Анкета

Въпрос: Кога последно се заразихте с вирус и/или адуер на вашият Линукс?

  • Завчера
    - 0 (0%)
    Миналата година
    - 0 (0%)
    По-по-миналата година
    - 0 (0%)
    имам един вЪВ виртуалка
    - 0 (0%)
    никога
    - 17 (94.4%)
    никога не съм чувал за ДаркАвенджър и не знам колко е изкарал от вируси
    - 1 (5.6%)

Общ брой гласове: 17

Автор Тема: Има ли вируси за Линукса и имат ли те почва в него?  (Прочетена 5714 пъти)

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
А, да, таргетирана атака като stuxnet примерно в категорията "вирус" ли се води? Защто се саморазпространява, няма съмнение, но много контролирано. И проявява поведението си само върху система вързана само към Siemens-ски контролер, като тези дето контролират центрофугите на иранската ядрена програма.
Активен

"Knowledge is power" - France is Bacon

jet

  • Участник
  • *****
  • Публикации: 1814
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Иначе ще броим всички секюрити бъгове за вируси.
Активен

Linux: From WTF to OMG

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
за да бъде един малуеър вирус, трябва да се саморазпространява (както в медицината, ако нещо те нападне и се разболееш , но не се предава - е болест, а не вирус).
Заразил ли е някого брадата - НЕ, тогава...
Хакера трябва да обикаля системите една по една и да мъчи да влезе - ще влезе, ама ако намери същата (стара версия) на ПХП, това не е никаква епидемия и спира до на брадата компютъра.

От къде си сигурен, че компютърът му не е заразил никого, след като phpmyadmin-а му е бил хакнат? Голяма част от трафика в нета е от ботове, които сканират за познати уязвимости. Следва exploit-ване и ставаш част от ботнет, който участва в сканирания, хаквания и ddos-ване.
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Според мен всички секюрити проблеми е евентуален вектор на атака. Едно време нещата са били ограничени, вирусите са се разпространявали по ясни добре дефинирани канали и идеята е била просто да се разпространяват. С времето всичко това се е усложнило доста и до голяма степен сега имаме същото положение като в природата. В природата има всякакви случаи, има вируси, които може да лепнеш много лесно по въздушно-капков път, примерно гриповете са така. Гриповете не убиват повечето заразени обаче. Еболата убива, но пък инкубационния период е прекалено кратък, за да стане много голям проблем, колкото и шум да се вдига. СПИН от друга страна е подмолна работа, заразяването не е толкова лесно, а леталния изход е въпрос на години. Ако гледаш нещата през призмата на грипа примерно, СПИН е доста неуспешен вирус, разпространението зависи от волята на потребителя и не е незабавно фатално. Обаче лекарства за грип много и обикновено помагат, лекарства и за СПИН не че няма, но все още това се води нелечимо заболяване.
Активен

"Knowledge is power" - France is Bacon

jet

  • Участник
  • *****
  • Публикации: 1814
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
за да бъде един малуеър вирус, трябва да се саморазпространява (както в медицината, ако нещо те нападне и се разболееш , но не се предава - е болест, а не вирус).
Заразил ли е някого брадата - НЕ, тогава...
Хакера трябва да обикаля системите една по една и да мъчи да влезе - ще влезе, ама ако намери същата (стара версия) на ПХП, това не е никаква епидемия и спира до на брадата компютъра.

От къде си сигурен, че компютърът му не е заразил никого, след като phpmyadmin-а му е бил хакнат? Голяма част от трафика в нета е от ботове, които сканират за познати уязвимости. Следва exploit-ване и ставаш част от ботнет, който участва в сканирания, хаквания и ddos-ване.
А и никой да не разбере че ПХПАдмин е бот и да не го фиксне - него поне често го обновяват
А ти като гледам също си гласувал "никога" или не си дал глас - от къде знаеш, че не си заразен   >:D
« Последна редакция: Sep 23, 2014, 00:03 от jet »
Активен

Linux: From WTF to OMG

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
А и никой да не разбере че ПХПАдмин е бот и да не го фиксне - него поне често го обновяват
А ти като гледам също си гласувал "никога" или не си дал глас - от къде знаеш, че не си заразен   >:D

Не съм гласувал. Не ползвам нелегален софтуер, но не бих се заклел, че не съм заразен с нещо :)
Активен

edmon

  • Гост
Понеже прочетох, че има не едно и две мнения, че видите ли потенциалният вирусописач е силно финансово ориентиран и няма никакви други интереси, ще променя малко анкетата.
Него, потенциалният виросописач за линукс, не го го интересува нищо друго освен парите ИНАЧЕ, ако
моеше да изкара некой леф, щяха валят вируси за Линуха едно върху друго.
Колко ли изкара вирусописача създал Дир 2.... :) Ама си спомням , че бе голяма истерия...
Явно не е така и теорията за финансово ориентирания вирусописач някак адски издиша!:)
По същата причина добавих още една опцийка на Ханкетата....
:)


ПС. Както личи по отговорите вируси и адуери за Линукс - няма, а както върви няма и да има и това не е
свързано по никакъв начин с потребителската маса, защото какво му пречи на вирусописача за собствен кеф
да натрие носЪ на всякакви скапани Линух и Уних гурута??!!?
Активен

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
Малко бъркаш нещата, не е редно да сравняваш ретро ДОС вируси от 80те с вируси/malware-и/троянски коне и тн. от 2000 насам, когато нещата силно се комерсиализираха. Мислиш ли, че ако имаш ботнет със 100к заразени нода в нета, няма да изкарваш поне няколко хилядарки на месец? Живеем във време, в което може да си купиш 10 минути ДДОС атака към произволен сайт, да си поръчаш реални twitter/facebook последователи и какво ли още не.

Пък и много го знаеш DAV / Vengador с какво се занимава в момента и дали не си изкарва парите по този начин :) Също едва ли знаеш дали всъщност не е Веселин Бончев, който направи добра кариера в антивирусните среди.

И би ли обяснил как стигна до заключението, че няма вируси за линукс? Виж тук - http://en.wikipedia.org/wiki/Linux_malware#Threats
« Последна редакция: Sep 23, 2014, 23:29 от d0ni »
Активен

cybercop

  • Участник
  • *****
  • Публикации: 5561
  • Distribution: Ubuntu LTS, CENTOS 6.x
  • Window Manager: Xfce, Gnome 2
    • Профил
Явно не е така и теорията за финансово ориентирания вирусописач някак адски издиша!:)
Мисля, че тук си доста прав. Особено, когато вече има фондови борси, работещи под Linux.
Порното на домашният компютър на бай Иван едва ли е по- привлекателно, отколкото сървъра и работните станции на голяма фондова борса.
« Последна редакция: Sep 23, 2014, 23:40 от cybercop »
Активен

Ползването на Linux води до пристрастяване. Факт.
http://s19.postimg.cc/4oajwoq5v/xenial2.png

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Мисля че в днешно време malware-а основно се пише за пари, никой не го прави за кеф. Или поне не е по-различно от останалите престъпления за които може да носиш наказателна отговорност, малко хора ги правят ей така за кеф, без да търсят някаква изгода. Иначе malware за линукс аз лично съм виждал немалко, последно преди няколко месеца на едни познати сървъра им беше прилепил такъв, те не са глупави хора, програмисти са с доста солиден линукс background, та бяха хванали да reverse-engineer-ват кретенията, мен ме викнаха да помагам и да гледам сеир. В общи линии доста тъпо изпълнение, разпространява се чрез брутфорсване на ssh пароли, командва се по примитивен начин също като олд-скул ботнетите, троянизира ssh сървъра, прави грубата грешка да премахва syslog демона и има някакъв механизъм да открива ъпдейт на sshd binary-то и да го подменя наново, както има и monitor, който spawn-ва нова инстанция ако случайно утрепеш процеса. Ако утрепеш монитора, процеса съответно вдига нов монитор, тъпашка история.
Активен

"Knowledge is power" - France is Bacon

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
В общи линии доста тъпо изпълнение, разпространява се чрез брутфорсване на ssh пароли, командва се по примитивен начин също като олд-скул ботнетите, троянизира ssh сървъра, прави грубата грешка да премахва syslog демона и има някакъв механизъм да открива ъпдейт на sshd binary-то и да го подменя наново, както има и monitor, който spawn-ва нова инстанция ако случайно утрепеш процеса. Ако утрепеш монитора, процеса съответно вдига нов монитор, тъпашка история.

Това е доста ламерско изпълнение, но има доста по-интелигентни начини да направиш мръсотии. Не знам как стои в момента въпроса с /dev/kmem, но ако приемем, че може да четеш и пишеш там, не трябва да е проблем да можеш да пачнеш кернела on the fly. Или пък да ползваш инфраструктурата на ksplice, например. Варианти - бол и много се съмняввам, че някой не се е възпозвал комерсиално от тях. А болшинството линукс потребителите са много уязвими, защото са прекалено надменни, понеже си мислят, че 20те команди, които знаят ги правят нещо повече от средностатистическия уиндоус потребител. :)
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
А не, binary patch-ване нито през /dev/kmem, нито /dev/mem няма да стане, на това му е минало времето, в днешно време ако тръгнеш да пишеш там на лошите офсети, ще ти върне грешка. Ksplice не мисля че се ползва достатъчно често за да тръгне някой да се възползва. Но пък ти ако имаш root достъп можеш да минеш през голямата входна врата - да си заредиш собствен LKM. Сега някои неща не се експортват като символи, но все още минава номера да четеш kallsyms или bootmap-а или дори да ровиш из /dev/kmem за нещо дето ти прилича на това. Та да, можеш и да си скриеш модула при добро желание, в смисъл можеш да си мажеш в kernelspace-а без рестрикциите които би имал ако пишеш в /dev/kmem. Или поне в общия случаи.

Тук обаче се намесва момента с богатата екосистема, версии на ядрото много, билдове много, икономически трябва да е оправдано да положиш усилията, за да си ги избиеш после и да си на печалба от цялата работа. Та единственият вариант в който усилията ще се изплатят е това да е някакъв high profile таргет, не бай хуй от панелката. Поради тази причина бай хуй от панелката може да се чувства спокоен че няма да го отнесе това ако ползва линукс.


Активен

"Knowledge is power" - France is Bacon

jet

  • Участник
  • *****
  • Публикации: 1814
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Ами те дорде го напишат тоя вирус и изтестват, ще сме вече на ядро 3.24, с кой знае каква инит система, Минт 26/Убунту 2015.
Първия вирус също не е написан комерсиално, а за слава.
Сигурно много дзверчета (студенти, докторанти, етц.) по институтите се чешат да направят слава или някоя дипломна работа, като прууф ъф консепт, ама досега.
Ако се приложат и малко добри практики - от типа на разделяне на хоме-тата на отделен партишън без права за изпълняване и т.н. става още по-сложно.
Най-сложното идва от линукс репо-тата - народа не ходи да сваля ехе-та от торенти и паланки и да инсталира. Нито се налага Линукс и сие да се пиратства Както и цялата система се обновява накуп, даже дистрото може да фиксне някой голям проблем като прати един псевдо пакет със скрипт вътре (по дебиански) и да оправят бозата.
Най-силния вектор за проникване си е браузъра (при десктопа, щото тука смесихме сървъри с десктоп), там Гугъл се опитват да поограничат нещата. Пък след малко време сигурно ще стартираме половината приложен софтуер в контейнери без даже да знаем.
« Последна редакция: Sep 24, 2014, 01:17 от jet »
Активен

Linux: From WTF to OMG

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Човек ако търси начин винаги намира, стига да има смисъл.

Аз изхождайки от моя опит,преди много години кога бях млад и зелен,  правих много големи и много нагли глупости. Тогава тези глупости не се преследваха от закона, та се разминах само с изгонване от университета. Тогава от университета бяха ужасно разочаровани че са се свързали с полицията и оттам са им казали да си гледат работата и че не могат да направят нищо по въпроса, това ми го заяви зам. ректора лично с някакво такова разочарование че няма правната подкрепа да ми тегли шута. Дали щях да ги правя същите глупости ако беше нелегално е много интересен въпрос - но много вероятно не -  или дори да ги правих, определено нямаше да е толкова нагло. В момента дали бих правил тези глупости е също интересен въпрос, и да ги правих не бих си признал разбира се. Но съвсем честно, безсмислено е да правиш глупости освен, ама освен ако потенциалните печалби от цялото занимание не са достатъчно големи за да можеш да игнорираш потенциалните загуби, а загубите съответно стават доста грозни ако издържаш и семейство.

В този ред на мисли, не бих си играл да творя нелегални глупости с PoC цели, освен ако това не става в доста контролирана среда и по възможност не се разчува за тези експерименти.

Та да се върнем на въпроса с глупостите и линукс, да, глупости определено могат да се правят много, въпросът е този така важен баланс между риск и печалба. При пазарен дял от под 2% и при фрагментираната софтуерна екосистема - не, не си заслужава. Освен ако не е някакъв много специален случай. В специфичните случаи може и да си заслужава.

Това от престъпната гледна точка, не мисля че мога да го онагледя по-нагледно от това.
Активен

"Knowledge is power" - France is Bacon

cybercop

  • Участник
  • *****
  • Публикации: 5561
  • Distribution: Ubuntu LTS, CENTOS 6.x
  • Window Manager: Xfce, Gnome 2
    • Профил
При пазарен дял от под 2% и при фрагментираната софтуерна екосистема - не, не си заслужава. Освен ако не е някакъв много специален случай. В специфичните случаи може и да си заслужава.
Хванал си се като удавник за сламка за това, но вярваш ли си. Пазарен дял на какво ? Както каза Едмон, теорията ти силно издиша. Всъщност - най- важните машини - сървърите, машините, ползвани за научни и военни цели, както и свързаните с големите парични транзакции са под Linux. Там са парите и интересите. А, ти пееш постоянно някакви трели за пазарен дял на Linux от 2 %. 95% потребители - клошари. Те ли са  основният стимул да се пишат вируси ?  Дори като статистика не си прав, защото вече мобилните устройства са повече от настолните компютри, а там, Windows е екзотика. Поне 40 % от потребителите на интернет, вече ползват Linux. Но, това, както вече казах, няма особено значение, защото и те са своеобразни "бедняци". Истинските пари (финансови средства и важна информация) са свързани с машините, които споменах в началото на поста.
« Последна редакция: Sep 24, 2014, 08:33 от cybercop »
Активен

Ползването на Linux води до пристрастяване. Факт.
http://s19.postimg.cc/4oajwoq5v/xenial2.png