Антивирус всё ещё не нужен?

О том о сем
Аватара пользователя

BadBird
Сообщения: 1329
Зарегистрирован: 09 сен 2016, 18:08
Решено: 2
Благодарил (а): 63 раза
Поблагодарили: 116 раз

Антивирус всё ещё не нужен?

Сообщение BadBird » 20 июн 2017, 12:28

SemenSinchenko писал(а): Из свеженького с Хабра
Нуу, для всяких бизнес контор серверских они были практически с самого создания линукс и это ни для кого не является открытием Америки, во всяком случае для меня не является новостью, и это совсем другая история, то есть, на сколько знаю, речь идет о домашнем пользователе....
Сотый раз повторяю алкоритм заражения вирусом ос линукс домашнего пользователя (перечисляю в порядке важности)
1. НАЙТИ вирус!!!
2. КОМПИЛИРОВАТЬ вирус (не все сидят на дебах, их просто куча)!!!
3. ДАТЬ ПРАВА РУТ этому вирус!!!
4. НЕ ФАКТ, ЧТО ВИРУС ЗАРАБОТАЕТ НА ВАШЕЙ ОС!!!
Всё о тайлинге окон...ну, или почти всё: Тыц!!!

Аватара пользователя

SemenSinchenko
Сообщения: 315
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Антивирус всё ещё не нужен?

Сообщение SemenSinchenko » 20 июн 2017, 12:38

BadBird писал(а): и это совсем другая история, то есть, на сколько знаю, речь идет о домашнем пользователе....
Ну лично я использую свой ноутбук и как домашний компьютер, и, иногда, как рабочий.
Причем насколько я знаю, таких людей много.

А ссылку на хабр я привел, потому что многие в теме писали про то, что вирусов для Linux вообще нет.
Да и просто увидел статью на хабре, мне она показалась интересной - решил поделится. Не плодить же отдельную тему для этого...

Аватара пользователя

BadBird
Сообщения: 1329
Зарегистрирован: 09 сен 2016, 18:08
Решено: 2
Благодарил (а): 63 раза
Поблагодарили: 116 раз

Антивирус всё ещё не нужен?

Сообщение BadBird » 20 июн 2017, 12:48

SemenSinchenko писал(а): потому что многие в теме писали про то, что вирусов для Linux вообще нет.
Можно увидеть эти многие цитаты с этой темы, где пишут что для линукс совсем нет вирусов?
Всё о тайлинге окон...ну, или почти всё: Тыц!!!

Аватара пользователя

Chocobo
Сообщения: 5509
Зарегистрирован: 27 авг 2016, 19:57
Решено: 129
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1430 раз

Антивирус всё ещё не нужен?

Сообщение Chocobo » 20 июн 2017, 12:51

SemenSinchenko, проблема описанная в статье маловероятно применима к кому-то еще кроме этой конторы. Ибо если 10 лет забивать на обновления по принципу "работает - не трогай" для провайдера услуг в инете - такой результат вполне ожидаем. Антивирусы тут опять же не причем.

Ну и по этой проблеме с жестокой вирусной атакой - запустится ли сегодняшний клам на 2.6.24 (!), или же туда надо было ставить версию clamav также 2006-го года, для того чтоб не лишиться миллиона баксов? :hm: :joke:

Аватара пользователя

SemenSinchenko
Сообщения: 315
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Антивирус всё ещё не нужен?

Сообщение SemenSinchenko » 20 июн 2017, 13:05

BadBird, например:
Ладно, хорошо - вирусов в Линуксе нет
Много лет ждем какую нибудь рабочую бяку, которой не потребуется брутфорсить пользовательские данные, сможет само себя запустить и нанести хоть какой-нибудь вред - но пока не судьба
Не нужен не в Win не в Linux - это просто удачный маркетинговый ход основанный на ими же созданных страхах юзеров.
Вообще на разных ресурсах часто попадается мнение, что виросов под Linux нет.

Но лучше будем считать, что я привел статью с хабра, потому что она показалась мне интересной, но не хотел создавать отдельную тему. Остальное это уже оффтоп и вряд ли интересно другим пользователям. Может я не очень корректно высказался, но читая эту тему у меня правда создается ощущение, что многие считают, что вирусов под Linux нет совсем, а те что есть написаны гиками для фана.

Аватара пользователя

Chocobo
Сообщения: 5509
Зарегистрирован: 27 авг 2016, 19:57
Решено: 129
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1430 раз

Антивирус всё ещё не нужен?

Сообщение Chocobo » 20 июн 2017, 13:10

SemenSinchenko писал(а): многие считают, что вирусов под Linux нет совсем, а те что есть написаны гиками для фана.
Так будет продолжаться до тех пор, пока этому не будет явных опровержений :smile:

Аватара пользователя

SemenSinchenko
Сообщения: 315
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Антивирус всё ещё не нужен?

Сообщение SemenSinchenko » 20 июн 2017, 13:20

Chocobo, ну а чем плох пример с хабра? Явно писался не в целях лабораторного изучения уязвимостей Linux и явно не для фана...

Аватара пользователя

Chocobo
Сообщения: 5509
Зарегистрирован: 27 авг 2016, 19:57
Решено: 129
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1430 раз

Антивирус всё ещё не нужен?

Сообщение Chocobo » 20 июн 2017, 13:26

SemenSinchenko, и явно не для мирового господства - а нацелен на конкретную компанию, которая наплевательски отнеслась к своей безопасности, за что и поплатилась.

Сравнивая по годам - если бы у них взломали в 2017 висту, без сервиспаков и прочих обнов, думаешь имело бы место хоть какое-то беспокойство? :crazy:

Аватара пользователя

SemenSinchenko
Сообщения: 315
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Антивирус всё ещё не нужен?

Сообщение SemenSinchenko » 20 июн 2017, 13:36

Chocobo, новость разошлась все же не потому, что "взломали Linux рас!рас!рас!", а потому, что была выплачена фантастическая сумма... Ну мне так думается. Взломали бы висту с такими последствиями - был бы тот же резонанс. К тому же у многих стоит Server 2003...
А для мирового господства вирусы как раз гики-фанатики пишут. Все остальное направлено на вышибание бабла ИМХО, и причем именно вирусы направленные на вышибание бабла самые опасные ИМХО.

Суть моей мысли - не все так однозначно. И если (одно любое из далее перечисленного) пользуешься компьютером для работы, работаешь в корпоративной сети с ноутбука, который приносишь из дома, часто обмениваешься файлами с пользователями Windows ("разносчиками") - уже можно ставить антивирус, благо в отличии от Win есть бесплатные решения без функции большого брата (с открытым кодом).

Аватара пользователя

Dja
Сообщения: 2761
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 391 раз
Поблагодарили: 282 раза

Антивирус всё ещё не нужен?

Сообщение Dja » 20 июн 2017, 13:37

avkP3 писал(а): На Ubuntu 16.10 - НЕ РАБОТАЕТ !!!

Код: Выделить всё

sudo apt install -f
SemenSinchenko писал(а): что вирусов под Linux нет совсем
Они есть. Но их мало ) И надо еще постараться чтобы его заработать :magic:
Новичок? - ознакомься с правилами

В поисках истины :grabli:

Аватара пользователя

Chocobo
Сообщения: 5509
Зарегистрирован: 27 авг 2016, 19:57
Решено: 129
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1430 раз

Антивирус всё ещё не нужен?

Сообщение Chocobo » 20 июн 2017, 14:45

SemenSinchenko, Давай хотя бы определим вектор атаки. Начать наверное стоит с угроз извне, то есть с сети.
Вот базовый минт, без какой либо настройки сетевых доступов (телнет, ssh серверов к счастью не завезли искаропки никому )

Код: Выделить всё

Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      -               
tcp        0      0 127.0.0.1:6942          0.0.0.0:*               LISTEN      -               
tcp        0      0 127.0.0.1:63342         0.0.0.0:*               LISTEN      -               
tcp6       0      0 ::1:53                  :::*                    LISTEN      -
наружу судя по этому выхлопу слушается только один ipv6 порт, которому не судьба увидеть ни единого пакета на своем протоколе.
Проверим на всякий и локальный интерфейс

Код: Выделить всё

chocobo@desktop ~ $ sudo nmap -sS -sU -PN 192.168.0.101
[sudo] пароль для chocobo: 

Starting Nmap 7.01 ( https://nmap.org ) at 2017-06-20 17:21 UTC
Nmap scan report for 192.168.0.101
Host is up (0.0000070s latency).
Not shown: 1997 closed ports
PORT     STATE         SERVICE
68/udp   open|filtered dhcpc
631/udp  open|filtered ipp
5353/udp open|filtered zeroconf

Nmap done: 1 IP address (1 host up) scanned in 4.23 seconds
И снова некуда подцепиться

Можно опросить и белый адрес, но тот и вовсе за роутером. В локалку путь закрыт.

Второй вектор атаки - ПО. Давай посмотрим в список репов:

Код: Выделить всё

chocobo@desktop ~/pycharm-community-2017.1.4/bin $ inxi -r
Repos:     Active apt sources in file: /etc/apt/sources.list
           deb https://linuxmint.com.ru/repo/xenial/ /
           Active apt sources in file: /etc/apt/sources.list.d/official-package-repositories.list
           deb http://mirror.yandex.ru/linuxmint-packages sonya main upstream import backport
           deb http://mirror.corbina.net/ubuntu xenial main restricted universe multiverse
           deb http://mirror.corbina.net/ubuntu xenial-updates main restricted universe multiverse
           deb http://mirror.corbina.net/ubuntu xenial-backports main restricted universe multiverse
           deb http://security.ubuntu.com/ubuntu/ xenial-security main restricted universe multiverse
           deb http://archive.canonical.com/ubuntu/ xenial partner
           Active apt sources in file: /etc/apt/sources.list.d/palemoon.list
           deb http://download.opensuse.org/repositories/home:/stevenpusser/xUbuntu_16.04/ /
           Active apt sources in file: /etc/apt/sources.list.d/remmina-ppa-team-remmina-next-xenial.list
           deb http://ppa.launchpad.net/remmina-ppa-team/remmina-next/ubuntu xenial main
           deb-src http://ppa.launchpad.net/remmina-ppa-team/remmina-next/ubuntu xenial main
           Active apt sources in file: /etc/apt/sources.list.d/wine-wine-builds-xenial.list
           deb http://ppa.launchpad.net/wine/wine-builds/ubuntu xenial main
           deb-src http://ppa.launchpad.net/wine/wine-builds/ubuntu xenial main
Тоже маловероятно словить какого-то зловреда от проверенных годами проектов.

то, что качается из инета прилетает с почтой и так далее - не имеет фалага исполнения,

Код: Выделить всё

chocobo@desktop ~ $ ls -l ~/Загрузки/
итого 6311256
-rw-rw-r-- 1 chocobo chocobo     153783 июн  4 08:45 _001_1800.jpg
-rw-rw-r-- 1 chocobo chocobo     788719 июн  3 19:45 157373-Mint breeze.png
-rw-rw-r-- 1 chocobo chocobo    1483665 июн  3 19:52 1577468.jpg
-rw-rw-r-- 1 chocobo chocobo     839570 июн  3 19:53 1797329.jpg
-rw-rw-r-- 1 chocobo chocobo     258333 июн 17 11:19 1zw5bvtj_6k.jpg
-rw-rw-r-- 1 chocobo chocobo      33980 июн  4 22:00 6662b64347de.png
-rw-rw-r-- 1 chocobo chocobo   37058824 июн  3 19:15 buttercup_0.17.0_amd64.deb
-rw-rw-r-- 1 chocobo chocobo  276824064 июн  6 14:33 clonezilla-live-20170220-yakkety-amd64.iso
-rw-rw-r-- 1 chocobo chocobo      18944 июн 14 10:53 eaist_summary.xls
-rw-rw-r-- 1 chocobo chocobo      10587 июн  3 17:32 fglrx-for-Fedora-master.zip
-rw-rw-r-- 1 chocobo chocobo     646687 июн 18 22:26 -L2L94yPIow.jpg
-rw-rw-r-- 1 chocobo chocobo 1832878080 июн 16 19:30 linuxmint-18.2-cinnamon-64bit-beta.iso
-rw-rw-r-- 1 chocobo chocobo 1899528192 июн 16 22:43 linuxmint-18.2-mate-64bit-beta.iso
-rw-rw-r-- 1 chocobo chocobo 1806630912 июн 17 18:45 linuxmint-18.2-xfce-64bit-beta.iso
-rw-rw-r-- 1 chocobo chocobo     343207 июн 13 17:55 nmon_analyser_v51_2.zip
drwx------ 2 chocobo chocobo       4096 июн 13 18:15 nmonchart31
-rw-rw-r-- 1 chocobo chocobo    3993600 июн 13 18:08 nmonchart31.tar
-rw-rw-r-- 1 chocobo chocobo     937441 июн 15 09:52 pack.xml
-rw-rw-r-- 1 chocobo chocobo  195343604 июн 20 10:07 pycharm-community-2017.1.4.tar.gz
-rw-rw-r-- 1 chocobo chocobo     270943 июн 19 16:34 Screenshot from 2016-12-02 13-20-19.png
-rw-rw-r-- 1 chocobo chocobo   51327604 июн 14 09:26 skypeforlinux-64.deb
-rw-rw-r-- 1 chocobo chocobo    1446792 июн  3 20:17 SteamSetup.exe
-rw-rw-r-- 1 chocobo chocobo      32238 июн  3 18:37 syslog.rar
-rw-rw-r-- 1 chocobo chocobo  286326725 июн  7 09:05 Unigine_Heaven-4.0.run
-rw-rw-r-- 1 chocobo chocobo   65482988 июн 16 19:25 virtualbox-5.1_5.1.22-115126~Ubuntu~xenial_amd64.deb
Плюс оно не имеет абсолютно никакой возможности запуститься самостоятельно, и споткнется в правах где угодно вне хомяка или /tmp.

Подсказывай, с какой еще стороны нужно ждать злых хакеров? :harakiri:

Аватара пользователя

SemenSinchenko
Сообщения: 315
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Антивирус всё ещё не нужен?

Сообщение SemenSinchenko » 20 июн 2017, 15:27

Chocobo, при том, что я не спец, но мне кажется, например:

вирус в .config, где он подменяет конфиги чего-нибудь, что мы любим запускать от рута (навскидку не вспомню, но такие приложения точно есть, может быть всякие vim-редакторы с их vim-rc и т.д). Там дальше уже можно придумать, как использовать такую уязвимость (навскидку заменить путь к скриптам-надстройкам того же vim на путь к вирусу и вуаля, он запускается от рута).

вирус в виде поддельной библиотеки какого-нибудь приложения, например тот же libflashplayer.so в конфиг-папке того же firefox, который устанавливается на 99% линуксов (вроде в минте предустановлен). Дальше я не знаю как должен вирус действовать, но например он может потырить все пароли из firefox (привет webmoney) и отправить их через тот-же firefox в тот момент, когда firefox к нему обратится.

Хотя конечно это все я только что придумал, я все же не настолько разбираюсь в вопросе.

Аватара пользователя

Автор темы
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Антивирус всё ещё не нужен?

Сообщение Unat » 20 июн 2017, 20:56

А давайте вспомним про Wine. На одном форуме давным-давно видел тему, где вроде как в конце концов, пришли к выводу, что запущенный под Вайном зловред может-таки натворить дел.

Аватара пользователя

BadBird
Сообщения: 1329
Зарегистрирован: 09 сен 2016, 18:08
Решено: 2
Благодарил (а): 63 раза
Поблагодарили: 116 раз

Антивирус всё ещё не нужен?

Сообщение BadBird » 20 июн 2017, 21:06

Unat писал(а): А давайте вспомним про Wine.
А надо ли....ибо:
Unat писал(а): Вот и добрались до Wine :rus: Давайте оценим степень общей опасности сей штуковины для Линукс.
Или для начала определимся что нам надоть?
Всё о тайлинге окон...ну, или почти всё: Тыц!!!

Аватара пользователя

Chocobo
Сообщения: 5509
Зарегистрирован: 27 авг 2016, 19:57
Решено: 129
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1430 раз

Антивирус всё ещё не нужен?

Сообщение Chocobo » 21 июн 2017, 05:15

Unat, Да и в вайне ничего старшного. Из последнего кто-то умудрился заставить работать нашумевший WannaCry - но тот сдюжил только кое что зашифровать в хомяке, но без удаления оригиналов. Банеры легко умирают с убийством wine, да и не перехватывают всех сочетаний клавиш наших ДЕ. Плюс всех их придется опять же запускать руками и возможно допиливать вайнпрефикс до их работоспособности :joke:

Вири посерьезней спотыкаются на сложных WinAPI т.к. пишутся специфичными костылями для обхода антивирей. А какому нибудь запустившемуся троянцу и поживиться будет нечем - к линуксовым процессам основной ОС он никак не зацепится, а в огрызке вайнпрефикса и воровать нечего :smile:

В общем, вердикт тот же.

Аватара пользователя

Dja
Сообщения: 2761
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 391 раз
Поблагодарили: 282 раза

Антивирус всё ещё не нужен?

Сообщение Dja » 21 июн 2017, 14:31

SemenSinchenko писал(а): (навскидку заменить путь к скриптам-надстройкам того же vim на путь к вирусу и вуаля, он запускается от рута
В таком случае вообще нельзя пользоваться ОС Linux. Пакеты же чужие... Мало ли в них наковыряли путей, да зловредов подсадили... Здесь скорее дело сугубо субъективного доверия. Доверяешь - пользуешься, не доверяешь - проверяешь почту для других. Виндоюзерам фиолетово проверили для них почту или нет, у них своя проверялка стоит ) И уважения тут ни на грамм в этой проверке. Вот когда винда-винда - тут другое дело.
Скорее выглядит как "чистая совесть". Но и у меня спокойно на душе когда отправляю без проверки, ибо там проверят. А если не проверят - сами виноваты.
Новичок? - ознакомься с правилами

В поисках истины :grabli:

Аватара пользователя

SemenSinchenko
Сообщения: 315
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Антивирус всё ещё не нужен?

Сообщение SemenSinchenko » 21 июн 2017, 15:06

Dja писал(а): Пакеты же чужие...
Наверное я не корректно выразился.

Был вопрос, как может вирус запустится из под рута (или как можно выбраться из хомяка). Я предложил, как вариант, случай когда вирус (например bash-скрипт, запущенный нерадивым пользователем без рут прав, или, например, скачанный firefox-ом с зараженного сайта) подменяет файлы конфигурации в папке .config в хомяке, например, заменяет путь к компилятору или надстройке в файле vim.rc редактора vim на другой bash-скрипт, например содержащий rm -r -f /. Дальше вирусу останется лишь дождаться когда пользователь запустит sudo vim, который прочитает свой файл настроек уже с расширенными правами... и вот вирус уже удаляет все файлы (ну или делает что угодно, например перезаписывает себя в init.d, или добавляет свой запуск в cron и т.д.)

Я не ставил под сомнение честность любых разработчиков, в том числе vim! Я не ставлю под сомнение отсутствие вирусов в любых пакетах. Это лишь предположение на вопрос
Chocobo писал(а): Подсказывай, с какой еще стороны нужно ждать злых хакеров?
P.S.:
Vim в этом смысле защищен. Нашел на сайте следующее:
При чтении файлов "vimrc" или "exrc" в текущем каталоге выполнение некоторых команд по соображениям безопасности отключается при помощи опции 'secure'. Это всегда выполняется при выполнении команды из файла меток. В противном случае была бы возможна ситуация, когда вы случайно могли бы выполнить нежелательные команды из чужого файла меток или vimrc. При этом отключаются команды, которые запускают оболочку, записывают в файл и ":autocmd". Выполнение команд ":map" отражается на экране, так что вы можете видеть, что происходит.
Но я привел vim лишь как пример приложения, которое часто запускают из под рута и которое имеет файлы настроек в хомяке, в .config.

Аватара пользователя

Chocobo
Сообщения: 5509
Зарегистрирован: 27 авг 2016, 19:57
Решено: 129
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1430 раз

Антивирус всё ещё не нужен?

Сообщение Chocobo » 21 июн 2017, 15:20

SemenSinchenko писал(а): случай когда вирус (например bash-скрипт, запущенный нерадивым пользователем без рут прав)
Под каким предлогом пользователь должен запустить сей вредоносный скрипт? :smile:

Да и таких пользователей любящих тыкаь незнакомые екзешники - и в форточках ничего ни один антивирь долго не спасает обычно.

Аватара пользователя

BadBird
Сообщения: 1329
Зарегистрирован: 09 сен 2016, 18:08
Решено: 2
Благодарил (а): 63 раза
Поблагодарили: 116 раз

Антивирус всё ещё не нужен?

Сообщение BadBird » 21 июн 2017, 15:36

Chocobo писал(а): Под каким предлогом пользователь должен запустить сей вредоносный скрипт?
Только если ради интереса, на посмотреть, на вирус, о котором все кому не лень говорят, а видать никто не видел...эдакий некий риск, ради того что бы посмотреть на неведомо зверушку ))))
Всё о тайлинге окон...ну, или почти всё: Тыц!!!

Аватара пользователя

SemenSinchenko
Сообщения: 315
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Антивирус всё ещё не нужен?

Сообщение SemenSinchenko » 21 июн 2017, 16:57

Chocobo писал(а):
Чтобы переписать какой нибудь конфиг в.config пользователя хватит мне кажется и sfx архива... Тот же баш по сути но в другой обертке конечно, но, например присланный почтой с зараженной машины.

Повторюсь, я не кулхацкер, и я её думал над этим вопросом сербьезно... Но утверждение о том, что на свежий минт не может быть направлений для атаки по моему слишком самоуверено. А, например, антивирус типо клама спасёт от любых упакованных файлов, подменяющих конфиги легче лёгкого.

Вернуться в «Болталка: Оффтоп, разбор полетов»