Вредоносное ПО в каталоге Gnome-Look (избегайте сторонних пакетов)

[drBatty]

Который просто работает, а не занимается ерундой показывая пользователю таблички в которых он все равно ничего не поймет.

Ещё раз: таблички в любом application level firewall, которые я видел, можно было отключить насовсем. Какие у Вас ещё доводы против остались?

никаких.

что там, за этим безликим IP? любимая девушка, или её злобный вирус? или хакер, из той-же подсети (у мну постоянно меняется, хотя всегда 91.122/16, но кого там банить???)

А Вам не всё ли равно? Вы этого соединения не запрашивали - зачем оно Вам?

я 99% не запрашивал. это всякие svchost'ы. но и вырубать их нельзя.

Раскрывают. За милую душу.

у меня другие данные.

Это очень хорошо, что Вы знаете.
А вот хотите ли Вы, чтобы файло-качалка лезла куда угодно? Например, она с "сюрпризом" - и будет при каждом старте добавлять скрытую закачку на 100 Гб.

такого не бывает. зачем злоумышленнику это? а то, что ему надо - не отслеживается.
(таблички-то мы отключили!)

1)Откуда юзер взял клон? От "доброго" друга Пети?
2)А на запрос фаерволла ткнул "разрешить всегда и везде"?
3)Думаю, ответ очевиден.

1)клон скачен из сети.
2)а что там ткнуть? расскажите мне глупому. может Австралию забанить?
3)мне - нет.

а у них нет этого ключа: он есть ТОЛЬКО у ограниченного круга людей. Ключ для моей ОС - только у Патрика, а он - БОХ.

См. выше про подписи.

не вижу. дайте ссылку.

[DSS]

А не надо с ними играть. Только trusted код с привелегиями. Хотите рисковать в ВМ.
И настанет маммализация териодонтов.

Что есть trusted код?
Полученный из репозитория со всеми полагающимися и правильными подписями telnet можно считать trusted для использования в открытых сетях?

я 99% не запрашивал. это всякие svchost'ы. но и вырубать их нельзя.

Почему нельзя? Очень даже можно.
Вот, например, svchost желает открыть на моей машине NetBIOS порты для доступа из публичной сети. А я не хочу.
По каким религиозным причинам я должен разрешить ему это действие?

у меня другие данные

Ознакомьтесь с примерчиком, того, как провайдер раскрывает сведения:
http://www.agls.alexandrov.ru/index.php?op...=view&id=18
Надо говорить, что провайдер сдаст не только сведения, кто, откуда, в какое время сколько накачал, но ещё и предоставит адреса, на которые были соединения, и прочие сведения?

такого не бывает. зачем злоумышленнику это?

Ну мало ли? Может он такой экзотический DoS устраивает.

1)клон скачен из сети.
2)а что там ткнуть? расскажите мне глупому. может Австралию забанить?
3)мне - нет.

Скачал непонятно что, непонятно откуда. Поставил разрешить этой программе любые соединения куда угодно. Вывод: ССЗБ.
Ровно с тем же успехом можно представлять себе пользователя, скачавшего из сети iptables, оказавшийся вовсе не iptables.

не вижу. дайте ссылку.

Просто текст будет быстрее: "Т.е. deb-пакет, скачанный с gnome-look должен был иметь КОРРЕКТНУЮ цифровую подпись? "

[drBatty]

Почему нельзя? Очень даже можно.
Вот, например, svchost желает открыть на моей машине NetBIOS порты для доступа из публичной сети. А я не хочу.
По каким религиозным причинам я должен разрешить ему это действие?

потому-что, ИМХО надо этот svchost убить или настроить так, что-бы он не юзал ненужный вам NetBIOS. Ваше решение - костыль.

Ознакомьтесь с примерчиком, того, как провайдер раскрывает сведения:
http://www.agls.alexandrov.ru/index.php?op...=view&id=18
Надо говорить, что провайдер сдаст не только сведения, кто, откуда, в какое время сколько накачал, но ещё и предоставит адреса, на которые были соединения, и прочие сведения?

ага. спасибо. в данном случае речь идёт видимо о "козле отпущения"... Впрочем это не важно: провайдер конечно обязан раскрыть данные, но... Будет тянуть до последнего, а даже если и не будет? Какое это имеет отношение к нашему спору? По санкции прокурора может и откроет, может быть даже в течении недели, но уж точно, не вашему аутпосту.

Скачал непонятно что, непонятно откуда. Поставил разрешить этой программе любые соединения куда угодно. Вывод: ССЗБ.

ваш аутпост это разве не "непонятно что непонятно откуда"? не, ВЫ-то его конечно купили, но не подавляющее большинство юзверей, которые нашли его где-то в Сети.

Ровно с тем же успехом можно представлять себе пользователя, скачавшего из сети iptables, оказавшийся вовсе не iptables.

ну может в ваших бубунтах и так. А вот у нас несколько не так. не вижу опровержения.

[Davinel]

Аутпост выдает вам табличку - svchost запрашивает исходящее соединение ip такой то.
Ваши действия?

запретить, ибо я не разрешал системе куда-то лезть! а вообще эти интерактивные таблички не здорово. лучше iptables с хорошими правилами ведения логов

Поздравляю, вы только что заблокировали.. ну например dhcp клеинт ^^
Или вообще доступ в интернет как таковой

В линуксе я, обычный пользователь, не сис админ, не могу узнать, если что-то неизвестное лезет в сеть.

Да вы и в виндоусе не можете.. Аутпост правда своими табличками создает иллюзию, что вы таки можете. Но это только иллюзия, понимаете?

[DSS]

потому-что, ИМХО надо этот svchost убить или настроить так, что-бы он не юзал ненужный вам NetBIOS. Ваше решение - костыль.

Готов послушать Ваше религиозно-верное решение.
Только учтите, что я написал, что NetBIOS мне не нужен только в публичной сети. В доверенной он мне таки нужен в полном здравии.

ага. спасибо. в данном случае речь идёт видимо о "козле отпущения"... Впрочем это не важно: провайдер конечно обязан раскрыть данные, но... Будет тянуть до последнего, а даже если и не будет? Какое это имеет отношение к нашему спору? По санкции прокурора может и откроет, может быть даже в течении недели, но уж точно, не вашему аутпосту.

А, Вы в этом смысле...

ваш аутпост это разве не "непонятно что непонятно откуда"? не, ВЫ-то его конечно купили, но не подавляющее большинство юзверей, которые нашли его где-то в Сети.

Ну и что? Ну найду я "где-то в сети" нечто, называющееся Slackware 2010 Platinum Edition, запущу установку, а она мне сделает dd if=/dev/random of=/dev/sda и радостно уйдёт на ребут. И что это доказывает? Что Slackware не нужен, а Патрег - вовсе не БОХ?

[agentprog]

Поздравляю, вы только что заблокировали.. ну например dhcp клеинт ^^

под виндой у меня крутится Comodo Firewall, прецедентов не было (пустил пару дней в обучении, потом оно банило все само и окошки показывало только в крайнем случае, если софтина новая (вирус/трян/еще какая зараза?)). тут для начала надо руки вырастить
а в iptables есть такая фишечка, как -j LOG, так что если мы что-то нужное забанили, то мы это сразу увидим

и да, тут я слышал призывы убийства процесса svchost... в принципе логично, ибо один из способов отправить комп в ребут и при загрузке выбрать уже наконец Linux!

[MMouXe]

+1, хороший и удобный межсетевой экран, а последние версии, к тому же, получили русский интерфейс. В связке с AntiVir Personal (тоже с русским) - самое оно для юзера. Легальные и качественные продукты.

[Bluetooth]

... НЕ надо быть спецом по безопасности, за меня все делает софт...

Это иллюзия. Добро пожаловать в реальный, жестокий, жестокий, жестокий, жестокий мир.

Я тут подумал. Не надо его переубеждать. Иллюзии - это хорошо. Особенно если учесть, что он уже полгода ходит и доказывает, что аутпост рулит(хотя может раньше это был и не он, но я подозреваю, что он )

[NickLion]

Безопасность. Миф это. Вот я, к примеру (!), взял, написал троян. Под винду. Он сам ничего не качает и никуда не лезет. А подгружает свою библиотеку в оперу/фф/ие и создает там свой поток. Который уже и делает чёрное дело. А сам троян давно завершился. И что скажет Ваш аутпост? Что опера/фф/ие лезет в интернет. Чем плохо? Тем более, что он(а) это делает постоянно, разрешение скорее всего уже выдано. Безопасность - это миф. Нет её.

[Bluetooth]

Безопасность. Миф это. Вот я, к примеру (!), взял, написал троян. Под винду. Он сам ничего не качает и никуда не лезет. А подгружает свою библиотеку в оперу/фф/ие и создает там свой поток. Который уже и делает чёрное дело. А сам троян давно завершился. И что скажет Ваш аутпост? Что опера/фф/ие лезет в интернет. Чем плохо? Тем более, что он(а) это делает постоянно, разрешение скорее всего уже выдано. Безопасность - это миф. Нет её.

Абсолютная безопасность - миф. Но не повод не думать об относительной безопасности.

[MMouXe]

Безопасность. Миф это. Вот я, к примеру (!), взял, написал троян. Под винду. Он сам ничего не качает и никуда не лезет. А подгружает свою библиотеку в оперу/фф/ие и создает там свой поток. Который уже и делает чёрное дело. А сам троян давно завершился. И что скажет Ваш аутпост? Что опера/фф/ие лезет в интернет. Чем плохо? Тем более, что он(а) это делает постоянно, разрешение скорее всего уже выдано. Безопасность - это миф. Нет её.

Проактивная защита - раз, ограниченные политики фаервола "для браузера", а не "разрешить все подряд" - два, учетка юзера - три и идете вы лесом со своими поделками.

[Bluetooth]

Безопасность. Миф это. Вот я, к примеру (!), взял, написал троян. Под винду. Он сам ничего не качает и никуда не лезет. А подгружает свою библиотеку в оперу/фф/ие и создает там свой поток. Который уже и делает чёрное дело. А сам троян давно завершился. И что скажет Ваш аутпост? Что опера/фф/ие лезет в интернет. Чем плохо? Тем более, что он(а) это делает постоянно, разрешение скорее всего уже выдано. Безопасность - это миф. Нет её.

Проактивная защита - раз, ограниченные политики фаервола "для браузера", а не "разрешить все подряд" - два, учетка юзера - три и идете вы лесом со своими поделками.

И это если оторваться от того, как троян запустить

[Георгий]

ИМХО Вся проблема сводится к доверенным и недоверенным источникам. Из ненадежного источника естественно можно загрузить троян,но это не значит что под линукс появились вирусы.;-)

[Bluetooth]

ИМХО Вся проблема сводится к доверенным и недоверенным источникам. Из ненадежного источника естественно можно загрузить троян,но это не значит что под линукс появились вирусы.;-)

Если Вы про пробелму конкретно гном-лука - то да, полностью согласен.

[Георгий]

Если Вы про пробелму конкретно гном-лука - то да, полностью согласен.

Ага. Если же о безопасности: то её вообщем-то и нет,но надо стараться создать некую защиту. Может быть небольшую но хоть какую-то. Апдейты там ставить,под рутом не сидеть...

[DSS]

И что скажет Ваш аутпост? Что опера/фф/ие лезет в интернет. Чем плохо? Тем более, что он(а) это делает постоянно, разрешение скорее всего уже выдано. Безопасность - это миф. Нет её.

Что скажет application level firewall - зависит от него самого. Если он умеет разгребать приложение по составляющим - скажет, что какая-то незарегистрированная библиотека лезет в интернет через IE. Не умеет - скажет что лезет сам браузер.
В описанной Вами ситуации тоже есть варианты. Например, Вы свой троян написали под IE. А я им не пользуюсь. И доступ для IE в интернет закрыт. Троян не сработает. Ещё вариант: у Вас на компе стоит KIS - при установке дополнения к браузеру он будет спрашивать Вашего разрешения.
Но это, на самом деле, далеко неинтересный вопрос. Меня гораздо больше интересует, как по Вашему мнению от подобной атаки позволяет защититься обычный пакетный firewall. И надо ли Вам, зная, что на компе пользователя работает именно пакетный фильтр, городить такую сложную схему, как внедрение библиотеки в процесс (для чего надо ещё и определёнными правами в системе обладать)?

ИМХО Вся проблема сводится к доверенным и недоверенным источникам. Из ненадежного источника естественно можно загрузить троян,но это не значит что под линукс появились вирусы.;-)

* Плачет от умиления. От рыданий в полный голос спасает только смайлик в конце предложения.

[NickLion]

Проактивная защита - раз, ограниченные политики фаервола "для браузера", а не "разрешить все подряд" - два, учетка юзера - три и идете вы лесом со своими поделками.

Конечно, можно всё пресечь (хотя тут же придумают новые обходные пути - это бесконечная борьба) Только вот поведение описанной мной гипотетической программы вполне легально - есть сотни обычных программ, которые это делают. Вот, хотя бы PuntoSwitcher.

И это если оторваться от того, как троян запустить

Fkabir вроде согласился, что троян уже работает на его компьютере. Вопрос в аутпосте.

Что скажет application level firewall - зависит от него самого. Если он умеет разгребать приложение по составляющим - скажет, что какая-то незарегистрированная библиотека лезет в интернет через IE. Не умеет - скажет что лезет сам браузер.

Ой, если сильно надо - выделяем странички в памяти, копируем туда вирусоносное содержимое, стартуем новый поток, а старую библиотеку вообще выгружаем. Это не проблема, если очень надо следы заметать.

В описанной Вами ситуации тоже есть варианты. Например, Вы свой троян написали под IE. А я им не пользуюсь. И доступ для IE в интернет закрыт. Троян не сработает. Ещё вариант: у Вас на компе стоит KIS - при установке дополнения к браузеру он будет спрашивать Вашего разрешения.

Проверяем уже запущенное приложение - хоть все из списка ие/опера/фф/хром/etc заражаем. И Вы не поняли - я не собираюсь никакого дополнения ставить.

Но это, на самом деле, далеко неинтересный вопрос. Меня гораздо больше интересует, как по Вашему мнению от подобной атаки позволяет защититься обычный пакетный firewall. И надо ли Вам, зная, что на компе пользователя работает именно пакетный фильтр, городить такую сложную схему, как внедрение библиотеки в процесс (для чего надо ещё и определёнными правами в системе обладать)?

Ну, на внедрение, прав иметь не нужно. Если внедряемся в процесс этого же пользователя с такими же правами. Сам писал переключалку клавиатуры по капсу под винду - пришлось внедрять библиотеку в чужие процессы. Проблема только с приложениями с повышенными привилегиями. Но даже эту проблему почти решил, хотя тут UAC один раз может ругнуться, так что отметаем.
А вообще никто этого делать не будет, если не нужно поймать конкретного человека. Для трояна вполне достаточно определённого процента. А дырявые XP без файерволов его обеспечивают

[DSS]

Ой, если сильно надо - выделяем странички в памяти, копируем туда вирусоносное содержимое, стартуем новый поток, а старую библиотеку вообще выгружаем. Это не проблема, если очень надо следы заметать.
<...>
Проверяем уже запущенное приложение - хоть все из списка ие/опера/фф/хром/etc заражаем. И Вы не поняли - я не собираюсь никакого дополнения ставить.

Подцепить dll к процессу извне - KIS тоже заругается.

Ну, на внедрение, прав иметь не нужно. Если внедряемся в процесс этого же пользователя с такими же правами. Сам писал переключалку клавиатуры по капсу под винду - пришлось внедрять библиотеку в чужие процессы. Проблема только с приложениями с повышенными привилегиями. Но даже эту проблему почти решил, хотя тут UAC один раз может ругнуться, так что отметаем.

"Давно я не брал в руки шашек"(с)
Насколько я помню Дж. Рихтера, для того, чтобы использовать WriteProcessMemory и CreateRemoteThread надо иметь Debug Privilege, которого у обычного пользователя нету.
Если же пользователь сидит в интернете под админской учёткой.....

И всё-таки меня упорно интересуют подробности (Вы ведь на мой вопрос не ответили): "как по Вашему мнению от подобной атаки позволяет защититься обычный пакетный firewall"?

[Bluetooth]

И это если оторваться от того, как троян запустить

Fkabir вроде согласился, что троян уже работает на его компьютере. Вопрос в аутпосте.

никакой аутпост его не спасет. Но зато насколько повышает самооценку "А я вот организовал себе безопасность, нихрена в ней не понимая"

[Fkabir]

И это если оторваться от того, как троян запустить

Fkabir вроде согласился, что троян уже работает на его компьютере. Вопрос в аутпосте.

никакой аутпост его не спасет. Но зато насколько повышает самооценку "А я вот организовал себе безопасность, нихрена в ней не понимая"

Хватит уже чушь нести. Я прекрасно понимаю, что 100%-й защиты нет, но также я прекрасно понимаю, что есть средства, позволяющие в подавляющем большинстве случаев комп под Виндами защитить. Разве что если кто-то специально будет ломать, пытаясь снова и снова, то какой-то способ может и найдет. Это если у ломаемого IP статический

А по поводу Аутпоста и файерволов под Винды вот статистика тестов, в 95-100% случаев они комп защищают.

http://www.matousec.com/projects/proactive...nge/results.php
http://www.matousec.com/projects/proactive...2&to_y=2009

В связке с нормальным антивирусом типа NAV, KAV и не сидением из-под админа, использованием UAC шансы на поселение чего-то вредоносного в системе резко падают. Можно годами сидеть онлайн круглосуточно с аськой, браузером, емайл-клиентом, ставить кучу разных прог не из бунк... т.е. репозитория, и ничего не подцепить. Даже скачав что-то с трояном, система это "что-то" тут же удалит или выдаст нелюбимое многим окошечко, что там троян

В линуксе же таких программ НЕТ. Но они нужны, что ясно показал случай с гномом-лук. Обычная политика 90% линуксоидов - если чего-то нет, то не ругать свое "божество" и пытаться решить проблему (или хотя бы признать, что проблема есть, она не решена), а ругать того, кто задает вопросы.

P.S. Я ОЧЕНЬ критично отношусь и к Виндам, и к линуксу, например, 7-ка сегодня, ИМХО, все еще отстой, ждемс сервис-паков, но Винды сегодня можно критиковать ГОРАЗДО меньше, чем линукс Причем линукс все еще критикуют за те проблемы, которые в Винде были решены или почти успешно решались 5-10 лет назад... Файервол нормальный - с проактивной защитой, работой на aplication level и т.п. - одни из самых ярких примеров.

[NickLion]

Подцепить dll к процессу извне - KIS тоже заругается.

Ну, может... Я с касперским оооочень давно не общался.

"Давно я не брал в руки шашек"(с)
Насколько я помню Дж. Рихтера, для того, чтобы использовать WriteProcessMemory и CreateRemoteThread надо иметь Debug Privilege, которого у обычного пользователя нету.
Если же пользователь сидит в интернете под админской учёткой.....

Не. Эти функции не нужны. Всё, что нужно - SetWindowsHookEx. Какие привилегии нужны навскидку не скажу.

И всё-таки меня упорно интересуют подробности (Вы ведь на мой вопрос не ответили): "как по Вашему мнению от подобной атаки позволяет защититься обычный пакетный firewall"?

Никак. Я ж о том и речь веду. Универсальной защиты не существует. Безопасность - миф (абсолютная) Всё что нужно обеспечить - не попасть в тот процент, на который рассчитывают трояно-/вирусописатели.

[Davinel]

Хватит уже чушь нести. Я прекрасно понимаю, что 100%-й защиты нет, но также я прекрасно понимаю, что есть средства, позволяющие в подавляющем большинстве случаев комп под Виндами защитить.

Средства есть. Называется мозг, у некоторых людей присутствует где то в районе головы.

Даже скачав что-то с трояном, система это "что-то" тут же удалит или выдаст нелюбимое многим окошечко, что там троян

Если вы этот троян запустите, а потом согласитесь дать ему админские права(как в обсуждаемом случае) - все. Никакой аутпост вам уже ничем не поможет. В данном случае фаервал абсолютно бесполезен, предотвращать такие вот вещи - задача антивирусных программ. Иногда(редко) они с этим даже справляются.

В линуксе же таких программ НЕТ.

Вы издеваетесь? Я ж вам уже говорил, что они есть.

[DSS]

Не. Эти функции не нужны. Всё, что нужно - SetWindowsHookEx. Какие привилегии нужны навскидку не скажу.

Я тоже
Рихтер и сопутствующие ему баловство было ну ооочень уж давно

Никак. Я ж о том и речь веду. Универсальной защиты не существует. Безопасность - миф (абсолютная) Всё что нужно обеспечить - не попасть в тот процент, на который рассчитывают трояно-/вирусописатели.

Конечно абсолютной защиты не сущетсвует. Более того - в любом учебнике по безопасности Вы прочтёте, что она и не нужна вообще.
Но вот с фаерволлами всё-таки хотелось бы разобраться до конца.
Итак, у нас имеются два штуки: application level и packet filter.
Пользователь, не будучи полным идиотом, работает под непривилегированной учетной записью. Шастая по интернету он ловит бяку, которая ложится на диск отдельным исполнимым файлом и, запускаясь от имени этого пользователя, начинает творить свои нехорошие дела. Например, заваливать Web сервера тоннами мусора. Какие шансы не допустить зловредных действий у первого и второго фаерволлов?
В качестве дополнительного размышлизма можете рассмотреть вопрос о том, можно ли, оставаясь в рамках базовой концепции (т.е. application level и packet filter), доработать фаерволл таким образом, чтобы он начал ловить и бяки, присасывающиеся к разрешённым процессам.

[Fkabir]

В линуксе же таких программ НЕТ.

Вы издеваетесь? Я ж вам уже говорил, что они есть.

Но их никто не видит? Тут в теме много раз уже просили привести работающий пример, как юзер мог бы решить проблему с файликом из гном-лук, никто не привел (за исключением экспериментов по помещению трояна в искусственно созданный "контейнер" для него, да, там он не заработал, но это "лабораторные", а не реальные условия). Но все твердят, что средства есть. Они глубоко секретные? Вот под Винды секретов нет. В этой ветке уже 100 раз расписали подробно, что бы было в Винде с этим трояном. И благодаря чему, какому софту. Конкретно. Под линукс - только возгласы, что "софт есть". А начинаешь глубже копать, что за софт, видишь, что это "не совсем то". И усе

[NickLion]

Итак, у нас имеются два штуки: application level и packet filter.
Пользователь, не будучи полным идиотом, работает под непривилегированной учетной записью. Шастая по интернету он ловит бяку, которая ложится на диск отдельным исполнимым файлом и, запускаясь от имени этого пользователя, начинает творить свои нехорошие дела. Например, заваливать Web сервера тоннами мусора. Какие шансы не допустить зловредных действий у первого и второго фаерволлов?

Конечно простой пакетный файерволл проигрывает в эффективности. Я так понимаю, что смотреть надо в сторону SPI.

В качестве дополнительного размышлизма можете рассмотреть вопрос о том, можно ли, оставаясь в рамках базовой концепции (т.е. application level и packet filter), доработать фаерволл таким образом, чтобы он начал ловить и бяки, присасывающиеся к разрешённым процессам.

Нет. Нужно отдельно отлавливать внедрения одних процессов в другие. Хотя опять же SPI может помочь. Но тут моих знаний не очень хватает.

[sciko]

/me надоело слушать вантузятниковскую чушь.
/me хочет напомнить, что в Линуксе файерволл и т.п. защищают комп от сети, а в винде -- сеть от компа. Посему в винде относительно просто отловить несанкционированную массовую рассылку вредоносным кодом, а в Линуксе -- сложнее.

А по поводу того, начала топика, так это исключение которое подтверждает правило. Минимальный мозг и юзер не станет запускать скрипт, когда знает, что содержимое должно быть просто картинками.

[NickLion]

Да мы уже рассуждаем о сферических троянах в вакууме И примерно таких же пользователях - круглых сферических....

[DSS]

Конечно простой пакетный файерволл проигрывает в эффективности. Я так понимаю, что смотреть надо в сторону SPI.
<...>
Нет. Нужно отдельно отлавливать внедрения одних процессов в другие. Хотя опять же SPI может помочь. Но тут моих знаний не очень хватает.

Это, собственно, то, что я и пытаюсь донести до присутствующих в теме. Фаерволл уровня приложений ещё имеет какие-то шансы реализовать функционал отслеживания внедрения одних процессов в другие. Ему всё равно надо все процессы мониторить. Пакетный фильтр не имеет таких шансов изначально. Ибо в пакетах нет и не может быть никакой информации о том, какой процесс сформировал его.
Как Вы сами понимаете - это базовые концепции и названия ОС и ПО фаерволла не имеют совершенно никакого значения.

/me хочет напомнить, что в Линуксе файерволл и т.п. защищают комп от сети, а в винде -- сеть от компа.

А где Вы это прочитали?
А Вы в курсе, что всякие Аутпосты изначально содержат в себе правила, запрещающие доступ к компу из сети? Или это не считается за "защищают комп от сети"?

Минимальный мозг и юзер не станет запускать скрипт, когда знает, что содержимое должно быть просто картинками.

Правда?! А я то думал, что в пакет можно упаковать всё, что заблагорассудится. В том числе и инструкции по копированию файлов с абсолютными путями. Ну там всякие /etc/rc.d/init.d/ZloScript, /etc/rc.d/rc.5/S99ZloScript...

[vda]

А еще говорят вирусов нет на linux...

Вот она, цена растущей популярности!

[drBatty]

Готов послушать Ваше религиозно-верное решение.
Только учтите, что я написал, что NetBIOS мне не нужен только в публичной сети. В доверенной он мне таки нужен в полном здравии.

а? убить всё.

Ну и что? Ну найду я "где-то в сети" нечто, называющееся Slackware 2010 Platinum Edition, запущу установку, а она мне сделает dd if=/dev/random of=/dev/sda и радостно уйдёт на ребут. И что это доказывает? Что Slackware не нужен, а Патрег - вовсе не БОХ?

не знаю. у меня так не делается.