Linux i virusi

2

Linux i virusi

offline
  • Pridružio: 26 Avg 2005
  • Poruke: 384
  • Gde živiš: Beograd

bobby ::dekao ::Ajd da otvorimo takmičenje za prvu žrtvu virusa na linuxu! Ali uspešna, ne samo pokušaj. Wink
Imam pun dzak virusa za Linux, ako cete uzivo da testirate.


EL moze neki od njih da se probije kroz SELinux ? Very Happy



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Pa poenta kod linuxa je u toj nekoj odvojenosti fajlova svakog korisnika ponaosob.
"Sveti gral" virusa je da zarazi neki fajl kojeg ce u nekom momentu da pokrene i neki drugi user.
Znaci, pricamo o sistemima sa vise korisnika, a ne o kucnom racunaru koji ima samo root nalog i eventualno jos jedan korisnicki nalog pride.

Ukoliko je sistem tako glupo konfigurisan da obican korisnik ima write dozvolu u /bin ili /opt/bin ili bashrc podesavanjima, onda virus moze da podmetne bombu koju ce korisnik sa drugog naloga aktivirati onda kada se on uloguje.

Nisam bas nesto strucan po pitanju dozvola na Linuxu, tako da ne mogu bas da diskutujem na ovu temu.

Znam samo da fajl infektori postoje i cilj im je bas da infekciju prosire izmedju vise korisnickih naloga.

Osim tih zvrcki oko dozvola, na Linuxu postoji jos jedna ogromna prepreka za sirenje zaraza - LibC.
Program kompajliran, tacnije linkovan za jedan libc ne moze biti tako lako pokrenut na sistemu koji ima drugi libc.

Vidjao sam malware (pisan u nekom skript jeziku) koji koristi wget da skine sa neta source payloada, pa ga onda iskompajlira na samom hostu.

Zanimljiva prica oko malwarea na Linuxu, posto je Linux bas negostoljubiv teren za malware s obzirom na raznolikost.
Situacija malo drugacije izgleda sada kada 70% kucnih linux racunara furaju Ubuntu, pa malware kompajliran za isti ima prilicne sanse da se udomi.

Osvrnimo se onda jos i na multiplatformski malware - moja kolekcija Java malwarea je prilicna. Ovo pogadja Linux isto koliko i Windows.
Razlika doduse postoji, posto veci deo Java malwarea sluzi samo kao downloader, a oni su obicno nastimovani da skinu neki Win32 exe sa neta i pokrenu ga na lokalnom racunaru.
Onog dana kada budemo imali malo vecu kolekciju malwarea pisanog u Javi, a koji ne bude bio samo downloader, onda ce biti drugacija prica.
Opet, taj malware moze generalno da bude aktivan samo dok je browser ukljucen, ili eventualno (ukoliko JVM ostane ukljucen nakon gasenja browsera) dok se korisnik ne odloguje sa sistema. Na Linuxu ce svi procesi nekog korisnika biti ugaseni onda kada se taj korisnik odloguje sa sistema.
Dobro, uvek postoje kompovi koji rade bez prekida (serveri, ili kompovi na kojima se neki torrent ili ed2k klijent ne gasi mesecima), sto je fino leglo za procese koji zavise od toga da li je korisnik ulogovan.


Ono, sistemi se uvek mogu tako fino nastelovati da malware nema skoro nikakve sanse da svije svoje gnezdo. Ovo vazi i za Windows i za Linux.

Problem kod Linuxa su ove kvazi-user-friendly distribucije koje furaju zadnjih godina, koje zaglupljuju korisnike sakrivajuci od njih cinjenicu da treba da nauce malo kako njihov OS funkcionise i kako ga treba nastelovati.
Ja sam popizdeo od besa pre dve godine kada sam saznao da na kompu imam guest account kog je instaler po defaultu kreirao.
Nigde nije bilo napomenuto da ce to da se desi, a u onom programcetu (neka vrsta Control Panela) je taj nalog bio skriven.
To je sve posledica prekonfigurisanosti sistema za funkcionisanje sa CD-a (LiveCD), a kako pri instalaciji samo kopira kompletan CD na HD, tako je sa tim naisao i taj guest account.
To je ona prica od gore kako je nako na mom kompu ubacio bota.



offline
  • Pridružio: 26 Avg 2005
  • Poruke: 384
  • Gde živiš: Beograd

Citat:
Vidjao sam malware (pisan u nekom skript jeziku) koji koristi wget da skine sa neta source payloada, pa ga onda iskompajlira na samom hostu.


El i proverava medjuzavisne pa onda radi apt-get install gcc make ako je ubuntu ili yum install -y gcc make ako je fedora, ili yast make gcc ako je suse ili emerge gcc make ako je gentoo.... Very Happy


Inace ako pricamo o serverkom delu sa vise korinika itd. U tim slucajevima RHEL / CentOS se nalazi u 90% slucajeva. Koji ima ukljucen SELinux po defaultu i to u "enforcing mode". Dakle pri takvoj konfiguraciji sanse da se nesto rasiri po sistemu su nikakve.

Probaj i sam. Ukljuci SELinux uzmi izbrisi neke fajlove u /bin zameni ih sa nekim drugim i pokreni Smile Sve sto ces dobiti su logovi puni gresaka ali se aplikacija nece pokrenuti.

Jednostavno on stiti korisnika od gluposti kao sto su chmod 777 svih fajlova, sherovanje / u sambi ili encemu drugome itd itd...

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Ne, nece skinuti i sam GCC, to bi vec bilo previse Mr. Green

Dzabe, ne mogu sada da diskutujem o teoriji zbog:
1. Lezim zbog gripa, i mozak mi se krcka na 39 stepeni
2. Pojma nemam gde sam procitao o tome kako se sire fajl-infektori izmedju naloga, a rado bih podelio link sa vama ovde
3. Kolekcija virusa mi je na drugom racunaru, i sav malware je na jednoj gomili od nesto preko 100GB.
Trebao bih da pustim AV da proskenira celu kolekciju (zadnji put je to trajalo jedno 20 sati), pa da grep-ujem log za Linux malwareom, sto mi se trenutno ne radi zbog obima tog posla.

Nemam blage veze kako radi SELinux, ali iz tvog primera izvlacim zakljucak da on vodi neku evidenciju hasheva fajlova.
Ako je tako, to je onda isto ono sto radi i Tripwire.

offline
  • Pridružio: 26 Avg 2005
  • Poruke: 384
  • Gde živiš: Beograd

Napisano: 26 Dec 2009 23:02

ouch Smile Aj nista onda kada ozdravis a budes imao vremena pogledaj malo. Posto vidim da te interesuje sigurnost.

Inace ne koristi hashove vec je malo komplikovanije.
http://www.youtube.com/watch?v=ZThVfm3JXdM&feature=related

Ovde imas onako malo sazvakano sta i kako.

Ovde je malko naprednije http://www.youtube.com/watch?v=bYT414nMPBQ&fea.....99A735F849 ali naravno ako te dublje interesuje mnogo je bolje procitati neku knjigu o tome Wink

offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

dsktop distribucije mislim da jesu malo ranjivije nego serveri , ali na serverima obično postoje obučeni kadrovi Wink (mislim da postoji red hat sertifikacija , nisam siguran tačno)
ali je opet bila ovde nedavno vest da su upali u nasa

fedora mislim da po defaultu i na desktop instalaciji postavi selinux
(doduše mislim on prijavljuje/blokira dosta toga pri običnom korišćenju ako mora da se doda neki paket od treće strane koji nije iz repoa)
neka analogija bi bila user acaunt control na visti , ali obično ga isključe(na desktopu) i selinux ,piše negde po fedora forumu , malo se teže isključi nego uac - postupak zahteva nešto iz konzole ili promenu neke od boot opcija.

edit
Citat:
Ono, sistemi se uvek mogu tako fino nastelovati da malware nema skoro nikakve sanse da svije svoje gnezdo. Ovo vazi i za Windows i za Linux.

u suštini mogu ali nisam siguran da se na kraju dobije dovolno upotrebljiv sistem Sad (npr bez fleša ili silverlajta je definitivno sigurnije,bar mislim)
ali po difoltu windows instalacija je bila sa max privilegijama dok je za linux bilo obrnuto , sada desktop linux smanjuje kriterijume a od viste se povećavaju (bar u teoriji , ovaj uac )

--------------------
takođe mislim da će u budućnosti da se okreću preuzimanju rutera (*box rešenja koja se dobijaju od provajdera)
valjda postoje zvrčke kojima je moguće da se (moderan) ruter otuđi i da mu se nešto uradi , ne baš oni stariji tipovi, već fabrički noviji
loša strana je da na puno njih se pokreću pomoću embeded linuksa
ali ipak proizvođači posle end-of-life uređaja ne preuzimaju obavezu da unapređuju firmware Sad (čak puno puta posle inicijalnog izdanja zaborave na taj uređaj)
i onda je potpuno svejedno koji os stavite jer je ranjivost van samog sistema Very Happy

za cable broadband jedino mislim da i dalje dovodi net direktno na komp?
(ne znam u stvari tačno gledano u globalu)

offline
  • Pridružio: 26 Avg 2005
  • Poruke: 384
  • Gde živiš: Beograd

Ja u zivotu nisam cuo / video da je neko hakovao cisco router.

Inace ako neko bas hoce da nesto uradi Linux masini ja bi mu savetvao da gadja one sa stariom verzijom flash-a, jave, FF. Jer odredjenje distribucije kasne sa updateom istih. I sa tim i nekim opakim JS se moze npr izvuci sve sifre iz FF ako korinik ne koristi Master Pass.

I da RedHat kursevi postoje i to cak i kod nas, dakle sve literatura, predavanja, ispiti... Najpopularniji je RHCE. Znam jer se upravo spremam za isti Smile

offline
  • Uroš Ilić
  • dr stom.
  • Pridružio: 08 Jul 2006
  • Poruke: 2182
  • Gde živiš: Beograd

@Stator
Posalji mi na PP kolika je cena i kakvi su nivoi, molim te.

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Stator ::Ja u zivotu nisam cuo / video da je neko hakovao cisco router.
Neznam zasto mislis da je Cisco neranjiv? Sve sto zadrzi kod je ranjivo. Wink

http://en.wikipedia.org/wiki/Michael_Lynn#Cisco_controversy
http://en.wikipedia.org/wiki/Cisco_IOS#Security_and_vulnerabilities

offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

Citat:
Ja u zivotu nisam cuo / video da je neko hakovao cisco router.


više sam u stvari mislio na kućne rutere iz ,consumer - potrošačke grane proizvodnje te tehnike Wink

Ko je trenutno na forumu
 

Ukupno su 912 korisnika na forumu :: 65 registrovanih, 6 sakrivenih i 841 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3028 - dana 22 Nov 2019 07:47

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 5.56, _Sale, A.R.Chafee.Jr., antosky, arsa, axa, babaroga, Bane san, bobeNS, boki199777, Cobi026, dane007, darcaud, darionis, DM1994, DonRumataEstorski, Drug pukovnik, esx66, faxovi, Gama, gile58, hatman, Hektor2, helen1, Insan, Kubovac, KUZMAR, lacko, Lucije Kvint, Luka Vujcic, majorgaspar, mandicdamir245, marsovac 2, Maschinekalibar, mercedesamg, Mercury, milimoj, Miskohd, mushroom, ostoja2, raketaš, repac, RiV, Roman, SAA fan, sakota79, Senne, sevenino, Sirius, Sonyboy, spektorsky, Srki94, Srna2, stug, suton, Toni, vasa.93, vathra, Vieri, Vlada1389, vladas87, voja64, x92, Zerajic, 79693