На мой вгляд, Касперский писал, юниксоводы не покупают его продукты наверное. ;)
    • 0
      > На мой вгляд, Касперский писал, юниксоводы не покупают его продукты наверное. ;)

      зачот! :) А вообще, автор несколько сгустил краски.
    • 0
      >Под виндой не-администратором сидеть невозможно, неудобно.

      Возможно. Сижу только под ограниченной уч. записью.
      А не удобно только сначало, потом привыкаешь :)
  • –1
    Смысл есть - надо обезопасить себя и не только ручками, а и еще и софтом - это факт и не надо глагольстовать что все N*X системы безопастны - все правильно сказали.
  • +2
    вирусы под Linux распространяются методом "ух ты, дай посмотреть!" :)
    • 0
      Видели «строчку на Перле»?
      • 0
        да. Суровая тема. Кстати, попробую найти для тех, кто не видел, но вроде с лора её уже удалили?
        • +1
          Рекомендую всем ознакомиться: http://www.linux.org.ru/view-message.jsp…
          • 0
            да, тоже тема. вирусы, распространяющиеся через человеческий мозг.
            никакие операционно-системные ухищрения от этого не спасут. пока.
  • 0
    Из любопытства: А у кого-нить уже стоит антивирус? А проблемы с вирусами были? Как ощущение?
    • 0
      За много лет работы в unix не встретил ни одного вируса, который не надо было-бы скачивать и компилировать самостоятельно. Стоит chkrootkit и clamav. Ставил как-то касперского, когда у них был бесплатный на сайте. Но потом они его убрали.
    • 0
      Угу, стоит, чтоп почту проходящую по внутренней сети проверять на виндовые вирусы, что найдено тупо трется ибонефик
    • 0
      у меня стоит. Klamav. Ибо корпоративная политика. Что такое вирусы - как не знали, так и не знаем. Но притормаживает система знатно.
  • –1
    Забавно слышать что в кубунте запретили рут-доступ... Там лишь только в отдельно взятых gdm и kdm запретили заходить в иксы из под рута. А вообще можно как обычно перейти в нормальную консоль, зайти рутом, сделать startx и никакой демон вам не воспротивится.... так что этот "факт о безпасности" годен лишь для тех кто пользуется готовым решением... а вдруг мне захотелось снести kdm?
    но думаю если в консоли из под рута сидеть еще хоть как-то простительно, то вот в "Иксах" просто ужас.
    • +2
      Если пользователь способен произвести означенные действия, он уже не начинающий, а следовательно пологаться на массовость такого явления не стоит.
    • 0
      в убунте нельзя логиниться рутом. никак. только sudo.
      да, можно сделать, например sudo bash и стать рутом де-факто.
      но так все-таки сложнее, чем ввести root в поле user.
      • 0
        это уже пустой треп, но теме не менее.
        а ты пробовал это делать?
        Ctrl+Alt+F2
        user: root
        Passworrd: ***
        и все заходит как миленькое
        • 0
          у меня говорит login incorrect...
          • 0
            ну если ты не ставил пароль на рута, то конечно не зайдет ;) А у меня это вошло в привычку - после установки системы ставить на него пароль
            • 0
              Т.е. настройки не дефолтные. При желании можно и своему пользователю права 0 выставить и chmod +s /bin/bash или /bin/* сделать. Замечательно будет. Речь, идет о дефолтных настройках с которыми будет иметь дело предполагаемый «тупой» юзер.

              На вопрос, «можно ли сделать линукс очень небезопасным?» ответ безусловно положительный. Можно даже написать инструкцию : )
              • 0
                Наверное мой последний ответ по поводу этого вопроса в убунте:
                ПОЧТИ в любом линуксе ПО УМОЛЧАНИЮ пароль на рута не выбирается, так что говорить что ограничение на рута это фишка убунты - не правильно
                • 0
                  ASP, Fedora, SuSE. Есть шаг ввода пароля рута при инсталляции. Иначе в gentoo и ubuntu. С другими не знаком.

                  Про исключительность убунты в этом вопросе я не писал.

                  Тему, действительно закроем ибо оффтоп уже : )
            • 0
              вы тут пытаетесь рассказать как можно разбезопасить систему? вам не кажется, что это не только не относится к теме, но и вобще можно посоревноваться в глупости — поставить в Linux пароль рута и написать здесь ваш IP рутовый логин и его пароль. никакая программа не сделает столько гадости сколько сможет человек. НО ЗАЧЕМ ОБ ЭТОМ ДИСКУТИРОВАТЬ?
        • 0
          а как это? Даже при установке убунты не спрашивается пароль для рута. Учётная запись заблокирована.
  • 0
    Про уязвимости конечно интересно написано, но что-то сомневаюсь, что за многие годы штудирования открытых кодов миллионами программеров со всего света там могло сохраниться что-то серьезно. OpenSource is OpenSource. А вот в винде одному Богу известно солько еще эксплойтов кроется.
  • +1
    Уязвимость венды и неуязвимость Linux лежит в другой плоскости: в Windows с большой долей вероятности не слишком опытный пользователь будет сидеть под IE, Outlook (Express), 2-3 вариантами ICQ, Win Media Pleer'ом и под локальным админом. Что будет в Linux - сказать сложно кроме того, что root'a так просто не будет - вариантов сочетания софта больше. Плюс запрет на любимое Windows исполнение скриптов прямо из почтового клиетна.
  • 0
    не надо зацикливаться на правах администратора, вирусы вполне могут жить с правами текущего пользователя или получать привелегии, как уже отметили, через уязвимости. Когда вы в последний раз видели вирус трущий все подряд или приводящий систему в полную неработоспособность ? Это противоречит одной из задач этого вида программ (распространиться на как можно большее число компьютеров). Поэтому надежда только на продуманную политику публикации уязвимостей и патчей их исправляющих и, с другой стороны, дисциплинированное обновление (тут в линусе тоже на порядок лучше, например, потому что можно все обновлять центарлизовано) и разнообразие конфигураций, о котором упомянул shaman007
  • +1
    Если вы привыкли работать в администраторском или root-аккаунте, никакие права вас уже не спасут.

    Таких пользователей уже ничто не спасёт.

    А вообще у меня в Gentoo каждая программа скачивается в виде исходников, эти исходники очень тщательно проверяются (размер, контрольные суммы) и, если все проверки прошли, компилируются и устанавливаются. Мне кажется, метод продуманный и безопасный. Смысла заводить в такой ситуации антивирус и уж тем более держать его включённым не вижу абсолютно.
  • 0
    Предлагаю немедля седло большое, ковёр и телевизор, крест на пузо и в карму тому, кто поделится _правдивой_ историей о заражении своей системой юниксовым вирусом, причинившем ему ущерб. Настоящим вирусом, а не из серии «ух ты, это вирус под линкукс?! Дай списать!»
    • 0
      Да уж. Я пока видел только истории вроде: «Скачал вирус под Линукс, ура, они существуют! Полчаса просидел, пытаясь скомпилировать — написал два с половиной патча и лёг спать. На следующий день — о, чудо — собралось. Вирус работает отлично — находит открытые терминалы и кидает в них смешные сообщения из своей базы. Кому патчи?»
      • 0
        а мне можно такой?
    • +1
      Я как-то специально повесил на 22-й порт безпарольный (user:user) ssh с эмулятором шелла. Туда ловились хацкеры и пытались закачивать вирусы и руткиты с тем чтобы скомпилить и ломануть рута. Поскольку это был лишь эмулятор, скачать у них не получалось (эта функция не была реализована), зато адреса (и пароли) к их ftp/web серверам оставались. Все найденные проги скачивались мною и запускались в виртуальной машине. Удалось найти 1 работоспособный эксплойт против ядра кажется 2.2, который поднял права до рута через ptrace.

      Так что теоретически (!) на базе, например, того эксплоита можно было создать более-менее работоспособный вирус для определенной ветки ядер.

      Есть (будто-бы) работоспособные вирусы под php. Linux тут непонятно каким боком (ну да, php в нем работает), но через php-xmlrpc будто-бы (сам не смог применить эксплоит, не вышло) удается заражать системы.

      Сори за неточности, дело было давнее...
  • 0
    Мне кажется что не не стоит говорить именно о вирусах. С точки зрения злого умысла они не так интересны. Гораздо более "полезны" зрения трояны. И задача от "заразить и нагадить" меняется на "подсадить тихо, продержаться дольше и что-то делать".

    Чуть выше с посмотреть профиль gribozavr обсуждали поиск уязвимостей для эскалации прав. Так вот - отчего бы не быть системе, которая используя данные об уязвимостях будет "закрепляться" на ПК. Не нужен большой бинарник - к примеру, построив сеть р2р можно подкачивать с других ботов.
    Годами не находимые дырки в **Х ПО, инциденты типа слома ftp.gnu.org в помощь. И чем дальше там крепче и больше будет бот-сеть на **х машинах, потому что антивирусное ПО на вин-машинах всеже совершенствуется, а колво **х машин в школах, у домохозяек и нерадивых одминов будет расти.
    • 0
      chkrootkit в помощь : ) И правильная организация сетей, в которых p2p просто нет места. В целом эта схема, конечно, работоспособна для любой ОС. Вопрос в прямости рук админа (организации или провайдера).
      • 0
        опять же - вопрос в компетенции админа, как известно и вин-машины можно правильно настроить и содержать в порядке. Вопрос именно в догме "а тут все хорошо и так" вбиваемой постоянно в неокрепшие умы.
        А в помощь еще и "монетизация" схемы. Продавать готовое ПО вполне возможно.
        К вашему нижеследующему посту - количество платного ПО для **х будет увеличиваться. Таков рынок. И будут также брать из левых источников непонятно с чем внутри.
        • +3
          Догма догмой, но та-же убунта по-умолчанию предлагает открывать exe файлы clamav. Хотя и не может их выполнить. И не только exe, кстати. Проблема win в том, что порой кажется, будто она специально создана для распространения вирусов. Типа дать хлеб авторам антивирусных программ. Ну зачем определять тип файла по расширению? Зачем выполнять скрипты где надо и где не надо? И т.д., все эти пролемы известны, они закрываются при наличии рук и мозгов, но зачем?

          В nix по-умолчанию все-таки иной подход, при щелчке на скрипт гном спрашивает, что с ним делать и т.п. Да, при наличии кривых и шаловливых ручек можно все поотключать и сделать свою систему менее безопасной, чем она была. Так везде можно. Какой-то умник так поезд метро пустил в обратную сторону (отключив все защиты) и устроил лобовое столкновение поездов. Кажется единственное в истории.

          Безусловно, навязывать точку зрения, что в nix нет проблем с безопасностью неправильно. Но акцент надо делать не на вирусах, которые пока экзотика, а на правильной настройке служб, например. Потому что целенаправленный взлом все-таки более реальная угроза.

          Тот псевдошелл, кстати, стоял на домашней машине. И ничего, примерно 2 штуки в неделю ломились (и вламывались, нетрудно-же).
  • +1
    Если начать копировать виндовые механизмы поведения в nix, то могут и вирусы появиться. Откуда берут софт вин-юзеры? Из torrent, donkey и ftp типа весь-софт-для-вин. Откуда берут софт пользователи linux? Из репозитария или из исходников с сайта поставщика. Где скорее появится вирус? Ответ очевиден.

    Подделать пакет из репозитария почти невозможно. Залить в CVS вредоносный код — тоже. При обновлении CVS все разработчики получают уведомление и изучают изменения. Тот, кто работает над кодом знает его почти наизусть, подозрительный код отловят сразу-же. В Eclipse, например, есть удобный инструмент для сравнения обновлений cvs.
  • 0
    В Линуксе Нету Работающих И Тем Более Распространяющихся Вирусов!!!
    Черви работают только под конкретную программу, которой может просто и не быть, но за свои 2 года работы с линуксом у меня не было необходимости проверить свой компьютер на наличие хоть какой-то заразы, а единственный случай поедания трафика оказался очередным обновлением системы :)
    • 0
      В машинах, некоторых, есть подушки безопасности. У большинства они никогда так и не срабатывают. Некоторых они не спасают. Но все-таки лучше при ударе впечататься лбом не в руль, а в подушку.

      На сервере хорошо иметь chkrootkit и анализатор логов. На клиенте — любой (хоть веб) антивирус. Файлы проверять. Ладно, ваш компьютер не заражается, но получив файл с вирусом лучше не передавать его дальше.
  • 0
    21.04.2006
    http://www.viruslist.com/ru/analysis?pubid=184420051

    если бы я мог поставить минус этому автору из прошлого я бы его поставил
    • 0
      почему?
  • 0
  • 0


    Это целая индустрия...


    А зачем их пишут?

  • –3
    Здравствуйте!

    Как я могу автоматически отписаться от всех новостей, содержащих ключевые слова "линукс", "юбунту", "линукс на десктопе", "опенсорс", "генту", "безопасность", "ричард столман", "хиппи", "бесплатное программное обеспечение", "марихуана", "билл гейтс", "сессия", "препод", "вирусы", "линус торвальдс", "макинтош" и "айфон"?

    Спасибо!
    • 0
      Не ходить на Хабр?
    • 0
      так же как подписывались =)
    • 0
      Немогу не читать. Научите как отписаться.

      Зачот.
    • 0
      и вам спасибо! Под конец рабочего дня не грех и посмеяться :)
  • 0
    emerge: there are no ebuilds to satisfy "Winux".
    emerge: there are no ebuilds to satisfy "Ramen".
    emerge: there are no ebuilds to satisfy "Linux.Vit.4096".
    emerge: there are no ebuilds to satisfy "Linux.Diesel".
    emerge: there are no ebuilds to satisfy "Lion".


    Они пропиетарные?))
    • –1
      Рамен — это блюдо такое есть. Очень вкусное и свободное (рецепт открыт и доступен публике).
      • –2
        Рамен — это лапша.
  • 0
    Пожалуйста, не пугайте начинающих пользователей!

    «Если вы привыкли работать в администраторском или root-аккаунте, никакие права вас уже не спасут» — никто так не делает, и для новичков везде подчеркивается, что так нельзя.

    «Сколь часто вы ставите софт из исходников? А сторонние репозитории в вашем sources.list уже есть?» — у новичка не будет, а дистрибутив для обычного пользователя — не просто куча программ, а защита от подозрительного и нестабильного ПО.

    «А уязвимости в вашем Linux или BSD точно есть — ведь система обвешана кучей всякого софта» — это также очевидная истина, что нельзя запускать все подряд демоны, а еще нужно обновлять ПО, загружая патчи (благо, все автоматизированно).

    Вот по теме: «Why Linux Viruses are fairly uncommon» from Charlie Harvey.
  • 0
    Предлагаю задать себе вопрос "Кому выгодно пугать пользователя вирусами?"
    Ответы на него многое объясняют.

    Призываю всех пользователей максимально использовать защищенность Linux прямо сейчас!
    Раз в настоящее время использовать Linux для доступа в Сеть гораздо безопаснее,
    ЭТО и НУЖНО ДЕЛАТЬ!

    Ну а верить или нет предсказаниям - дело личной симпатии к их авторам.
    • 0
      Qui bono :)
  • 0
    Не нужно думать, что дырок в открытых исходниках и в никсах в частности нет. Очевидный пример - Firefox. Когда им пользовалось 1-2 процента пользователей, существовал миф, что это самый защищенный браузер на планете. Сейчас дыры находят с завидной регулярностью. Причина одна: браузер стал достаточно распространенным, чтобы попасть в сферу интересов соответствующих людей. Я пользуюсь этим браузером очень давно, но никогда не питал иллюзий относительно его "невзламываемости". Та же история с Linux. Вирусы и трояны - это уже бизнес, на котором можно заработать вполне реальные деньги. А писать нечто массовое под Linux - дело на данный момент нерентабельное.
  • 0
    «На прежней работе я натурально бил своих программистов по рукам» — а почему было не поменять пароль на root?
  • 0
    Если в sudoers нет ограничений на исполняемую команду, то аттакующий может повысить свои привелегии даже не зная пароля:
    http://www.securityfocus.com/archive/1/4…

    Мои два цента :-)
  • 0
    Сделайте, пожалуйста, кросс-пост в Вирусы (и антивирусы).
  • 0
    Для примера.

    На всех моих компьютерах возможно запускать только те программы владельцем исполняемых файлов которых является пользователь root. Таким образом запуск сторонних программ пользователями принципиально не возможен.
    • 0
      selinux? А справляется ли с такими методами обхода защиты (просто интересно узнать, сам никогда ещё selinux не пробовал):
      1. cp /bin/ls /tmp/evil
      chmod 0644 /tmp/evil
      /lib/ld-linux.so.2 /tmp/evil
      2. Отладчик gdb в системе есть? Ведь с его помощью можно запустить, допустим, /bin/ls, остановить до начала исполнения, перезаписать код в памяти и выполнить его? Или на ptrace() есть ограничение?

      Если нет selinux, можно монтировать /home и /tmp с noexec.
      • 0
        ~ $ /lib/ld-linux*.so.2 evil
        evil: error while loading shared libraries: evil: cannot open shared object file

        Пользователи без проблем могут выполнять всевозможные скрипты типа Python или bash, через интерпретатор. С этим я ничего не могу сделать: это их работа :)

        nosuid,nodev,noexec волшебная мантра :)
        • 0
          Значит, делаем вывод: вредоносное ПО для *nix должно быть на perl или на shell :) Хотя собственно так оно и есть — не раз видел IRC-ботов на perl, которые загружают после эксплоита какой-то дырки в скрипте на веб-сервере. Причём даже были "завуалированы" при помощи base64 и декодирования на лету.
  • 0
    Согласен, неуязвимых систем нет.

    Но все же nix-системы во много раз лучше защищены от вирусов - есть много причин.

    За пять лет плотной работы в Linux ни с каким вредоносным ПО не сталкивался.
    • 0
      во много раз достаточно для того что-бы не было того что сейчас творится с виндоюзерами - весь интернет загадили спамом со взломанных виндов, так и еще моду взяли сайты мне досить... пришлось nginx приделывать к апачу (
      • 0
        кстати могу выложить пример простой настройки nginx, может кому надо?
  • 0
    > я натурально бил своих программистов по рукам, если успевал заметить на экране окно с рутовыми привелегиями.

    Ну если в sudoers у вас прописано так: root ALL=(ALL) ALL, то вопросов никаких не возникает. Стоит только грамотно настроить sudo.

    В бытность моей работы на интернет-провайдера мы долго радовались, вплоть до улюлюкания, когда наш innd сервер подцепил специфичный вирус. Это было действительно интересно.
  • 0
    а при чем тут линукс???
    ерунда написана - в линуксе совсем другие и принципы операционки и организации разработки программ.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.