Linux vírus

Ubuntu Linux

Sziasztok!

Ubuntu 11.04-en, ha böngészek a neten akkor összetudok szedni valami vírust vagy keylogger-t?

Ricsard

( gelei v | 2011. 06. 19., v – 10:02 )

Elvileg igen, de gyakorlatban nem esélyes.

Mivel a Linux piaci részesedése elhanyagolható, így elég kevés linuxos vírus létezik. Arról nem is beszélve, hogy a Linux - elvileg - alapjáraton biztonságosabb a Windowsnál.

Persze a "majd vigyázunk" itt sem 100%-os megoldás, ha biztosra akarsz menni, próbáld ki a ClamAV-t. (http://goo.gl/XjLP2)

Mert az X-tízmillió vírusból alig egy marékkal szerepel csak az adatbázisában, abból is a legtöbb rootkit-et pl. észre sem veszi. Jobb a semmi mint a hamis biztonságérzet, mert akkor legalább körültekintő vagy.

-------------------------------------------------------------------------------------------
Mit használok? Na, na, na? Hát blackPanther OS v11.1-et * www.blackpanther.hu

meg lehet jegyeztetni sessionra (belépésre), de asszem adott alkalmazásnak egy ideig szól. de ennyire nem használuk bubuntut, nem tudom pontosan. de mivel itt sem írja ki, hogy pontosan mi akar mit, csak annyit, hogy xy szeretne nagyobb jogot kérni, a user ugyanugy beirja, most mindegy, hogy igenre kell kattintani vagy beírni.

a szűk keresztmetszet úgyis a user.

Pár release óta, ha bezárod a programot, újra csak a jelszó ismételt beírásával indíthatod. És kiírja, hogy mit akar indítani:
http://dl.dropbox.com/u/8757247/ubuntu_passwd.png

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

Ez pont forditva van.
Az UAC messze nem tokeletes, de azert ennyire egyszeruen nem is bypassolhato, legalabbis ha high-ra allitja az ember.
X-en viszont egy userspace program minden tovabbi nelkul sniffelni tudja a billentyuzetedet, beleertve a mindenfele sudo/su dolgokba irt jelszot (backtrack4-en van egy xspy nevu program, lehet probalgatni). A problema legnehezebb resze az, hogy a logbol kihalaszd, hogy pontosan melyik a jelszo...

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

pedig szenvedhetnének, csak nincs akkora értelme linuxra virust irni szerencsére + a nagy változatosság miatt nehézkes.

linux ilyen szempontból eléggé védtelen:

-felhasználó nem telepíthet programot, root-ként meg csak remélhetjük nincs valami ártalmas script a telepítőben

-nekem ubuntu kér root passwordot elindulás után amikor csatlakozni akar a netre, de csak annyit mond h "egy program"-nak van rá szüksége, azt nem hogy minek.

-lennének felhasználócsoportok különböző jogokkal, de ezeket a main distrók alig használják a gyakorlatban. ugy értem az a gyakorlat h ha valami végrehajtásához egy programnak több jogosultság kell, máris a root pass-t kéri.
nem mondhatom meg, hogy ok, most irhat ebbe a könyvtárba de máshova nem.

lehet meglennének az alap eszközök, de a distrók, programok, package rendszer nem úgy van kitalálva h ezeket használja. egyáltalán nem egy desktop felhasználó rendszere biztonsági szempontból.

ahogy terjed a desktop linux, és pl az ubuntu (alap) felé csoportosul, egyre támadhatóbb lesz. (igaz maga az ubuntu is egy folytonos átalakulás a rendszer tetejétől az aljáig)

-felhasználó nem telepíthet programot, root-ként meg csak remélhetjük nincs valami ártalmas script a telepítőben

Fedoraban pl. asszem megoldhato, hogy csak uj repo hozzadasahoz kelljen root jog, meg lehet meg szorakozni a fakeroot-tal is, ha ennyire biztosra akarsz menni

-nekem ubuntu kér root passwordot elindulás után amikor csatlakozni akar a netre, de csak annyit mond h "egy program"-nak van rá szüksége, azt nem hogy minek.

network groupba user berak? furcsamod nekem wicd-hez nem kell Archon pl. root jog

Így van, wireshark-hoz sem kell root jog, ha az ember beteszi magát a wireshark group-ba.

Fedorán ez úgy néz ki, hogy sima user-ként nyilván nem éri el a hálózati interface-t. Root-ként ugyan igen, de szól, hogy ezt talán mégsem kéne. Inkább tegyem be magam a wireshark group-ba, s akik tagjai, azoknak lesz hozzáférésük.

tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

Én mindig tudom, ki kéri a root password-öt. Olyan sohasem fordul elő, hogy váratlanul feljön az ablak, hogy ide írjam a root password-öt. Ha így lenne, szerinted beírnám? Viszont, ha például a yumex kéri, nyilván beírom. Ott meg az lepne meg, ha nem kérné.

nem mondhatom meg, hogy ok, most irhat ebbe a könyvtárba de máshova nem

SELinux jó erre.

tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

köszi a válaszokat mindkettőtöknek, mindig tanul az ember.

viszont épp ez az amit írtam: léteznek ezek az eszközök, de nincsenek az átlag user képébe tolva. synaptic, apt-get, ubuntu-software-center mind a root passt kéri. lehet ha vki rákeres a neten, be tudja magának configolni a saját rendszerét, de ez nem default.

másik dolog, h a programoknak sem full user jogokkal kellene menniük. minek látja, irhatja az összes kis utility (vagy pl. a bongésző) az összes fileomat?
meg lehet valahogy csinálni, én elhiszem, de nincs rá összetett rsz a mainstream distrokban.

egyébként tegyük fel hogy elindítod a yumex-et user joggal (én synaptic-ot ismerem), és egy kis dialog ablakban kéri a root pass-t. honnan tudod hogy melyik program kérte?

A GoboLinux alatt van lehetőség arra, az úgynevezett "Rootless GoboLinux"-ot használva, ( http://gobolinux.org/index.php?lang=hu_HU&page=rootless ) hogy root jogok nélkül telepítsen a felhasználó programokat a maga $HOME-jából nyíló könyvtárhierarchiába. Sőt, a Gobo megalkotói úgy készítették el a Rootless scriptcsomagot, hogy az nem csak GoboLinux alatt, de más disztribúciókban is működhessen (pld Ubuntu alatt). Én használtam már UhuLinux alatt, és bevált.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

AFAIK ilyen a legtöbb Linuxon elérhető, a $PATH valamint configure esetén a $PREFIX beállításával… Néha használom, nem sűrűn. Jobb szeretem az ilyesmit struktúrástul /opt alatt egy külön könyvtárba pakolni (kb. mint a GoboLinuxnál). 

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Őőő... lehet, hogy igazad van, de lényegesen kevesebb aktív Linux van, mint Windows, és lényegesen kevesebb aktív linuxos vírus van, mint windowsos. Lehet, hogy nincs összefüggés a kettő között, nem tudom.

Amúgy a "kevesebb vírus" pozitív dolog, és ezt nem a MS-mafia terjeszti. Bolond lenne. IMHO.

( uid_2783 | 2011. 06. 19., v – 10:08 )

talán még nem.
de sokban hasonlít a windowsra:
-olykor szétfagy
-már a frissítések után is szükséges az újraindítás
-az nagy verzsönváltáskor összezavarják a felhasználókat alap dolgok megváltoztatásával
-ltsp szerverként ötletszerűen megáll gondolkodni, illetve rendszeresen elfelejti a grafikus beállításokat (xorg.conf)
-auth problémák itt-ott

de hogy jót is mondja, a canonical-nál már dolgoznak a kékhalál megjelenítésén.

--
Aspire_3690 & bP_10.1.1
"amióta esténként kikapcsolom a mobilomat, utolérhetetlen vagyok az ágyban." - ismeretlen szerző

"de sokban hasonlít a windowsra:
-olykor szétfagy"

Nálam egyik sem fagy, Windows sem, Linux sem.

"-már a frissítések után is szükséges az újraindítás"

Szökőévente egyszer, thx to ksplice.

"-az nagy verzsönváltáskor összezavarják a felhasználókat alap dolgok megváltoztatásával"

Azaz? A kernel 3.0-ra váltása csak bikeshed festés.

"- rendszeresen elfelejti a grafikus beállításokat (xorg.conf)
-auth problémák itt-ott"

Works for me.

( T_chris | 2011. 06. 19., v – 10:44 )

Elvben össze tudod szedni a vírusokat, de a windows rendszer alá gyártott vírusok nem tudnak mit kezdeni a linux-al.*
Ha úgy használod ahogy kell, tehát felhasználóként, akkor a linux alá készített (egyelőre még ritka) vírusok nem tudnak nagy (ez azért relatíve) kárt tenni. Ha rendszergazdaként (root) használod akkor viszont tudnak futni. De ez egyelőre elég ritka.

*Ez azért hamis biztonságérzetet tud adni, hiszen ha letöltöd a kedvenczene.mp3.exe-t, ami vírust tartalmaz és átviszed egy xp-re akkor ott bizony fertőzni fog. Tehát érdemes a letöltött fájlokat átvizsgálni.
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

( Oregon | 2011. 06. 19., v – 11:03 )

Ez a site egykoron szebb időket is megélt. Nem gondoltam volna anno, hogy eljut erre a szintre.

Neked hogy sikerült ide regisztrálnod? Egyáltalán, hogy találtad meg ezt az oldalt?

Nem értem, mire ez a gúny. Bárki kezdőben felmerülhet ez a kérdés. Nem mindenki születik azonnali linuxos ismeretekkel. Én is találkoztam már olyan, frissen Linuxra átállt kollégával, aki tőlem érdeklődött aziránt, a Linux mennyire védett a vírusok ellen, mert egy - nyilván nála is kevésbé hozzáértő - ismerőse szerint azért a Linux is megfertőződhet, így (szerinte) oda is kell víruskereső, napi használatra.

Szóval e kérdés teljesen logikus, jogos, ami nem érdemel meg gúnyt.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

Annak idején amikor megtaláltam ezt az oldalt még nem regisztráltam ide, mondván ez nem kezdőknek való hely és én az voltam. Amikor úgy éreztem, hogy talán a kérdéseimnek a megfelelő fórum ez a hely lenne, akkor vettem a bátorságot és kérdeztem. Viszont még akkor sem voltam olyan pofátlan, hogy a Linux-ot le vírusozzam. :)

A feltett kérdés jogos, hiszen a világ elmozdult a web alapú rendszerek felé - google (mail, docs, stb.), FB, miegyéb. Egyelőre még csak a tesztelések folynak az életképes vírusok létrehozására, és sajnos most még a nagyon egyszerű megoldások is életképesek (voltak).

http://www.hwsw.hu/hirek/45290/twitter-javascript-biztonsagi-res-tamada…

Persze ezeket még hamar elkapják, és nem csak a felhasználói, hanem a szerveroldalról is lehet védekezni, de mai szemmel nézve épp ilyen primitívek voltak anno a DOS-os vírusok (pláne azok amik csak .com fájlokat fertőztek), és lám mi lett belőle.

A trend meg az, hogy pl. a FB is javasol telepíteni egy plugint, amivel az oldalak hitelességét lehet ellenőrizni. A google is már rég szolgáltat ilyen adatokat (safebrowsing) amit a linuxos böngészők is használnak.

Szóval változik a világ, a mai vírusok se olyanok mint régen, csak a nevük maradt meg, inkább a malware, worm kategóriába esnek. És ki tudja milyenek lesznek a holnapiak.

De amúgy linux alatt vírust elkapni gyakorlatilag esélytelen. Ma még.

Wah, már az itthoni gépemet is meglelték a mocskok, gyanítom hogy bruteforce-olják a homelinux.net-es zónát: 


202.131.86.139 - - [14/Jun/2011:22:33:44 +0200] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 252
202.131.86.139 - - [14/Jun/2011:22:33:45 +0200] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 248
202.131.86.139 - - [14/Jun/2011:22:33:45 +0200] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 249
202.131.86.139 - - [14/Jun/2011:22:33:46 +0200] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:47 +0200] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 250
202.131.86.139 - - [14/Jun/2011:22:33:48 +0200] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 254
202.131.86.139 - - [14/Jun/2011:22:33:48 +0200] "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:49 +0200] "GET //PHPMYADMIN/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 254
202.131.86.139 - - [14/Jun/2011:22:33:50 +0200] "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 253
202.131.86.139 - - [14/Jun/2011:22:33:50 +0200] "GET //config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 245
202.131.86.139 - - [14/Jun/2011:22:33:51 +0200] "GET //phppgadmin/config.inc.php?p=phpinfo(); HTTP/1.1" 404 250
202.131.86.139 - - [14/Jun/2011:22:33:52 +0200] "GET //phpmyadmin2/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:53 +0200] "GET //phpMyAdmin2/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:53 +0200] "GET //mail/config.inc.php?p=phpinfo(); HTTP/1.1" 404 246

( poliverzum | 2011. 06. 19., v – 11:44 )

Kedves Ricsard, én már kb 6 éve CSAK Linuxot használok, nincs is idehaza semmiféle Windowsom, majdnem minden nap több órán át internetezek, de soha nem volt semmiféle vírusom. Pedig semmiféle víruskeresőt nem használok. A vírusok általában a Windows alá készülnek, de egy windowsos vírus kb annyira "életképes" linuxos környezetben, mint a mélytengeri hal a Himalája tetején. Ami a speciálisan Linux alá készült vírusokat illeti, ilyenekről néha hallani ugyan, de én még eggyel sem találkoztam, sőt, olyan embert sem ismerek, akinek volna olyan ismerőse, aki látott volna már olyan embert, akinek élne olyan ismerőse, aki látott volna már igazi linuxos vírust. Ennek ellenére, pusztán elméletileg nézve a kérdést, valószínűleg létezik talán egy tucatnyi efféle jószág is (szemben a Windowsos vírusok sok százezrével) de az esély hogy összefuss egy ilyennel, mikroszkopikusan kevés. Ráadásul a linuxos számítógépes környezet lényegesen változatosabb mint a windowsos, ezért ha bele is futsz egy "igazi" linuxos vírusba, jelentős esélyed lesz rá, hogy az mégsem fog tudni működni a te számítógépeden, mert egy speciális asztali környezethez készült, de te

- más linuxos disztribúciót használsz, mint amire a vírus számít
- más desktop környezetet használsz
- egyszerűen nincs meg a gépeden egy(néhány) olyan program vagy config állomány, amelynek a létére a vírus számít
- nem olyan kernel verziót használsz, amire a vírus fel van készülve
- nem a vírus által feltételezett böngészőt használod
- egyszerűen más a fájlrendszer-hierarchiád mint amire a vírus számít (tipikusan ez a helyzet ha pld a kedvencemet, a GoboLinux disztribúciót használnád, az ugyanis nem POSIX-kompatibilis)
- te mondjuk ReiserFS fájlrendszert használsz, de a vírus ext3-ra van felkészülve (vagy fordítva)

arról már nem is beszélve, hogy aki nem hülye, az nem root jogosultságokkal böngészik meg futtat minden szart, vagyis a vírus, még ha mindezen nehézségek ellenére "el is szabadulna", de legfeljebb a $HOME könyvtáradban lenne képes galibát okozni, mert a rendszered többi részéhez egyszerűen nem férne hozzá.

Aztán meg, a Linuxot használók sokkal tudatosabban kezelik a gépüket mint az egységsugarú Windows-júzerek, s nem "okéznak" le mindent egy laza csuklómozdulattal, anélkül, hogy előbb elolvasnák az üzenetet.

Továbbá, Linux alatt nem mindenféle gyanús származású, krakkolt, "tört" programot használunk, amit már jóelőre összefertőztek vírussal, kémprogrammal, miegyébbel, hanem megbízható helyről, a disztribúciónk repójából telepítünk. Vagy épp egyenesen forrásból fordítunk alkalmazást ami ha lehet "még megbízhatóbb" emiatt.

Véleményem tehát röviden az, hogy egy "átlagos", "mezei" felhasználónak Linux alatt egyszerűen - a dolgok jelenlegi állása szerint - nem érdemes vírusvédelemmel tökölődnie, mert több időt elpocsékol rá, mintha vállalja annak elenyészően csekély kockázatát, hogy MÉGIS összefut valami (valószínűleg nem is létező) irtómód ravasz vírussal, ami aztán csinál neki valami szóra sem érdemes galibát.

Kihangsúlyozom azonban, hogy ennek ellenére vannak olyan, "nem szabványos" esetek, amikor a vírusbeszerzés kockázata fokozott, s emiatt mégis megfontolandó vírusvédelmi program használata. Ilyen esetek a következők:

- Ha dualbootos a géped. Ha ugyanis letöltesz valami állományt Linux alatt, ami windowsos vírust tartalmaz, az a linuxodban ugyan nem képes kárt okozni, de ha aztán azt elindítod windows alatt, akkor a windowsos rendszert már összefertőzheti.
- Ha Windows alá készült programokat szoktál Wine vagy más emulátor alatt futtatni. Ha ugyanis "elég jó" emulátorod van, az ESETLEG képes a vírusok számára is emulálni a windowsos környezetet, így elképzelhető, hogy NÉMELY windowsos vírus is működhet emulátor alatt. Bár én még ilyesmivel sem találkoztam, s kétlem hogy ezesetben is nagy kárt lennének képesek okozni, ennek ellenére azonban ilyen esetben a kockázatod egy PICIT nagyobb. Bár szerintem még mindig elenyésző.
- Ha mások számára töltesz le windowsos állományokat. Nyilvánvaló ugyanis, hogy bár a te linuxodat a letöltött vírusok nem fertőzhetik meg, de a vírusokat másolás során továbbadhatod a windowsos haveroknak, ami NEM ILLIK. Mert még rád lesznek dühösek, s mert nem hozzáértőek, azzal jönnek majd, hogy "a Linux szar, mert az is lehet vírusos".
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

Én úgy vélem, hogy amíg az ember víruskeresője nem talált a gépén vírust, addig nem lehet biztos benne, hogy van-e rajta (sőt, a heurisztikus algoritmusoknak köszönhetően még akkor sem… ☺).
Ezért bár a gépeden nem találkoztál vírussal, még simán lehet fertőzött. Hacsak nem lesed folyamatosan a top kimenetét, könnyen lehet, hogy valamilyen keylogger már rég megszerezte a HUP jelszavadat, és a nevedben olykor hülyeségeket írogat… :P
Laikus vagyok, de azért véleményem van: szerintem a Linux nem annyira heterogén rendszer. Előfordul, hogy nincs meg egy szükséges library, de ezt egy statikusan fordított vírus tartalmazhatja. Előfordulhat, hogy a hálózatot nem NetworkManagerrel éri el egy rendszer, de ifconfig meg ip általában azért akad… Ebből a szempontból a legtöbb vírus megírható disztrófüggetlenre, beleértve ebbe a GoboLinuxot is, mert hiába rejtik el a /bin-t mondjuk, attól még az ott van… ;)

Röviden: ha egy vírus igyekszik elég alapvető rendszerkomponenseket használni, akkor szerintem elég jó eséllyel működhet. Persze ha körbe akar szimatolni, akkor jó, ha felkészül a leggyakoribb rendszerösszetevőkre.

Egyébként az egyik legnagyobb demagógia, amit hallottam, hogy „a vírus user módban futtatva csak a $HOME-ot éri el”. Csókolom, az bőven elég. Franc akar binárisok közt turkálni, jelszavakat és leveleket akarok olvasni… ;) Úgy rémlik, AppArmorral vagy SELinuxszal meg tudtam ugyan oldani anno, hogy csak a Pidgin férhessen hozzá a ~/.purple könyvtárhoz, de vajon mennyire elterjedt az ilyesmi? Az a gyanúm, hogy amíg mindenki azt mondja, hogy „Linuxra nincs vírus, tök biztonságos az egész így is”, addig nem sokan használnak ilyet.

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Nem vitatom, hogy bizonyára LEHET írni (többé-kevésbé) disztrófüggetlen vírust. Ne felejtsd el azonban, minél "okosabb" egy vírus, minél több mindenféle környezetre készül fel, minél több mindent tartalmaz eleve belefordítottan, "statikusan", annál NAGYOBB, azaz annál nehezebben képes elrejtőzni. Márpedig egy vírus sikerességéhez (észrevétlenségéhez és könnyű terjedéséhez) erősen hozzátartozik, hogy KICSI legyen. Egy nagy vírus nehezen tudja álcázni magát.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

Régen valószínűleg jobban el kellett rejtőzni, és a néhány(száz?) megás háttértárakon kevesebb hely is volt bújócskázni.
Ma senkinek sem tűnik fel, ha egy fájl nem 2 MB hanem 2.5, amíg nem futtat egy jó checksumot. Elég egy kódfuttatást lehetővé tevő hiba a mplayerben, vlc-ben, vagy akár csak a libjpeg-ben, és onnantól kezdve már csak egy fájl terjesztéséről kell gondoskodni…

Egyébként esetünkben a kompromittált fájlban nem kell sok dolgot elrejteni. Elég annyi, ha letölti a tényleges vírust valahonnan (majd futtatja), ehhez meg elég megnézni, hogy van-e libcurl, wget, netcat, whatever… A vírus aztán elbújik bárhova, ahol nem keresed sűrűn, és onnantól csak akkor veszed észre, ha mindig olvasod a ~/.profile és a ~/.bash_profile fájlokat… (Meg ki tudja még, hogy miket, én tuti oda raknám, de valószínűleg vannak ennél jobb helyek is…)

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Nem kell ezzel ennyit szenvedni, a kovetkezo algoritmus tokeletes:
1.) iratkozz fel az lkml-re
2.) varj a kovetkezo szep csendben elkovetett security fix-re, ha egy het alatt nem tortenik meg, akkor eltevesztetted a listat
3.) ???
4.) profit!

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Felesleges rootnak lennie. Ha a useredet kompromittálta, akkor meg tudja csinálni, hogy a böngészőt indító szkriptet eltéríti a desktopodon, menüdben, és parancssorodban.
Ezután felülvágja egy olyan böngészővel, ami a billentyű leütéseket loggolja, és elküldi a támadónak. Ezzel már meg is van a levelező jelszavad neki. És ez még egy nem túl szofisztikált megoldás.

Minek az sshd_config? Minek a netfilter? Így is teljes dúlási joga van, hiszen a lefuttatandó parancsokat akár http protokollon keresztül is megkaphatja.
És nem csak a jelszó az érdekes, ha a böngésző könyvtárából a sütiket megszerzi, az már bőven elég lehet. Amennyire tudom, azok nincsenek titkosítva… :-/

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Ez egy meglehetősen szűk látókörű hozzáállás. Tény, hogy ha minden program, pláne a setuid-osok tökéletesen meg van írva (és persze az összes lib amit használnak), akkor esetleg ez igaz lehet. De win alatt (meg asszem osx alatt is) pl. flash playerrel (vagy mivel) tudtak rosszalkodni. Linux alatt a buffer overflow (volt?) a divat, a megfelelő binárist meghívva lehet(ett) root jogosultságot szerezni. Persze erre is vannak védelmek, amik viszont csak tüneti kezelések, és nincsenek is benne minden disztróban.

És akkor még nem is volt szó a linuxot használó, beágyazott rendszerekről - vagy bármiről, van is erről egy thread valahol -, amiken több éve elavult binárisok vannak (lehetnek), mert egyszerűen nem éri meg a gyártónak, hogy frissítse a firmware-t.

Szóval ha userként hozzá lehet férni az OS-hez, akkor már senki sincs biztonságban :D

A vírusok általában a Windows alá készülnek, de egy windowsos vírus kb annyira "életképes" linuxos környezetben, mint a mélytengeri hal a Himalája tetején. Ami a speciálisan Linux alá készült vírusokat illeti, ilyenekről néha hallani ugyan, de én még eggyel sem találkoztam, sőt, olyan embert sem ismerek, akinek volna olyan ismerőse, aki látott volna már olyan embert, akinek élne olyan ismerőse, aki látott volna már igazi linuxos vírust.

Akkor jelentkeznek, mint aki mar talalkozott elso kezbol olyan worm-mal ami letolteskor a browser adataibol eldontotte milyen platformrol van szo es az alapjan akarta moddolni a rendszert. A firg windows-ra, osx-re es linuxra volt kihegyezve egy teljesen artalmatlannak tuno link mogott.

- más linuxos disztribúciót használsz, mint amire a vírus számít

Irrelevans, nehany kozos pont van minden distron, igy oda el lehet dugni barmit.

- más desktop környezetet használsz

Szinten irrelevans.

- egyszerűen nincs meg a gépeden egy(néhány) olyan program vagy config állomány, amelynek a létére a vírus számít

Static link es erdektelenne valik a kerdes.

- nem olyan kernel verziót használsz, amire a vírus fel van készülve

A syscallok minden kernel verzional ugyanazok, legfeljebb a rootkit kernel komponensenel okozhat kisebb gondot, de ha az ember atgondolja a dolgot siman megkerulheto a problema. Masreszt exploitokat is meg lehet hivni a kernel verzionak megfeleloen. Ezen exploitok meretei nem olyan nagyok, h szamottevoen nojon a firg merete.

- nem a vírus által feltételezett böngészőt használod

Irrelevans.

- egyszerűen más a fájlrendszer-hierarchiád mint amire a vírus számít (tipikusan ez a helyzet ha pld a kedvencemet, a GoboLinux disztribúciót használnád, az ugyanis nem POSIX-kompatibilis)

Gobo is pont annyira POSIX kompatibilis mint a tobbi dist, kulonben semmi nem mukodne rajta, mint amit megszokott a paraszt barmely mas disztribucion.

- te mondjuk ReiserFS fájlrendszert használsz, de a vírus ext3-ra van felkészülve (vagy fordítva)

Irrelevans.

arról már nem is beszélve, hogy aki nem hülye, az nem root jogosultságokkal böngészik meg futtat minden szart, vagyis a vírus, még ha mindezen nehézségek ellenére "el is szabadulna", de legfeljebb a $HOME könyvtáradban lenne képes galibát okozni, mert a rendszered többi részéhez egyszerűen nem férne hozzá.

A local root exploitoknak puszta lete cafolja mar ezt a kijelentest.

Aztán meg, a Linuxot használók sokkal tudatosabban kezelik a gépüket mint az egységsugarú Windows-júzerek, s nem "okéznak" le mindent egy laza csuklómozdulattal, anélkül, hogy előbb elolvasnák az üzenetet.

Tapasztalt rendszergazdaktol is lattam mar ilyen viselkedest.

Továbbá, Linux alatt nem mindenféle gyanús származású, krakkolt, "tört" programot használunk, amit már jóelőre összefertőztek vírussal, kémprogrammal, miegyébbel, hanem megbízható helyről, a disztribúciónk repójából telepítünk. Vagy épp egyenesen forrásból fordítunk alkalmazást ami ha lehet "még megbízhatóbb" emiatt.

N+1 pelda volt mar arra, h egy adott repot megtortek vagy mas uton csempesztek bele artalmas kodot. Vagy eleve a maintainer oldotta meg a "problemat".

Véleményem tehát röviden az, hogy egy "átlagos", "mezei" felhasználónak Linux alatt egyszerűen - a dolgok jelenlegi állása szerint - nem érdemes vírusvédelemmel tökölődnie, mert több időt elpocsékol rá, mintha vállalja annak elenyészően csekély kockázatát, hogy MÉGIS összefut valami (valószínűleg nem is létező) irtómód ravasz vírussal, ami aztán csinál neki valami szóra sem érdemes galibát.

Nem virusvedelemmel kell torodni, hanem atgondolt hasznalattal. De ez nem linux specifikus kerdes.

---
pontscho / fresh!mindworkz

Hali!

Nem tudom a rootkit-ek mennyire tartoznak nálad a vírus kategóriába, de ha igen, akkor Én már találkoztam produktív szerveren velük. Sajna az egyiket annyira szétbaxta, hogy gyorsabb volt a rendszert újrahúzni, mint gyógyítgatni... nagy fájdalom persze nem lett belőle, mert az adatok természetesen külön partíción voltak, megfelelő biztonsági másolatokkal egyetemben. Innen beszerezhető az ellenőrző: http://www.chkrootkit.org/

Üdv:
Feri

Szerintem tegyük félre a klasszikus értelemben vett vírus fogalmát, mert ez kissé félrevezető tud lenni. Klasszikus értelemben vírussal nehéz fertőzni a linuxos distrókat. Viszont ha a legkülönfélébb, elsősorban webről összeszedhető kártékony kódot, ami különböző webes cuccok, kiegészítők, szabványok sebezhetőségeit használják ki (java, flash, php, stb.) is ide soroljuk, akkor már nem is olyan rózsás a helyzet. És a rootkitekről még nem is szóltunk egy szót sem.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

( pepo v | 2011. 06. 19., v – 14:17 )

Igen. De valami warez oldalon kutakodj. Onnan biztosan le tudsz tölteni vírust. De minek neked? ;)))

( vol4 | 2011. 06. 19., v – 16:03 )

Szigorúan a köz okulására tényleg jelentkezhetne már valaki, akinek volt alkalma linuxos vírussal személyesen és működés közben találkozni. Ossza már meg velünk a tapasztalatait.

++

Ez hogy "linuxos vírus", ez szerintem egy urban legend, nem is hiszem hogy létezik. Azt elhiszem, hogy ELVILEG nem lehetetlen, de nemigen hiszek benne hogy készült volna ilyesmi, kivéve netán "laboratóriumi" körülményeket, szigorúan kísérleti célból, tesztelésre, amit aztán nem is engedtek szabadon a nagyvilágba. S abban is biztos vagyok, ha készül ilyen, nem lesz sikeres, nem tud sok kárt okozni, s nagyon hamar "elcsípik", kifejlesztik ellene a védőmechanizmusokat.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

"Ez hogy "linuxos vírus", ez szerintem egy urban legend, nem is hiszem hogy létezik."

Probald egyszer ki, hogy felhuzol egy linuxos webszervert, teszel ra egy php-s oldalt, benne felejtesz egy nem kulonosebben rejtett remote inclusion bugot, es kiteszed az internetre. Egy het mulva nezz ra, es szamold meg, hany szalon megy rola az ssh bruteforce, meg az udp flood.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Ne haragudj, de inkább Google, mielőtt ilyeneket írsz.

http://en.wikipedia.org/wiki/Linux_malware

Attól még, hogy nem találkoztál vele, még van. A legnagyobb problémáink egyike (nem csak linux oldalról, win ugyanaz), hogy úgy el vagyunk telve a saját rendszerünktől, hogy az a látókör rovására megy. Ne legyünk már beszűkültek. Aztán csodálkozol, hogy mindenki rajtad (általános alanyként) röhög.

Hát, nem az igazi, de egyszer egy ismerős pendrive-járól egy Win-es alkalmazást wine-vel futtattam, és az vírusos volt és a wine által használt területre bele is firkált.

Szerencsére észrevettem és könnyen orvosolható volt. Lehet, ha figyelmetlen vagyok, és sokat wine-zek, akkor baj lett volna belőle. Nem tudott kiderülni...

Ez volt a legközelebb a "Linux vírus" fogalmához, amivel 16 év linuxozás alatt találkoztam.

Keress rá: mpg123 vírus. A home könyvtárban csinált kisebb károkat. Személyesen szerencsére nem futottam bele.

Amiről kevesebbet beszélnek: rootkit. Na, ez nem vírus és víruskeresővel semmit sem érsz vele szemben. Nekem mástól átvett rendszeren volt szerencsém hozzá: ShowTee. Víruskereső... hahaha...

Nem szabad elfelejteni, hogy a vírust általában valamiről észrevesszük (egy zavaró dologról), akkor is, ha nem keressük. Ezzel szemben létezik jónéhány olyan támadási forma, ami rejtőzködő és még folyamatos és fokozott figyelem mellett is nehéz észrevenni. Eközben az okozott kár igen tetemes is lehet. Mire rájövünk...

A vírus valójában a legtöbb esetben "csak bosszúságot" okoz. Persze aki elszenvedte, annak kárként maradt meg az emlékeiben, de ilyenkor érdmes rákeresni a "jelentéktelen kár" fogalmának meghatározására. Itt egy link, bár lehet, hogy mára kicsit elavult: http://www.itb.hu/ajanlasok/a12/html/a12_4.htm.
Mit is okoz egy vírus: menüpontokat tüntet el, működését megváltoztatja, fájlokat töröl ki az adott user jogosultságaival elérhető helyekről, stb. Mi véd ezek ellen? Pl mentés, gyakori vírusellenőrzéssel kiegészítve. Nem ragozom, vannak akik nálam sokkal jobban értenek a témához. Az csak elvi besorolás kérdése, hogy a jelszólopó vagy keylogger alkalmazások vírusnak tekinthetők-e.

Szóval van-e vírus linuxon? Igen, van.
Kell-e félni tőle? Igen, ezért fel kell készülni az elhárításra.
Kérdés, a vírus jelenti-e a fő biztonsági kockázatot? Nem. Ez csak egy a sok közül.

Linuxscripting

( PTibi | 2011. 06. 19., v – 21:35 )

Ha neked van net hozzáférésed, akkor másnak is...a te gépedhez..;).

Ha én firkálnék egy ilyet (persze nem, de ha mégis)mindenképpen alap lenne, hogy a (mondjuk) script lefutása után a többi cuccot a netről szerezze meg ahhoz, amit tenni szándékoznék a "holmival". A böngészőkön keresztül meglehetősen nagy a veszély. Rendszertől teljesen függetlenül. Egy jól konfigurált szűrés sok bosszúságtól óvhat meg. Ismeretlen és mások által sem ismert oldalakat jobb kerülni. ..etc..

( arth2o | 2011. 06. 20., h – 06:41 )

Ha nyugodtan szeretnél netezni, próba képpen telepítsd fel a Nod32 Linuxos változatát.
A blogomban pont most írtam le a tapasztalatomat. http://gyar.eu/dP
Az egyik leggyorsabb AV, ami valósidejű védelmet nyújt!

arth2o: honlapkészítés