Вредоносное ПО в каталоге Gnome-Look (избегайте сторонних пакетов)

[drBatty]

Правда?! А я то думал, что в пакет можно упаковать всё, что заблагорассудится. В том числе и инструкции по копированию файлов с абсолютными путями. Ну там всякие /etc/rc.d/init.d/ZloScript, /etc/rc.d/rc.5/S99ZloScript...

можно.
вот только зачем такой пакет ставить?

[DSS]

а? убить всё.

Отключить от системника провода, забетонировать.
Да, хорошее решение, согласен.
Жаль мне не подойдёт

не знаю. у меня так не делается.

Уже нашли Slackware 2010 Platinum Edition? Поделитесь ссылкой?!

[drBatty]

Отключить от системника провода, забетонировать.
Да, хорошее решение, согласен.
Жаль мне не подойдёт smile.gif

дело ваше.

Уже нашли Slackware 2010 Platinum Edition? Поделитесь ссылкой?!

зачем? меня и 12.2 устраивает.

[Ali1]

Пользователь, не будучи полным идиотом, работает под непривилегированной учетной записью. Шастая по интернету он ловит бяку, которая ложится на диск отдельным исполнимым файлом и, запускаясь от имени этого пользователя, начинает творить свои нехорошие дела. Например, заваливать Web сервера тоннами мусора. Какие шансы не допустить зловредных действий у первого и второго фаерволлов?

Не подменяйте тезис!
Здесь обсуждается умышленно установленное администратором приложение.

В качестве дополнительного размышлизма можете рассмотреть вопрос о том, можно ли, оставаясь в рамках базовой концепции (т.е. application level и packet filter), доработать фаерволл таким образом, чтобы он начал ловить и бяки, присасывающиеся к разрешённым процессам.

Нет. Нужно отдельно отлавливать внедрения одних процессов в другие. Хотя опять же SPI может помочь. Но тут моих знаний не очень хватает.

Вы о чем?

В этой ветке уже 100 раз расписали подробно, что бы было в Винде с этим трояном.

И что бы было? IE заблокировали?

[drBatty]

Пользователь, не будучи полным идиотом, работает под непривилегированной учетной записью. Шастая по интернету он ловит бяку, которая ложится на диск отдельным исполнимым файлом и, запускаясь от имени этого пользователя, начинает творить свои нехорошие дела.

это как это?! юзер идиот? своими-же руками дал права выполнения?

[sciko]

А еще говорят вирусов нет на linux...

Вот она, цена растущей популярности!

Под Linux вирусов нет согласно определению вируса, кроме 30 штук которые существуют в лабораторных условиях и работают только с бубуном. А от идиотских действий юзера с рутовым правами не застрахована ни одна ОС.

А Вы в курсе, что всякие Аутпосты изначально содержат в себе правила, запрещающие доступ к компу из сети?

Ну-ну. И странички в интернете открываются при помощи astral.dll...

А я то думал, что в пакет можно упаковать всё, что заблагорассудится.

Вы устанавливаете обои из пакетов? Как говориться "Без комментариев".

[drBatty]

А я то думал, что в пакет можно упаковать всё, что заблагорассудится.

Вы устанавливаете обои из пакетов? Как говориться "Без комментариев".

почему нет?
очень удобно.

[DSS]

Не подменяйте тезис!
Здесь обсуждается умышленно установленное администратором приложение.

Я задал вопрос. В вопросе все исходные данные указаны. Ожидаю я увидеть ответ именно на ту форму вопроса, которую я задал.
Если что-то смущает не стесняйтесь уточнить
Про администратора мы тоже уже поговорили. И вроде договорились до того, что и его можно ограничить.

это как это?! юзер идиот? своими-же руками дал права выполнения?

Зачем своими? Если не ошибаюсь, тот же самый wget, в варианте пропатченном RedHat'ом, таки поддерживает опцию сохранения прав доступа при работе с FTP.

Ну-ну. И странички в интернете открываются при помощи astral.dll...

Не знаю. Видимо через тот же механизм, что и в Линуксе, в котором "файерволл и т.п. защищают комп от сети".

Вы устанавливаете обои из пакетов? Как говориться "Без комментариев".

Устанавливаю, да. Ибо в состав openSuSE они включены пакетом (вернее пакетами). Хочешь - ставь, не хочешь - не ставь. Удалил случайно - легко восстановить.
Я уж не говорю о том, что в новости ЯВНО было указано, что вредоносное ПО содержалось в DEB пакете.
И уж совсем молчу, что пакет был с ХРАНИТЕЛЕМ ЭКРАНА. Т.е. изначально с исполняемыми файлами.

[sciko]

Если не ошибаюсь, тот же самый wget, в варианте пропатченном RedHat'ом, таки поддерживает опцию сохранения прав доступа при работе с FTP.

Но только с опцией. + Файл-то ещё надо запустить на выполнение.

Ибо в состав openSuSE они включены пакетом (вернее пакетами). Хочешь - ставь, не хочешь - не ставь

Это другое. Тут уж никуда не денешься.

Не знаю. Видимо через тот же механизм, что и в Линуксе, в котором "файерволл и т.п. защищают комп от сети".

Вот именно что "не знаю". А ещё "не понимаю как работает управление компом по сети".

И уж совсем молчу, что пакет был с ХРАНИТЕЛЕМ ЭКРАНА. Т.е. изначально с исполняемыми файлами.

Поздравляю! Вы готовая жертва для следующего страшного "вируса".

[drBatty]

это как это?! юзер идиот? своими-же руками дал права выполнения?

Зачем своими? Если не ошибаюсь, тот же самый wget, в варианте пропатченном RedHat'ом, таки поддерживает опцию сохранения прав доступа при работе с FTP.

и что, там по умолчанию так сохраняется?
да и вообще, зачем этот пакет ставить? к тому-же можно и посмотреть что внутри.

[Ali1]

Я задал вопрос. В вопросе все исходные данные указаны. Ожидаю я увидеть ответ именно на ту форму вопроса, которую я задал.
Если что-то смущает не стесняйтесь уточнить wink.gif
Про администратора мы тоже уже поговорили. И вроде договорились до того, что и его можно ограничить.

Этот:

Что есть trusted код?
Полученный из репозитория со всеми полагающимися и правильными подписями telnet можно считать trusted для использования в открытых сетях? wink.gif

Вы о чем, клиенте или демоне?
Укажите на уязвимость клиента?
ДА - можно считать, т.к.

• chkconfig --list | grep tel
  telnet: выкл
• semanage module -l
  telnet 1.9.0
• Взлом кабеля не взлом кода.

[DSS]

Но только с опцией. + Файл-то ещё надо запустить на выполнение.

Это уже в другой плоскости. Напомнить, про массовые запуски filename.jpg.exe под виндой? Тоже "ещё надо запустить на выполнение" было.

Вот именно что "не знаю". А ещё "не понимаю как работает управление компом по сети".
<...>
Поздравляю! Вы готовая жертва для следующего страшного "вируса".

* истошно рыдает...

и что, там по умолчанию так сохраняется?
да и вообще, зачем этот пакет ставить? к тому-же можно и посмотреть что внутри.

"... долго мы будем вилять, как маркитантская лодка?"(с)
Вопрос задан вполне конкретно. Не хотите отвечать - не надо. Вилять тоже не надо. Заранее благодарен.

Вы о чем, клиенте или демоне?
Укажите на уязвимость клиента?

И о том, и о другом. Т.к. дефектен сам протокол.
Передача пароля в открытом виде.

[Ali1]

И о том, и о другом. Т.к. дефектен сам протокол.
Передача пароля в открытом виде.

Взлом кабеля не взлом кода.

[DSS]

Взлом кабеля не взлом кода

Вообще-то абсолютно никакого "взлома кабеля" не нужно. Пароль можно подсмотреть на любом узле, через который проходит трафик. Даже никаких зловредных программ не нужно.

Давайте разберёмся с Вашим ответом окончательно:
Т.е. под trusted кодом Вы понимаете такой, который выдаёт конфиденциальную информацию только при работе в нештатном режиме?
Если софт раздаёт конфиденциальную информацию любому желающему в ШТАТНОМ режиме работы (как telnet передаёт пароли по сети в открытом виде), то это не влияет на оценку и код всё равно trusted?

[drBatty]

И о том, и о другом. Т.к. дефектен сам протокол.
Передача пароля в открытом виде.

а почему его нельзя использовать в закрытой сети? к примеру у меня 3 компьютера за фаерволом, и снаружи telnet просто не виден. (хотя я на всякий случай юзаю SSH)

[Bluetooth]

Т.е. под trusted кодом Вы понимаете такой, который выдаёт конфиденциальную информацию только при работе в нештатном режиме?
Если софт раздаёт конфиденциальную информацию любому желающему в ШТАТНОМ режиме работы (как telnet передаёт пароли по сети в открытом виде), то это не влияет на оценку и код всё равно trusted?

Я вообще не врубаюсь, как связан протокол, и оценка кода, его реализующего. И почему из-за протокола нормальный код должен быть признан опасным
Кстати, а прикиньте, сколько кода надо будет выкинуть в помойку с таким подходом. Например, апач с его basic auth (:

[sciko]

Напомнить, про массовые запуски filename.jpg.exe под виндой?

Напомни. Только не мне, а, например, тому же наутилису, который при попытке при клике по скрипту всегда спрашивает: "Так его надо запускать или желаете его посмотреть?". Кстати, так же он реагирует и на джавовские файлы.

Если софт раздаёт конфиденциальную информацию любому желающему в ШТАТНОМ режиме работы (как telnet передаёт пароли по сети в открытом виде), то это не влияет на оценку и код всё равно trusted?

Это просто не понимание сути Unix way. Telnet предназначен для использования либо в обёртке типа vpn, либо в закрытой сети. Если сделать rm -rf под рутом, то тоже можно поиметь массу проблем.

[DSS]

а почему его нельзя использовать в закрытой сети?

Потому что я в вопросе ЯВНО указал, что разговор об использовании в открытых сетях.

[Ali1]

Вообще-то абсолютно никакого "взлома кабеля" не нужно. Пароль можно подсмотреть на любом узле, через который проходит трафик. Даже никаких зловредных программ не нужно.

Перехват трафика и есть "взлома кабеля".

Если что-то смущает не стесняйтесь уточнить wink.gif

Какой пароль будет выловлен?

Т.е. под trusted кодом Вы понимаете такой, который выдаёт конфиденциальную информацию только при работе в нештатном режиме?
Если софт раздаёт конфиденциальную информацию любому желающему в ШТАТНОМ режиме работы (как telnet передаёт пароли по сети в открытом виде), то это не влияет на оценку и код всё равно trusted?

Под доверенным кодом, в данном контексте, я понимаю такой, которому я имею основание доверять. Т.е. он делает только то и только так, как должен. В частности, требует для запуска пароля администратора.
Пример:
su -c "rm -rf /*"


Кстати, протокол не дефектен.
Пароль передается в открытом виде согласно спецификации.

[drBatty]

Это просто не понимание сути Unix way. Telnet предназначен для использования либо в обёртке типа vpn, либо в закрытой сети. Если сделать rm -rf под рутом, то тоже можно поиметь массу проблем.

+1

Потому что я в вопросе ЯВНО указал, что разговор об использовании в открытых сетях.

а в открытой его и не надо использовать. он и не предназначен для этого. когда-то давно не было ботнетов и троянов, ещё и "хакерская этика" была... и девки были моложе... и сети небыли такими злобными, и насыщенными пыонерами...

[Ali1]

Полученный из репозитория со всеми полагающимися и правильными подписями telnet можно считать trusted для использования в открытых сетях? wink.gif

Смешно, но даже не важно для чего telnet предназначен. Он, полученный из репозитория со всеми полагающимися и правильными подписями telnet, останется - trusted и при использования в открытых сетях.
А то, что вас взломают, будет полностью соответствовать обещанному.

[Bluetooth]

Если софт раздаёт конфиденциальную информацию любому желающему в ШТАТНОМ режиме работы (как telnet передаёт пароли по сети в открытом виде), то это не влияет на оценку и код всё равно trusted?

Это просто не понимание сути Unix way. Telnet предназначен для использования либо в обёртке типа vpn, либо в закрытой сети. Если сделать rm -rf под рутом, то тоже можно поиметь массу проблем.

Ага, а еще телнет можно юзать поверх ссш туннеля)))

[Davinel]

Но их никто не видит?

Я еще раз повторяю, я вам уже называл программы, которые могут помочь в данной ситуации. Если вы не хотите читать, то, что вам пишут, а хотите просто заниматься какой то фигней - так и скажите.

[DSS]

Напомни.

А с чего Вы внезапно перешли на "ты" при обращении ко мне?

Это просто не понимание сути Unix way. Telnet предназначен для использования либо в обёртке типа vpn, либо в закрытой сети. Если сделать rm -rf под рутом, то тоже можно поиметь массу проблем.

* зарыдал в три раза сильнее
Telnet появился значительно раньше vpn. Причем сети тогда были именно открытые.

Какой пароль будет выловлен?

Пользователя в системе, к которой коннектимся телнетом.

Т.е. он делает только то и только так, как должен.

Ясно. Но только вот в таком случае обещанной Вами "маммализации териодонтов", к сожалению, так и не настанет.

[Fkabir]

Но их никто не видит?

Я еще раз повторяю, я вам уже называл программы, которые могут помочь в данной ситуации. Если вы не хотите читать, то, что вам пишут, а хотите просто заниматься какой то фигней - так и скажите.

Вам "кажется", что они бы помогли. Вы мне предлагаете стать спецом по куче программ, чтобы убедиться, правы вы или нет? Спасибо, я лучше свое время на другое потрачу. Был задан конкретный вопрос - как средствами линукса решить конкретную проблему, какими программами и как? В гугл меня не надо посылать. Посылать читать тонны мануалов тоже не надо. Приведите описание или ссылку на конкретное описание, где указано, КАК ИМЕННО решить данную проблему. Вот попал троян на комп. В составе безобидного вроде как пакета. Что дальше?

[drBatty]

Вот попал троян на комп. В составе безобидного вроде как пакета. Что дальше?

дальше всё. если админ качает пакеты неизвестно откуда - что может быть дальше?
решение одно - смена админа
(альтернатива - смена ОС, а потом обвинять глюки венды и Билла Гейтся)

[sciko]

А с чего Вы внезапно перешли на "ты" при обращении ко мне?

К школьникам я всегда обращался на "ты". Почему я должен делать исключение?

Telnet появился значительно раньше vpn.

И даже больше: раньше протокола TCP (лет на 5, ЕМНИП).

Причем сети тогда были именно открытые.

На чём же основано это утверждение? Ты хорошо знаешь устройство сетей начала 70-х годов?

В гугл меня не надо посылать. Посылать читать тонны мануалов тоже не надо.

Сколько заплатите?

[Ali1]

Какой пароль будет выловлен?

Пользователя в системе, к которой коннектимся телнетом.

Ну и на здоровье, там его нет.
$ rpm -qa | grep teln
$

[Davinel]

Вам "кажется", что они бы помогли. Вы мне предлагаете стать спецом по куче программ, чтобы убедиться, правы вы или нет? Спасибо, я лучше свое время на другое потрачу. Был задан конкретный вопрос - как средствами линукса решить конкретную проблему, какими программами и как? В гугл меня не надо посылать. Посылать читать тонны мануалов тоже не надо. Приведите описание или ссылку на конкретное описание, где указано, КАК ИМЕННО решить данную проблему. Вот попал троян на комп. В составе безобидного вроде как пакета. Что дальше?

Слушайте, мне уже надоедает как то повторять одно и то же.. Рецепт простой. Запрещаете всё. Разрешаете то, что вам нужно. К примеру wget. Вам нужно чтобы он качал пакеты из репов из под рута. Ок, при запуске wget'a из под рута ему разрешено только одно - качать пакеты из определенных репозиториев.

Вы лучше скажите чем в данном случае помог бы файрвол типа аутпоста? В режиме обучения? Я вот как то не вижу чтобы он сделал.

[drBatty]

Пользователя в системе, к которой коннектимся телнетом.

у меня есть. пароль выложите плз (мой). это ведь так просто!