# Форум на русском языке  > Новости  > Новости интернет-пространства  >  Очередное опровержение мифа о безопасности *nix

## Гриша

Времена мифов о безопасности *nix-систем и отсутствия для них вирусов и других вредоносных программ давно прошли. Очередным подтверждением этого тезиса стали троянцы Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.

Далее тут

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Ну-ну, давно прошли, оказывается... Господам пиарщикам следует немного поумерить свой пыл... Я не знаю кому там чего обидно, но тот, кто это писал, далёк от юникс как веник от табуретки. Почему ничего не сказано о механизмах распространения? Каким образом эти бяки-буки попали на сервера? Может руки кривоваты у тех кто сервера настраивал? А может и юникс здесь не причём? Миф мифом, а из юникс сделать дырявую систему при кривых руках в 100 раз проще чем из винды. Стыдно писать такие статьи, с такими выводами.. пиарщики... тьху.  :Smiley: 

*Добавлено через 2 минуты*

кстати, это не очередное опровержение мифа, а попытка выдать желаемое за действительное.

----------


## Ego1st

> при кривых руках в 100 раз проще чем из винды


не согласен, винда по умолчанию дырявая как решито, а никсы еще делать надо..
в целом согласен, статья бред пиарщиков, нет описания не механизмов распространения, ни чего=)

----------


## DVi

Это вы сейчас Голованова назвали пиарщиком? Разрешите рассмеяться  :Smiley: ))

----------


## ALEX(XX)

> Это вы сейчас Голованова назвали пиарщиком? Разрешите рассмеяться ))


Виталий, я вчера долго смеялся с того, что написано в статье. А как ещё человека то назвать? Написал непойми о чём, непонятно для чего.. Я конечно понимаю, что надо всех напугать и убедить, что антивирус и юникс жить друг без друга не могут

*Добавлено через 4 минуты*

В первую очередь интересует механизм рапространения. А то у меня есть серверок с реальным ипом, ща вот подниму на нём апач, наклепаю сайтов, прикручу на сервак вот этот скрипт, и буду юзерам видео-кодеки впаривать к порнухе, а мой сервак занесут в список хакнутых.  :Smiley:

----------


## DVi

Механизм распространения там такой же, как у всех *Trojan-*.JS.** - заливка по FTP, используя ворованный аккаунт. Я так думаю (с Сергеем, по причине раннего утра, еще не говорил).

----------


## ALEX(XX)

> Механизм распространения там такой же, как у всех *Trojan-*.JS.** - заливка по FTP, используя ворованный аккаунт.


 Ээээ.... Что-то я не понял... Спёрли аккаунт, залили тупой скрипт и файл который его разворачивает и это уже называется поломали юникс и он теперь не секурный?  :Shocked: 

Да, кстати, есть вот такое http://ru.wikipedia.org/wiki/FreeBSD_Jail очень популярное средство, которое сильно мешает наделать пакостей. А юникс можно хакнуть, в подавляющем большинстве случаев через софт: дыры в вэб-серверах, почтовых серверах и др., но если грамотно всё сделать, то окромя какогото приложения ничего не пострадает.

----------


## DVi

> Ээээ.... Что-то я не понял... Спёрли аккаунт, залили тупой скрипт и файл который его разворачивает и это уже называется поломали юникс и он теперь не секурный?


Скрипт выполняет свою работу по рассылке спама и распространению вирусов.  В рамках комплекса он имеет и функцию распространения - на другие FTP-сервера. Значит является вирусом.

----------


## ALEX(XX)

> Скрипт выполняет свою работу по рассылке спама и распространению вирусов. В рамках комплекса он имеет и функцию распространения - на другие FTP-сервера. Значит является вирусом.


Ок, пусть так, я не спорю. Вопрос в другом - где доказательство того, что юних не секурный?

----------


## Зайцев Олег

> Ээээ.... Что-то я не понял... Спёрли аккаунт, залили тупой скрипт и файл который его разворачивает и это уже называется поломали юникс и он теперь не секурный?


Вот именно это оно и означает ... Если почитать вопли оголтелых линуксоидов на некоторых форумах, то они сводятся к трем утверждениям:
1. MS & Windows must die
2. "Товарищи, все на на *nix" - там нет вирусов, хакеров, система неломаема, как следствие антивирус не нужен и т.п.
3. Windows & MS must die
Причем порядок следования этих трех аргументов примерно такой. А с другой стороны, чем тупое заливание скрипта под *nix отличается от тупого заливания трояна под Windows ?! Да ровным счетом ничем - в обоих случаях причина этого состоит в действиях глупого юзера, помноженных на просчеты в настройке и администрировании. Но если под Win если туча всего, доступного начинающему юзеру - начиная от UAC и заканчивая антивирусами, антишпионами, антируткитами, кучей всяких разных целебных утилит и методов лечения, то под *nix с всем этим все намного сложнее, причем некоторые принципы типа базы чистых AVZ вообще неприемлемы (так как разных сборок миллион и все разные).
Добавлю, что в данном случае контраргумент тех самых "оголтелых линуксоидов" состоит в том, что вод дескать, "юзер глупый" - нужно прочитать 20 документаций, далее 200 форумов с описанием недокументированных фич, далее выучить наизусть всем man и FAQ, и все долго и упорно настраивать - то вот тогда все будет неломаемо ... А если спуститься с небес на землю, то реалии просты - рядовой пользователь как правило в лучшем случае пролистает трактат "Как освоить <название системы> за 15 минут. Пособие для чайников", и никогда не будет ничего детально изучать и настраивать.

----------


## ALEX(XX)

> Если почитать вопли оголтелых линуксоидов
> .


 Линуксоид - это задрот малолетний, который бегает по форумам и орёт - венда сакс! А человек, который работает в ОС линукс - это пользователь...  :Smiley: 




> 1. MS & Windows must die
> 2. "Товарищи, все на на *nix" - там нет вирусов, хакеров, система неломаема, как следствие антивирус не нужен и т.п.
> 3. Windows & MS must die


1 и 3 оставим в стороне.
2. Вирусов как таковых - нет. и антивирус таки не нужен. Система не то чтобы неломаема, а скорее то, что дебилоид, грамотно настроенную систему не хакнет. Тот факт, что при заливке этого скрипта надо ещё аккаунт спереть, лишний раз подтверждает это.




> Но если под Win если туча всего, доступного начинающему юзеру - начиная от UAC и заканчивая антивирусами, антишпионами, антируткитами, кучей всяких разных целебных утилит и методов лечения, то под *nix с всем этим все намного сложнее, причем некоторые принципы типа базы чистых AVZ вообще неприемлемы (так как разных сборок миллион и все разные)


Олег, в юниксах всё то, что Вы описали и нафиг не нужно! Имеем простейший скрипт, который залили на сервак. Он на сервак попал из-за спёртого аккаунта, даже не взломано ничего. Какие антируткиты, какие антишпионы? Есть вирусы, которые используя уязвимость в САМОЙ ситсеме валят её в панику при этом выполнив произвольный код в памяти и укрепившись в системе? Есть вирусы, которые незаметно распространяютсяс флэшек или ещё чего-нибудь? Юникс можно хакнуть через софт, заюзав неприкрытые дыры в софте и получить права рута. Вот только тогда можно впаривать какой-нибудь руткит или ещё какую-нибудь хрень. Без рутовского доступа к юниху, фиг кто что сделает. А для того чтобы дальше приложения никуда не пробрались есть chroot и jail. А домашние юникс-системы - там все пользователи работают из-под ограниченного пользователя по-умолчанию и нет надобности работать от рута ибо софт нормально работает и так. А UAC - это тотже sudo, который позволяет выполнять действие от имени суперпользователя. Вобщем...

*Добавлено через 33 секунды*

И не надо сказки пользователям рассказывать

*Добавлено через 1 минуту*

Да и стандратный руткит как в винде не впаришь, а ещё попомучаешься его собравши для этой системы.

----------


## Kuzz

> Если почитать вопли оголтелых линуксоидов на некоторых форумах, ...
> 
> Но если под Win если туча всего, доступного начинающему юзеру - начиная от UAC и заканчивая антивирусами, антишпионами, антируткитами, кучей всяких разных целебных утилит и методов лечения, то под *nix с всем этим все намного сложнее, причем некоторые принципы типа базы чистых AVZ вообще неприемлемы (так как разных сборок миллион и все разные).


Но мы же не на тех самых "некоторых форумах"..
Да и фанатичная преданность - это уже плохо. 

В той-же убунте работаешь не под root-ом, а когда надо выполнить что-то с повышенными правами - она тоже спрашивает разрешения/пароли. Чем не UAC?

Антивирусы, антишпионы.. В них вожникала острая потребность?
Антируткиты. Есть. Кому они понадобятся - найдет. По всех углах их не раскладывают, т.к. руткиты тоже делаются под конкретную систему/сборку, а значит и антируткиты.
Целебные утилиты, методы лечения. -> Антивирусы, антишпионы..


А по теме: если оно впаривается, да и еще пытается рассылать себя через ftp, то рассчитано на [а вот не скажу я это слово], которому что *nix, что Win что солярка.. Все равно пароль "123"

----------


## ALEX(XX)

> А с другой стороны, чем тупое заливание скрипта под *nix отличается от тупого заливания трояна под Windows ?! .


 Ага, за искючением того, что я могу в локалку городскую под юнихом выйти не опасаясь того, что мой антивирус доведёт меня алертами до суицида через 1,5 минуты после подключения к сети.

----------


## amranello

на грамотно настроеных серверах Юникс семейства есть такие сервисы как SELinux http://ru.wikipedia.org/wiki/SELinux и RSBAC http://www.opennet.ru/docs/RUS/linux_rsbac/ , которые реализуют управление доступом на основе ролей, мандатное управление доступом, список контроля доступа. Например FTP сервису можно запретить отправку емейла(доступ к sendmail и другим сервисам) и т.д так как это ему не нужно делать у него другая роль

----------


## Зайцев Олег

> Ага, за искючением того, что я могу в локалку городскую под юнихом выйти не опасаясь того, что мой антивирус доведёт меня алертами до суицида через 1,5 минуты после подключения к сети.


Интересное наблюдение - у меня никогда не было антивируса и Firewall на ПК, я совершенно спокойно хожу куда угодно и никогда не сталкивался с вирусным заражением, при этом операционка - Windows XP. Возникает вопрос (риторический) - почему это так  :Smiley:  И этот самый Windows живет у меня годами без переустановки, никогда не тормозит и не глючит, некоторые компьютеры не перезагружаются месяцами - это обыденность, а не фантастика. И этого вытекает два умозаключения:
1. *nix не менее дыряв, уязвим и глючен, чем Windows. Рост его популярности приведет к тому, что чаще будут уязвлять - и будет появляться  все больше троянов и вирусов под него. Подобная картина в свое время очень хорошо наблюдалась на FireFox - байка о том, что он менее дыряв, чем IE моментально рассеялась, как только он стал популярен;
2. Основная "дырка" в безопасности Windows и *unix - это пользователь. Тот самый пользователь, который будет жать "Да" на на все вопросы не читая, работать под учетной записью без пароля или с паролем "123", все устанавливать "по умолчанию", никогда не читать документацию, не утруждаться установкой патчей и обновлений, устанавливать в систему все что ни попадя (желательно из сомнительных источников) и т.п. И таковых пользователей - 99.9% 
Следствие из этих умозаключений и выводы:
1. Любую систему при желании можно взломать или сделать под нее вирус. Неломаемые и незаражаемые операционки для пользовательского ПК - это байка 
2. Защищенность системы зависит не столько от системы, сколько от грамотности и правильности ее настройки, правильности администрирования и эксплуатации

----------


## ALEX(XX)

> 1. *nix не менее дыряв, уязвим и глючен, чем Windows. Рост его популярности приведет к тому, что чаще будут уязвлять


Не-а..  :Smiley:  Неверное утверждение то в принципе. Юникс годами используется на серверах, где требования к безопасности очень высокие, причём сервера очень различные по своей важности и доля юникса на этом рынке в 10-ки раз больше чем винды. И поэтому безопасность ОС всё время улучшают, о скорости закрытия дыр я вообще молчу. Поэтому, на данный момент, благодаря такой вот исторической концепции, юникс намного надёжней чкм в винда в плане безопасности

*Добавлено через 2 минуты*

Насчёт сомнительный источников... В юзерфрендли дистрибутивах того же линукса все репозитории уже настроены, остаётся лишь найти в списке нужный тебе софт. Также и с фряхой, есть сайт freshports.org, можно установить всю коллекцию портов к себе на машину и использовать их при установке софта...

*Добавлено через 4 минуты*




> некоторые компьютеры не перезагружаются месяцами


Хотел бы я посмотреть на виндовс вэб-сервер, который не перезагружался бы полгода без установок обновлений.

----------


## Зайцев Олег

> Поэтому, на данный момент, благодаря такой вот исторической концепции, юникс намного надёжней чкм в винда в плане безопасности


Это весьма ошибочное мнение  :Smiley:  (оно поддерживается любителями *nix, но не соответствует действительности). 
Причина большей надежности кроется в том, что:
1. для установки Unix на сервер и его настройки необходимы довольно приличные знания
2. надобность писать конфиги руками приводит к тому, что админ должен изучить доки и понять, что где и как нужно делать. Далее (как следствие) админ четко знает, что и где он написал, какие компоненты установил и т.п. 
И если админ *nix грамотный, то все будет отлично. А если негламотный - получим кривой и уязвимый сервер, тому есть тысячи примеров
Берем Windows Server - там все наоборот. Все ставится автоматом, по умолчанию, требования к уровню админа и его знаний на три порядка ниже - умеет мышкой тыкать - значит уже админ. Как следствие, расследуя инциденты в сфере ИБ я видел такие вещи, от которых у лысого волосы дыбов станут  :Smiley:  Например, контроллер домена, где пользователь "Администратор" был с пустым паролем, все диски сервера были расшарены на запись всем (!!) пользователям, и это вручную сделал админ севрера (который с трудом понимал, что вообще творит и чем W2K3 отличается от Win9x).

*Добавлено через 3 минуты*




> Хотел бы я посмотреть на виндовс вэб-сервер, который не перезагружался бы полгода без установок обновлений.


У меня в ЛВС например таких сколько угодно  :Smiley:

----------


## ALEX(XX)

> У меня в ЛВС например таких сколько угодно


Смотрят наружу голые и ничем не прикрытые?

*Добавлено через 2 минуты*




> Это весьма ошибочное мнение  (оно поддерживается любителями *nix, но не соответствует действительности).


Знания нужны всюду, это раз. Второе - ведётся постоянная работа над улучшениями в плане безопасности самой ОС. Много нашли за последнее время критических дыр с работающими эксплоитами в юникс системах? А ведь юникс (повторяю ещё раз) используется на весьма важных серверах и доля юникса на серверах очень высока и желающих сломать сервак хватает

----------


## Зайцев Олег

> Смотрят наружу голые и ничем не прикрытые?
> 
> *Добавлено через 2 минуты*
> 
> 
> Знания нужны всюду, это раз. Второе - ведётся постоянная работа над улучшениями в плане безопасности самой ОС. Много нашли за последнее время критических дыр с работающими эксплоитами в юникс системах? А ведь юникс (повторяю ещё раз) используется на весьма важных серверах и доля юникса на серверах очень высока и желающих сломать сервак хватает


В том числе да, хотя большинство - внитри. Если WEB сервер правильно настроен, работает из под урезанной учетной записи - то что-то сделать с ним крайне проблемно. Аналогично в *nix - если не обновлять апача и не настраивать его как положено, то поломают в момент.
Насчет дыр в *nix, причем находят их во всех продуктах, можно на http://secunia.com/ сходить и посмотреть. Если уже в Cisco IOS находят дырки (а уже там все "вылизано" пости идеально), то о чем там говорить ...

Дабы пресечь очередную итерацию спора - стоит посмотреть на заголовок темы - "Очередное опровержение мифа о безопасности *nix". Суть того, что я говорю, сводится к тому, что нет чудесных неуязвимых систем - это не белее чем миф и байка. Все ломаемо и заражаемо - при условии, что 
1. систему ломают и заражают
2. есть упрощающие реализацию п.п. 1 промашки в настройке или доп. дыры (например - WEB сервер же не висит в вакууме - на нем крутится какая-то CMS - не смогут сломать сам WEB сервер - найдутв CMS дырку и т.п., не смогут например смомать Unix систему, найдут дырку в применяемом на ней браузере или WEB сервере ...)

----------


## ALEX(XX)

> можно на http://secunia.com/ сходить и посмотреть.


Ага, а также посмотреть на характер уязвимостей.

*Добавлено через 2 минуты*

Для сравнительного анализа http://secunia.com/advisories/search?search=windows

*Добавлено через 1 минуту*




> 1. систему ломают и заражают


В данном случае ничего не было сломано и заражено, поэтому 


> *Очередное опровержение мифа о безопасности *nix*


это высосано из пальца

----------


## Kuzz

> Дабы пресечь очередную итерацию спора - стоит посмотреть на заголовок темы - "Очередное опровержение мифа о безопасности *nix". Суть того, что я говорю, сводится к тому, что нет чудесных неуязвимых систем - это не белее чем миф и байка. Все ломаемо и заражаемо


Вот-вот.
Если бы статься называлась "Очередное опровержение мифа о *неломаемоссти* *nix" - сам бы рассмеялся.
Безопасность один из самых неудачных терминов...

Все, что создано человеком, может быть им и поломано.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PavelA

> Интересное наблюдение - у меня никогда не было антивируса и Firewall на ПК, я совершенно спокойно хожу куда угодно и никогда не сталкивался с вирусным заражением, при этом операционка - Windows XP. Возникает вопрос (риторический) - почему это так  И этот самый Windows живет у меня годами без переустановки, никогда не тормозит и не глючит, некоторые компьютеры не перезагружаются месяцами - это обыденность, а не фантастика. И этого вытекает два умозаключения:
> 1. *nix не менее дыряв, уязвим и глючен, чем Windows.


Не понятна логика. Из данного сообщения такое умозаключение сделать невозможно, ИМО.

З.Ы. Юбилейный - 10.000 пост на этом форуме.

----------


## Зайцев Олег

> Не понятна логика. Из данного сообщения такое умозаключение сделать невозможно, ИМО.
> 
> З.Ы. Юбилейный - 10.000 пост на этом форуме.


Логика проста - это инверсия от фразы "Unix неуязвим и неломаем, Windows уязвим"  :Smiley: 

*Добавлено через 4 минуты*




> З.Ы. Юбилейный - 10.000 пост на этом форуме.


Да, ровно 10000-й - поздравляю  :Smiley:

----------


## Макcим

> 1. *nix не менее дыряв, уязвим и глючен, чем Windows. Рост его популярности приведет к тому, что чаще будут уязвлять - и будет появляться  все больше троянов и вирусов под него. Подобная картина в свое время очень хорошо наблюдалась на FireFox - байка о том, что он менее дыряв, чем IE моментально рассеялась, как только он стал популярен


И много народу поимело троянов через дыры Firefox'а?

----------


## Зайцев Олег

> И много народу поимело троянов через дыры Firefox'а?


Да, очень много. Более того, назрела еще одна проблема , связанная с этим - так как например AVZ умеет показывать расширения IE и сбрасывать его настройки, но он не показывает расширения и критические настройки FF, Opera, Google Chrome. А тем не менее все чаще возникают случаи, когда в них что-то там "приземляется" и мешает жить пользователю

----------


## Kuzz

> Да, очень много. Более того, назрела еще одна проблема , связанная с этим - так как например AVZ умеет показывать расширения IE и сбрасывать его настройки, но он не показывает расширения и критические настройки FF, Opera, Google Chrome. А тем не менее все чаще возникают случаи, когда в них что-то там "приземляется" и мешает жить пользователю


Т.е. троян загружался с помощью уязвимости в FF, и тогда пакостил?
Или это все-же троян, который загрузился другим путем, нашел FF, установился как его дополнение и тогда начал пакостить?

----------


## Зайцев Олег

> Т.е. троян загружался с помощью уязвимости в FF, и тогда пакостил?
> Или это все-же троян, который загрузился другим путем, нашел FF, установился как его дополнение и тогда начал пакостить?


Увы, и то, и другое ... Причем есть еще и третье - ворующие пароли и прочую информацию трояны (точнее их авторы конечно) быстренько сориентировались в обстановке и научились воровать все ценное из всех браузеров. Это тоже показатель, имеющий отношение к исходной теме - FF умеет шифровать критические данные и защищать их паролем, но это включается опционально (т.е. как следствие 99% FF юзеров даже и не знают, что там есть такая фича)

----------


## Макcим

> Увы, и то, и другое ...


А можно примеры? Я ни разу не сталкивался.

Когда я интересовался зловредными JavaScript, то прочитал что JavaScript сам по себе не может получить доступ к системе, не может управлять файлами (загружать, копировать, читать), если это происходит, значит используется уязвимость в интерпретаторе браузера.  Это так?

----------


## ALEX(XX)



----------


## Зайцев Олег

> А можно примеры?


Примеров дикая туча, про прониктовение зверей через уявзимости у меня нет статистики, а вот по самим зверям примеры и статистика есть. Фокус в том, что расширение FF и BHO IE - явления одного порядка, следовательно идеальное место для зловреда. И как следствие, повторилось то, что было с IE:
1. FF окупировали адвари. Например - WebToolbar.Win32.TMAagent, обитает в mozilla firefox\extensions\[email protected]\components  \*, AdWare.Win32.Kitsune (extensions\[email protected]\components\firebit.dll  )

2. на FF стали нападать трояны - вымогатели, типовой пример Trojan-Ransom.Win32.Hexzone

3. В FF проявилась дырка, аналогичная IE - если ему в рабочий каталог подсунуть DLL с системным именем, то он по правилам поиска DLL загрузит именно то, что лежит у него в папке (типовой пример - Trojan.Win32.Agent2.bst)
Это три наиболее показательных направления внедрения. Что до самого внедрения, то тут все как в IE - или через эксплоит (сам FF, что-то типа акробата и т.п.), или любым другим путем, начиная от ссылки "скачай меня и выиграй миллион баксов" или "установи супер-кодек и смотри халавное порно"

Приведенные примеры - это реально пойманные звери на ПК обратившихся на Virusinfo ...

----------


## vaber

> А можно примеры?


см. вложение.
На цифры в общем внимание обращать не стоит, т.к. они зависят от множества факторов. Я чисто к тому, что заражаются через эксплоиты к браузеру и его плагины пользователи IE и оперы, и фокса.

----------


## Макcим

> см. вложение.


Что во вложении?

----------


## ALEX(XX)

браузер  :Cheesy:

----------


## DVi

> Что во вложении?


Статистика удачных иксплоитов "Нюк сплоит пака", как я понимаю.
Показывает, что иксплоиты этого пака почти одинаково эффективно работают на всех трех популярных браузерах.

*Добавлено через 12 минут*

Собственно, Сергей подтвердил мое предположение о методе заражения: http://www.viruslist.com/ru/weblog?discuss=207758853




> 15.05.2009 11:37  |  Charon 		
> Я работаю в хостинг-компаниях и могу вам сказать, как появляются эти файлы на серверах: клиент на виндоус-машине хватает вирус, который крадёт его пароль к фтп, затем по фтп заливается этот вирус, открывается страница и запускается скрипт. При этом скрипт имеет те же права, что и пользователь - обычно это значит, что почти никаких (чужие файлы читать не может, только что открыть исходящее соединение). Лично я с таким борюсь: пока блокирую CGI для такой учётки, прибиваю все процессы и высылаю предупреждение пользователю.


Т.е. функционал этого *никс-бота не отличается от функционала Windows-бота. Вот только руткитом он пока еще никаким не прикрывается от зоркого глаза *никс-админа  :Smiley:

----------


## ALEX(XX)

> Т.е. функционал этого *никс-бота не отличается от функционала Windows-бота. Вот только руткитом он пока еще никаким не прикрывается от зоркого глаза *никс-админа


И не будет никаким руткитом прикрываться ввиду отстутвия прав.. Да и не распространяется толком этот вирус сам по себе, окромя перебора пароля к фтп ничего он сделать не сможет, да и можно отрубить фаером неверные соединения... так что... не стоит радоваться. Нет никакого удара по безопасности юникса.. система не взломана аж никак и никем. вобчем, эт всё так..

*Добавлено через 42 секунды*

можно вообще извратиться и запретить исполнение elf файлов

*Добавлено через 10 минут*

Вобчем, постараюсь подвести итог: для того чтобы авторитетно рушить мифы о безопасности юникс, надо сначало хорошенько поработать с этим юникс и изучить все его возможности..

*Добавлено через 4 минуты*




> Вот только руткитом он пока еще никаким не прикрывается от зоркого глаза *никс-админа


Я так думаю, это будет мега-пак с инструкцией и либами под все дистры и с автоматом-составителем вопросов для ЛОРа "Как скомпилить под `uname -r` "

----------


## Rene-gad

> Вобчем, постараюсь подвести итог: для того чтобы авторитетно рушить мифы о безопасности юникс, надо сначало хорошенько поработать с этим юникс и изучить все его возможности..


Для начала я бы порекомендовал, попробовать инсталлировать хоть что-нибудь (лучше не rpm-пакет), напр. GoogleEarthLinux.bin  :Roll Eyes (Sarcastic): 
Good Luck  :Wink:

----------


## SDA

Я далек от nix-систем (ну не нравиться мне линукс, причины которых излагать не буду в сотый раз  :Smiley:  ) но свою точку зрения на миф о безопасности nix-систем выскажу.
1. Никакой софт не является 100% безопасным, дыры есть везде, это аксиома.
2. Другой вопрос, что подход к безопасности в Windows и никсов разный и не только в силу распространенности той или иной ОС.
Приведу параллельный пример по мобильным ОС:
как известно мобильную систему заразить невозможно, без согласия пользователя. Поэтому по большому счету антивирус на ней не нужен. Более или менее продвинутый пользователь, ставивший софт на смартфон это прекрасно понимает, ну а недалекий просто не знает про мобильные антивирусы  :Smiley:  и вообще на вирусы под мобильные ОС (худшее окончание в 1 случае из 1000 при заражении, это хард-резет и потеря стороннего ПО). Однако антивирусным вендорам надо осваивать этот стремительно растущий рынок. И поэтому выходят "аналитические" статьи про будущие мобильные эпидемии, вирусы под айфон  :Smiley:  и будущие эпидемии под него и т.д.
То же самое можно сказать и про *nix, распространенность Windows в отличии от *nix на мой взгляд вторично, писать руткит под никс и одновременно анализируя под какую ось его воткнуть довольно проблематично, гораздо проще его написать под Windows. Кроме того, большинство постоянных пользователей никсов в отличии от Windows, продвинутые пользователи (причины можно не объяснять и так понятно), следовательно антивирусы им не нужны (заразиться работая  не под root-ом, практически невозможно). Опять же антивирусным вендорам неохота выпускать из своих рук небольшой по сравнению с Windows, но постоянный рынок *nix-систем, поэтому и выходят такого рода статьи, на мой взгляд рассчитанные на новичков, начавших работать на никсах после Винды и находящихся под впечатлением от кучи вирусов для Windows.



> 1. *nix не менее дыряв, уязвим и глючен, чем Windows. Рост его популярности приведет к тому, что чаще будут уязвлять - и будет появляться  все больше троянов и вирусов под него. Подобная картина в свое время очень хорошо наблюдалась на FireFox - байка о том, что он менее дыряв, чем IE моментально рассеялась, как только он стал популярен;


Не знаю, насколько уязвим и глючен *nix, но на 99% уверен, что рост его популярности останется на прежнем уровне, а следовательно и увеличение вирусов под него, ну и соответственно рост вирусов под никсы невозможен благодаря тем причинам, что я выразил выше.

P.S. Конечно можно было написать целый трактат  :Smiley:  , но я постарался затронуть основные причины написания статей развенчивающих "мифы о безопасности nix-систем ". Вполне с пониманием отношусь к такой политике антивирусных вендоров, бизнес это не благотворительность, а получение прибыли  :Smiley:

----------


## Ego1st

Я так и не понял, в чем здесь ошибка никсов, в том что он правильно работает?

----------


## NickGolovko

Ошибки Unix в этом, разумеется, никакой нет. Автор статьи пытался напомнить читателю, что утверждения о полном отсутствии вредоносного ПО для операционных систем этого семейства не соответствуют действительности.

----------


## ALEX(XX)

> Ошибки Unix в этом, разумеется, никакой нет. Автор статьи пытался напомнить читателю, что утверждения о полном отсутствии вредоносного ПО для операционных систем этого семейства не соответствуют действительности.


Автор статьи пытался "разрушить миф о безопасности". А про вредоносное ПО и без автора знают, руткиты пошли из юникса. Да и ПО это есть уникальное для каждой системы.

----------


## amranello

> Ошибки Unix в этом, разумеется, никакой нет. Автор статьи пытался напомнить читателю, что утверждения о полном отсутствии вредоносного ПО для операционных систем этого семейства не соответствуют действительности.


Но это не означает что Юниксам нужны антивирусники, в этой системе и так много способов защиты которые позволяют заблокировать вредоносный код на начале его проникновения, соотвественно нечего потом искать и лечить

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## herzn

> Но это не означает что Юниксам нужны антивирусники


Это все означает, что ЛК&Microsoft хочется, что бы количество пользователей Windows не уменьшалось. :Smiley: 
Антивирусы можно продавать и для nix, но для win проще.

----------


## DVi

> И не будет никаким руткитом прикрываться ввиду отстутвия прав.


Просвятите меня, нельзя сконфигурировать FTP-сервер так, чтобы он не показывал в листинге файл с определенным именем?  :Cool:

----------


## ALEX(XX)

> Просвятите меня, нельзя сконфигурировать FTP-сервер так, чтобы он не показывал в листинге файл с определенным именем?


А Вы просвятите меня, как без рутовских прав Вы сконфигурируете ФТП-сервер?

----------


## DVi

> А Вы просвятите меня, как без рутовских прав Вы сконфигурируете ФТП-сервер?


1. Дефолтные настройки FTP-сервера Вирусинфо, например, дают пролистать не более двух тысяч файлов (точную цифру не помню). Закопать среди них зверя легче простого  :Smiley: 

2. Рутовые пароли, кстати, тоже часто хранятся в FTP-клиентах на Винде. И точно так же используются троянцами  :Smiley:

----------


## ALEX(XX)

> Дефолтные настройки FTP-сервера Вирусинфо, например, дают пролистать не более двух тысяч файлов (точную цифру не помню). Закопать среди них зверя легче простого


ну и пусть себе лежит, мы говорим о том, что хватает средств и возмозжностей не допустить запуска такой вот штуки  :Smiley:

----------


## TANUKI

> а скорее то, что дебилоид, грамотно настроенную систему не хакнет.


Пардонте, а Не дебилоид хакнет? Или все хакнутые сайты-сервера в инете это все было под Виндой?

*Добавлено через 2 минуты*




> Да, очень много. Более того, назрела еще одна проблема , связанная с этим - так как например AVZ умеет показывать расширения IE и сбрасывать его настройки, но он не показывает расширения и критические настройки FF, Opera, Google Chrome. А тем не менее все чаще возникают случаи, когда в них что-то там "приземляется" и мешает жить пользователю


А ведь стоит сюда внести еще проблему с многочисленными плагина под Лису. Многие из них сами по себе большущая дыра. А народ их ставит.

----------


## ALEX(XX)

> Пардонте, а Не дебилоид хакнет? Или все хакнутые сайты-сервера в инете это все было под Виндой?


уф.. Толковый человек хакнет всегда что-то, вопрос, какими знаниями надо обладать. А во вторых - удосужтесь прочитать тему сначала. Стырить пароль от фтп-аккаунта (отнюдь не рутовский) и залить что-то на сервер - это не взлом! А сайт хакается вне зависимости от ОС, он крутится либо под apache либо под IIS.. Так что курим матчасть.

*Добавлено через 34 секунды*




> А ведь стоит сюда внести еще проблему с многочисленными плагина под Лису. Многие из них сами по себе большущая дыра. А народ их ставит.


А каким боком приплелась лиса к юниксу?

----------


## DVi

> ну и пусть себе лежит, мы говорим о том, что хватает средств и возмозжностей не допустить запуска такой вот штуки


Каких таких средств? Достаточно наличия PHP-интерпретатора на веб-сервере - и зверек запускается через HTTP-пинок файла index.html. Поддержка PHP включена по дефолту даже на бесплатных тарифах  :Smiley:

----------


## ALEX(XX)

> Каких таких средств? Достаточно наличия PHP-интерпретатора на веб-сервере - и зверек запускается через HTTP-пинок файла index.html. Поддержка PHP включена по дефолту даже на бесплатных тарифах


фуф.. Ну игде здесь



> *Очередное опровержение мифа о безопасности *nix*


каждый день масса сайтов хакается, чего-то в них внедряется и тому подобное. Я уже Вам говорил, что против такого можно найти контрмеры. Amranello тоже говорил, что можно сделать.

----------


## Kuzz

> Каких таких средств? Достаточно наличия PHP-интерпретатора на веб-сервере - и зверек запускается через HTTP-пинок файла index.html. Поддержка PHP включена по дефолту даже на бесплатных тарифах


На каждое спам-письмо пинать index.html?
Примут за ДоС-бота и забанят))

----------


## ALEX(XX)

Я вообще не понимаю, каким боком тут никсы приплетены? Точнее понимаю, пугать юзеров, дабы дружно все что-то купили.. эдакая страшилка. Так вот, PHP скрипт можно и на виндовом вэб-сервере запустить, если там есть PHP-интерпретатор, а такое часто существует, так что с первым образцом скачок в сторону юникс не очень наглядный.
По поводу второго: elf файлам в таких местах делать нечего, так что курим маны и думаем как запретить запускать такое

----------


## DVi

> На каждое спам-письмо пинать index.html?


Мыслите шире.

*Добавлено через 2 минуты*




> Я уже Вам говорил, что против такого можно найти контрмеры


Никто и не спорит, что контрмеры найти можно. Просто это явный пример нестандартного использования стандартной функциональности  :Smiley: 

*Добавлено через 2 минуты*




> Точнее понимаю, пугать юзеров, дабы дружно все что-то купили.. эдакая страшилка.


В статье ничего не сказано про необходимость "дружно покупать". В статье сказано, что *никсоиды не верят в наличие вирусов, функционирующих на *никсах, и приведен пример такого вируса. Выводы следует делать самостоятельно.

----------


## Kuzz

> Мыслите шире.
> 
> Просто это явный пример нестандартного использования стандартной функциональности


Групповая отправка запрещена настройками.
При отправке чаще чем 2 раза за 5 минут письма с более чем 5-ю адресатами - большой алерт админу.
Так что только по одному и получится))

Пример использования стандартной функциональности:
для веб/фтп/<еще чего-то там>-сервера выделен отдельный физ. диск (ну ладно, раздел))
команда монтирования в fstab содержит "nosuid,nosgid,noexec" и т.д... "Эльфы" там больше не живут

----------


## ALEX(XX)

Kuzz!!! +500!  :Smiley:  Разрушен миф о мифе  :Cheesy:   :Cheesy:   :Cheesy: 

*Добавлено через 29 секунд*

Вот, по второму образцу Kuzz отлично скурил маны  :Wink: 

*Добавлено через 1 минуту*

Хе  :Smiley:  Вернулись к вопросу о прямых руках и правильной настройке  :Wink:

----------


## herzn

> В статье ничего не сказано про необходимость "дружно покупать".о.


В этой статье и других более ранних статьях и выступлениях официальных лиц некотором образом намекается на то, что мол "Народ, а нафига вам баян, такой же дырявый как и аккордеон".
Прям непонятно чем так забеспокоил в последнее время ЛК *.nix, имеющий 1% рынка? :Smiley:

----------


## DVi

> Вернулись к вопросу о прямых руках и правильной настройке


Ни для кого не секрет, что при прямых руках и Винда устойчивая и безопасная.

----------


## herzn

> Ни для кого не секрет, что при прямых руках и Винда устойчивая и безопасная.



Но зачем вашего босса никсы так злободневно забеспокоили?

*Добавлено через 48 минут*




> см. вложение.
> Я чисто к тому, что заражаются через эксплоиты к браузеру и его плагины пользователи IE и оперы, и фокса.


vaber, я не знаю кто и как заражается в вашей статистике, но начиная с 04 года, когда я осознал глупость широкого применения Internet Explorer, я просто забыл о заражениях через браузер.

----------


## Макcим

> Ни для кого не секрет, что при прямых руках и Винда устойчивая и безопасная.


Тогда может лучше опровергать миф о глючности и дырявости винды?

----------


## DVi

> Тогда может лучше опровергать миф о глючности и дырявости винды?


Начните с себя и в новом топике.
В данном топике обсуждается статья.

----------


## Макcим

Я не о себе говорил.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

"2. Основная "дырка" в безопасности Windows и *unix - это пользователь. Тот самый пользователь, который будет жать "Да" на на все вопросы не читая, работать под учетной записью без пароля или с паролем "123", все устанавливать "по умолчанию", никогда не читать документацию, не утруждаться установкой патчей и обновлений, устанавливать в систему все что ни попадя (желательно из сомнительных источников) и т.п. И таковых пользователей - 99.9% "
Да, это так. Что мешает юзеру ввести пароль рута, если он думает, что ставит "DivX  Codec"?

----------


## Rene-gad

> Да, это так. Что мешает юзеру ввести пароль рута, если он думает, что ставит "DivX  Codec"?


Ничто не мешает  :Smiley:  Просто стандартные установочные пакеты для наиболее распространенных дистри лежат исключительно в т.н. официальных источниках, которые очень внимательно проверяются  :Smiley: . Скачать какой-либо rpm на softodrom.ru или даже на торрентах практически невозможно по причине отсуствия там скомпилированных пакетов. 
Если человек в Линуксе продвинут достаточно  для того, чтобы самому через # ./configure и т.д. скомпилировать и установить приложение, то он может проверить source code того, что компилирует и - если найдет там что-то подозрительное - изменить его по собственному усмотрению.

----------


## Deja Vu

> Ну-ну, давно прошли, оказывается... Господам пиарщикам следует немного поумерить свой пыл... Я не знаю кому там чего обидно, но тот, кто это писал, далёк от юникс как веник от табуретки. Почему ничего не сказано о механизмах распространения? Каким образом эти бяки-буки попали на сервера? Может руки кривоваты у тех кто сервера настраивал? А может и юникс здесь не причём? Миф мифом, а из юникс сделать дырявую систему при кривых руках в 100 раз проще чем из винды. Стыдно писать такие статьи, с такими выводами.. пиарщики... тьху. 
> 
> *Добавлено через 2 минуты*
> 
> кстати, это не очередное опровержение мифа, а попытка выдать желаемое за действительное.


Миф о безопасности никсов состоит в том, что под них нет вирусов, а вредоносный софт, очень сложно запустить на *никсообразных системах. Статья этот миф развевает.

Прежде чем спорить и показывать, какой вы "молодец", определитесь с чем спорите. И не надо так резко реагировать когда кто-то что то не хорошее написал про ваши любимые никсы.

----------


## priv8v

> Прежде чем спорить и показывать, какой вы "молодец", определитесь с чем спорите. И не надо так резко реагировать когда кто-то что то не хорошее написал про ваши любимые никсы.


Думаете, что придя на форум можно первым же постом сдвинуть горы и "невидящие да прозрят" и "расслабленные да пойдут"?

Таким своим сообщением Вы лишь подливаете масла в огонь...

Что до "любимых никсов", то Алекс не линуксоид в прямом смысле этого слова - он за никсы на серверах и там где это необходимо. Он скорее рационалист чем виндузятник/линуксоид. Если бы Вы были постоянным читателем ВИ, то могли бы видеть его и в спорах против линуксоидов - причем спорил он горячо, отстаивая то, что ОС должна подбираться под требования человека, а не наоборот...

А что до вирусов на никсах, то разговор большая часть народа ведет о проникновении малваре на сервера, ОС на которую ставили нормальные админы, а не блондинка с инструкциями по телефону.




> что под них нет вирусов, а вредоносный софт, очень сложно запустить на *никсообразных системах. Статья этот миф развевает.


не обращайте внимание на треп на разных форумах с криками "винда маст дай". Тут все прекрасно понимают, то все зависит от рук (от их материала и от точки крепления оных к телу), от распространенности ОСи, прав, того как используется ОС и т.д - все это не оговорено ни в статье, ни в данных спорах. Поэтому велика вероятность сливания всего этого в трэш...

----------


## Deja Vu

На данный момент, меня лвозмутило отношение к человеку, написавшему статью.
И мне без разницы, что отстаивает где-то человек. В данном топике он начал спорить ни о чем... даже на разобравшись и осмеял автора.

----------


## priv8v

> В данном топике он начал спорить ни о чем... даже на разобравшись и осмеял автора.


Вот про это и надо было говорить, а не про никсы и про "любимые никсы" - так было бы правильнее.

----------


## SDA

> Миф о безопасности никсов состоит в том, что под них нет вирусов, а вредоносный софт, очень сложно запустить на *никсообразных системах. Статья этот миф развевает.
> 
> Прежде чем спорить и показывать, какой вы "молодец", определитесь с чем спорите. И не надо так резко реагировать когда кто-то что то не хорошее написал про ваши любимые никсы.


Вирусы под никсы есть, никто это не отрицает, другой вопрос, что при прямых руках заразить тот же линукс пользователя, не сидевшего под рутом практически невозможно, в отличии от Windows, где пользователь тоже не сидит под администратором (про права админа можно вообще не говорить). Примеры такого заражения, если поискать, то можно и найти на форуме. Статья миф о сложности запустить вирусы под никс не опровергает, читать надо внимательно  :Wink:  Зачем писать такие статьи, я свою точку зрения уже высказал, проведя параллель с мобильными осями. Кстати, еще раз напоминаю- никсы я не люблю, а воинственных линуксоидов тем более  :Smiley: 
И не нужно кидать нравоучительных реплики, как и с чем определяться в споре пользователю первый раз зашедшим на форум. Первый раз зашел и сразу на "место поставил"  :Wink:

----------


## Deja Vu

> Вирусы под никсы есть, никто это не отрицает, другой вопрос, что при прямых руках заразить тот же линукс пользователя, не сидевшего под рутом практически невозможно, в отличии от Windows, где пользователь тоже не сидит под администратором (про права админа можно вообще не говорить). Примеры такого заражения, если поискать, то можно и найти на форуме. Статья миф о сложности запустить вирусы под никс не опровергает, читать надо внимательно  Зачем писать такие статьи, я свою точку зрения уже высказал, проведя параллель с мобильными осями. Кстати, еще раз напоминаю- никсы я не люблю, а воинственных линуксоидов тем более 
> И не нужно кидать нравоучительных реплики, как и с чем определяться в споре пользователю первый раз зашедшим на форум. Первый раз зашел и сразу на "место поставил"


Еще раз. 
Есть миф, читаем мой пост выше. Есть статья, с темой.
Есть высказыавние Алекса.
Мне все-равно до сложности установки и прочего. Название статьи корректно. Высказывание Алекса нет. 

Большая сложность запускав статье опровергается тем, что есть код, который запускается на различных системах с различными видами *nixообразных систем. Раз написали код, который успешно работает, значит не так уж и сложно, как многие "линуксойды" пытаются показать.

p.s.
на счет вас и вашей точки зрения, я ничего не говорю...

----------


## ALEX(XX)

> Раз написали код, который успешно работает, значит не так уж и сложно, как многие "линуксойды" пытаются показать.


Сейчас Вы заставите ещё и над этим рассмеяться. Отличайте тупой скрипт от руткита или ещё чего-нибуь. Ваши слова заставляют меня думать о том, что Вы ни одно приложение в юникс-системах не установили, даже легитимное.

----------


## Deja Vu

Смейтесь  :Smiley:  
От этого не изменится суть ситуации.

----------


## ALEX(XX)

> Смейтесь  
> От этого не изменится суть ситуации.


 Говорить на эту тему, можно с человеком, который в теме. Вы, на мой взгляд, не в теме. А создавать спор глухого со слепым я не хочу. Auf Wiedersehen

----------


## SDA

> Смейтесь  
> От этого не изменится суть ситуации.


А суть ситуации, это компетенция спорящих о предмете спора  :Smiley: 
Да кстати, цитирую ....Времена безопасности *nix-систем давно прошли. Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно.... 
клиенты под никсами на 99% не заразились зашедши на протрояненные сайты, в отличии от клиентов под Виндой, так что все вопросы к админам с кривыми руками, а не к никсам  :Smiley:  , как правильно писал Алекс ....PHP скрипт можно и на виндовом вэб-сервере запустить, если там есть PHP-интерпретатор, а такое часто существует, так что с первым образцом скачок в сторону юникс не очень наглядный... :Smiley: 

*Добавлено через 2 минуты*




> Говорить на эту тему, можно с человеком, который в теме. Вы, на мой взгляд, не в теме. А создавать спор глухого со слепым я не хочу. Auf Wiedersehen


Присоединяюсь.

----------


## ALEX(XX)

> Времена безопасности *nix-систем давно прошли. Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно....


Вот-вот, стоит посмотреть на ответ системного администратора *Kuzz.*

----------


## Deja Vu

*SDA* и *ALEX(XX)*
Извините, но мне не интересен сейчас спор, что было бы в никсах или в винде.
Не надо ничего мне доказывать. Все что я хотел, я сказал в 1 своем посте:
о том что произошло и как я это вижу.

----------


## amranello

> *SDA* и *ALEX(XX)*
> Извините, но мне не интересен сейчас спор, что было бы в никсах или в винде.
> Не надо ничего мне доказывать. Все что я хотел, я сказал в 1 своем посте:
> о том что произошло и как я это вижу.


Еще раз повторюсь в Юниксах есть очень развитые системы защиты. Обычно в серьезных компаниях, а не каких то там сервачках, если ферволом сложно определить лишние соединения, возможны сервисы определения вторжения Snort(умеет анализировать пакеты), установлен SELinux, RSBAC(который между прочим легко настраиваеться графически) и т.д. Поясню на сервере может установлено правило на запрет открытия сокетов скриптами, ну и т.д. Все зависит от целей сервера. Впринципе думаю такое и есть под Виндовс. Все это пердотвращяет заражение, соответсвенно антивирусники ненужны в грамотно настроеной системе, думаю и в Виндовс :Smiley:

----------


## Deja Vu

*amranello*
Объясните ... зачем вы это сейчас мне написали? К чему?

----------


## SDA

Офф:

Явно, уровень тролльства линуксойдов выше ... а то можно было бы задавить аргументами их. Зовите меня в следующий раз -))

UPD
Я исключительно про тролльство тут говорю...
и в шутку -)) Явно, уровень тролльства линуксойдов выше ... а то можно было бы задавить аргументами их. Зовите меня в следующий раз -)) http://www.anti-malware.ru/forum/ind...=0&#entry64794

Где же аргументы? Почему не были ими задавлены?  :Wink:  Кстати у троллей, как правило аргументы это флудильня, агрессивная или не очень  :Smiley:

----------


## Deja Vu

> Где же аргументы? Почему не были ими задавлены?  Кстати у троллей, как правило аргументы это флудильня, агрессивная или не очень


А зачем давить, в моем 1 посте показано, в чем человек не прав. Никаких аргументов против не было, были лишь потуги перевести разговор то ли в холивар то ли в другую тему.

+ Тот пост(не правильно оформленная цитата моего поста вами) был сказан, как мною было написано в шутку,и был он именно в контексте холивара.
А вот нападки на автора, мне показались возмутительными, и тут я говорил лишь об этом.

----------


## amranello

> *amranello*
> Объясните ... зачем вы это сейчас мне написали? К чему?


это я к тому что надо уметь различать вирус, который использует уязвимости, от обычной программы котороя выполняет простые функции похожие на вредоносные действия, котрые можно легко заблокировать так как такие действия на сервере не должны выполняться, так как у него другие цели, например фтп зачем на нем разрешать выполнять рассылку писем или выполнение скриптов, или запуск скриптов с папки пользователей, так как обычно программы доверенные ставяться с под рута и в /usr/bin и т.д., а вот если бы он сам залез в /usr/bin и прописался в cron вот тогда его надо было бы бояться :Smiley:

----------


## DVi

*amranello*, а Вы знаете, для чего вирусы используют уязвимости на Windows? Всего лишь для того, чтобы начать работать  :Smiley: 

Проблема *никсов в том, что из-за уверенности администраторов в своей непогрешимости, вирусам для начала работы не нужно использовать уязвимости  :Smiley:  Обсуждаемая статья несет именно эту информацию.




> например фтп зачем на нем разрешать выполнять рассылку писем или выполнение скриптов, или запуск скриптов с папки пользователей


Если это все запретить, то на Вашем веб-сервере можно будет хранить только статичные HTML-файлы. PHP там уже работать не будет.  :Rtfm:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## amranello

> *amranello*, а Вы знаете, для чего вирусы используют уязвимости на Windows? Всего лишь для того, чтобы начать работать 
> 
> Проблема *никсов в том, что из-за уверенности администраторов в своей непогрешимости, вирусам для начала работы не нужно использовать уязвимости  Обсуждаемая статья несет именно эту информацию.
> 
> 
> Если это все запретить, то на Вашем веб-сервере можно будет хранить только статичные HTML-файлы. PHP там уже работать не будет.


обычно фтп сервис не ставят вместе с веб сервисом, это раз, а во вторых можно запретить запуск именно в папке фтп сервиса, man rsbac. а также noexec на разделе выделенном для фтп. а также иможно изолировать сервисы в контейнеры http://ru.wikipedia.org/wiki/OpenVZ. обычно опытные администраторы сразу все это используют, если они конечно не эникейщики :-) а еще забыл про chroot, хоть и старый но простой и верный способ изолировать сервис, ставим там фтп сервис и не ставим туда перл, даж sendmail, иль кто что использует, выключаем и вуаля :-)

----------


## Синауридзе Александр

Кузя, Алекс, Эгоист! Прочитал и заценил! Всем отличившимся прописал благодарность и накрутил рейтинг (сколько смог)/  :Smiley:  Молодцы одним словом!!!

----------


## light59

off
Я думал с приходом Александра тут вообще пожар начнётся. А он только лишь рейтинг накрутил  :Smiley:  
/off

----------


## ALEX(XX)

> off
> Я думал с приходом Александра тут вообще пожар начнётся. А он только лишь рейтинг накрутил  
> /off


Александр, делись приходом  :Cheesy:  :Cheesy:  :Cheesy:

----------


## Kuzz

http://virusinfo.info/showthread.php?t=46637 - новость как раз в тему))

----------


## ALEX(XX)

*Империя нанесла ответный удар*

Учитывая, что мой предыдущий пост был принят в штыки многими линуксоидами, думаю, будет логично рассмотреть более подробно указанный пример, тем более что на днях к нам поступила новая модификация Trojan-Dropper.Linux.Prl.
Trojan-Dropper.Linux.Prl.b

Имя файла: ob.pl. Тип файла: ELF. Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста. Принцип работы остался прежний — создание процесса «/usr/bin/perl» и передача ему через pipe Perl-скрипта.

Сам скрипт хранится в теле трояна в зашифрованном виде. Алгоритм расшифровки при этом выглядит так:

Алгоритм расшифровки Perl-скрипта.

Основная цель работы расшифрованного Perl-скрипта — рассылка спама.

Часть Perl-скрипта, отвечающего за рассылку писем:





> if ($session->{$handle}{status} eq "mx_rd")
> {
>         $session->{$handle}{buffer} = "HELO $buffers->{helo}\x0D\x0A";
>         $session->{$handle}{status} = "mx_gr";
> }
> elsif ($session->{$handle}{status} eq "mx_gr")
> {
>         my ($mail) = &mail(\$session->{$handle}{sender});
> 
> ...



Пример рассылаемых писем.

В боте при этом указаны IP-адреса, где установлены административные панели для его работы: 195.144.21.122, 195.144.21.124 и 194.54.83.114.

Откуда дровишки?

Прочитав несколько топиков на различных форумах по данному вопросу и связавшись с администраторами нескольких зараженных серверов, нам удалось выяснить, что данные спам-боты появились на их серверах вследствие 3-х основных причин:


кража пароля от FTP, с помощью вредоносных программ;
перебор паролей от FTP, SSH по словарю;
проникновение через phpbb.
Во всех трёх случаях загрузка спам-бота сопровождалась изменением HTML-файлов и вставкой в них iframe’ов на зараженные сайты.

Обнаружение, лечение, предупреждение повторного заражения

В общем случае обнаружить работу спам бота можно просто с помощью команды «ps -aux». При этом можно выделить три случая, характерных для заражения данным ботом — в зависимости от способа, которым злоумышленник установил его на систему:


интерпретатор Perl запущен с параметрами -w и путем к файлу, непосредственно содержащим указанный спам-бот (характерен для случая проникновения через phpbb);
Perl с параметром -w и путём к файлу, отсутствующему на сервере. (характерен для случая с кражей пароля от FTP с помощью троянских программ);
Perl, запущенный без параметров с помощью дроппера (характерен при переборе пароля).
Из всего выше указанного можно сделать простые выводы для предотвращении заражения машин этим спам-ботом:


Использовать сложные пароли
Использовать последние версии продуктов установленных на сервере
Следить за безопасностью на всех компьютерах, используемых для доступа к сайтам

http://www.viruslist.com/ru/weblog

PS: Фсё.. Я пошёл бояцца.
На мой взгляд, ключевые слова во всём наборе букафф и цифер такие:



> кража пароля от FTP, с помощью вредоносных программ;
> перебор паролей от FTP, SSH по словарю;
> проникновение через phpbb


Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...

----------


## Kuzz

> Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...


noexec здесь поможет частично:
ELF не расшифрует ничего, т.к. не запустится.
А вот мыл-седерная часть..  перл запускается со своего "родного" места, а скрипт передается как параметр.
а вот chroot - самое оно, как для ftp-шника (и при переборе и при "уводе" паролей)
Что до дыр в phpbb - следим за обновлениями..

----------


## ALEX(XX)

Для справки:
Chroot

----------


## SDA

> *Империя нанесла ответный удар*
> 
> 
> 
> Опять же, непонятно с безопасностью самих юникс систем.. Про noexec здесь уже было сказано, так что как раз для таких вот случаев это подходит идеально.. Всё же название статьи поменять надо было... Но автор решил этого не делать...


Да название статьи некорректно.

....Если вы почитаете ту оригинальную статью на веблоге viruslist, на которую ссылается эта публикация в securitylab, и следующую за ней статью на ту же тему, то вы увидите, что ни о каких троянах для Linux речи не идет, а вредоносный код попадает на зараженные сервера, как правило по следующим причинам (цитирую веблог):
" 1. кража пароля от FTP, с помощью вредоносных программ;
2. перебор паролей от FTP, SSH по словарю;
3. проникновение через phpbb.....

....Т.е. речь идет об элементарной безалаберности и пренебрежении основными принципами компьютерной безопасности - такими как стойкие пароли, хранение их в надежном месте... Т.е. закрывать в таких случаях какие то дыры не нужно....

Ответ сотрудника ЛК в рубрике "Задай вопрос Евгению Касперскому!" http://forum.kasperskyclub.ru/index.php?showtopic=9814

О чем мы в этоп топике и говорили  :Smiley: 
Для Deja Vu персонально к сведению  :Smiley:

----------

