Вредоносное ПО в каталоге Gnome-Look (избегайте сторонних пакетов)

[fed71]

Главные ссылки
http://www.opennet.ru/opennews/art.shtml?num=24610
http://www.omgubuntu.co.uk/2009/12/malware...for-ubuntu.html

В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look, зафиксировано наличие скрытой вредоносной вставки. После установки данного пакета в систему интегрируется специальный набор скриптов, предназначенный для подключения машины к проведению DDoS атак. Скрипт поддерживает удаленное получение заданий и способен самостоятельно обновить себя до более новой версии. Логика работы вредоносного ПО сводится к периодической загрузке и обычного shell скрипта, который затем запускается с правами root и выполняет, например, "ping -s 65507 хост".

Кроме того, подобный вредоносный код удалось обнаружить и в пакете с визуальной темой Ninja Black. Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.

При установке троянского пакета в системе появляются файлы /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh и index.php. Для излечения достаточно найти и удалить эти файлы, а также удалить пакет app5552 (sudo dpkg -r app5552).

[yamah]

Уж сколько раз твердили миру
Используй репы от дистриба!

[Sora]

А еще говорят вирусов нет на linux...

[Stauffenberg]

Дык в этот "известный каталог GNOME-приложений GNOME-Look" любой желающий может пакеты класть что ли? Кто ответственный за сборку?

А еще говорят вирусов нет на linux...

И опять же Ubuntu...

[Makinos]

Насчет вирусов- вирусов и нет. но если какой-то идиот-убунтоид устанавливает себе руткит своими же руками... на винтовке тоже нет предохранителя от того, чтобы выстрелить себе в ногу))

[agentprog]

не понимаю, зачем всякие темы, обоины и т.п. делать в виде пакетов? только разве что для троянопихания.

И опять же Ubuntu...

дадада!

[smiftee]

А еще говорят вирусов нет на linux...

Где там вирус увидели? Терминологию знаете?

[Sora]

А еще говорят вирусов нет на linux...

Где там вирус увидели? Терминологию знаете?

Ну, вредоносное ПО. Суть в том, что, все таки, есть пути навредить системе.

[nadge]

Если человек дурак - он всегда найдет себе на задницу неприятностей. Так гласит народная мудрость :)

Прежде чем что-то ставить, нужно убедиться, что это:
а) получено из надежного источника (например, подписано официальным ключом дистрибутива);
или б) лично проверено пользователем на отсутствие вредоносных программ.

Те, кто этого не делает, обязательно получат проблемы рано или поздно. Дело тут не в Убунте. Как будто на Дебиане или Редхате такое невозможно...

[smiftee]

А еще говорят вирусов нет на linux...

Где там вирус увидели? Терминологию знаете?

Ну, вредоносное ПО. Суть в том, что, все таки, есть пути навредить системе.

Дада, главное что бы был соответствующий нужным критериям пользователь.

[Stauffenberg]

Те, кто этого не делает, обязательно получат проблемы рано или поздно. Дело тут не в Убунте. Как будто на Дебиане или Редхате такое невозможно...

Возможно. Но все же заметьте - произошло в Ubuntu! %)

[chitatel]

Дада, главное что бы был соответствующий нужным критериям пользователь.

Но все же заметьте - произошло в Ubuntu! %)

Ну вот некий среднестатистический пользователь Ubuntu как раз и соответствует нужным критериям, что ни для кого не секрет. На такого пользователя Ubuntu и рассчитана, так что случившееся закономерно.

[mvt]

Ну, gnome-look все-таки уважаемый ресурс, может как-то стоит проверять, что и кто туда подсовывает? А то я уже подумал о дополнениях к фоксу...
Была же там какая-то фигня от microsoft, так и другие подтянутся...

[Janik]

Судя по работе скрипта, большой опасности он не представляет (для компьютера самого пользователя), только DDoS'ит.

[Bluetooth]

Ну, gnome-look все-таки уважаемый ресурс, может как-то стоит проверять, что и кто туда подсовывает?

стоит. Предложите им.

[mvt]

стоит. Предложите им.

Ну я надеюсь, они читают Linuxforum

[Bluetooth]

стоит. Предложите им.

Ну я надеюсь, они читают Linuxforum

Нет, не читают. С чего им читать его? Вот если Вы им предложите новую схему размещения контента на сайте, концепцию для системы тестирования контента, это будет конструктив. А вот идея "может, надо проверять контент?" Я думаю, пришла на ум 95% узнавшим об этом и 100% задействованных в проекте gnome-look людей

[mvt]

Вот если Вы им предложите новую схему размещения контента на сайте, концепцию для системы тестирования контента, это будет конструктив.

К сожалению - не специалист

А вот идея "может, надо проверять контент?" Я думаю, пришла на ум 95% узнавшим об этом и 100% задействованных в проекте gnome-look людей

Надеюсь, что не только в gnome-look
PS А Linuxforum читать полезно

[SaTaN]

PS А Linuxforum читать полезно

лор читай.

[Bluetooth]

PS А Linuxforum читать полезно

лор читай.

Если линуксфорум читать полезно, то лор - весело

[Atolstoy]

Типичный пример того, как обожглись бездельники и фанаты свистелок-перделок, "красивых" тем и прочих ненужных украшательств. Даёшь дефолтный интерфейс!

[Bluetooth]

Типичный пример того, как обожглись бездельники и фанаты свистелок-перделок, "красивых" тем и прочих ненужных украшательств. Даёшь дефолтный интерфейс!

Даешь бинарники только из подписанных репов

[mandrivauser]

С ТАКОГО ресурса - это жесть!

Но все-же, в Линуксе подцепить вредноносное ПО во много раз сложнее чем известно в чем...

А администрация уважаемого сайта, думаю, после прецендента все-же задумается и примет меры по предотвращению подобного.

[shevan]

На вас не то что троян натравить хочется...

[mvt]

На вас не то что троян натравить хочется...

Два!

[Bizdelnick]

Ну вот

Код: Выделить всё

bash-3.2$ wget http://05748.t35.com/Bots/Auto.bash
--2009-12-12 02:00:51--  http://05748.t35.com/Bots/Auto.bash
Распознаётся 05748.t35.com... 66.45.237.212, 69.10.48.106
Устанавливается соединение с 05748.t35.com|66.45.237.212|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 403 Forbidden
2009-12-12 02:00:52 ОШИБКА 403: Forbidden.

bash-3.2$ wget http://05748.t35.com/Bots/gnome.sh
--2009-12-12 02:01:16--  http://05748.t35.com/Bots/gnome.sh
Распознаётся 05748.t35.com... 69.10.48.106, 66.45.237.212
Устанавливается соединение с 05748.t35.com|69.10.48.106|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 403 Forbidden
2009-12-12 02:01:16 ОШИБКА 403: Forbidden.

А так хотелось посмотреть...

[DSS]

Уж сколько раз твердили миру
Используй репы от дистриба!

Истинно говорю вам - только от дистриба.
Ведь каждый разработчик изобретает собственный cvs с блэкджеком, взамен дырявого стандартного:
http://www.linuxcenter.ru/news/2003/01/23/1620/

А ещё ванильные ядра надо использовать:
http://www.xakep.ru/post/20865/default.asp?print=1

[romuil]

Ну что за люди...даже троян написать как следует не могут - ломается.

[Brainsburn]

Ну вот

Код: Выделить всё

bash-3.2$ wget http://05748.t35.com/Bots/Auto.bash
--2009-12-12 02:00:51--  http://05748.t35.com/Bots/Auto.bash
Распознаётся 05748.t35.com... 66.45.237.212, 69.10.48.106
Устанавливается соединение с 05748.t35.com|66.45.237.212|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 403 Forbidden
2009-12-12 02:00:52 ОШИБКА 403: Forbidden.

bash-3.2$ wget http://05748.t35.com/Bots/gnome.sh
--2009-12-12 02:01:16--  http://05748.t35.com/Bots/gnome.sh
Распознаётся 05748.t35.com... 69.10.48.106, 66.45.237.212
Устанавливается соединение с 05748.t35.com|69.10.48.106|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 403 Forbidden
2009-12-12 02:01:16 ОШИБКА 403: Forbidden.

А так хотелось посмотреть...

Это что, только с одного хоста сливает? Жиденько. Надо было штук на 10 разных накидать...

[smiftee]

Жизнь продолжается...