Wirus, na Linuksa?

[zibiboniek1]

http://tech.wp.pl/kat,1009785,title,Kom ... aid=112684 czy to oznacza że powoli trzeba myśleć jak się lepiej zabezpieczać, czy zwykłego kowalskiego to nie dotyczy?

[pijetja]

Tytuł jak przystało na WP Onet i inne tego typu serwisy... na DP nie jest lepiej, ale...trochę bardziej treściwie.
http://www.dobreprogramy.pl/Operacja-Wi ... 53066.html
Pozdro.
P.

[qnebra]

To po prostu oznacza, że to czy się nam podoba czy nie, Linux wraz z narastającą popularnością, będzie coraz bardziej intensywnym polem działania cyberprzestępców.

[jacekalex]

Jakaś liczba podatnych na atak Linuxów zawsze się znajdzie, wiele małych serwerów jest postawionych wg zasady "działa, to nie ruszać" w rezultacie w ogóle się na nich niczego nie aktualizuje.
Żeby znaleźć podatne serwery, wystarczy też poszukać VPS na bazie OpenVZ - ten system jest dostępny tylko na kernel nie starszy niż 2.6.32.xx - który nie ma już wsparcia, ostatnia aktualizacja tej linii kernela była 2013-06-10.

Jak do tego dodamy ludzi, którzy stawiają serwery wg zasady, 15 minut na instalację i konfigurację, żeby szybciej lecieć na piwo, i w ogóle nie zastanawiają się nad polityką bezpieczeństwa takiego serwera, to taki serwer też często jest podatny na atak.

Oczywiście ESET ma spory interes w tym, żeby straszyć użytkowników Linuxa, niczym pewien Minister "Idziemy po Was".

Dowody rzeczowe:
http://www.eset.pl/Dla_domu_i_firmy/Pro ... _for_Linux
http://www.eset.pl/Dla_biznesu/Produkty ... D__Solaris
https://sklep.eset.pl/Produkty,pr,157/E ... laris.html
http://www.eset.pl/Dla_biznesu/Produkty ... D__Solaris

Pozdro

[Hwiparam]

Tak z czystej ciekawości odpaliłem sobie polecenie z artykułu i...

Kod: Zaznacz cały

[noname@myhost ~]$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected
[noname@myhost ~]$ 

Co o tym sądzić? Powinienem postawić system na nowo? Z tego, co zrozumiałem, drogą przenoszenia infekcji jest logowanie po SSH spod Windows, a ja nigdy nie logowałem się na kompa przez SSH o_O
Też nie posiadam serewra, więc nie bardzo rozumiem, czy mam się obawiać, czy spać spokojnie?

[zibiboniek1]

ja miałem

Kod: Zaznacz cały

system clean

czyli wychodzi na to że czysty

[socrates]

Tak z czystej ciekawości odpaliłem sobie polecenie z artykułu i...

Kod: Zaznacz cały

[noname@myhost ~]$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected
[noname@myhost ~]$ 

Co o tym sądzić? Powinienem postawić system na nowo? Z tego, co zrozumiałem, drogą przenoszenia infekcji jest logowanie po SSH spod Windows, a ja nigdy nie logowałem się na kompa przez SSH o_O
Też nie posiadam serewra, więc nie bardzo rozumiem, czy mam się obawiać, czy spać spokojnie?

Jesteś pewien że wiesz co ta komenda sprawdza i co wypisuje na wyjściu?
Bo nawet jeśli nie masz zainstalowanego ssh to ta komenda też Ci napisze że system infected

[zibiboniek1]

Jesteś pewien że wiesz co ta komenda sprawdza i co wypisuje na wyjściu?
Bo nawet jeśli nie masz zainstalowanego ssh to ta komenda też Ci napisze że system infected

to dlaczego mi pokazało system clean?

[bear7]

to dlaczego mi pokazało system clean?

To teraz klepnij:

Kod: Zaznacz cały

ssh -g 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected

I zacznij instalować system od nowa... <- na wszelki wypadek, gdyby ktoś nie zrozumiał, bo z tym różnie bywa, to był sarkazm.

Zaglądnij do manuala ssh:

Kod: Zaznacz cały

man ssh

Albo chociaż sprawdź, co zwraca samo:

Kod: Zaznacz cały

ssh -G 2>&1

oraz

Kod: Zaznacz cały

ssh -g 2>&1

Następnie spróbuj samemu przeanalizować dalszą część polecenia.

A tak na poważnie, to ktoś zerknie do źródeł tych wypocin, czyli Raportu operacji Windigo. Jest tam zawarta taka informacja:

SSH user credentials leaks is the only technique we observed for expanding the Windigo operation. There are two typical scenarios where SSH credentials get stolen. The first scenario is when a user successfully logs into an infected server. The second scenario is when a user uses a compromised server to log on any other system.

Czyli tak jak zawsze, atak przeprowadzony jest przez najsłabsze ogniwo - użyszkodnika, w tym przypadku admina "cztery litery". Porządny admin, nie będzie korzystał z konta administratora, do logowania się na niepewnych serwerach. Szkoda, że żaden z autorów któregokolwiek "artykułu" (do których sznurki wstawione są w dwóch pierwszych postach) nie raczył się odnieść do powyższego cytatu. Lepiej od razu wprowadzić popłoch i zamieszanie.

[jacekalex]

Tak z czystej ciekawości odpaliłem sobie polecenie z artykułu i...

Kod: Zaznacz cały

[noname@myhost ~]$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected
[noname@myhost ~]$ 

Co o tym sądzić? Powinienem postawić system na nowo? Z tego, co zrozumiałem, drogą przenoszenia infekcji jest logowanie po SSH spod Windows, a ja nigdy nie logowałem się na kompa przez SSH o_O
Też nie posiadam serewra, więc nie bardzo rozumiem, czy mam się obawiać, czy spać spokojnie?

Kod: Zaznacz cały

~> ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System clean

W teście widać, że ten test wymyślił idiota, a nie ktoś, kto w stopniu podstawowym zna powłokę Linuxa.

Kod: Zaznacz cały

~> niematakiegoprogramu -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected

W przypadku, gdy w systemie nie ma polecenia ssh w ogóle (co widać powyżej),
będzie zwracany infected, choćby nie było żadnej infekcji.

Pozdro

[Hwiparam]

Jesteś pewien że wiesz co ta komenda sprawdza i co wypisuje na wyjściu?

Kod: Zaznacz cały

[noname@myhost ~]$ ssh -G 2>&1
bash: ssh: nie znaleziono polecenia
[noname@myhost ~]$ 

Dobra, od dziś mówcie na mnie Nieogar

[socrates]

Nie przejmuj się
Wklep sobie to

Kod: Zaznacz cały

ssh -G 2>&1 | grep -e nie -e znalaz > /dev/null && echo "System clean" || echo "System infected"

I masz system clean

[Czeslavus]

Kod: Zaznacz cały

studio@studio-desktop:~$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System clean
studio@studio-desktop:~$

Też mam system clean.

[zibiboniek1]

No dobra, ale czy to dotyczy zwykłego Kowalskiego czy nie ma się czego obawiać?

[socrates]

Oczywiście że nie ma się czego obawiać.
To tylko tania medialna zagrywka aby wzbudzić sensację i promować eset

[xxx666xxx]

Ja cały czas twierdze, że wirus na linuksa jest jak Yeti. Wszyscy o nim mówią nikt go tak naprawdę nie widział. Z linuksem mam do czynienia od jakiś 10 lat w tym od 3 lat jako system jedyny i podstawowy. Jedyne co może spowodować złą prace systemu to mój błąd (podczas instalacji czegoś w systemie lub błędnej konfiguracji/modyfikacji czegoś w systemie) popełniony na uprawnieniach root'a a nie wirus. Nigdy na oczy wirusa na linuksa nie widziałem. Wiele osób które twierdziły, że istnieje prosiłem bardzo niech prześlą mi mailem tego wirusa ale tak by sam z siebie się uruchomił i narobił szkód (czyli jak to ma miejsce w Windows'ie) a nie by prosił o hasło root'a. Od 3 lat nie dostałem takiego maila. Zatem wniosek prosty wirus na linuksa który sam narobi szkód w systemie (bez uprawnień root'a) nie istnieje!

Wirusy na linuksa to chwyt marketingowy producentów oprogramowania antywirusowego by sprzedać swój produkt i zarobić na głupocie użytkownika nic więcej.

[jacekalex]

To była tylko kwestia czasu, wirusy i tu musiały się pojawić.

Ileś "wirusów" zawsze będzie, problem polega na tym, że Linux nie wspiera działania takich wirusów, a pisanie ich na systemy, gdzie luki bezpieczeństwa się łata w ciągu kilku tygodni, jest trudne, i nie da się na tym dużo zarobić.
Dlatego masowego wysypu wirusów na Linuxa nie ma i nie będzie, bo to się po prostu nigdy nie będzie opłacało.

[Plazma]

Nie znam się na tej materii, ale jakoś mnie interesuje ten temat...

Dlaczego na Linuksie nie ma praktycznych możliwości by wirus się pojawił? To jest spowodowane tylko i wyłącznie tym, ze root by musiał go załapać i podać swe hasło dla niego?

Co z programami, które mógłby udawać, że są całkowicie bezpieczne, ale w jakiś sposób po dłuższej chwili się uaktywnia jego zła strona? <- najpewniej to głupie pytanie ;p

Z tego co ja przeczytałem itd. to nie ma wirusów na Linuksa, jedynie można próbować znaleźć wirus na stare i dziurawe oprogramowanie lub skonstruować wirusa typu: "Jestem wirusem na Linuksa, odpal mnie i podaj hasło." Zaś ludzie i posty mówią "wirus na linuksa" są stekiem bzdur

[qnebra]

Będzie popularność i będą wirusy.

[Hwiparam]

Co z programami, które mógłby udawać, że są całkowicie bezpieczne, ale w jakiś sposób po dłuższej chwili się uaktywnia jego zła strona? <- najpewniej to głupie pytanie ;p

Z jednej strony, teoretycznie wirusa da się napisać na każdy OS i nic nie zastąpi elementarnego pomyślunku i ograniczonego zaufania. Aczkolwiek konstrukcja Linuksa (jak i zapewne innych Unix-like) takiej działalności specjalnie jakoś nie sprzyja. Jeśli instalujesz oprogramowanie tylko z oficjalnego repozytorium i nie odpalasz od razu każdego dziwnego skryptu znalezionego w necie, to szanse na złapanie syfa są marginalne.