Linux за българи: Форуми

Възможно ли е това или е просто рекламен трик?

http://pcworld.bg/19989_mezhduplatformen_troyanec_krade_paroli_v_linux_i_mac_os_x ($2)

Когато бъде задействан, BackDoor.Wirenet.1 създава свое копие в основната потребителска папка на компютъра

Хахаха.... Тия от PC World са прекалили с бозата май!

А, някога четях този вестник или каквото там беше ...

Иска ми се сега да им постна един мега аргументиран отговор под статията  >:D

Ако ти се пише го направи. Можеш и да им обясниш какво е потребителска директория. Защото този, който е преписал статията едва ли знае.

Предния "вирус" за MAC питаше дали си сигурен, че искаш да се инсталира, и ако кажеш "ДА" искаше да въведеш администраторска парола :)

И ние в Linux си имаме такива вируси - Skype, VLC, Libreoffice...
Списъкът е дълъг и плашещ  ;D .
Kато видях, че последните две години е нарастнал с няколко хиляди бройки и мен почна да ме хваща страх. А съм само с две комбинирани хранилищата на main, contrib, nonfree и updates.
http://s19.postimage.org/in1epfwz5/2012_08_24_132011_1024x768_scrot.png

крос-платформен
малуер
вредоносна програма
троянец
кийлогър

родна реч омайна сладка...

Така преписвачът е демонстрирал начетеност по техническите въпроси.

Просто рекламен трик. Сега Dr.Web ще може да продава анти-ххх (троян/вирус/малваре) продукти и под линух, и то ефффтино, а може и с отстъпка. Виж самия троян по стара традиция ще трябва configure && make && sudo make install ;D

Просто рекламен трик. Сега Dr.Web ще може да продава анти-ххх (троян/вирус/малваре) продукти и под линух, и то ефффтино, а може и с отстъпка. Виж самия троян по стара традиция ще трябва configure && make && sudo make install ;D

Нищо подобно, в сайта на производителя ще е достъпен за сваляне bash скрипт с чиято помощ тоя "вирус" да се стартира със системата, отделно за начинаещите ще се предлага remote desktop support. В проекта вече се е вкл. един наш стар познайник от шумен, чието име няма да споменавам, да не влизам в полезрението на империята.

@danaildr хммм ... вируса да не е писан на HTML5 с JS ядро :)

@danaildr хммм ... вируса да не е писан на HTML5 с JS ядро :)

Ако беше така, това нямаше да и вирус, а новата версия на Цоникс ОС :D.

Тва ме уби: "BackDoor.Wirenet.1 всъщност е програма от типа "кийлогър", т.е." малуер а всъщност кейлогер тия нещо са по прекалили с пиенето май :) Няма как кейлогер да не се види като странен процес :) Поредната гаврореклама както му викам аз :)

Е то не пише и как се инсталира, за предният трябваше да се пачне ядрото.

Цитат на: borovaka в Aug 25, 2012, 00:25

@danaildr хммм ... вируса да не е писан на HTML5 с JS ядро :)

Ако беше така, това нямаше да и вирус, а новата версия на Цоникс ОС :D.

А нима Цоникс ОС не може да е ОС и вирус, троян и червей едновременно? Аз мисля че и за офис пакет и CAD програма, че и за база данни Цоникс ОС няма да падне по гръб!

Не е особено сложно да криеш процеси в линукс ако имаш root-ски права. Дори и без да модифицираш ядрото. Същото важи и за файлове.

и тук идва въпроса, кой е достатъчно глупав да изпълни тоя файл с администраторския акаунт.

Е как кой, всеки ползващ BackTrack, щото е мноо як :)

Това е списание. Имам около половин голям шкаф с негови броеве от началото на века, а другата половина е с други списания. Отдавна това списание е известно с недоброто си отношение към нашата ОС. Просто прекалено много са свързани с една друга. Обаче от как решиха да стават списание „за живота“ тип „.net“, станаха съвсем нетърпими. Още през две и пета написаха една огромна глупост и клевета за ГНУ/Линукс. Тогава написах и статия отговор, но ЛЗБ отказаха да я публикуват.

Още през две и пета написаха една огромна глупост и клевета за ГНУ/Линукс. Тогава написах и статия отговор, но ЛЗБ отказаха да я публикуват.

Ако още я пазиш....

И ние в Linux си имаме такива вируси - Skype, VLC, Libreoffice...

Доколкото знам, това са имена на програми и ако за първата мога да предположа защо я наричаш "вирус", за другите две недоумявам. Може ли някакво разяснение?

Ами да след като не беше публикувана, си я публикувах сам на личната страница, която е спряна, но статията е още на линия:

http://lamerspace.hit.bg/page/pcworld.htm

И едно извинение. Заради старост-нерадост съм объркал с цяла година. Статията е писана и предложена за публикуване на  30.09.2006. Не много след нея изобщо спрях да си купувам това списание.

---

Сега си я препрочетох и видях странното от днешна гледна точка твърдение, че вирусите не се пишат за пари. Но по онова време точно така си беше. Другото е все още актуално.

Трябвало е също визуално да отделя цитатите, макар да е ясно по стила, кое е цитат. И е трябвало да обърна повече внимание на абзаците. Не са добре. Също така някой изречения са заплетени и не изчистени. Но все пак аз не съм журналист, а от тогава придобих доста повече опит.

Баси пропагандата .Тия само пускат фитили

Навремето тук имаше един ЮниксЛинуксФен или нещо такова. Та той настояваше да работи изключително и само  с административни права. Знаем от къде е придобил тази тъпа идея. Тогава ползваше Слак, защото му позволяваше да влиза графично като свръх-потребител, а Дебиан не  му позволяваше.

Така и никой не го светна, че всъщност и в Дебиан това е елементарна задачка. Най-вероятно за негово добро. Но пък тогава попадна в ада на зависимостите и караше Нетер да му пише bash script за теглене на дебиански пакети и конвертирането им в tgz.

Това не беше отдавана. Да не сбъркам втори път с датите днес, но мисля лятото на 2009 беше. Тъй че кандидати да вършат глупости, винаги има.

http://lamerspace.hit.bg/page/pcworld.htm

Здравей,
Аз изобщо не целя да се заяждам, но мисля, че за поне някой неща в отговора ти грешиш. Един вирус няма нужда от администраторски права за да зарази система. Мисля, че имаше една дискусия с gat3way отностно как SELinux може да те пази от такива атаки като допълнително ограничава достъпка, но както той сам каза настройката "по default" е по скоро колкото да върви, отколкото да създава реална защита.

Иначе съм абсолютно съгласен, че антивирусните са отживелица - на която и да е OS, ако някои поиска да те зарази ще го направи.

Иначе хората имат право да пишат, каквото си сметнат, че е интересно - също както ти :)

Поздрави!

Шошка разликата между нас е, че ти си работил със SELinux ;) Аз съм ламер, ти си профи и на мен е простено да сгреша. Но въпреки това може да съм сгрешил, но мога да видя манипулацията.

Примерче. Те пишат, че Линус е пуснал поправка заради „вируса“. Това е вярно, но е точно обратното. Линус пусна поправката, за да тръгне вируса, а не за да не може. Всъщност новина за въпросната кръпка има и тук. Тъй че си ми е вярно заглавието и основното, което съм искал да кажа.

Разбира се приемам конкретна критика и въпреки, че мястото е неработещо, ако желаеш ще добавя отдолу твоите думи.

Административни права не означава задължително че някой потребител с такива ще ти пусне злонамерения код.

Моето скромно мнение по въпроса с malware-а под линукс е че трябва да сме доста радостни че не е стигнал до такива висини както е в една друга операционна система. Това което спасява нещата е че екосистемата е доста по-разнообразна и да - и че не е популярен, което означава, че не е толкова доходоносен таргет. Това че видиш ли линукс изначално е по-сигурен като дизайн или пък че се ползвал от power user-и които са наясно с рисковете са по-скоро митове.

Преди 10 години се появи един worm, който explot-ваше дупка в mod_ssl на apache (apache тогава беше инсталиран по default в почти всяка дистрибуция), от тогава ми е много забавно като прочета някъде мнение, че за Linux или OSX не можело да има вируси :)

D0ni помня го. Единственото дистро,  на което вървеше, беше РХ8 и не предизвикваше никакви щети, не успяваше даже да направи много трафик. А да и го закърпиха за по-малко от 24 часа.

D0ni помня го. Единственото дистро,  на което вървеше, беше РХ8 и не предизвикваше никакви щети, не успяваше даже да направи много трафик. А да и го закърпиха за по-малко от 24 часа.

Сега проверих за дистрибуциите - освен RedHat, Debian също е бил уязвим. Също и OS X 10.1. А трафик си правеше, и то доста :-)

Забележката се приема. Аз само по спомени, не съм проверявал.

Писането на malware си е бизнес в днешно време. В този ред на мисли не е толкова сложно да се напише cross-платформен червей, заразяващ и линукс, само някой да плати масрафа.

Ето една идея:

* Някой съставя списък със секюрити проблеми в разни PHP-базирани OSS уеб приложения (CMS-и, форуми, уеб мейл услуги и т.н.). Проблемите може да са добре известни и пачнати вече, може да разчитат на определена конфигурация (примерно remote fopen), а може и да са zero-day уязвимости открити от хора на които са им платили за да търсят проблеми в кода.
* Някой разработва PoC експлойти за тези проблеми.
* Някой интегрира въпросните PoC експлойти в нещо по-надеждно и многоплатформено (примерно пробва с fopen() да достъпи отдалечения сайт, ако не стане, пробва с curl, ако не стане - пробва с fsockopen и приятели, ако не стане - примерно вика външен браузър с аргумент URL-то и т.н.)
* Някой разработва механизъм за търсене на нови жертви, идеи много - като се почне от сканиране на случайно генерирни адреси и се стигне до автоматизирано търсене в google за индексирани проблемни URL-та
* Злонамерения код трябва да се свали от някъде върху жертвата, с оглед на това да се сговнят усилията на добрите, примерно се използва някаква fast-flux схема където единственият сигурен вариант нещата да се спрат е домейна да бъде suspend-нат по някакъв начин.
* Злонамереният троянец трябва да подсигури системата и да си ескалира правата. Съответно някой трябва да събере колекция от reliable local експлойти за различни платформи.
* След сдобиване с административни привилегии, машината трябва да се backdoor-не по-качествено, да се крият процеси/файлове/сокети и т.н.
* Накрая, трябва да се изкарат пари от цялата работа. Примерно ако заразените машини са част от ботнет, който се отдава или пък се ползва за DDoS атаки, снифене на трафик, разпращане на спам или там както се печелят пари от такова нещо.

Ето значи идея за междуплатформен червей, заразяващ и линукс. Само някой да финансира масрафа, не виждам проблем това да се реализира, изглежда напълно изпълнимо. Сега за да го финансира някой, трябва последната точка да докара достатъчно пари, за да покрие цялата инвестиция и да се излезе на печалба.

gat3way, финансирането не е проблем. Обаче след това има няколко подводни камъка:
Първи:

примерно пробва с fopen() да достъпи отдалечения сайт, ако не стане, пробва с curl, ако не стане - пробва с fsockopen и приятели, ако не стане - примерно вика външен браузър с аргумент URL-то и т.н.

много работа и много тормоз за този, който го прави. Човека е мързелив (еволюция, кво да правиш), той гледа с малко усилия да постигне повече резултат. Като работи в един вид, няма нужда да се търси под вола теле. Вместо да пробва да открие от пиле мляко нашия мързел се фиксира само върху ХР, 7 и IE.
Втори:

Злонамереният троянец трябва да подсигури системата и да си ескалира правата.

Това в линух е значително по-трудно от виндов$. Не приемам контрааргменти: ПО–ТРУДНО Е! Поглежаме подводен камък едно и решаваме, че с такива сложни истории поради мързел няма да се занимаваме. Допълнителен проблем е това кой аджеба линух трябва да се ескалира? RHEL4, 5 или 6 или Дебиан Сид или Скуиз? Или все пак е SLES? Или пък е Слак? Коя версия и кое ядро? Всичко това не e предпоставка за "малко усилия - много резултат".

В общи линии схемата ти ще работи, тя така и работи, но на известната платформа. Просто при толкова по-леки жертви в лицето на виндов$ няма пазар за нея от линух гледна точка. Защото тук идва момента да се тегли чертата и да се прави калкулация. Хващаме работния gat3way, който 3 месеца е писал cross-платформен червей, и някой мързел, дето за седмица е скалъпил нещо на коляно за виндов$. На втората седмица нашият мързел си е намерил друг клиент и е прибрал нови кинти. На 4-тия месец gat3way има проблем със сметката за интернет. Нали се сещаш, че след това gat3way плюе на кросплатформеност от покрива на Емпайър стейт и пише първия си чисто виндов$ бот-нет за седмица, или се отказва от компютри и става таксиджия?

Тук има и друга гледна точка: ако линух и виндов$ в тези две точки си приличаха. Говоря в смисъл виндов$ да беше същата галимация за повишаване на привилегии и достъпване до системата. Тогава би било времето на кросплатформени червеи. Защото като няма риба и ракът е риба. Ако същите усилия се полагат за пробиване на виндов$ то линух атаките биха били много по-разпространени. Но... настоящето показва, че не е така. Къде къде по-лесно е бот-нет на виндов$ и кеша в джоба отколкото Сизифов труд за тоя дето духа.

Финансирането може и да не е проблем, но трябва да излезеш на печалба от цялата работа. Сега факт е че цялата екосистема около линукс е по-богата, има повече дистрибуции, билдове, конфигурации, но също така нямаме равномерно разпределение, т.е винаги имаме няколко варианта, които се срещат с далеч по-голяма вероятност. Примерно едно уеб приложение се хоства с доста по-голяма вероятност примерно върху centos с тази и тази версия на RPM пакетите срещу примерно някаква екзотична развидност на gentoo. И пак опираме до евентуалната печалба. Ако отделя X ресурси за разработката на малуера, мога да заразя примерно 1000 машини с линукс, срещу да речем 95000 машини с уиндоус. Самият факт, че уиндоус е близо 95 пъти по-разпространена ОС от линукс означава чисто и просто че за същите пари вложени за това, печалбата ще ми е 95 пъти по-висока ако пиша малуер за уиндоус. Това е доста силен фактор според мен. А иначе уиндоуският малуер е стигнал висини в комплексността и фокусите, които се правят. Въобще не става въпрос за това аз или някой друг бай Хуй да седнем и да напишем следващият Zeus. За примерите където малуера се разработва от трибуквените агенции (от сорта на stuxnet) въобще не говорим. Апропо, бях чел анализ на stuxnet преди време, беше потресаващо четиво според мен.

Гейт много пъти съм чел твоите разсъждения, че разнообразието ни пази.

---

Offtopic
В тая връзка от поне две години се каня да те питам, как с acl се дават права за изпълнение. Защото многократно си казвал, че трябва да замени sudo. Но в man откривам само как да дам права за четене/запис. Търсейки в Интернет съм намирал други man претендиращи да са за ГНУ/Линукс, в които пише съвсем други работи и тия работи при мен (Debian stable/testing) не работят. Намирал съм обяснения за много други *nix, в които работи. Та как става в ГНУ/Линукс? Иначе няма как да замени sudo/ su -c.

---

Схемата е файска (не че разбрах дори половината), но капитализирането ѝ ми се вижда нелогично. Да за популярната ОС едно стадо зомбита е добре. В крайна сметка, какво да му вземе? Порното? С късмет, може да си е написал номера на кредитната карта в някой документ, но при днешните дискове е, търсене на игла в купа сено.

От друга страна, това което предлагаш да заразяваме при ГНУ/Линукс са сървъри. Тук имаме 10 или 100 пъти по-малко машини, но със 100 или 1 000 пъти по-ценна информация на тях самите. Възможностите за печалба са доста разнообразни и много по-доходоносни.

Я си представи отиваш при конкурента му и казваш „имам dump на цялата му база данни, включително клиентите им, барабар с адреси и телефони“. А това си го получил с автоматизирана атака (вирус), а не седмици бъхтене да откриеш пролука.

Ами освен тоя сървър дето си свалил, най-вероятно в мрежата има и други, ако не е някое ЕТ/ЕООД. И те най-вероятно са във верига за доверие или дори с еднакви пароли (пу,пу опази от таквизи админи). От тях могат да се преточат още неща. Например кореспонденция, а пощата може да е дори на сървъра, който твоя вирус вече е ударил.

И така. Може машините да са много по-малко, но много по-ценни. Инвестиция би се избила с огромна печалба. Тъй че аз продължавам да седя на тезата, която оборваш.

Двете ОС не са еднакво защитени по подразбиране. Показва го и Дежурен. А отделно на това, сървърите си имат и зачислен администратор (истински, не като мен чел-недочел).

Аз като се замисля, колко голям ще да стане тоя вирус , то толкоз работа ще се хвърли по него ... ако е под мегабайт пак добре ще да е.
Тука програмистите да кажат толкова много неща в колко голям файл ще го набъкат. После, то за да е вирус трябва да се саморепродуцира и разпространява, то ако е 1 мегабайт тоя вирус, за да зарази 1000 нови потребителя, ще направи още 1000 мегабайта трафик .... това си е почти гигабайт, в развитите страни интернет достъпа не е от най-високоскоростните (все пак 6мегабита били идеална скорост ако не си пират, а там пирати нямало, спорд наще журналя). И накрая като сложим чертата, от тоя вирус ще имаш заразени някакви си хорица от развиващите се страни, пирати разни, дето така или иначе през ден два си сменят ОС-а, и файда никаква, а пък толкова голям файл според мен ще го засекат бързо и ще пуснат някоя "кръпка" да го оправи набързо, и после ще трябва да се упдейтва и вируса.

Гоше това за еднаквите пароли си е доста често срещано явление .... а пък паролите от 1 до 6 или даже от 1 до 3 са ...... нямам думи просто

Ами Дидко тоя последния ирански вирус (не Stuxnet, а този преди няколко месеца) казаха по ЬТВ, че бил даже над мегабайт и не бил засечен две години, засекли го, като излязъл от Иран.

Аз какъв късмет, един път да взема да гледам телевизия, а те да ми говорят за вируси и марсоходи. Знам си аз, че от ТВ полза няма. А да и новина. Вече наричат наличната книга „социалната мрежа“ или „социалните мрежи“, като когато говорят за второто нямат предвид плюсове, твитери и не знам си какво, а пак първото.

Първо, нали наистина не им вярваш на ьТВ?
Второ, ами нормално е една компания за антивирусен софтуер да засече вируса когато той влезе е екосистема с нейни компютри, защото ако той си е в една затворена екосистема и поразява само компютрите на иранската ядрена програма, да не зарази компютър с касперски например. Но това не значи, че иранците не са го пипнали тоя вирус преди господата от касперски, това че си мълчат не значи че не знаят.

То преди време имаше един троянец за Windows, който освен че беше няколко мегабайта, ползваше и .NET. След като зарази компютъра проверяваше дали има инсталиран фреймуорка и ако няма сам го изтегляше и инсталираше (тогава беше около 25MB). В наше време един мегабайт нищо не е. А и трябва да си написал адски много код, за да ти стане толкова голям изпълнимият файл. Нещо, което само проверява дали са налични разни експлойти и евентуално ги ползва може да е много по-малко.

да де ама нали ще е за всички платформи тоя вирус, ако един файл ще заразява всички платформи ..... бая големичък ще трябва да е, а ако го постигне някой, това ще е революция, ще вземат всички програмисти да ползват неговите методи та програмите им да работят под всички ОС

Не виждам какво значение има колко е голям вируса. Това е имало значение в ерата на файловите вируси, когато вирусния код се е лепял към изпълнимите файлове и съответно поне докато вирусите не са се научили да hook-ват системните функции, за да крият "истинската" големина на файла, тривиално заразените файлове са разкривани благодарение на разликата в големината. Никой не е казал, че вирусът трябва да заразява изпълними файлове. Във времената на BBS-ите това е имало смисъл. Сега това би било по-скоро недостатък, защото ще позволи по-лесното разкриване на вируса. Защо трябва вируса да заразява изпълними файлове? Дори не виждам причина малуера да се саморепродуцира, след като си имаме интернет и не е толкова сложно "заразата" да става по други канали. Примерно със злонамерени сайтове сервиращи браузърни експлойти. Разпращаш тонове спам с връзка към сайта, все ще се намерят балъци. Алтернативно може да се действа и по-грубо - чрез persistent XSS уязвимости в по-известни сайтове, които сервират това в скрит iframe, ето ти пак идея. Някои хора бяха открили малоумна CSRF уязвимост в разни домашни рутери, където можеше да се подменят DNS сървърите, които раздава рутера, съответно имаше няколкостотин изгърмели клиенти на някаква мексиканска банка, които се били логнали във фалшив сайт на банката, към който сочил злия фалшив DNS сървър. Идеи колкото искаш.

Ето един друг пример - искам да пиша малуер за линукс. Малуерът по някакъв начин се сдобива с неадминистративен достъп на машината (примерно attack vector-а е злонамерен браузърен експлойт и потребителя бива примамен да отвори злонамерения сайт). Кой точно изпълним файл ще "заразя" ? Всичко в /bin и /usr/bin е root-writable, но моите права не позволяват да ги презаписвам. Няма ли да е далеч по-лесно да направя нещо друго - примерно да създам нещо съвсем невинно изглеждащо в някоя поддиректория на home директорията, примерно в ~/.dbus или ~/.mozilla, после примерно да си сложа в crontab-а това да се вика периодично? Или пък просто да модифицирам ~/.bashrc за да се изпълнява еднократно когато потребителят се логва? И моят злонамерен код няма да прави кой знае какво - просто ще се свързва с botmaster сървъра, ще взема списък с команди, които трябва да изпълни, ще ги изпълни и ще излезе. Ако няма "заповеди", злият код ще се изпълнява за милисекунди и няма да създава съмнения. Няма да се виждат странни процеси, няма да има модифицирани файлове, няма да има на пръв поглед нищо съмнително. В това състояние машината може да си работи месеци, че и години наред докато botmaster-ския сървър не реши че трябва да се прави нещо грубо (примерно пращане на масов спам или DoS атака). Да не говорим че през това време, злонамерения код може да получи нареждания да смъква и изпълнява експлойти, за да си ескалира привилегиите, съответно да инсталира по-advanced rootkit-ове, за да се подсигури машината по-добре. Пак казвам, идеи колкото искаш :)

А защо никой не го прави?

А защо никой не го прави?

Аз на домашното си PC имам бозичка от 3 години, на която има само firefox и също нямам вируси.

Обаче:
Skidrow
Razor1011
Reloaded

...

Те искат това да се промени... Аз няма да им се дам :) Ако има толкова масов продукт за Линукс, който да има нужда от пачване, тогава "малииии"

От снощи пак изскочи един 0day exploit за Java - и трите OS-и са уязвими и няма оправия за момента.

Цитат

А защо никой не го прави?

Аз на домашното си PC имам бозичка от 3 години, на която има само firefox и също нямам вируси.

В днешно време не можеш да си много сигурен дали имаш вирус или нямаш :)

Дони, ако си следиш нетстатовете ще си доста сигурен. Тия дупки на жаба7 аз ги прочетох, че са дванадесет и там тия „ловците“ са уведомили оракулите. Шошоне не ги знам кои са тия тримата (кракери?) дето си изброил, но на практика непрекъснато ползваме програми за другата ОС. Туко що се каза една, други са ОО.о, лисо, Опера.

А защо никой не го прави?

noexec Do not allow direct execution of any binaries on the mounted filesystem.

... Тия дупки на жаба7 аз ги прочетох, че са дванадесет и там тия „ловците“ са уведомили оракулите.

Поправка: 29 в момента, в юнското обновление са били фиксирани 2, уведомлението от април(!!) до Оракъл е включвало всички 31, включително и нашия 0-day. Официалната позиция на Оракъл 5 дни вече след излизането на експлоита е позицията на щрауса (г..за стърчи отгоре). Плановия ъпдейт е насрочен за 16 октомври. Немското федерално ведмоство по информационна безопастност препоръчва незабавно изключване на жава плъгините на всички без изключение до излизане на обновление. В напълно легитимни сайтове вече се наблюдава появата на рекламни банери атакуващи потребителите през жава уязвимостта.

@go_fire Погледни снимчицата (като се логнеш във форума) и моля те, не казвай "аз игри не играя". Аз моите си ги купувам, но ако има такива групи, бълват кракнат софтуер ( погледни датите на upload), тогава OS и изкуствен интелект за самоотбрана да има - няма файда.

(http://www.linux-bg.org/forum/index.php?action=dlattach;topic=43561.0;attach=2453)

М-да Шош, както казах неподготвен съм по темата.

Това с банерите е напълно основателна причина още повече съм бил хакван през такъв.

Навремето MSFT имаха проблем със зареждането на курсорите - защото ти го зареждаш, а се предава една структура към кернела за визуализация (към USER, a той към графичната подсистема която работи на кернелско ниво). Та във виртуална машина посещавам един сайт mininova и я оставих така, след 5 мин чух че виртуалката се рестартира (!?!) и ми стана много интересно. Поработих малко по проблема с едно прокси на основната машина и видях зловредния код маскиран като обикновен банер идващ с допълнителен JavaScript който пробива OS-a независимо от браузъра.

Аз вече изключих моите Java плъгини...

Дони, ако си следиш нетстатовете ще си доста сигурен...

Аз не бих бил много сигурен поради две причини:
1. netstat, lsof и останалите команди може да са подменени. А може и да е кернел модул или пачнат кернел.
2. не е нужно един вирус да праща информация постоянно, така че да можеш да го хванеш с netstat. Може да стои в пасивен режим или да генерира трафик на периоди.

Може и да си комуникира примерно върху icmp, имаше един мноооого стар rootkit, който правеше това. За целта ти трябват root привилегии за да отвориш raw socket-а обаче. Но пък посмъртно няма да видиш нищо с netstat или lsof.

Е все пак казах „доста“, а не напълно. Осъзнавам разбира се, че не е необходимо през цялото време да комуникира.

Тоя номер дето го каза Гейта, нищо не ми говори, ама по принцип неговите приказки рядко ми говорят нещо. Но пък като го е казал, съм сигурен, че е така, защото малко са експертите от неговия калибър.

Аз жаба имам старата „отворена“. Netbeans си работи с нея, в редките случаи, когато го ползвам. Vuze също работи. Май всички други жабешки неща съм разкарал.

А да и проблемите на жаба със сигурността, никак, ама никак не са от вчера. Винаги ги е имало, поради това никога не съм я имал активирана в четеца на паяжини, даже когато аплетите бяха стандарт.

Всъщност единственият аплет, който съм ползвал беше служебен в Интранет. После го замениха с vbscript (от трън та на глог). Ама машините така и нямаха достъп в дивото пространство, та затова не бе проблем. А самият аплет беше всъщност едно тъпо меню дето може със всичко да направиш дори с обикновени списъци (е вярно няма да има плавен ефект).

Хайрлия да е, пуснаха извънредно жава обновление https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
След пропускане на юнското, докато никой не знаеше за уязвимостта, и седмица след като експлойта излезе публично... това му викам оперативност. Къде ще може да се мери софтуера с отворен код с неговите няколко дни до седмица затвяряне на уязвимости, за които никой дори не заподозира...

ПП Да, обновление пуснаха, затвориха дупката, само дето има още една от същия клас, незатворена. Единственото успокоение, че за нея няма публикуван експлойт. Аз аплодирам Оракъл прав! За тази също се знае от април.