Вредоносное ПО в каталоге Gnome-Look (избегайте сторонних пакетов)

[malex]

Скачал не понятную прогу, проверь антивирусом.

ну и что даст проверка антивирусом - в данном случае?

[drBatty]

ну и что даст проверка антивирусом - в данном случае?

как что?!
Осознание ЧСВ!

Болезнь выражается в убеждённости, что всё — УГ, а сам переносчик — д'Артаньян. Или, как вариант, что оппонент — быдло, хотя сам индивид, употребляющий это слово, как правило, ни разу не отличается разумностью, прогрессивностью, антиллехтом и др. факторами, отличающими небыдло от быдла. Рано или поздно, большинство пользователей интернетов заболевают гипертрофией ЧСВ. Терминальная стадия болезни — ФГМ.

[Bizdelnick]

ну и что даст проверка антивирусом - в данном случае?

Полагаю, что сейчас уже что-нибудь даст. А вот когда оно только появилось...

[Bluetooth]

Ну а вот в Виндах эта задача решается, не требуя от юзера знаний

это только видимость. просто поверьте.

Да ладно. Фанаты аутпоста никогда не поверят в это. Ибо так они поставили варезный аутпост, и считают, что они - охрененные спецы по безопасности, а все эти админы копошатся с устаревшими и неэффективными инструментами

[FlySnake]

Шо, даже не в GUI нет? Надо самому изобретать велосипед с костылями?
Ну а вот в Виндах эта задача решается, не требуя от юзера знаний smile.gif И решается эффективно. Значит, это возможно, просто под линукс нет достаточно заинтересованных спецов (может, пока), которые бы это все сделали в человеческом виде. Подождемс еще лет 10 smile.gif

Вай как толсто

[Bizdelnick]

Да ладно. Фанаты аутпоста никогда не поверят в это. Ибо так они поставили варезный аутпост, и считают, что они - охрененные спецы по безопасности, а все эти админы копошатся с устаревшими и неэффективными инструментами

Не, первая версия аутпоста была очень даже эффективной. Никаких встроенных правил, отрубает всё начисто, что явным образом не разрешено. Для виндузятников, привыкших тащить на комп что ни попадя, - самое оно.
Только в линуксе этот способ не прокатит: в нет лезет не абы что, а wget, запущенный от рута к тому же. Вот проверять скрипты в пакетах на запуск качалок, причём средствами стандартного пакетного менеджера, было бы разумно.

[drBatty]

в нет лезет не абы что, а wget, запущенный от рута к тому же.

а ещё можно убитьсибяапстену

PS: кстати, какой вред от wget'а?

[Bizdelnick]

PS: кстати, какой вред от wget'а?

Вообще от него куча пользы, но в данном случае он загружал те самые скрипты, которые что-то там ддосили.

[DSS]

Так а кто мешает это мониторить так же, как это делает ваш любимый аутпост?

Я бы не стал заходить так далеко и называть аутпост любимым мной
Мониторить, конечно, никто не мешает.
Но для мониторить - надо выбирать время. Outpost же верещит сам, когда неизвестная программа лезет в сеть.

И потом не прикрывать ему порт, а просто прибивать, как вредоносное по?

А я про telnet не зря написал - тоже прибьём, как вредоносное ПО?

Фаерволы - они для другого. они - чтобы пакеты фильтровать.

Добро пожаловать в XXI век. Каменный топор можно оставить у входа.

[drBatty]

Вообще от него куча пользы, но в данном случае он загружал те самые скрипты, которые что-то там ддосили.

ну уж если и нужно мониторить, то вовсе не wget...

[Bizdelnick]

ну уж если и нужно мониторить, то вовсе не wget...

Дык я к тому и писал, что вариант "аутпост для линукс" не катит по той причине, что просто не сработает, а не потому что ъ-админам западло им пользоваться.

[Bluetooth]

А я про telnet не зря написал - тоже прибьём, как вредоносное ПО?

Телнет - не вредоносное по. У меня он на всех системах стоит и не кусается что-то

Фаерволы - они для другого. они - чтобы пакеты фильтровать.

Добро пожаловать в XXI век. Каменный топор можно оставить у входа.

Окей. Мне кубик рабочего стола ставить или "стенку"?



З.Ы. А вы уже выкинули клавиатуру, господин любитель 21 века? Печатаете небось мышиными жестами?

[Davinel]

Вообще для безопасности можно сделать весьма простую вещь.
Запретить для всех пользователей, кроме одного(ну и рута еще, да), доступ в сеть. И все. Все программы, которым такой доступ необходим, запускать от этого пользователя.

(Вариант для убунты ^^ - когда нечто лезет в сеть вылазит окошко gksu с надписью, что такому то приложению не хватает привилегий, введите пароль для юзера net, хотя конечно это жестоко, большинство будут тупо вводить, даже для явных вирусов)

[Bluetooth]

Вообще для безопасности можно сделать весьма простую вещь.
Запретить для всех пользователей, кроме одного(ну и рута еще, да), доступ в сеть. И все. Все программы, которым такой доступ необходим, запускать от этого пользователя.

(Вариант для убунты ^^ - когда нечто лезет в сеть вылазит окошко gksu с надписью, что такому то приложению не хватает привилегий, введите пароль для юзера net, хотя конечно это жестоко, большинство будут тупо вводить, даже для явных вирусов)

Мазохизм от безопасности (:

[xar0h]

Вообще для безопасности можно сделать весьма простую вещь.
Запретить для всех пользователей, кроме одного(ну и рута еще, да), доступ в сеть. И все. Все программы, которым такой доступ необходим, запускать от этого пользователя.

(Вариант для убунты ^^ - когда нечто лезет в сеть вылазит окошко gksu с надписью, что такому то приложению не хватает привилегий, введите пароль для юзера net, хотя конечно это жестоко, большинство будут тупо вводить, даже для явных вирусов)

Жесть... кем вы себе представляете среднестатистического пользователя бубунты?
Не вздумайте говорить такое всерьез, иначе уже сегодня в разделе убунту будут созданы темы: "Как мне сделать доступ в сеть для 1 пользователя", "Надоело постоянно вводить пароль", "Я ввожу пароль, а у меня вылазит порно-баннер на пол-экрана", "Памагите я навичок".

[Fkabir]

Только в линуксе этот способ не прокатит: в нет лезет не абы что, а wget, запущенный от рута к тому же. Вот проверять скрипты в пакетах на запуск качалок, причём средствами стандартного пакетного менеджера, было бы разумно.

А в линуксе нельзя отслеживать, как программа для инета (wget, браузер, почтовый клиент, sendmail, exim...) запущена? Т.е. из командной строки юзером (каким юзером, логин) или скриптом (каким)? И в зависимости от этого делать правила? Т.е., вот как в данном примере, если скрипт запустил wget, чтобы что-то свое выкачать, почему бы такой запуск wget и не заблочить, тут же сообщив в реальном времени юзеру, что вот такое запустилось от такого-то скрипта с таким-то юзером, разрешить, создать правило или блочить? Или тоже нереально? Допускаю, что студент на коленке за вечер не напишет, а если профи займутся?

[xorader]

Да-да!!! Нада ещё ping запретить! Помниться мне, с помощью его по localhost систему убивали напрочь. Да и вообще, его используют в скриптах с флагом "-f" .... ай-йай!

[DSS]

Окей. Мне кубик рабочего стола ставить или "стенку"?
З.Ы. А вы уже выкинули клавиатуру, господин любитель 21 века? Печатаете небось мышиными жестами?

Ту, которая у меня была в XX веке, конечно же выкинул.
Сейчас современная. С USB-портом, дырдочками для наушников и дополнительными кнопочками.
"Стенки" уже давно переросли уровень "фильтровать пакетики". А уж на персональной машине "фильтровать пакетики", которые могут быть получены из любой программы - это на сегодняшний день требует как минимум внимательных размышлений.

З.Ы.: Кстати, с задачей "фильтровать пакетики" неплохо справлялся и ipchains

[Bluetooth]

Окей. Мне кубик рабочего стола ставить или "стенку"?
З.Ы. А вы уже выкинули клавиатуру, господин любитель 21 века? Печатаете небось мышиными жестами?

Ту, которая у меня была в XX веке, конечно же выкинул.
Сейчас современная. С USB-портом, дырдочками для наушников и дополнительными кнопочками.

А я вот сегодня еду в москву, где я возьму за 2000р клавиатуру из 20 века. А "клавиатуру 21 века" отдам кому-нибудь. Мне такое барахло не нужно. Как и не нужны "умные фаерволы" на десктопах.

[Bizdelnick]

А в линуксе нельзя отслеживать, как программа для инета (wget, браузер, почтовый клиент, sendmail, exim...) запущена? Т.е. из командной строки юзером (каким юзером, логин) или скриптом (каким)? И в зависимости от этого делать правила? Т.е., вот как в данном примере, если скрипт запустил wget, чтобы что-то свое выкачать, почему бы такой запуск wget и не заблочить, тут же сообщив в реальном времени юзеру, что вот такое запустилось от такого-то скрипта с таким-то юзером, разрешить, создать правило или блочить? Или тоже нереально? Допускаю, что студент на коленке за вечер не напишет, а если профи займутся?

wget запущен bash'ем, bash запущен dpkg (или чем там пакеты в убунте ставятся?). Всё от рута. Что нам это даёт?

[/dev/random]

Да блин... В реальном времени им нужно тыкать "разрешить"/"заблокировать"... А не задолбаетесь на каждый писк кнопку нажимать?

Создаёте пользователя, скажем, internet. В iptables блокируете интернет всем, кроме root, internet и portage (или от какого пользователя в вашем дистрибутиве обновления качаются?). В sudoers разрешаете беспарольно запускать от имени internet (не root!) те программы, которым можно лезть в нет (браузер там, im и прочее). В хоткеях или в меню (смотря чем запускаете программы) добавляете к строке запуска sudo -u internet. Всё. Никто кроме указанных программ в сеть не вылезет. И не нужно круглосуточно дежурить у компа, на каждый чих нажимая кнопочки аутпоста.

[Bluetooth]

Да блин... В реальном времени им нужно тыкать "разрешить"/"заблокировать"... А не задолбаетесь на каждый писк кнопку нажимать?

Ну дык да, людям это нравится.
Сами посудите. Вы ничего не делаете, ковыряете в носу, тут хоп "программа абракадабра лезет с порта 51903 на хост 12.43.242.4 на порт 56212, разрешить/запретить?", жмете что-то, и чувствуете себя спецом по безопасности. Какие там пакеты, какие правила? Это каменный век. Да/нет - вот настоящая безопасность.

Создаёте пользователя, скажем, internet. В iptables блокируете интернет всем, кроме root, internet и portage (или от какого пользователя в вашем дистрибутиве обновления качаются?). В sudoers разрешаете беспарольно запускать от имени internet (не root!) те программы, которым можно лезть в нет (браузер там, im и прочее). В хоткеях или в меню (смотря чем запускаете программы) добавляете к строке запуска sudo -u internet. Всё. Никто кроме указанных программ в сеть не вылезет. И не нужно круглосуточно дежурить у компа, на каждый чих нажимая кнопочки аутпоста.

Кстати, мне нравится вариант. Разумеется, есть и другие интереснейшие варианты, но! Для них нужно обладать какими-то знаниями, сесть, подумать, реализовать. А тут - да/нет, и ты - спец по безопасности

[Bizdelnick]

Создаёте пользователя, скажем, internet. В iptables блокируете интернет всем, кроме root, internet и portage (или от какого пользователя в вашем дистрибутиве обновления качаются?). В sudoers разрешаете беспарольно запускать от имени internet (не root!) те программы, которым можно лезть в нет (браузер там, im и прочее). В хоткеях или в меню (смотря чем запускаете программы) добавляете к строке запуска sudo -u internet. Всё. Никто кроме указанных программ в сеть не вылезет. И не нужно круглосуточно дежурить у компа, на каждый чих нажимая кнопочки аутпоста.

Так в данном случае, повторяю, в нет лезут только wget и ping от рута. Не срабатывает Получается, надо делать дополнительного юзера для установки программ и не давать ему доступа в нет. А в пакетных менеджерах прописывать запуск закачек от юзера internet... Это весь дистр надо перекраивать.

[/dev/random]

Так в данном случае, повторяю, в нет лезут только wget и ping от рута. Не срабатывает.

Если вы запустили вредоносное ПО от рута, вы - труп. И никакой аутпост тут не поможет: рут может его удалить, или даже внедриться в ядро и работать в обход всех аутпостов. Под виндой, кстати, то же самое. Так что не в счёт. Ограничивать следует только обычных пользователей.

[Bizdelnick]

Если вы запустили вредоносное ПО от рута, вы - труп.

А пакетный менеджер Вы обычно не от рута запускаете?
Да, никто не мешал автору этого трояна вместо wget запустить rm -rf / или dd if=/dev/null of=/dev/sda. От рута, что характерно.

[/dev/random]

А пакетный менеджер Вы обычно не от рута запускаете?

В gentoo установочные скрипты (ебилды) выполняются от пользователя portage (или paludisbuild, в зависимости от того, какой менеджер пакетов используется), и устанавливают программу в специальный каталог, из которого потом автоматически от рута содержимое просто копируется в живую систему. Кроме того, ебилды - короткие текстовые скрипты, и их принято просматривать, прежде чем добавлять в оверлей.

[Bizdelnick]

В gentoo установочные скрипты (ебилды) выполняются от пользователя portage (или paludisbuild, в зависимости от того, какой менеджер пакетов используется), и устанавливают программу в специальный каталог, из которого потом автоматически от рута содержимое просто копируется в живую систему. Кроме того, ебилды - короткие текстовые скрипты, и их принято просматривать, прежде чем добавлять в оверлей.

Пардон, не посмотрел на дистр :-)
Но речь-то шла о юзерах убунты (ну и других deb- и rpm-based дистров заодно).

[DSS]

А я вот сегодня еду в москву, где я возьму за 2000р клавиатуру из 20 века. А "клавиатуру 21 века" отдам кому-нибудь. Мне такое барахло не нужно. Как и не нужны "умные фаерволы" на десктопах.

А ядро Вы тоже из 20 века используете? Какой версии? 1.0?
Шучу, шучу.
Хозяин - барин. Пользуйтесь чем хотите. Только не надо говорить, что это единственный кошерный вариант.

Да блин... В реальном времени им нужно тыкать "разрешить"/"заблокировать"... А не задолбаетесь на каждый писк кнопку нажимать?

Вы не поверите, но если говорить за персональные фаерволлы а-ля Аутпост, то там об этой проблеме уже давно подумали. В Аутпосте с самого начала. В остальных - не знаю, но в современных версиях ЗонАлярмов и прочих КИСов всё есть.
Во-первых, имеется несколько режимов. Вопросы задаются только в одном из них. Включите другой - вопросов не будет. Будете привычно смотреть в лог.
Во-вторых, никто не запрещает создавать правила. Типа "программе ICQ разрешаю ломиться по 5190 порту завсегда в любом направлении". Или "программе putty разрешается ходить только по вот этим адресам". Для любителей поковырять пакеты - можно и пакетами рулить.
Совершенно неясно, чего так все на эти фаерволлы бурно реагируют.

Сами посудите. Вы ничего не делаете, ковыряете в носу, тут хоп "программа абракадабра лезет с порта 51903 на хост 12.43.242.4 на порт 56212, разрешить/запретить?", жмете что-то, и чувствуете себя спецом по безопасности. Какие там пакеты, какие правила? Это каменный век. Да/нет - вот настоящая безопасность.

Простите, а Вы вообще Аутпост-то хотя бы видели?

[drBatty]

Простите, а Вы вообще Аутпост-то хотя бы видели? smile.gif

я давно не видел. что там?
"хакер вася петров паспортные данные ак 4088 456209, проживает СПБ Измайловский 66/3-7 имеет квартиру, жену и кошку, хочет скачать секретный файл ***. Разрешить?
разрешить всегда?
разрешить завтра?"

[Grenka]

Почитал дискуссию. Моё мнение: может DSS чего то и не допонемает, но он пытает разобраться. А со стороны drBatty и Bluetooth сплошное ёрничество. Ребята, раз вы такие знающие люди так обьясните, а не пешите:

Ну дык да, людям это нравится.
Сами посудите. Вы ничего не делаете, ковыряете в носу, тут хоп "программа абракадабра лезет с порта 51903 на хост 12.43.242.4 на порт 56212, разрешить/запретить?", жмете что-то, и чувствуете себя спецом по безопасности.

Я аутпостом пользовался, когда XP использовал. Сам виндовс он конечно не смог блокировать (как и любой другой фаервол под виндами), а вот другой софт запроста. Причём там не выводились сообщения постоянно разрешить или нет. Просто после установки я ставил режим "запретить всё кроме" и в список добавлял программы, которым можно в интернет (Opera, Skype, ICQ, uTorrent). А в Ubutu поставил gufw, активировал им фаервол и добавил в разрешённые transmission. Однако Skype и ICQ работает и без добавления в список разрешённого ПО. Вот это мне не нравится, т.к. на мой взгляд фаервол должен был блокировать.