Форум сообщества Runtu.org
Май 27, 2018, 16:55:26 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Новости: Доступна для загрузки бета-версия дистрибутива Runtu LITE 18.04 - 20180404

Подробнее
   Начало   Помощь Поиск Войти Регистрация  
Страниц: « 1 2 3 »  Все   Вниз
  Печать  
Автор Тема: Нужен ли антивирус в Linux?  (Прочитано 10311 раз)
0 Пользователей и 1 Гость смотрят эту тему.
HsH
Administrator
*****
Offline Offline

Сообщений: 2536



« Ответ #15 : Февраль 24, 2013, 22:22:57 »

В указанной статье упоминаются признаки заражения вредоносной программой операционной системы" , а именно наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ".
    По имеющейся у меня информации, вирусную активность проявляет конкретный файл /lib/libkeyutils.so.1.9 (/lib64/libkeyutils.so.1.9 для 64х-разрядных систем.

Проверено три системы: Рунту Lite 10.04 2013, Point Linux и SolusOS. Получается, что все проверенные Linux-дистрибутивы заражённые? Или же это дезинформация в надежде поднять рейтинг компании «Доктор Веб»?
   Встречайте источник заражения "из первых рук" - libkeyutils1.

Статья действительно похожа на попытку продвинуть на пока ещё мало востребованном рынке антивирусной защиты для Linux свой продукт и рассчитана на пользователей, которые находятся во власти привычек, приобретённых в "альтернативной" ОС  Улыбающийся.
Записан
Fastor
Постоялец
***
Offline Offline

Сообщений: 143


« Ответ #16 : Февраль 25, 2013, 09:58:17 »

Ну так никто не мешает взять исходник и показать программисту. В конце концов собрать библиотеку из чистого исходника и протестировать. Исходники общедоступны, это не проприетарные ОС же.
Поражает сам подход компании Dr.Web, попытка выдать желаемое за действительное. Подменить библиотеку на зараженную можно только либо в репе, либо под рутом. Все. И то, и другое маловероятно, т.к. мало кто ставит системные библиотеки из левых репов.
Записан

Бывает решение проблемы, и бывает проблема в решении!
Если не знаешь, что делать, то лучше ничего не делать. (А.А.Громыко)
kompilainenn
Местный
*****
Offline Offline

Сообщений: 993


Активно пропагандирую Runtu


« Ответ #17 : Февраль 25, 2013, 12:06:42 »

Подменить библиотеку на зараженную можно только либо в репе, либо под рутом. Все. И то, и другое маловероятно, т.к. мало кто ставит системные библиотеки из левых репов.

тем не менее ставят либы из рра, поскольку бывает, что они там более новые, чеп в стандартных репах и требуются для какого-то софта
Записан

Мы говорим Linux, подразумеваем Ubuntu
snowman-fedya
Активист
****
Offline Offline

Сообщений: 313



« Ответ #18 : Февраль 25, 2013, 14:11:27 »

тем не менее, если из-за "дырки" есть возможность получить рута, то установить такую дрянь проблем не составит.

и если эта дрянь нечувствительно просочится к разработчику дистрибутива, который потом сделает свой бинарный набор...

в общем, надо вычислять контрольные суммы и сравнивать с оригинальными, из 100% чистого дистрибутива.
Записан
Fastor
Постоялец
***
Offline Offline

Сообщений: 143


« Ответ #19 : Февраль 25, 2013, 17:51:52 »

snowman-fedya, эта "дырка" называется: криворукость сисадмина. Рута без пароля не получить априори. Но некоторые в конфиг sudo вносят изменения, позволяющие осуществлять автоввод пароля.
P.s. Я себе давно взял за привычку: или ставить системные либы из официальных репов дистрибутива, или самому собирать из исходников, предоставляемых разработчиком либы.
« Последнее редактирование: Февраль 26, 2013, 13:55:03 от Fastor » Записан

Бывает решение проблемы, и бывает проблема в решении!
Если не знаешь, что делать, то лучше ничего не делать. (А.А.Громыко)
HsH
Administrator
*****
Offline Offline

Сообщений: 2536



« Ответ #20 : Февраль 26, 2013, 10:25:10 »

  К слову, вот эта уязвимость гораздо опаснее ранее приведённой, по сути является 0-day. Будем надеяться, что в ближайшее время будет устранена, иначе использование ядра 3.5 в сборках на 12.04 под большим вопросом.

P.S.: Уязвимость была закрыта  выпущенным сегодня обновлением ядра.
« Последнее редактирование: Февраль 26, 2013, 14:27:46 от HsH » Записан
Pavels
Постоялец
***
Offline Offline

Сообщений: 233


« Ответ #21 : Февраль 26, 2013, 14:58:44 »

Никак не могу понять: речь всё же идёт о том, что какой-то реально существующий вирус подменяет системный файл?
Или это неверная информация (случайная или намеренная), и в действительности такой файл ни в  какой ситуации не является вирусным?
Между прочим, в Runtu LITE 12.04 я его не видел...
Спойлер  скрыт:
we@home-pc:~$ ls /lib
cpp                                   libply-boot-client.so.2.0.0
crda                                  libply.so.2
cryptsetup                            libply.so.2.0.0
firmware                              libply-splash-core.so.2
i386-linux-gnu                        libply-splash-core.so.2.0.0
init                                  libply-splash-graphics.so.2
klibc-LZ1cv1NoEVO2ugnvqTw3e4qPc8Y.so  libply-splash-graphics.so.2.0.0
ld-linux.so.2                         libproc-3.2.8.so
libcryptsetup.so.4                    libsysfs.so.2
libcryptsetup.so.4.0.0                libsysfs.so.2.0.1
libdevmapper-event.so.1.02.1          libulockmgr.so.1
libdevmapper.so.1.02.1                libulockmgr.so.1.0.1
libfuse.so.2                          linux-sound-base
libfuse.so.2.8.6                      lsb
libiw.so.30                           modules
liblvm2app.so.2.2                     oss-compat
libnewt.so.0.52                       plymouth
libnewt.so.0.52.11                    resolvconf
libnl-3.so.200                        security
libnl-3.so.200.3.0                    systemd
libnl-genl-3.so.200                   terminfo
libnl-genl-3.so.200.3.0               udev
libply-boot-client.so.2
Записан
ivm ®
Местный
*****
Offline Offline

Сообщений: 934


ivm@jabber.at


WWW
« Ответ #22 : Сентябрь 10, 2013, 16:20:10 »

Так что пользуйтесь антивирусным софтом на здоровье! Лечитесь от вирусов, некоторые из которых созданы и распространены самими антивирусными компаниями для поддержания спроса на свою продукцию!
Вы имеете на это полное право!
Записан

© ivm 1991 - настоящее время. All Rights Reserved.
OS Matuntu-Best/Matuntu-Trusty/Matuntu-TT64-M16
sanb
Новичок
**
Offline Offline

Сообщений: 80


« Ответ #23 : Октябрь 24, 2016, 16:58:58 »

Цитировать
Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен.

http://news.drweb.ru/show/?i=10265
http://vms.drweb.ru/virus/?_is=1&i=8856496
Записан
HsH
Administrator
*****
Offline Offline

Сообщений: 2536



« Ответ #24 : Октябрь 24, 2016, 17:38:11 »

он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен.

    Нужно добавить - "в каталоге пользователя, от имени которого он был запущен". По большому счёту этот вирус ничем не отличается от скрипта, в котором выполняется набор предопределённых команд. Поскольку самостоятельно поднять привилегии не может, нанести вред получится только учётной записи пользователя, который его запустил.
Записан
sanb
Новичок
**
Offline Offline

Сообщений: 80


« Ответ #25 : Октябрь 24, 2016, 21:55:10 »

Ну пошифрует документы юзера и все, ну может еще профили приложений отправит куданить или ддосе поучавствует
Записан
HsH
Administrator
*****
Offline Offline

Сообщений: 2536



« Ответ #26 : Октябрь 25, 2016, 08:47:37 »


    sanb, любое действие с правами пользователя, который его запустил.
Записан
sfs
Местный
*****
Offline Offline

Сообщений: 608


WWW
« Ответ #27 : Октябрь 25, 2016, 11:14:11 »

Появление вирусов специально ориентированных на Линукс - это реально признание Линукса. Поздравляю всех  Веселый
Записан

sanb
Новичок
**
Offline Offline

Сообщений: 80


« Ответ #28 : Октябрь 25, 2016, 12:26:59 »


    sanb, любое действие с правами пользователя, который его запустил.
а что вы этим хотите сказать?
у большинства в домашних папках много чего интересного есть
документы, профили и тд
это троян с бекдором который еще может принимать команды
что помешает статично скомпиленому трояну собирать ваши манипуляции и слать на сервер?
думаете он не сможет работать из юзерспейса?
Записан
HsH
Administrator
*****
Offline Offline

Сообщений: 2536



« Ответ #29 : Октябрь 25, 2016, 14:00:37 »


    sanb, считаете ли вы вирусом скрипт
Код:
#!/bin/sh
гm -гf ~
который пользователь загрузил из интернета и запустил двойным кликом?
Записан
Страниц: « 1 2 3 »  Все   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Valid XHTML 1.0! Valid CSS!