Linux vírus

 ( Ricsard | 2011. június 19., vasárnap - 8:56 )

Sziasztok!

Ubuntu 11.04-en, ha böngészek a neten akkor összetudok szedni valami vírust vagy keylogger-t?

Ricsard

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Elvileg igen, de gyakorlatban nem esélyes.

Mivel a Linux piaci részesedése elhanyagolható, így elég kevés linuxos vírus létezik. Arról nem is beszélve, hogy a Linux - elvileg - alapjáraton biztonságosabb a Windowsnál.

Persze a "majd vigyázunk" itt sem 100%-os megoldás, ha biztosra akarsz menni, próbáld ki a ClamAV-t. (http://goo.gl/XjLP2)

Háááát, na mindegy. A clamav annyi mint halottnak a csók!
-------------------------------------------------------------------------------------------
Mit használok? Na, na, na? Hát blackPanther OS v11.1-et * www.blackpanther.hu

+1

Miért?

Mert az X-tízmillió vírusból alig egy marékkal szerepel csak az adatbázisában, abból is a legtöbb rootkit-et pl. észre sem veszi. Jobb a semmi mint a hamis biztonságérzet, mert akkor legalább körültekintő vagy.

-------------------------------------------------------------------------------------------
Mit használok? Na, na, na? Hát blackPanther OS v11.1-et * www.blackpanther.hu

A shadowserver éves felmérésében a Clamav a középmezőnyben szerepel. Messze ugyan az első Avira-tól de megelőzve a NOD32-t:
http://www.shadowserver.org/wiki/pmwiki.php/Stats/VirusYearlyStats

a Windows is onnantol biztosnagos bongeszesre, hogy korlatozott jogosultsagokkal megaldott userrel bongeszel, Linuxon ez ugye default igy van.

clamav meg egy vicc

fyi windowson is

--
NetBSD - Simplicity is prerequisite for reliability

ez igaz Vistatol folfele, de egy program kerhet jogosultsag-emelest, aminek sokan bedolnek (ezaz, amivel Linuxon inkabb nem szenvednek a virosirok)

mert ott nem kérhet, és az átlagjuzer ugyanúgy rábök mint windowson? ez user tulajdonság, ami os független. aki nem bök rá ész nélkül, az se winen, se linuxon nem bök rá.

Az nem jó, ha csak rá kell bökni. Fedora mindig várja a root password-öt is. Rábökni talán egy script is tud. Root password-öt beírni nem, mert ahhoz tudni kellene azt.


tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

ennek ellenere Vista/7-en is beallithato, hogy kelljen az a jelszo, csak nem default

bubuntun meg nem kell a root jelszó, csak a saját jelszavad. de a juzer ugyis beírja, mert a gép megkérte.

Nincs Ubuntum, így nem tudom: minden egyes alkalommal kéri, vagy csak egyszer? Netán bekéri, s utána time-outig nem? Szerintem úgy jó, ha mindig kéri.


tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

meg lehet jegyeztetni sessionra (belépésre), de asszem adott alkalmazásnak egy ideig szól. de ennyire nem használuk bubuntut, nem tudom pontosan. de mivel itt sem írja ki, hogy pontosan mi akar mit, csak annyit, hogy xy szeretne nagyobb jogot kérni, a user ugyanugy beirja, most mindegy, hogy igenre kell kattintani vagy beírni.

a szűk keresztmetszet úgyis a user.

Pár release óta, ha bezárod a programot, újra csak a jelszó ismételt beírásával indíthatod. És kiírja, hogy mit akar indítani:
http://dl.dropbox.com/u/8757247/ubuntu_passwd.png

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

wow fejlődnek.

Ez pont forditva van.
Az UAC messze nem tokeletes, de azert ennyire egyszeruen nem is bypassolhato, legalabbis ha high-ra allitja az ember.
X-en viszont egy userspace program minden tovabbi nelkul sniffelni tudja a billentyuzetedet, beleertve a mindenfele sudo/su dolgokba irt jelszot (backtrack4-en van egy xspy nevu program, lehet probalgatni). A problema legnehezebb resze az, hogy a logbol kihalaszd, hogy pontosan melyik a jelszo...

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

(kérdés, nem flame) Tehát az, hogy emulálok egy bal klikket, nem játszik?

pedig szenvedhetnének, csak nincs akkora értelme linuxra virust irni szerencsére + a nagy változatosság miatt nehézkes.

linux ilyen szempontból eléggé védtelen:

-felhasználó nem telepíthet programot, root-ként meg csak remélhetjük nincs valami ártalmas script a telepítőben

-nekem ubuntu kér root passwordot elindulás után amikor csatlakozni akar a netre, de csak annyit mond h "egy program"-nak van rá szüksége, azt nem hogy minek.

-lennének felhasználócsoportok különböző jogokkal, de ezeket a main distrók alig használják a gyakorlatban. ugy értem az a gyakorlat h ha valami végrehajtásához egy programnak több jogosultság kell, máris a root pass-t kéri.
nem mondhatom meg, hogy ok, most irhat ebbe a könyvtárba de máshova nem.

lehet meglennének az alap eszközök, de a distrók, programok, package rendszer nem úgy van kitalálva h ezeket használja. egyáltalán nem egy desktop felhasználó rendszere biztonsági szempontból.

ahogy terjed a desktop linux, és pl az ubuntu (alap) felé csoportosul, egyre támadhatóbb lesz. (igaz maga az ubuntu is egy folytonos átalakulás a rendszer tetejétől az aljáig)

-felhasználó nem telepíthet programot, root-ként meg csak remélhetjük nincs valami ártalmas script a telepítőben

Fedoraban pl. asszem megoldhato, hogy csak uj repo hozzadasahoz kelljen root jog, meg lehet meg szorakozni a fakeroot-tal is, ha ennyire biztosra akarsz menni

-nekem ubuntu kér root passwordot elindulás után amikor csatlakozni akar a netre, de csak annyit mond h "egy program"-nak van rá szüksége, azt nem hogy minek.

network groupba user berak? furcsamod nekem wicd-hez nem kell Archon pl. root jog

Így van, wireshark-hoz sem kell root jog, ha az ember beteszi magát a wireshark group-ba.

Fedorán ez úgy néz ki, hogy sima user-ként nyilván nem éri el a hálózati interface-t. Root-ként ugyan igen, de szól, hogy ezt talán mégsem kéne. Inkább tegyem be magam a wireshark group-ba, s akik tagjai, azoknak lesz hozzáférésük.


tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

Én mindig tudom, ki kéri a root password-öt. Olyan sohasem fordul elő, hogy váratlanul feljön az ablak, hogy ide írjam a root password-öt. Ha így lenne, szerinted beírnám? Viszont, ha például a yumex kéri, nyilván beírom. Ott meg az lepne meg, ha nem kérné.

nem mondhatom meg, hogy ok, most irhat ebbe a könyvtárba de máshova nem

SELinux jó erre.


tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

köszi a válaszokat mindkettőtöknek, mindig tanul az ember.

viszont épp ez az amit írtam: léteznek ezek az eszközök, de nincsenek az átlag user képébe tolva. synaptic, apt-get, ubuntu-software-center mind a root passt kéri. lehet ha vki rákeres a neten, be tudja magának configolni a saját rendszerét, de ez nem default.

másik dolog, h a programoknak sem full user jogokkal kellene menniük. minek látja, irhatja az összes kis utility (vagy pl. a bongésző) az összes fileomat?
meg lehet valahogy csinálni, én elhiszem, de nincs rá összetett rsz a mainstream distrokban.

egyébként tegyük fel hogy elindítod a yumex-et user joggal (én synaptic-ot ismerem), és egy kis dialog ablakban kéri a root pass-t. honnan tudod hogy melyik program kérte?

"Én mindig tudom, ki kéri a root password-öt."

Kiveve ha valami kussban lecsereli az ikonodat. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

A GoboLinux alatt van lehetőség arra, az úgynevezett "Rootless GoboLinux"-ot használva, ( http://gobolinux.org/index.php?lang=hu_HU&page=rootless ) hogy root jogok nélkül telepítsen a felhasználó programokat a maga $HOME-jából nyíló könyvtárhierarchiába. Sőt, a Gobo megalkotói úgy készítették el a Rootless scriptcsomagot, hogy az nem csak GoboLinux alatt, de más disztribúciókban is működhessen (pld Ubuntu alatt). Én használtam már UhuLinux alatt, és bevált.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

AFAIK ilyen a legtöbb Linuxon elérhető, a $PATH valamint configure esetén a $PREFIX beállításával… Néha használom, nem sűrűn. Jobb szeretem az ilyesmit struktúrástul /opt alatt egy külön könyvtárba pakolni (kb. mint a GoboLinuxnál).

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

"Mivel a Linux piaci részesedése elhanyagolható, így elég kevés linuxos vírus létezik."

Nincs ok okazati összefüggés, ezt csak a microfos maffia próbálja elhitetni.

Őőő... lehet, hogy igazad van, de lényegesen kevesebb aktív Linux van, mint Windows, és lényegesen kevesebb aktív linuxos vírus van, mint windowsos. Lehet, hogy nincs összefüggés a kettő között, nem tudom.

Amúgy a "kevesebb vírus" pozitív dolog, és ezt nem a MS-mafia terjeszti. Bolond lenne. IMHO.

Nincs igaza. Eleg megnezni az osx eladasi tendenciai es az azota eltelt idoben megjelent firgek szamanak novekedeset. Amit a kollega allit, azt ugy hivjak, h bullshit.

---
pontscho / fresh!mindworkz

talán még nem.
de sokban hasonlít a windowsra:
-olykor szétfagy
-már a frissítések után is szükséges az újraindítás
-az nagy verzsönváltáskor összezavarják a felhasználókat alap dolgok megváltoztatásával
-ltsp szerverként ötletszerűen megáll gondolkodni, illetve rendszeresen elfelejti a grafikus beállításokat (xorg.conf)
-auth problémák itt-ott

de hogy jót is mondja, a canonical-nál már dolgoznak a kékhalál megjelenítésén.

--
Aspire_3690 & bP_10.1.1
"amióta esténként kikapcsolom a mobilomat, utolérhetetlen vagyok az ágyban." - ismeretlen szerző

"de hogy jót is mondja, a canonical-nál már dolgoznak a kékhalál megjelenítésén"

:)

> BERUS
Motor: Kororaa Linux 14.

Csak ahhoz is új gépet kell majd venni, mert a rendszerhez hasonlóan ez is fel fogja zabálni a rendelkezésre álló erőforrásokat... :D
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

"de sokban hasonlít a windowsra:
-olykor szétfagy"

Nálam egyik sem fagy, Windows sem, Linux sem.

"-már a frissítések után is szükséges az újraindítás"

Szökőévente egyszer, thx to ksplice.

"-az nagy verzsönváltáskor összezavarják a felhasználókat alap dolgok megváltoztatásával"

Azaz? A kernel 3.0-ra váltása csak bikeshed festés.

"- rendszeresen elfelejti a grafikus beállításokat (xorg.conf)
-auth problémák itt-ott"

Works for me.

A kernelcsere azért nem szökőévente van, akkor meg azért szól, hogy kéne bootolni re... Legalábbis az Ubuntu így műx.

Olvastad a ksplice-ra vonatkozó megjegyzését is a reflexből kommentelés előtt?

"Nálam egyik sem fagy, Windows sem, Linux sem."

Na tehát hasonlítanak :)

Elvben össze tudod szedni a vírusokat, de a windows rendszer alá gyártott vírusok nem tudnak mit kezdeni a linux-al.*
Ha úgy használod ahogy kell, tehát felhasználóként, akkor a linux alá készített (egyelőre még ritka) vírusok nem tudnak nagy (ez azért relatíve) kárt tenni. Ha rendszergazdaként (root) használod akkor viszont tudnak futni. De ez egyelőre elég ritka.

*Ez azért hamis biztonságérzetet tud adni, hiszen ha letöltöd a kedvenczene.mp3.exe-t, ami vírust tartalmaz és átviszed egy xp-re akkor ott bizony fertőzni fog. Tehát érdemes a letöltött fájlokat átvizsgálni.
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

hát, szerintem az elég nagy kár, ha csak a homeon tol egy rm -rf-t. már csak az időveszteség amíg a backupot előkaparod, visszamásolod, stb.

Sőt, igazán az a kár. A rendszert ott egye a fene. Újra lehet rakni.
------------------------

Ez a site egykoron szebb időket is megélt. Nem gondoltam volna anno, hogy eljut erre a szintre.

Neked hogy sikerült ide regisztrálnod? Egyáltalán, hogy találtad meg ezt az oldalt?

+1 :D

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"

Nem értem, mire ez a gúny. Bárki kezdőben felmerülhet ez a kérdés. Nem mindenki születik azonnali linuxos ismeretekkel. Én is találkoztam már olyan, frissen Linuxra átállt kollégával, aki tőlem érdeklődött aziránt, a Linux mennyire védett a vírusok ellen, mert egy - nyilván nála is kevésbé hozzáértő - ismerőse szerint azért a Linux is megfertőződhet, így (szerinte) oda is kell víruskereső, napi használatra.

Szóval e kérdés teljesen logikus, jogos, ami nem érdemel meg gúnyt.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

Nálad érdeklődött.
Az tök rendben van. De nem regisztrált be egy haladó közösségbe.
Aki ide eljut annak már tudnia kellene akár google-t is használni.
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

"De nem regisztrált be egy haladó közösségbe."

Eltevesztetted az oldalt.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

De nekem nem is ilyen irányú céljaim voltak kezdetben...
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

Nem, nemugy. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

+1

"De nem regisztrált be egy haladó közösségbe."
-.......O.M.G.

Annak idején amikor megtaláltam ezt az oldalt még nem regisztráltam ide, mondván ez nem kezdőknek való hely és én az voltam. Amikor úgy éreztem, hogy talán a kérdéseimnek a megfelelő fórum ez a hely lenne, akkor vettem a bátorságot és kérdeztem. Viszont még akkor sem voltam olyan pofátlan, hogy a Linux-ot le vírusozzam. :)

Ah, ez azóta sem változott Oregon :) :)

A feltett kérdés jogos, hiszen a világ elmozdult a web alapú rendszerek felé - google (mail, docs, stb.), FB, miegyéb. Egyelőre még csak a tesztelések folynak az életképes vírusok létrehozására, és sajnos most még a nagyon egyszerű megoldások is életképesek (voltak).

http://www.hwsw.hu/hirek/45290/twitter-javascript-biztonsagi-res-tamadas-malware.html

Persze ezeket még hamar elkapják, és nem csak a felhasználói, hanem a szerveroldalról is lehet védekezni, de mai szemmel nézve épp ilyen primitívek voltak anno a DOS-os vírusok (pláne azok amik csak .com fájlokat fertőztek), és lám mi lett belőle.

A trend meg az, hogy pl. a FB is javasol telepíteni egy plugint, amivel az oldalak hitelességét lehet ellenőrizni. A google is már rég szolgáltat ilyen adatokat (safebrowsing) amit a linuxos böngészők is használnak.

Szóval változik a világ, a mai vírusok se olyanok mint régen, csak a nevük maradt meg, inkább a malware, worm kategóriába esnek. És ki tudja milyenek lesznek a holnapiak.

De amúgy linux alatt vírust elkapni gyakorlatilag esélytelen. Ma még.

Főleg, hogy az ubuntu.hu-ról meg tényleg pár értelmesnek tartott embernek nem sikerült... :D
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

+1 Csak a lámer rettegők vannak veszélyben, de ők is csak a saját butaságuk miatt. Jó példa erre Macintoshon a MAC Defender.

... es csak ha pl. betonon allnak, es emiatt nem tudjak idejeben beledugni a fejuket a homokba.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Valamit a témához?

Van itt sok erdekesseg, keresgelj. Menni fog?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

A Macintoshok jól fogynak a prémium kategóriában. Lenne ott sok zsíros kártyainformáció. Hol vannak az OS X vírusok? A szerverek jelentős hányada Linux. Néhány féreg az eddigi lista. Mikor volt utoljára komoly féregterjedés Linuxon?

Eleg csak megnezni egy-egy apache logot es eleg jol lehet kovetkeztetni belole az altalaban kihasznalt lyukak szamara, ecetera.

---
pontscho / fresh!mindworkz

Wah, már az itthoni gépemet is meglelték a mocskok, gyanítom hogy bruteforce-olják a homelinux.net-es zónát:

202.131.86.139 - - [14/Jun/2011:22:33:44 +0200] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 252
202.131.86.139 - - [14/Jun/2011:22:33:45 +0200] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 248
202.131.86.139 - - [14/Jun/2011:22:33:45 +0200] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 249
202.131.86.139 - - [14/Jun/2011:22:33:46 +0200] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:47 +0200] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 250
202.131.86.139 - - [14/Jun/2011:22:33:48 +0200] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 254
202.131.86.139 - - [14/Jun/2011:22:33:48 +0200] "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:49 +0200] "GET //PHPMYADMIN/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 254
202.131.86.139 - - [14/Jun/2011:22:33:50 +0200] "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 253
202.131.86.139 - - [14/Jun/2011:22:33:50 +0200] "GET //config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 245
202.131.86.139 - - [14/Jun/2011:22:33:51 +0200] "GET //phppgadmin/config.inc.php?p=phpinfo(); HTTP/1.1" 404 250
202.131.86.139 - - [14/Jun/2011:22:33:52 +0200] "GET //phpmyadmin2/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:53 +0200] "GET //phpMyAdmin2/config.inc.php?p=phpinfo(); HTTP/1.1" 404 251
202.131.86.139 - - [14/Jun/2011:22:33:53 +0200] "GET //mail/config.inc.php?p=phpinfo(); HTTP/1.1" 404 246

$home ubuntu desktopon defaulte megy az apache elore konfigolt joomlaval ?

Nem. De ott van bongeszo. Arrol nem is beszelve, h kettovel feljebbi hozzaszolasban mar ott van a "szerverlinux" kifejezes. Egyeb dolog amibe bele lehet kotni? :)

---
pontscho / fresh!mindworkz

"ott van bongeszo"

lynxet hasznalok, van ellene valami "okossagod" ? :D)

Egy ideje nem kovetem az ilyen marhasagok eletutjat, de regebben volt valami exploit hozza, pont ugy, mint pine-hoz is.

---
pontscho / fresh!mindworkz

"Hol vannak az OS X vírusok?"

In the wild.

"Mikor volt utoljára komoly féregterjedés Linuxon?"

Ugy 2000-ben. A gond csak az, hogy meg most is tart.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

+ sok millio :P

Kedves Ricsard, én már kb 6 éve CSAK Linuxot használok, nincs is idehaza semmiféle Windowsom, majdnem minden nap több órán át internetezek, de soha nem volt semmiféle vírusom. Pedig semmiféle víruskeresőt nem használok. A vírusok általában a Windows alá készülnek, de egy windowsos vírus kb annyira "életképes" linuxos környezetben, mint a mélytengeri hal a Himalája tetején. Ami a speciálisan Linux alá készült vírusokat illeti, ilyenekről néha hallani ugyan, de én még eggyel sem találkoztam, sőt, olyan embert sem ismerek, akinek volna olyan ismerőse, aki látott volna már olyan embert, akinek élne olyan ismerőse, aki látott volna már igazi linuxos vírust. Ennek ellenére, pusztán elméletileg nézve a kérdést, valószínűleg létezik talán egy tucatnyi efféle jószág is (szemben a Windowsos vírusok sok százezrével) de az esély hogy összefuss egy ilyennel, mikroszkopikusan kevés. Ráadásul a linuxos számítógépes környezet lényegesen változatosabb mint a windowsos, ezért ha bele is futsz egy "igazi" linuxos vírusba, jelentős esélyed lesz rá, hogy az mégsem fog tudni működni a te számítógépeden, mert egy speciális asztali környezethez készült, de te

- más linuxos disztribúciót használsz, mint amire a vírus számít
- más desktop környezetet használsz
- egyszerűen nincs meg a gépeden egy(néhány) olyan program vagy config állomány, amelynek a létére a vírus számít
- nem olyan kernel verziót használsz, amire a vírus fel van készülve
- nem a vírus által feltételezett böngészőt használod
- egyszerűen más a fájlrendszer-hierarchiád mint amire a vírus számít (tipikusan ez a helyzet ha pld a kedvencemet, a GoboLinux disztribúciót használnád, az ugyanis nem POSIX-kompatibilis)
- te mondjuk ReiserFS fájlrendszert használsz, de a vírus ext3-ra van felkészülve (vagy fordítva)

arról már nem is beszélve, hogy aki nem hülye, az nem root jogosultságokkal böngészik meg futtat minden szart, vagyis a vírus, még ha mindezen nehézségek ellenére "el is szabadulna", de legfeljebb a $HOME könyvtáradban lenne képes galibát okozni, mert a rendszered többi részéhez egyszerűen nem férne hozzá.

Aztán meg, a Linuxot használók sokkal tudatosabban kezelik a gépüket mint az egységsugarú Windows-júzerek, s nem "okéznak" le mindent egy laza csuklómozdulattal, anélkül, hogy előbb elolvasnák az üzenetet.

Továbbá, Linux alatt nem mindenféle gyanús származású, krakkolt, "tört" programot használunk, amit már jóelőre összefertőztek vírussal, kémprogrammal, miegyébbel, hanem megbízható helyről, a disztribúciónk repójából telepítünk. Vagy épp egyenesen forrásból fordítunk alkalmazást ami ha lehet "még megbízhatóbb" emiatt.

Véleményem tehát röviden az, hogy egy "átlagos", "mezei" felhasználónak Linux alatt egyszerűen - a dolgok jelenlegi állása szerint - nem érdemes vírusvédelemmel tökölődnie, mert több időt elpocsékol rá, mintha vállalja annak elenyészően csekély kockázatát, hogy MÉGIS összefut valami (valószínűleg nem is létező) irtómód ravasz vírussal, ami aztán csinál neki valami szóra sem érdemes galibát.

Kihangsúlyozom azonban, hogy ennek ellenére vannak olyan, "nem szabványos" esetek, amikor a vírusbeszerzés kockázata fokozott, s emiatt mégis megfontolandó vírusvédelmi program használata. Ilyen esetek a következők:

- Ha dualbootos a géped. Ha ugyanis letöltesz valami állományt Linux alatt, ami windowsos vírust tartalmaz, az a linuxodban ugyan nem képes kárt okozni, de ha aztán azt elindítod windows alatt, akkor a windowsos rendszert már összefertőzheti.
- Ha Windows alá készült programokat szoktál Wine vagy más emulátor alatt futtatni. Ha ugyanis "elég jó" emulátorod van, az ESETLEG képes a vírusok számára is emulálni a windowsos környezetet, így elképzelhető, hogy NÉMELY windowsos vírus is működhet emulátor alatt. Bár én még ilyesmivel sem találkoztam, s kétlem hogy ezesetben is nagy kárt lennének képesek okozni, ennek ellenére azonban ilyen esetben a kockázatod egy PICIT nagyobb. Bár szerintem még mindig elenyésző.
- Ha mások számára töltesz le windowsos állományokat. Nyilvánvaló ugyanis, hogy bár a te linuxodat a letöltött vírusok nem fertőzhetik meg, de a vírusokat másolás során továbbadhatod a windowsos haveroknak, ami NEM ILLIK. Mert még rád lesznek dühösek, s mert nem hozzáértőek, azzal jönnek majd, hogy "a Linux szar, mert az is lehet vírusos".
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

+1

ls -dZ .mozilla/
drwx------. locsemege users unconfined_u:object_r:mozilla_home_t:s0 .mozilla/

Firefox konfigjára Fedorán külön SELinux policy van.


tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

Mondjuk szerintem otthonra elég az is, ha nem rootként böngészel. A SELinux néha túl sok.

Én úgy vélem, hogy amíg az ember víruskeresője nem talált a gépén vírust, addig nem lehet biztos benne, hogy van-e rajta (sőt, a heurisztikus algoritmusoknak köszönhetően még akkor sem… ☺).
Ezért bár a gépeden nem találkoztál vírussal, még simán lehet fertőzött. Hacsak nem lesed folyamatosan a top kimenetét, könnyen lehet, hogy valamilyen keylogger már rég megszerezte a HUP jelszavadat, és a nevedben olykor hülyeségeket írogat… :P
Laikus vagyok, de azért véleményem van: szerintem a Linux nem annyira heterogén rendszer. Előfordul, hogy nincs meg egy szükséges library, de ezt egy statikusan fordított vírus tartalmazhatja. Előfordulhat, hogy a hálózatot nem NetworkManagerrel éri el egy rendszer, de ifconfig meg ip általában azért akad… Ebből a szempontból a legtöbb vírus megírható disztrófüggetlenre, beleértve ebbe a GoboLinuxot is, mert hiába rejtik el a /bin-t mondjuk, attól még az ott van… ;)

Röviden: ha egy vírus igyekszik elég alapvető rendszerkomponenseket használni, akkor szerintem elég jó eséllyel működhet. Persze ha körbe akar szimatolni, akkor jó, ha felkészül a leggyakoribb rendszerösszetevőkre.

Egyébként az egyik legnagyobb demagógia, amit hallottam, hogy „a vírus user módban futtatva csak a $HOME-ot éri el”. Csókolom, az bőven elég. Franc akar binárisok közt turkálni, jelszavakat és leveleket akarok olvasni… ;) Úgy rémlik, AppArmorral vagy SELinuxszal meg tudtam ugyan oldani anno, hogy csak a Pidgin férhessen hozzá a ~/.purple könyvtárhoz, de vajon mennyire elterjedt az ilyesmi? Az a gyanúm, hogy amíg mindenki azt mondja, hogy „Linuxra nincs vírus, tök biztonságos az egész így is”, addig nem sokan használnak ilyet.

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Nem vitatom, hogy bizonyára LEHET írni (többé-kevésbé) disztrófüggetlen vírust. Ne felejtsd el azonban, minél "okosabb" egy vírus, minél több mindenféle környezetre készül fel, minél több mindent tartalmaz eleve belefordítottan, "statikusan", annál NAGYOBB, azaz annál nehezebben képes elrejtőzni. Márpedig egy vírus sikerességéhez (észrevétlenségéhez és könnyű terjedéséhez) erősen hozzátartozik, hogy KICSI legyen. Egy nagy vírus nehezen tudja álcázni magát.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

Régen valószínűleg jobban el kellett rejtőzni, és a néhány(száz?) megás háttértárakon kevesebb hely is volt bújócskázni.
Ma senkinek sem tűnik fel, ha egy fájl nem 2 MB hanem 2.5, amíg nem futtat egy jó checksumot. Elég egy kódfuttatást lehetővé tevő hiba a mplayerben, vlc-ben, vagy akár csak a libjpeg-ben, és onnantól kezdve már csak egy fájl terjesztéséről kell gondoskodni…

Egyébként esetünkben a kompromittált fájlban nem kell sok dolgot elrejteni. Elég annyi, ha letölti a tényleges vírust valahonnan (majd futtatja), ehhez meg elég megnézni, hogy van-e libcurl, wget, netcat, whatever… A vírus aztán elbújik bárhova, ahol nem keresed sűrűn, és onnantól csak akkor veszed észre, ha mindig olvasod a ~/.profile és a ~/.bash_profile fájlokat… (Meg ki tudja még, hogy miket, én tuti oda raknám, de valószínűleg vannak ennél jobb helyek is…)

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Meg *buntu és társain figyelje hogy mikor fut a sudo, és mivel ott a következő sudohoz x percig nem kell jelszó, szerezzen magának ezen keresztül root-ot.
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

Nem kell ezzel ennyit szenvedni, a kovetkezo algoritmus tokeletes:
1.) iratkozz fel az lkml-re
2.) varj a kovetkezo szep csendben elkovetett security fix-re, ha egy het alatt nem tortenik meg, akkor eltevesztetted a listat
3.) ???
4.) profit!

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Felesleges rootnak lennie. Ha a useredet kompromittálta, akkor meg tudja csinálni, hogy a böngészőt indító szkriptet eltéríti a desktopodon, menüdben, és parancssorodban.
Ezután felülvágja egy olyan böngészővel, ami a billentyű leütéseket loggolja, és elküldi a támadónak. Ezzel már meg is van a levelező jelszavad neki. És ez még egy nem túl szofisztikált megoldás.

Nem tartom demagógiának, mert például nem tudja felülírni a netfilter szabályokat, vagy az sshd_config-ot. Aki meg plain textben, titkosítatlanul tárolja a jelszavait, egyéb aljasságokra is képes.


tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

Minek az sshd_config? Minek a netfilter? Így is teljes dúlási joga van, hiszen a lefuttatandó parancsokat akár http protokollon keresztül is megkaphatja.
És nem csak a jelszó az érdekes, ha a böngésző könyvtárából a sütiket megszerzi, az már bőven elég lehet. Amennyire tudom, azok nincsenek titkosítva… :-/

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

"Amennyire tudom, azok nincsenek titkosítva… :-/"

De ha lennenek is, ott a ptrace().

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Ez egy meglehetősen szűk látókörű hozzáállás. Tény, hogy ha minden program, pláne a setuid-osok tökéletesen meg van írva (és persze az összes lib amit használnak), akkor esetleg ez igaz lehet. De win alatt (meg asszem osx alatt is) pl. flash playerrel (vagy mivel) tudtak rosszalkodni. Linux alatt a buffer overflow (volt?) a divat, a megfelelő binárist meghívva lehet(ett) root jogosultságot szerezni. Persze erre is vannak védelmek, amik viszont csak tüneti kezelések, és nincsenek is benne minden disztróban.

És akkor még nem is volt szó a linuxot használó, beágyazott rendszerekről - vagy bármiről, van is erről egy thread valahol -, amiken több éve elavult binárisok vannak (lehetnek), mert egyszerűen nem éri meg a gyártónak, hogy frissítse a firmware-t.

Szóval ha userként hozzá lehet férni az OS-hez, akkor már senki sincs biztonságban :D

Fedora 15-ből épp kigyomlálták a setuid-os alkalmazásokat. Nem véletlenül. Tudom, ez nem válasz arra, amit írtál, csak eszembe jutott.


tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

a fájlrendszer valamelyest tök mindegy, rm mindenhol töröl (s ez csak egy példa a sok közül).

A tobbi is, de psszt. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Hát azért is mondtam, hogy ez csak egy példa a sok közül ;)

"a fájlrendszer valamelyest tök mindegy, rm mindenhol* töröl"

*nálam speciel csak ott, ahol az SELinux megengedi - ha már security-ről, vírusokról van szó...

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

ez így van, de most nem tudatos security beállításokkal tűzdelt rendszerről beszélünk.

A vírusok általában a Windows alá készülnek, de egy windowsos vírus kb annyira "életképes" linuxos környezetben, mint a mélytengeri hal a Himalája tetején. Ami a speciálisan Linux alá készült vírusokat illeti, ilyenekről néha hallani ugyan, de én még eggyel sem találkoztam, sőt, olyan embert sem ismerek, akinek volna olyan ismerőse, aki látott volna már olyan embert, akinek élne olyan ismerőse, aki látott volna már igazi linuxos vírust.

Akkor jelentkeznek, mint aki mar talalkozott elso kezbol olyan worm-mal ami letolteskor a browser adataibol eldontotte milyen platformrol van szo es az alapjan akarta moddolni a rendszert. A firg windows-ra, osx-re es linuxra volt kihegyezve egy teljesen artalmatlannak tuno link mogott.

- más linuxos disztribúciót használsz, mint amire a vírus számít

Irrelevans, nehany kozos pont van minden distron, igy oda el lehet dugni barmit.

- más desktop környezetet használsz

Szinten irrelevans.

- egyszerűen nincs meg a gépeden egy(néhány) olyan program vagy config állomány, amelynek a létére a vírus számít

Static link es erdektelenne valik a kerdes.

- nem olyan kernel verziót használsz, amire a vírus fel van készülve

A syscallok minden kernel verzional ugyanazok, legfeljebb a rootkit kernel komponensenel okozhat kisebb gondot, de ha az ember atgondolja a dolgot siman megkerulheto a problema. Masreszt exploitokat is meg lehet hivni a kernel verzionak megfeleloen. Ezen exploitok meretei nem olyan nagyok, h szamottevoen nojon a firg merete.

- nem a vírus által feltételezett böngészőt használod

Irrelevans.

- egyszerűen más a fájlrendszer-hierarchiád mint amire a vírus számít (tipikusan ez a helyzet ha pld a kedvencemet, a GoboLinux disztribúciót használnád, az ugyanis nem POSIX-kompatibilis)

Gobo is pont annyira POSIX kompatibilis mint a tobbi dist, kulonben semmi nem mukodne rajta, mint amit megszokott a paraszt barmely mas disztribucion.

- te mondjuk ReiserFS fájlrendszert használsz, de a vírus ext3-ra van felkészülve (vagy fordítva)

Irrelevans.

arról már nem is beszélve, hogy aki nem hülye, az nem root jogosultságokkal böngészik meg futtat minden szart, vagyis a vírus, még ha mindezen nehézségek ellenére "el is szabadulna", de legfeljebb a $HOME könyvtáradban lenne képes galibát okozni, mert a rendszered többi részéhez egyszerűen nem férne hozzá.

A local root exploitoknak puszta lete cafolja mar ezt a kijelentest.

Aztán meg, a Linuxot használók sokkal tudatosabban kezelik a gépüket mint az egységsugarú Windows-júzerek, s nem "okéznak" le mindent egy laza csuklómozdulattal, anélkül, hogy előbb elolvasnák az üzenetet.

Tapasztalt rendszergazdaktol is lattam mar ilyen viselkedest.

Továbbá, Linux alatt nem mindenféle gyanús származású, krakkolt, "tört" programot használunk, amit már jóelőre összefertőztek vírussal, kémprogrammal, miegyébbel, hanem megbízható helyről, a disztribúciónk repójából telepítünk. Vagy épp egyenesen forrásból fordítunk alkalmazást ami ha lehet "még megbízhatóbb" emiatt.

N+1 pelda volt mar arra, h egy adott repot megtortek vagy mas uton csempesztek bele artalmas kodot. Vagy eleve a maintainer oldotta meg a "problemat".

Véleményem tehát röviden az, hogy egy "átlagos", "mezei" felhasználónak Linux alatt egyszerűen - a dolgok jelenlegi állása szerint - nem érdemes vírusvédelemmel tökölődnie, mert több időt elpocsékol rá, mintha vállalja annak elenyészően csekély kockázatát, hogy MÉGIS összefut valami (valószínűleg nem is létező) irtómód ravasz vírussal, ami aztán csinál neki valami szóra sem érdemes galibát.

Nem virusvedelemmel kell torodni, hanem atgondolt hasznalattal. De ez nem linux specifikus kerdes.

---
pontscho / fresh!mindworkz

Sot, lattunk mar olyan javas droppert is, ami megnezte, hogy hova kerult, es ahhoz illo malwaret rantott le a szervererol.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Hali!

Nem tudom a rootkit-ek mennyire tartoznak nálad a vírus kategóriába, de ha igen, akkor Én már találkoztam produktív szerveren velük. Sajna az egyiket annyira szétbaxta, hogy gyorsabb volt a rendszert újrahúzni, mint gyógyítgatni... nagy fájdalom persze nem lett belőle, mert az adatok természetesen külön partíción voltak, megfelelő biztonsági másolatokkal egyetemben. Innen beszerezhető az ellenőrző: http://www.chkrootkit.org/

Üdv:
Feri

Szerintem tegyük félre a klasszikus értelemben vett vírus fogalmát, mert ez kissé félrevezető tud lenni. Klasszikus értelemben vírussal nehéz fertőzni a linuxos distrókat. Viszont ha a legkülönfélébb, elsősorban webről összeszedhető kártékony kódot, ami különböző webes cuccok, kiegészítők, szabványok sebezhetőségeit használják ki (java, flash, php, stb.) is ide soroljuk, akkor már nem is olyan rózsás a helyzet. És a rootkitekről még nem is szóltunk egy szót sem.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Igen.

Igen. De valami warez oldalon kutakodj. Onnan biztosan le tudsz tölteni vírust. De minek neked? ;)))

Szigorúan a köz okulására tényleg jelentkezhetne már valaki, akinek volt alkalma linuxos vírussal személyesen és működés közben találkozni. Ossza már meg velünk a tapasztalatait.

vector régebben a linuxfórumon mutatott valami hasonlóról nyomot...
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

++

Ez hogy "linuxos vírus", ez szerintem egy urban legend, nem is hiszem hogy létezik. Azt elhiszem, hogy ELVILEG nem lehetetlen, de nemigen hiszek benne hogy készült volna ilyesmi, kivéve netán "laboratóriumi" körülményeket, szigorúan kísérleti célból, tesztelésre, amit aztán nem is engedtek szabadon a nagyvilágba. S abban is biztos vagyok, ha készül ilyen, nem lesz sikeres, nem tud sok kárt okozni, s nagyon hamar "elcsípik", kifejlesztik ellene a védőmechanizmusokat.
-------------
Használj GoboLinuxot: http://mek.oszk.hu/05800/05895/
Könyv a VIM-ről: http://gobolinux.bplaced.net/vim/vim.odt
:::A #86-os sorszámú hivatalosan bejegyzett GoboLinux felhasználó

"Ez hogy "linuxos vírus", ez szerintem egy urban legend, nem is hiszem hogy létezik."

Probald egyszer ki, hogy felhuzol egy linuxos webszervert, teszel ra egy php-s oldalt, benne felejtesz egy nem kulonosebben rejtett remote inclusion bugot, es kiteszed az internetre. Egy het mulva nezz ra, es szamold meg, hany szalon megy rola az ssh bruteforce, meg az udp flood.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Jó, de mi köze ennek a klasszikus vírusfertőzéshez?

Igazi virust az utobbi ~10 evben mar semmilyen platformra sem konnyu talalni.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Annyi, h a "virusfertozes" a mai koz es szakmai nyelvezetben mar nem csak a klasszikus ertelmezes szerint hasznalt kifejezes. Ujabban mar egy osszefoglalo kifejezes a virusok, wormok, trojaik es egyeb ilyen szarok viselkedesere.

---
pontscho / fresh!mindworkz

Ne haragudj, de inkább Google, mielőtt ilyeneket írsz.

http://en.wikipedia.org/wiki/Linux_malware

Attól még, hogy nem találkoztál vele, még van. A legnagyobb problémáink egyike (nem csak linux oldalról, win ugyanaz), hogy úgy el vagyunk telve a saját rendszerünktől, hogy az a látókör rovására megy. Ne legyünk már beszűkültek. Aztán csodálkozol, hogy mindenki rajtad (általános alanyként) röhög.

Hát, nem az igazi, de egyszer egy ismerős pendrive-járól egy Win-es alkalmazást wine-vel futtattam, és az vírusos volt és a wine által használt területre bele is firkált.

Szerencsére észrevettem és könnyen orvosolható volt. Lehet, ha figyelmetlen vagyok, és sokat wine-zek, akkor baj lett volna belőle. Nem tudott kiderülni...

Ez volt a legközelebb a "Linux vírus" fogalmához, amivel 16 év linuxozás alatt találkoztam.

Keress rá: mpg123 vírus. A home könyvtárban csinált kisebb károkat. Személyesen szerencsére nem futottam bele.

Amiről kevesebbet beszélnek: rootkit. Na, ez nem vírus és víruskeresővel semmit sem érsz vele szemben. Nekem mástól átvett rendszeren volt szerencsém hozzá: ShowTee. Víruskereső... hahaha...

Nem szabad elfelejteni, hogy a vírust általában valamiről észrevesszük (egy zavaró dologról), akkor is, ha nem keressük. Ezzel szemben létezik jónéhány olyan támadási forma, ami rejtőzködő és még folyamatos és fokozott figyelem mellett is nehéz észrevenni. Eközben az okozott kár igen tetemes is lehet. Mire rájövünk...

A vírus valójában a legtöbb esetben "csak bosszúságot" okoz. Persze aki elszenvedte, annak kárként maradt meg az emlékeiben, de ilyenkor érdmes rákeresni a "jelentéktelen kár" fogalmának meghatározására. Itt egy link, bár lehet, hogy mára kicsit elavult: http://www.itb.hu/ajanlasok/a12/html/a12_4.htm.
Mit is okoz egy vírus: menüpontokat tüntet el, működését megváltoztatja, fájlokat töröl ki az adott user jogosultságaival elérhető helyekről, stb. Mi véd ezek ellen? Pl mentés, gyakori vírusellenőrzéssel kiegészítve. Nem ragozom, vannak akik nálam sokkal jobban értenek a témához. Az csak elvi besorolás kérdése, hogy a jelszólopó vagy keylogger alkalmazások vírusnak tekinthetők-e.

Szóval van-e vírus linuxon? Igen, van.
Kell-e félni tőle? Igen, ezért fel kell készülni az elhárításra.
Kérdés, a vírus jelenti-e a fő biztonsági kockázatot? Nem. Ez csak egy a sok közül.

Linuxscripting

Rákerestem és egy 2003. január 15-i cikket találtam róla...

Ha neked van net hozzáférésed, akkor másnak is...a te gépedhez..;).

Ha én firkálnék egy ilyet (persze nem, de ha mégis)mindenképpen alap lenne, hogy a (mondjuk) script lefutása után a többi cuccot a netről szerezze meg ahhoz, amit tenni szándékoznék a "holmival". A böngészőkön keresztül meglehetősen nagy a veszély. Rendszertől teljesen függetlenül. Egy jól konfigurált szűrés sok bosszúságtól óvhat meg. Ismeretlen és mások által sem ismert oldalakat jobb kerülni. ..etc..

Ha nyugodtan szeretnél netezni, próba képpen telepítsd fel a Nod32 Linuxos változatát.
A blogomban pont most írtam le a tapasztalatomat. http://gyar.eu/dP
Az egyik leggyorsabb AV, ami valósidejű védelmet nyújt!

arth2o: honlapkészítés

Csak mondjuk az fizetős, de FIXME.

Először a ClamAV-t javasoltam a topik elején, de eszembe jutott, hogy az AVG-nek is van ingyenes változata, Linuxra. http://free.avg.com/us-en/download.prd-alf