Вредоносное ПО в каталоге Gnome-Look (избегайте сторонних пакетов)

[Ali1]

DSS
А зачем все эти упражнения ? Пить надо меньше
Сидели б себе в защищенном, непривилегированном домене. А то выпить и софт ставить.
Ну кто Вам сказал, что у Вас ps, libpcap, glibc и т.п. не переписаны, что Вас будут атаковать исключительно пионеры_и_школьники, что вскрик Вашего aauttables не маскировка?

А нормальный софт, он подписан и содержит в пакете правильные правила. Если же правила не правильные и selinux его блочит, то см. пункт первый.

[Bluetooth]

Сидеть и строчить что-то вроде apptables -A OUTPUT -j LOG, потом парсить лог, потом писать apptables -A OUTPUT -m application --application=chrome --dport 80 -j ACCEPT (это так, для примера, типа apptables - фаерволл, умеющий ловить application level), потом перезапускать, чтобы правила применились и -j LOG из конфига ушло - это несколько более трудоёмко и менее удобно

Чо, правда? Я вот как раз иногда этим занимаюсь, включая/отключая редиректинг на прозрачный прокси.
Вся процедура у меня занимает 10 секунд отключить, 7 секунд - выключить(ибо я ссш сессию не закрываю).
Примерно то же время у меня уйдет на щелканье говноокошек. Это в данном случае. А в других случаях говноокошки я могу тыкать очень долго, а файл я могу по-всякому обработать.
Кстати, если часто надо что-то делать, то можно написать скрипт и те же действия выполнять за 2-3с.

Только как это относится к теме? Это ведь уже из области "что круче, говноокошки или консоль?"

[DSS]

Пить надо меньше

Это да.

Ну кто Вам сказал, что у Вас ps, libpcap, glibc и т.п. не переписаны

Под виндой - всё тот же фаерволл а-ля Аутпост. Под линуксом - tripwire и аналоги.

что вскрик Вашего aauttables не маскировка?

Дык он в штатном режиме-то не орёт. Только в обучении. В штатном всё строго по правилам. Нету правила - программа отдыхает от сети.

А нормальный софт, он подписан и содержит в пакете правильные правила. Если же правила не правильные и selinux его блочит, то см. пункт первый.

"В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look..."
Я так понимаю, что deb-пакет - он подписан. Или я что-то путаю?

[Fkabir]

Fkabir
Хорошо. Давайте так. Что означает сообщение системы обнаружения вторжений: "неизвестная программа запрашивает соединение"?

Входящее?
Заблочить навсегда и забыть.
Исходящее? Обычно пишет, что за программа. Если не пишет, тож блочить.

[Ali1]

....

А нормальный софт, он подписан и содержит в пакете правильные правила. Если же правила не правильные и selinux его блочит, то см. пункт первый.

"В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look..."
Я так понимаю, что deb-пакет - он подписан. Или я что-то путаю?

За Debian не скажу. А с RPM так:

http://www.rhd.ru/docs/manuals/enterprise/...-rpm-using.html
При установке или обновлении пакета автоматически проверяется подпись пакета. Эта подпись подтверждает то, что пакет был подписан разработчиком и не был изменён. Например, если при проверке подписи происходит ошибка, вы получите примерно следующее сообщение:

error: V3 DSA signature: BAD, key ID 0352860f

Если это новая подпись только для заголовка появляется такое сообщение:

error: Header V3 DSA signature: BAD, key ID 0352860f

Если у вас не установлен ключ, подходящий для проверки подписи, сообщение об ошибке содержит слово NOKEY, например:

warning: V3 DSA signature: NOKEY, key ID 0352860f

За дополнительными сведениями о проверке подписи пакета обратитесь к разделу 15.3 Проверка подписи пакета.

Код: Выделить всё

$ rpm -p --checksig tcpstat-1.5-12mdv2010.0.i586.rpm
tcpstat-1.5-12mdv2010.0.i586.rpm: (sha1) dsa sha1 md5 gpg ОК
$ echo "   123" >> tcpstat-1.5-12mdv2010.0.i586.rpm
$ rpm -p --checksig tcpstat-1.5-12mdv2010.0.i586.rpm
tcpstat-1.5-12mdv2010.0.i586.rpm: (sha1) dsa sha1 MD5 GPG НЕ ОК

Дык он в штатном режиме-то не орёт. Только в обучении. В штатном всё строго по правилам. Нету правила - программа отдыхает от сети.

А обучаете Вы его на тестовой системе?

[Ali1]

Fkabir
Хорошо. Давайте так. Что означает сообщение системы обнаружения вторжений: "неизвестная программа запрашивает соединение"?

Входящее?
Заблочить навсегда и забыть.
Исходящее? Обычно пишет, что за программа. Если не пишет, тож блочить.

Что означает сообщение системы обнаружения вторжений.

[Davinel]

Те же самые 99%, перейдя на Linux, сделают iptables -P OUTPUT ACCEPT.
Открывая дорогу чему угодно.

Не сделают т.к. понятия не имеют что это вообще такое.

Что значит "нормального"? Который умеет только пакетики фильтровать?

Который просто работает, а не занимается ерундой показывая пользователю таблички в которых он все равно ничего не поймет.

Ясно, тогда SELinux и AppArmor проблему не решают.

Не понимаю исходя из чего вы сделали такой вывод.

Итого снова вернулись к тому, с чего начали - в линуксе нет средств, могущих предотвратить активность троянов и заблочить их т.е. нет аналогов Аутпост

Во первых они есть, а во вторых я уже который раз вам говорю и не только я - аутпост ничего не решит. Это просто фаервал, он никак не помешает вирусу подложить куда надо свои библиотеки и изменить тем самым функциональность винды на нужную, более того - аутпост это просто еще одна дыра в системе.

блокирование не протоколов и портов, а прог/скриптов, т.е. на уровне application level, даже если они запускаются из-под рута, а им запуск не был разрешен по политикам/правилам.

Вы вроде "ходили читать про apparmor", нет? Видимо не дочитали.

Исходящее? Обычно пишет, что за программа. Если не пишет, тож блочить.

Не в тему вопроса, но все же.
Аутпост выдает вам табличку - svchost запрашивает исходящее соединение ip такой то.
Ваши действия?

[agentprog]

Аутпост выдает вам табличку - svchost запрашивает исходящее соединение ip такой то.
Ваши действия?

запретить, ибо я не разрешал системе куда-то лезть! а вообще эти интерактивные таблички не здорово. лучше iptables с хорошими правилами ведения логов

[lorddepakin]

Спор на пустом месте. Снова пресловутые сравнения линукса и виндов.

Никакой фаерволл и антивирус не даст 100% защиты, тем более под виндой. Антивирус для винды - для поимки ЛИШЬ вирусов с уже известной сигнатурой. Фаерволл для винды (грамотно\относительно грамотоно настроенный) - только повысит шансы при заражении НЕотправить украденную инфу\не допустить масс. рассылки и т.д.
Ну и, как всегда, наш самый главный враг - пользователь. Почитайте ради интереса античат. Да, там много говна, там много школоты, НО есть там и доля истины. Особенно про методы заражений. Простой пример - самописный вирусняк во фрейме, ссылка на который кидается знакомому в любой мессенджер. от такого не поможет никакой антивирус и фаер. но украденная инфа может далеко не уйти, благодаря тому же Аутпосту, ибо дастся запрос на соединение, или, если было изменено какое-то приложение в случае встраивания вируса в системную утилиту, то вылезет что-то типа "приложение было изменено. Разрешить\Запретить".

А по теме о вредоносном ПО в гноме-лук: на сервера такое не ставят - это во-первых. тем кто поставил и пострадал(десктоп юзеры) - будет опыт общения с НЕрепозиторными программами, возможно впредь будут осторожнее. А если не будут - то поделом, естественный отбор и все такое..

[drBatty]

К сожалению, создатели Аутпоста живут, видимо, не так богато и до сих пор не приобрели базу ФМС.
Поэтому паспортные данные не показывает, нет.
А в остальном почти угадали.
Разрешить, запретить, создать правило.

ага. ещё IP+port.
ну ладно, можно сделать DMZ для локалки на оба компьютера, но дальше-то ЧТО? что там, за этим безликим IP? любимая девушка, или её злобный вирус? или хакер, из той-же подсети (у мну постоянно меняется, хотя всегда 91.122/16, но кого там банить???)
А сколько постоянных IP у врагов? Я вам скажу: 0(НОЛЬ), они все на динамических, а провайдеры не раскрывают свои секреты даже органам... Т.ч. всякая фильтрация - бесполезна.
А что до фильтрации по приложениям, дык кто помешает прописаться вирусу как сервис венды? НИКТО. А кто запретит системный процесс? Да его никто и не заметит. Да и вообще, это проблема антивирусов: если я поставил ICQ, мне не надо тупых вопросов (разрешить выход в сеть?), а вредоносное ПО с лёгкостью обойдёт любой виндовый фаервол.

И чем Вам этот самый "режим обучения" не угодил?

тем, что я ни разу не видел не тупого вопроса. повторяю: если я установил файло-качалку, я и так знаю, что она полезет в сеть.

ЗЫЖ есть программа eMule (windows,GNU,OpenSource), с ней всё понятно - разрешить.
Есть её вредоносный клон (рассылка спама, подбор паролей, прочее). Предположим, юзер поставил eMule - разрешил, другой вариант: клон. Внимание, вопрос:
Чем поможет дебильная табличка, и что нажмёт юзер?

И для меня желательно найти что то типа аутпоста или kireo.

упаси вас Линус!!!
Лучше про iptables и вообще, про безопасность почитайте: у вас и так УЖЕ всё есть.

Далее включить то, что надо в iptables (там всё с примерами).

Так ведь тоже не помогло бы.

а это смотря ЧТО вы сделаете. и КАК.
вот я сейчас возьму и запрещу доступ в сеть. И доступа - не будет. Никому и никуда. Даже руту. Но не думаю, что вирус скаченный в сети, и запущенный мною с правами рута что-то разрешит, это только ручками... И то, даже мне ещё надо посмотреть КАК это я разрешил, и возможно мануал покурить...

1) правило для iptables, которое не дало бы данному трояну нормально функционировать или

запретить ВСЁ.
открывать ТОЛЬКО по мере надобности.
есть желание - парсить лог, и выводить таблички "приложение XXX обратилось в сеть"
в этот парсер сразу покидать (раскоментировать) ВАШИ демоны.
(сам парсер можно написать самому, либо найти в сети).

что мешает НЕдопропорядочным людям подписать ключем GPG какую нибудь гадость?

а у них нет этого ключа: он есть ТОЛЬКО у ограниченного круга людей. Ключ для моей ОС - только у Патрика, а он - БОХ.

[drBatty]

интересно, а где не под рутом идет установка?

да практически везде.
просто ставьте в свой каталог у которого права 777.

И еще вопрос. Там wget лезет на 80 порт? А если на другой любой?

вопрос не имеет смысла. порт содержится в ссылке, если в ссылке нет номера порта, то принимается 80 для HTTP, ну и другие для других протоколов (протокол тоже содержится в ссылке).

[malex]

а у них нет этого ключа: он есть ТОЛЬКО у ограниченного круга людей

блажен, тот кто верует (С)

[drBatty]

а у них нет этого ключа: он есть ТОЛЬКО у ограниченного круга людей

блажен, тот кто верует (С)

докажите: дайте пакет для моей ОС.
вдумайтесь, ЧТО вы написали...

[Bluetooth]

Да и вообще, это проблема антивирусов: если я поставил ICQ, мне не надо тупых вопросов (разрешить выход в сеть?), а вредоносное ПО с лёгкостью обойдёт любой виндовый фаервол.

А товарищу Fkabir и толпе ему подобных очень нужен такой фаервол, чтобы чувствовать спецом по безопасности

[Fkabir]

Да и вообще, это проблема антивирусов: если я поставил ICQ, мне не надо тупых вопросов (разрешить выход в сеть?), а вредоносное ПО с лёгкостью обойдёт любой виндовый фаервол.

А товарищу Fkabir и толпе ему подобных очень нужен такой фаервол, чтобы чувствовать спецом по безопасности

В том-то и дело, что с помощью софта подобного мне НЕ надо быть спецом по безопасности, за меня все делает софт. Я только подтверждаю иногда, чего делать или не делать (чтоб какой-то программе запретить или разрешить выход в сеть, много ума не надо). При отсутствии такого софта надо становиться спецом по безопасности, да и то, как показывает данный случай, если не сидеть в бункере / репозитории, эти знания спеца не спасут

[drBatty]

за меня все делает софт.

никакой софт не заменит голову.
даже в DOS(от ос это не зависит).

При отсутствии такого софта надо становиться спецом по безопасности, да и то, как показывает данный случай, если не сидеть в бункере / репозитории, эти знания спеца не спасут

какой случай? вы меня пугаете...
(ушёл в бункер читать логи)
Я (и не только я) уже приводил примеры того, что ваши таблички не делают компьютер более безопасным, а лишь создают ИЛЛЮЗИЮ.

Вопрос: для кого это делается? Ответ:
1) для неспецов, создавать иллюзию
2) для спецов, для их удобства. Вот только ИХ таблички появляются только при угрозе, и они вдумчиво их читают - для вас это всё равно как китайская грамота.


ЗЫЖ а у меня в бункере тоже есть таблички: скрипт читает логи, и при наступлении некоторых событий кидает табличку :)

[Ali1]

Что означает сообщение системы обнаружения вторжений.

Я только подтверждаю иногда, чего делать или не делать (чтоб какой-то программе запретить или разрешить выход в сеть, много ума не надо).

Вы так и не поняли, что разрешить выход в сеть без анализа инцидента нельзя.
Кнопка разрешить должна называться -- "Iceweasel ".

[Fkabir]

Что означает сообщение системы обнаружения вторжений.

Я только подтверждаю иногда, чего делать или не делать (чтоб какой-то программе запретить или разрешить выход в сеть, много ума не надо).

Вы так и не поняли, что разрешить выход в сеть без анализа инцидента нельзя.
Кнопка разрешить должна называться -- "Iceweasel ".

У меня алгоритм простой, я его выше написал. Если я не знаю, что именно лезет наружу или внутрь, я это блочу. Даже если я не разберусь, что именно лезло, прога или троян, все равно я проблему решу, ведь если это даже троян, он мне не навредит, т.к. ему нет доступа в сеть. А узнать под Виндами можно тоже просто - запустить диспетчер задач и посмотреть, что там висит. Да, это не всегда помогает, не в 100% случаев, но часто помогает. А если и не помогает, достаточно просто заблочить Аутпостом что-то неизвестное. И все. Проблемы нет.

В линуксе я, обычный пользователь, не сис админ, не могу узнать, если что-то неизвестное лезет в сеть. А не зная, я не могу заблочить. У меня нет инструментов. То, что где-то там есть что-то самописное, что парсит логи, потом надо найти вторую штучку, которая их обрабатывает, потом надо написать третью, которая будет выводить какую-то табличку, и при этом помнить, что юзать только свой репозиторий, сорри, но это не есть решение проблемы. Это средства "на коленке", решения как такового, да еще пусть и не бесплатно, а за разумные деньги, просто нет в линуксе.

[mvt]

В линуксе я, обычный пользователь, не сис админ, не могу узнать, если что-то неизвестное лезет в сеть. А не зная, я не могу заблочить. У меня нет инструментов. То, что где-то там есть что-то самописное, что парсит логи, потом надо найти вторую штучку, которая их обрабатывает, потом надо написать третью, которая будет выводить какую-то табличку, и при этом помнить, что юзать только свой репозиторий, сорри, но это не есть решение проблемы. Это средства "на коленке", решения как такового, да еще пусть и не бесплатно, а за разумные деньги, просто нет в линуксе.

А Вы разве не в курсе, что в Linux весь софт "самописный" (даже ядро студент написал)? И оно Вам надо? Оставайтесь лучше на windows, там все "фирменное", лицензионное. И, понятно, безопасность намного выше. Все крутые пользователи работают в windows

[drBatty]

что юзать только свой репозиторий, сорри, но это не есть решение проблемы.

это МОЁ решение. см. подпись

Это средства "на коленке", решения как такового, да еще пусть и не бесплатно, а за разумные деньги, просто нет в линуксе.

да.
Linux не для вас.

[Ali1]

Fkabir
Понимаете. У Вас НЕТ ВОЗМОЖНОСТИ УЗНАТЬ ЧТО ЛЕЗЕТ В СЕТЬ.
UPD
Не сложно подорваться на мине, ходя по минным полям. Можно использовать щуп, миноискатель и т.п., но рано или поздно Вы подорветесь.

[Boboms]

... НЕ надо быть спецом по безопасности, за меня все делает софт...

Это иллюзия. Добро пожаловать в реальный, жестокий, жестокий, жестокий, жестокий мир. Максимум что делает для вас софт аля Аутпоста - регулярное выкачивание баблоса из вашего кашелька. Вы всё еще верите что "кто-то о вас заботится"? Сочувствую.

ЗЫ: С наступающим! Желаю вам всего хорошего в Новом Году, а, главное, терпения, друг мой!

[Fkabir]

И оно Вам надо? Оставайтесь лучше на windows

да.
Linux не для вас.

Вы всё еще верите что "кто-то о вас заботится"? Сочувствую.

1. Насчет того, где оставаться - спасибо, разберусь сам. Сейчас у меня все же основная система - Винды. И именно потому, что под ней МНЕ безопаснее.
На данном этапе.

2. Насчет заботы - да, заботятся. Иначе их софт покупать не будут. А то, что Аутпост работает и отрабатывает годами однажды заплаченные за него деньги, я убеждался не раз. Даже в похожих случаях, как в этой теме, когда линукс не справился без напильника и сис админов

3. Насчет "для меня или нет". Я считаю, что идеология "сис. админы для ОС" - архаизм из 90-х 20 века. Сегодня - "ОС - для пользователя", обычного юзера, а не тех, кто сам постоянно под нее что-то программит, иначе ничего толком не работает. И линукс идет сейчас по этому пути, по крайней мере самые популярные дистрибутивы. Так что, думаю, это я уже могу говорить, что "линукс НЕ для вас":) И если все будет и далее так развиваться, то, надеюсь, через 5-10 лет так и будет, "линукс для пользователя", а не "сис админ для линукса".

ЗЫ: С наступающим! Желаю вам всего хорошего в Новом Году, а, главное, терпения, друг мой!

Я ОЧЕНЬ терпеливый Всех также с наступающим!

[drBatty]

И именно потому, что под ней МНЕ безопаснее.

ага. вот тут я полностью с вами согласен, мало того, уже писал про это.

Так что, думаю, это я уже могу говорить, что "линукс НЕ для вас":)

мда... извиняюсь....


PS: репозитории: http://ru.wikipedia.org/wiki/%D0%A0%D0%B5%...%80%D0%B8%D0%B9
там можно жить, причём комфортно.
если нет нужного - соберите сами (для этого надо быть программистом)
или воспользуйтесь сборкой чужого человека (а вот тут - вы доверяете этому человеку)

Я ОЧЕНЬ терпеливый

это хорошо. ещё важно уметь и любить читать. серьёзно.

[Ali1]

Всех с наступающим!

[DSS]

За Debian не скажу. А с RPM так:

Т.е. deb-пакет, скачанный с gnome-look должен был иметь КОРРЕКТНУЮ цифровую подпись?

Не сделают т.к. понятия не имеют что это вообще такое.

Тогда варианты:
1) будут сидеть без интернета вообще (сами-то в это верите?)
2) пойдут в гуглю, где найдут это правило

Который просто работает, а не занимается ерундой показывая пользователю таблички в которых он все равно ничего не поймет.

Ещё раз: таблички в любом application level firewall, которые я видел, можно было отключить насовсем. Какие у Вас ещё доводы против остались?

что там, за этим безликим IP? любимая девушка, или её злобный вирус? или хакер, из той-же подсети (у мну постоянно меняется, хотя всегда 91.122/16, но кого там банить???)

А Вам не всё ли равно? Вы этого соединения не запрашивали - зачем оно Вам?

а провайдеры не раскрывают свои секреты даже органам...

Раскрывают. За милую душу.

А что до фильтрации по приложениям, дык кто помешает прописаться вирусу как сервис венды? НИКТО.

Антивирус, например.

А кто запретит системный процесс?

Тот же Аутпост.

тем, что я ни разу не видел не тупого вопроса. повторяю: если я установил файло-качалку, я и так знаю, что она полезет в сеть.

Это очень хорошо, что Вы знаете.
А вот хотите ли Вы, чтобы файло-качалка лезла куда угодно? Например, она с "сюрпризом" - и будет при каждом старте добавлять скрытую закачку на 100 Гб.

ЗЫЖ есть программа eMule (windows,GNU,OpenSource), с ней всё понятно - разрешить.
Есть её вредоносный клон (рассылка спама, подбор паролей, прочее). Предположим, юзер поставил eMule - разрешил, другой вариант: клон. Внимание, вопрос:
Чем поможет дебильная табличка, и что нажмёт юзер?

Откуда юзер взял клон? От "доброго" друга Пети? А на запрос фаерволла ткнул "разрешить всегда и везде"? Думаю, ответ очевиден.

а у них нет этого ключа: он есть ТОЛЬКО у ограниченного круга людей. Ключ для моей ОС - только у Патрика, а он - БОХ.

См. выше про подписи.

[DSS]

Последние дни 2009 года, кстати, отметились достаточно дохленьким топиком на ЛОРе в тему дискуссии о фаерволлах:
"Угроза, создаваемая подобными техническими средствами, обусловлена невозможностью отличить, инициируется ли соединение обычным FTP-клиентом на обычный FTP-сервер, или такое поведение имитируется злонамеренным ПО (malware)"
http://www.linux.org.ru/view-message.jsp?m...d=1262335386895

Очевидно, что если бы firewall умел application level разгребать, то вынесенное в цитату утверждение было бы просто невозможно.

[Ali1]

Очевидно, что если бы firewall умел application level разгребать, то вынесенное в цитату утверждение было бы просто невозможно.

До какого уровня вложенности он должен "разгребать"?

Цитата(Ali1 @ Dec 27 2009, в 07:39) *
За Debian не скажу. А с RPM так:

Т.е. deb-пакет, скачанный с gnome-look должен был иметь КОРРЕКТНУЮ цифровую подпись? wink.gif

gnome-look не есть оф. репозиторий.

Откуда юзер взял клон? От "доброго" друга Пети? А на запрос фаерволла ткнул "разрешить всегда и везде"? Думаю, ответ очевиден.

Вы сами себе ответили.

ЗЫ Гонка вооружений -- тупик.

[DSS]

До какого уровня вложенности он должен "разгребать"?

Для начала - хотя бы до первого.
Полиморфные вирусы тоже сначала были только одного вида.

gnome-look не есть оф. репозиторий.

Тогда он должен кричать "невозможно проверить цифроподпись".
Открытого ключа-то в системе нету.

Вы сами себе ответили

Да, и уже давно. Данное действие полностью аналогично: iptables -P OUTPUT ACCEPT
Зачем переливать из пустого в порожнее?

ЗЫ Гонка вооружений -- тупик

Тупик. Никто не спорит.
Но есть проблема: со стороны атакующих не видно попыток достигнуть Вашего уровня просветления.
Иначе мы бы сейчас спокойно использовали telnet, а не ssh.
Да даже не так. Пароли и разграничения по пользователям были бы вообще не нужны.

[Ali1]

Открытого ключа-то в системе нету.

ИМХО он кричал, но в убунте можно и без нея.

Тупик. Никто не спорит.
Но есть проблема: со стороны атакующих не видно попыток достигнуть Вашего уровня просветления.
Иначе мы бы сейчас спокойно использовали telnet, а не ssh.
Да даже не так. Пароли и разграничения по пользователям были бы вообще не нужны.

А не надо с ними играть. Только trusted код с привелегиями. Хотите рисковать в ВМ.
И настанет маммализация териодонтов.