Comments 131
Десять лучших антивирусов для Linux
Лучших по описанию на сайте издателя?
А где же результаты тестирования на обнаружение?
К результатам тестирования бы еще методику… Но в любом случае, можно так подобрать файлы, чтобы нужный результат был у нужного АВ ;-)
Обзор ни о чем. Лучшие антивирусы для чего? Для домашних пользователей? Так Линукс сейчас далеко не только для домашних систем. Да и не все системы лицензирования доступные пользователям рассмотрены. Для корпоратива? Но корпоративные версии не упомянуты.
Нет ни касперского, ни доктор веба. Ну ладно веб в тестах редко участвует, но касперского разве в тестах не участвует?
Если говорить по функционалу, то у веба скажем есть возможность подключения плагинов Кламава — он расширяемый. Есть не только постоянная защита и сканер по требованию, но и файрвол с проверкой трафика
Ну это ладно. Начиная с конца прошлого года огромное количество троянов идет для версий Линукс, используемых в сетевом оборудовании. У веба против этого есть возможность сканирования удаленных систем (роутеров тех же)
Если говорить о домашних пользователях, то нет упоминаний об антивирусах по подписке (SaaS-антивирусах). Там помесячная оплата и возможность включения/отключения в любой момент и самого антивируса и его функционала в рамках подписок
Это по памяти и не заглядывая на сайты обоих антивирусов
Нет ни касперского, ни доктор веба. Ну ладно веб в тестах редко участвует, но касперского разве в тестах не участвует?
Если говорить по функционалу, то у веба скажем есть возможность подключения плагинов Кламава — он расширяемый. Есть не только постоянная защита и сканер по требованию, но и файрвол с проверкой трафика
Ну это ладно. Начиная с конца прошлого года огромное количество троянов идет для версий Линукс, используемых в сетевом оборудовании. У веба против этого есть возможность сканирования удаленных систем (роутеров тех же)
Если говорить о домашних пользователях, то нет упоминаний об антивирусах по подписке (SaaS-антивирусах). Там помесячная оплата и возможность включения/отключения в любой момент и самого антивируса и его функционала в рамках подписок
Это по памяти и не заглядывая на сайты обоих антивирусов
Побуду консервативным пингвиноводом и задам вопрос, древний, как бивни мамонта в вечной мерзлоте: «А зачем линуксу антивирус?»
UFO just landed and posted this here
Т.е. если ибавиться от винды, то антивирус станет не нужен. Вообще хорошее направление для индустрии было-бы, и полезного софта для сферического пользователя в вакууме стало бы больше.
Вот когда софт появится, тогда и избавимся.
UFO just landed and posted this here
> и полезного софта для сферического пользователя в вакууме стало бы больше.
Классическая путаница причины со следствием.
Классическая путаница причины со следствием.
UFO just landed and posted this here
А если бы Adobe переписал фотошоп под линукс, а если бы EA начала выпускать Call of Duty под линукс, а если бы бабушка…
Я ж не спорю со всем этим. Просто есть очевидные факты: существует маргинальная (в отношении десктопов) система, которая никому не нужна. Хотите поднять уровень её распространённости до хотя бы OSX? Давайте! Пересаживайте знакомых, мам-пап-бабушек и так далее. Практика показывает, что это не работает.
Я ж не спорю со всем этим. Просто есть очевидные факты: существует маргинальная (в отношении десктопов) система, которая никому не нужна. Хотите поднять уровень её распространённости до хотя бы OSX? Давайте! Пересаживайте знакомых, мам-пап-бабушек и так далее. Практика показывает, что это не работает.
UFO just landed and posted this here
> Мне просто очень интересно, какого десктоп-софта всем так не хватает. И, несомненно же, всем нужна вся мощь фотошопа.
Спросите у 90%. Вы преувеличиваете элитарность (кстати, ничего хорошего в ней нет) линукса. У меня не один знакомый(ая) его ставили, и очень удобно, и антивирус не нужен, и всё летает… а через неделю опять винда, потому что нет этого, этого или этого.
> А родителям на домашние железки я давно линукс поставил, и всё в порядке.
Вот судя по таким комментариям, весь мир уже должен быть на линуксе, а поди ж ты! Всё на том же уровне и остаётся.
Спросите у 90%. Вы преувеличиваете элитарность (кстати, ничего хорошего в ней нет) линукса. У меня не один знакомый(ая) его ставили, и очень удобно, и антивирус не нужен, и всё летает… а через неделю опять винда, потому что нет этого, этого или этого.
> А родителям на домашние железки я давно линукс поставил, и всё в порядке.
Вот судя по таким комментариям, весь мир уже должен быть на линуксе, а поди ж ты! Всё на том же уровне и остаётся.
UFO just landed and posted this here
Я лишь ответил на ваш комментарий по поводу «если бы». «Если бы» подразумевает, что если бы я сделал что-либо, от этого мне был бы какой-то профит. Очевидно, что в данном случае профита нет.
То с чем сталкивался я:
- Гораздо сложнее установить драйвера и ПО для большинства принтеров, сканеров (есть те который, просто подключил и все работает, но такие мне попадались редко). А если кто-то использует какие-нибудь хитрые мультимедийные клавиатуры и мышки, то их настройка может занять кучу времени, точнее поиск того как это сделать, сама настройка, скорей всего, закончится правкой нескольких строк в каком-нибудь конфиге.
- Необходимость иметь именно MS Office, да еще и желательно конкретной версии, так как документ отредактированный в более новой версии может (и такое не редкость) криво отобразится в предыдущей версии. Проверял на 2016, 2010 и 2007 офисах, речь идет об docx файлах. С doc файлами проблем меньше, но и возможности редактирования меньше. С презентациями тоже грустно — сделанная в Open (Libre) Office с большой вероятностью криво откроется в MS Office.
Это, пожалуй, самое основное. По поводу Photoshop — не знаю, мне вполне хватает GIMP, а для векторной графики Inkscape. Я их и на Windows использую. У кого спрашивал по поводу сравнения Photoshop и GIMP, единственный реальный аргумент был в том, что интерфейс Photoshop удобнее. К GIMP сложно привыкнуть после него. Еще слышал, что Photoshop более функционален, но так никто точно и не назвал, чего именно не хватает в GIMP. Исключение — проприетарные конверторы из RAW которые идут вместе с фотоаппаратами. Но это опять же из области поддержки оборудования. Для своего я нашел конвертор, к сожалению, он расчитан на работу фотоаппарата со сменными объективами и не может автоматически исправить искажения созданные моим встроенным объективом с переменным зумом.
UFO just landed and posted this here
Ну я говорю, про условно домашнее применение. Да и с покупкой железа под Linux несколько сложнее надо искать смотреть на сайте производителя. Хотя сейчас, для некоторых устройствах, пишут на упаковке, что совместимо с Linux. Но совместимость, означает, что либо драйверов не нужно вовсе (чаще будет работать с граниченным функционалом) или есть драйвера на сайте производителя, но их установка не всегда тривиальна, чаще, гораздо сложнее чем запустить Setup.exe и следовать инструкциям.
Мне тоже Libre Office хватает с головой, и если что-то надо куда-то отправить или где-то показать, то делаю pdf — и никаких проблем. Но когда нужно отправить документ с вставленными картинками, а поверх картинок еще текст под наклоном написанный, вот тут все и разъезжалось в разные стороны. Но такое по разному отображалось и в разных версия MSO.
Кстати 1С 7.7 у меня запускалась на Windows Vista, без виртуалки, да и на Windows 7 тоже. Причем была версия которая требовала перкодировки БД и после этого она переставала работать нормально на Windows XP (требовалась перекодировка), а была версия и с патчем, в которой перекодировки не требовалось. Но это речь о 1С которая работала с локальной БД. А с необходимостью виртуалки я столкнулся позже с каким-то Банк-Клиентом, толи он сам, то ли часть отвечающая за криптографию не работали под Windows 7. Да и под линуксом у меня такое было. Мне понадобился кросс-компилятор для Symbian OS, он был или под Windows или под Linux c ядром 2.xx. А в тот момент уже все популярные дистрибутивы перешли на 3.xx и только debian еще можно было скачать со старым ядром.
Мне тоже Libre Office хватает с головой, и если что-то надо куда-то отправить или где-то показать, то делаю pdf — и никаких проблем. Но когда нужно отправить документ с вставленными картинками, а поверх картинок еще текст под наклоном написанный, вот тут все и разъезжалось в разные стороны. Но такое по разному отображалось и в разных версия MSO.
Кстати 1С 7.7 у меня запускалась на Windows Vista, без виртуалки, да и на Windows 7 тоже. Причем была версия которая требовала перкодировки БД и после этого она переставала работать нормально на Windows XP (требовалась перекодировка), а была версия и с патчем, в которой перекодировки не требовалось. Но это речь о 1С которая работала с локальной БД. А с необходимостью виртуалки я столкнулся позже с каким-то Банк-Клиентом, толи он сам, то ли часть отвечающая за криптографию не работали под Windows 7. Да и под линуксом у меня такое было. Мне понадобился кросс-компилятор для Symbian OS, он был или под Windows или под Linux c ядром 2.xx. А в тот момент уже все популярные дистрибутивы перешли на 3.xx и только debian еще можно было скачать со старым ядром.
У меня не сервер, а десктоп. Нету ни шлюза, ни почты, ни виндовых шар. Вопрос «зачем?» остался.
Однажды червь пробрался на диски журнала LinuxFormat. И был успешно растиражирован и разослан читателям. Валентин Синицин, как главный редактор, давал пояснения по этому факту. Линукс не пострадал, досталось остальным. На этом случае вопрос о необходимости антивируса на Линукс закрыли. Антивирус нужен для пресечения распространения заразы.
Открываем updates.drweb.com и ищем все вхождения по слову Linux. Это то, что добавлено (поступило на анализ и разобрано) за текущий день, если нужно, можно посмотреть за любые периоды
Утро только началось, а уже за сотню разных модификаций.
Утро только началось, а уже за сотню разных модификаций.
Скажите, а как это гвн попадает на компьютеры?
Как на андроид «Разрешить установку с неизвестных источников, Принять, Далее, Далее, Запустить»?
Значит антивирус для линукса нужен столько же сколько антивирус для андроида?
Для пользователей которых по хорошему и подпускать к компу нельзя и для кулхацкеров сидящих из под рута?
Как на андроид «Разрешить установку с неизвестных источников, Принять, Далее, Далее, Запустить»?
Значит антивирус для линукса нужен столько же сколько антивирус для андроида?
Для пользователей которых по хорошему и подпускать к компу нельзя и для кулхацкеров сидящих из под рута?
Линукса на десктопах существенно ниже чем Андроидов (так скати кроме установки из неизвестных источников есть установки с гуглоплея, вшитые трояны и установки через уязвимости — по убыванию вероятности получить троян). Поэтому для Линукс существенно меньше троянов и вирусов, рассчитанных на простых пользователей. Если мы не говорим о заражении роутеров и иных устройств (под них пишется огромное количество вирья), то заражения идут в основном через уязвимости и загрузку зараженного ПО (в существенно меньшем количестве).
Более подробно об особенностях вирусов и антивирусов под линукс я написал в комментарии уважаемому 0xd34df00d
Более подробно об особенностях вирусов и антивирусов под линукс я написал в комментарии уважаемому 0xd34df00d
Если интересны примеры — также написал их в ответе уважаемому 0xd34df00d
Где, например, вот такое тестирование
Взломать можно все, но смысл весь в том, что в линуксе меньше возможностей.
Скачивание левого софта отпадает — репозитарии
Дыры быстро латаются в opensource программах
Я слежу за запущенными процессами, а также смотрю активность сети.
В общем это многие пользователи и под windows делают в виде виджетов.
В случае ботнета все будет заметно.
Теперь возмем локеры — создаем root пользователя, и в случае проблем под юзером мы просто жмем Ctrl+alt+F1 заходим под рутом и убиваем локер)
Ну а дальше уже легко все прикроется, ведь под windows нет общей системы обновлений для всех программ, вот и выходит, что пользователи используют устаревшие версии с набором багов и дыр.
Под Linux не нужен антивирус по причине того, что проще залатать правильно дыру и залить в репозитарий исправление, чем городить поверх системы костыли, которые будут выполнять ту же функцию)
Скачивание левого софта отпадает — репозитарии
Дыры быстро латаются в opensource программах
Я слежу за запущенными процессами, а также смотрю активность сети.
В общем это многие пользователи и под windows делают в виде виджетов.
В случае ботнета все будет заметно.
Теперь возмем локеры — создаем root пользователя, и в случае проблем под юзером мы просто жмем Ctrl+alt+F1 заходим под рутом и убиваем локер)
Ну а дальше уже легко все прикроется, ведь под windows нет общей системы обновлений для всех программ, вот и выходит, что пользователи используют устаревшие версии с набором багов и дыр.
Под Linux не нужен антивирус по причине того, что проще залатать правильно дыру и залить в репозитарий исправление, чем городить поверх системы костыли, которые будут выполнять ту же функцию)
Дыры быстро латаются в opensource программах
Heartbleed, Shellshock… Не всегда, к сожалению.
UFO just landed and posted this here
а зачем через хартблид ломать средний десктоп домашний, что там интересного? другое дело сервер, где данные кредиток и пароли от платных сервисов:)
Я вообще-то не утверждал, что антивирус панацея. Я сказал, что открытые исходники — тоже, к сожалению, не панацея (хотя в среднем к софту с открытым кодом у меня лично все-таки больше доверия — хартблиды не каждый день находят).
Какой из перечисленный антивирусов ловил Heartbleed/Shellshock до выхода исправлений соответствующего софта?
Дыры быстро латаются в opensource программах
актуальные версии хрома и хромимума вслух сравните, пожалуйста...
А ещё вирусы напрямую заливаются в репозиторий, как показал недавний опыт…
Что будет с репозиториями, когда их популярность будет сравнима с google Play?
ClamTK — это усовершенствованная версия ClamAV
Нет, это graphical front-end (ровно так написано и на его сайте).
+1
А теперь за что? Помню что писал что "+1" это слишком коротко, но все же прислушался мнения того человека который сказал что лучше так.
Лучше проголосовать за комментарий, чем плодить цепочки +1. Опять же это нагляднее показывает отношение пользователей к данному комментарию.
Я не знаю, могут ли read-only пользователи голосовать за комментарии, но написать публикацию, которая пройдет модерацию — не самое сложное дело.
Я не знаю, могут ли read-only пользователи голосовать за комментарии, но написать публикацию, которая пройдет модерацию — не самое сложное дело.
И в этом весь прикол что проголосовать не могу, а возможно и вообще не смогу из-за некоторых не указанных и не указываемых личностей.
Я не знаю, могут ли read-only пользователи голосовать за комментарии,
Read-only не имею прав что либо делать на сайте кроме чтения. Они как Unregistred/Guest.
Registred Могут писать статьи и комментарии(не старее 10 дней с пре-модерацией n(точного числа я не помню) комментариев), но не могут менять значение кармы.
Verified/Invited могут все кроме админских и модераторских функций.
но написать публикацию, которая пройдет модерацию — не самое сложное дело.
Кому как, я могу писать комментарии, но из меня статьеписатель просто никудышный. Даже придумать(это сложнее всего) пока не могу о чем писать статью. (Поскольку понимаю что получится полнейший бред либо чушь.)
И в этом весь прикол что проголосовать не могу, а возможно и вообще не смогу из-за некоторых не указанных и не указываемых личностей.
Увы, но такова политика данного ресурса. Вы можете ее или принять, или перестать пользоваться. От того, что Вы напишите "+1" в комментариях рейтинг комментария/статьи/автора не изменится. Этот комментарий будет только замусоривать ленту, вызывать недовольство общественности и как результат — уменьшение рейтинга и кармы.
Кому как, я могу писать комментарии, но из меня статьеписатель просто никудышный.
Относитесь к комментариям как к мини-статьям на заданную (публикацией) тему. Тогда и ваш рейтинг не будет уменьшаться, а возможно и поднимется. Часто из комментариев можно получить много полезной информации, и не хотелось бы, чтобы обсуждение прерывалось бессмысленными комментариями.
Тему для публикации придумать не просто, согласен. Но, может быть, Вы читаете какой-нибудь тематический блог на другом языке и можете сделать хороший перевод. А может у вас есть собственный проект — попробуйте его презентовать, вдруг общественности это понравится. Можно попробовать сделать обзор программы (или плагина), которая вам сильно помогает. Или Вы сталкивались с какими-нибудь сложностями в работе и можете поделиться опытом.
Не обязательно, чтобы ваша статья несла что-то принципиально новое. Систематизация разрозненных знаний тоже может быть полезна и хорошо принята модераторами и пользователями Хабра.
Увы, но такова политика данного ресурса. Вы можете ее или принять, или перестать пользоваться. От того, что Вы напишите "+1" в комментариях рейтинг комментария/статьи/автора не изменится. Этот комментарий будет только замусоривать ленту, вызывать недовольство общественности и как результат — уменьшение рейтинга и кармы.
По факту да это так, я не спорю, я поддерживаю такую политику, хоть знаю что сам написал тот комментарий что аж пожаловался сам на минуса, прошу понять и простить.
Относитесь к комментариям как к мини-статьям на заданную (публикацией) тему.
Хорошая идея. Спасибо.
Тогда и ваш рейтинг не будет уменьшаться, а возможно и поднимется.
Мне к сожалению до лампочки этот рейтинг. Меня больше карма беспокоит.
Часто из комментариев можно получить много полезной информации, и не хотелось бы, чтобы обсуждение прерывалось бессмысленными комментариями.
С этим согласен.
Тему для публикации придумать не просто, согласен.
Хотя у меня есть одна идейка, но она больше связана с тематикой (Не)образованной молодежи, но больше уходит в мою личную историю
Но, может быть, Вы читаете какой-нибудь тематический блог на другом языке и можете сделать хороший перевод.
К сожалению блогов я не читаю, но насчет этого думал, но пока нет.
Я не думаю что нормальный перевод получится от человека который изучал германский язык, зная чуток английского языка, немного углубляясь в германский только больше понимал английский, а не германский. Да и который уже стремлюсь забыть ибо нет желания ехать в ФРГ.
А может у вас есть собственный проект — попробуйте его презентовать, вдруг общественности это понравится.
Я конечно пишу небольшой проектик модульного HTTP сервера на Python 2, но я не думаю что clean as glass bottle with a vacuum inside проект будет кому-то нужен.
Можно попробовать сделать обзор программы (или плагина), которая вам сильно помогает.
Ну уж тут точно все эти обзоры программ и плагинов которые мне помогают есть.
Или Вы сталкивались с какими-нибудь сложностями в работе и можете поделиться опытом.
А вот сложности тут уже есть пара идей что можно написать.
Не обязательно, чтобы ваша статья несла что-то принципиально новое.
Согласен, да это не обязательно.
Систематизация разрозненных знаний тоже может быть полезна и хорошо принята модераторами и пользователями Хабра.
Я могу попробовать это сделать, может свою дипломку удастся сюда применить. (Текстовую часть конечно, но я могу сказать точно что это будет просто как cheatsheet.)
Слово «лучших» в названии статьи не лишнее?
:facepalm:
Хоть бы названия правильно переписали — chkrootkit… От слова check, а не chroot! Буква пропущена.
Последний раз я антивирус ставил в 2006г.
Вот уже 11 лет живу как то без антивируса и все отлично.
Ладно еще на винде ставить антивирус, хотя и там он не особо нужен, но на nix системах?
Не представляю, зачем пользователю антивирус в наше время на дескопной машине.
Вот уже 11 лет живу как то без антивируса и все отлично.
Ладно еще на винде ставить антивирус, хотя и там он не особо нужен, но на nix системах?
Не представляю, зачем пользователю антивирус в наше время на дескопной машине.
Принцип Хабра: не знаешь о чем писать — переведи очередной треш с Медиума.
Dr.Web for Linux забыли.
По ClamAV — коллега проверял EICAR test file, антивирус и ухом не моргнул
Странно, я когда первый раз столкнулся с ClamAV, как раз на EICAR и проверял, т.к. вирусов под рукой не было :)
И было это лет 10 назад
Либо клам без баз был, либо EICAR битый был ну или /dev/hands забыли обновить. Я EICARом тестирую почтовики после настройки (и угадайте, кто там в роли антивируса) — всё прекрасно находится.
Самый лучший антивирус для Linux (и не только для него) — это голова на плечах (с мозгами само собой, а не та что ест).
Ну а если более серьезно отвечать на вопрос в конце статьи, то: никакой. Вирусы как таковые в среде Linux имеют распространение в форме слухов (кто-то даже криптолокер смог под вайн собрать, правда не заработало толком....).
Дыры? Дыры — да находят, латают, через незалатанные проникают… могут напакастить… просто не надо наружу портами ненужными светить и почаще скрипторезку в браузере на десктопе использовать.
Ну а если более серьезно отвечать на вопрос в конце статьи, то: никакой. Вирусы как таковые в среде Linux имеют распространение в форме слухов (кто-то даже криптолокер смог под вайн собрать, правда не заработало толком....).
Дыры? Дыры — да находят, латают, через незалатанные проникают… могут напакастить… просто не надо наружу портами ненужными светить и почаще скрипторезку в браузере на десктопе использовать.
Открываем updates.drweb.com (добавленные записи в антивирусные записи за день) и ищем все вхождения по слову Linux.
Зачем слухи, если есть точные данные? Вот совсем свежее
(https://news.drweb.ru/show/?i=11593)
Мираи все развивается (https://news.drweb.ru/show/?i=11552)
Зачем слухи, если есть точные данные? Вот совсем свежее
Троянец, получивший наименование Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz
(https://news.drweb.ru/show/?i=11593)
Мираи все развивается (https://news.drweb.ru/show/?i=11552)
Тут недавно статья была с анализом уязвимостей разных ОС. Там по всем linux платформам уязвимости из топа опасных в огненной лисе и хроме.
А то что пишут
Я лично ловил. Кстати очень давно. Взломанный новостной сайт, автоматически определявший используемую ОС.
А так… Я не собираюсь вас переубеждать. Вирусов действительно меньше, чем для Андроида и Виндовс. Но в поддержку люди с проблемами приходят.
Мне лично другое интересно. Вы лично верите, что мы с утра написали за сотню линуксовых вирей (раз вы поставили разработчиков антивирусов в ряд с вирусописателями)?
А так… Я не собираюсь вас переубеждать. Вирусов действительно меньше, чем для Андроида и Виндовс. Но в поддержку люди с проблемами приходят.
Мне лично другое интересно. Вы лично верите, что мы с утра написали за сотню линуксовых вирей (раз вы поставили разработчиков антивирусов в ряд с вирусописателями)?
Вам видимо нужно поставить пачку смайлов чтобы вы уловили сарказм… Вирусы тот же касперский успешно пишет в новостном списке десятками в месяц, только найти их днем с огнем не удается (пробовал).
Ну да ладно…
Вот взломанный новостной сайт — как соотносится с «вирусами для Linux»? Сайт там был на Linux или просто CMS дырявая стояла?
Ну да ладно…
Вот взломанный новостной сайт — как соотносится с «вирусами для Linux»? Сайт там был на Linux или просто CMS дырявая стояла?
При попытке захода на сайт пытался загрузиться вирус. На чем сайт — не разбирался. Я на линуксе работал, мне и пыталось грузиться
А смайлы… Я извиняюсь перед вами. Но вы не представляете — сколько народу действительно так считает. Реально был случай — человек испытательный прошел, подходит и спрашивает — ну я теперь здесь работаю, покажите мне где у нас вирусы пишут?
На каждой второй конференции так или иначе вопрос об этом задают. Люди просто не представляют СКОЛЬКО нам в день приходит новых образцов
Если говорить о том, что я сталкивался — роутеры. Дыр валом, поэтому опрос по сети и заражение. Вторая проблема — уверенность, что линукс по умолчанию крут. Не читаются новости, не ставятся обновления на сервера, выставленные в сеть
Если говорить о новостях — забавно то, что лучше бы их не было (смайл грустный). Как только выходит новость в широкое СМИ, то набегает волна аналогов.
Если есть вопросы по линуксовому вирью — спрашивайте. Могу спросить у вирлаба. На все ответов не обещаю, но спросить могу
А смайлы… Я извиняюсь перед вами. Но вы не представляете — сколько народу действительно так считает. Реально был случай — человек испытательный прошел, подходит и спрашивает — ну я теперь здесь работаю, покажите мне где у нас вирусы пишут?
На каждой второй конференции так или иначе вопрос об этом задают. Люди просто не представляют СКОЛЬКО нам в день приходит новых образцов
Если говорить о том, что я сталкивался — роутеры. Дыр валом, поэтому опрос по сети и заражение. Вторая проблема — уверенность, что линукс по умолчанию крут. Не читаются новости, не ставятся обновления на сервера, выставленные в сеть
Если говорить о новостях — забавно то, что лучше бы их не было (смайл грустный). Как только выходит новость в широкое СМИ, то набегает волна аналогов.
Если есть вопросы по линуксовому вирью — спрашивайте. Могу спросить у вирлаба. На все ответов не обещаю, но спросить могу
Вопрос на который я не жду ответа: дайте мне хоть один работающий вирус, который я смогу запустить (без пересборки) на произвольной Linux платформе и этот вирус сработает.
А рефлексировать на то, что вирусописателей видят в антивирусописателях — вовсе не стоит. Потому как вирус писать на новостной странице — это тоже вирус (в мозг доверчивых) причем вирус призванный к получению прибыли. И чем такие фейко-новости про очередной linux-вирус так уж сильно отличается от любого крипто-вымогателя?
А рефлексировать на то, что вирусописателей видят в антивирусописателях — вовсе не стоит. Потому как вирус писать на новостной странице — это тоже вирус (в мозг доверчивых) причем вирус призванный к получению прибыли. И чем такие фейко-новости про очередной linux-вирус так уж сильно отличается от любого крипто-вымогателя?
Вирусов не раздаем. Постоянно просят для тестирования при внедрении и журналисты для тестов. Но если хоть раз кто узнает, что мы распространяем вирусы — не отмоемся
Если о новостях, то новости у нас, каспера, есета не фейковые. Описания вирусов и все. Обычно трояны попадаются сразу всем, соответственно если разбор будет кривой, в тусовке вспоминать будут долго. Обычно новости кривые у тех, кто сам не имеет статистики по десктопам или нет собственной антивирусной лаборатории. Вопрос выбора источников.
Я бы даже сказал, что мало новостей. Новость о новом трояне/вирусе/черве — ну раз в неделю, ну два. У людей создается впечатление, что вирья мало. А его вагон. Одних шифровальщиков штук 20 в день сигнатур добавляется. А уж довнлоадеров и адвари…
Это реально очень плохо. Недооценка рисков, неверная оценка рисков. Приходишь на конференцию, к заказчику. Спрашиваешь — сколько нам образцов приходит на анализ? Называют цифры 10, 100 и тд. Говоришь — миллион в день. Шок. В чем недооценка рисков — недооценка изменчивости вредоносного ПО. Организации полагаются на антивирус и пренебрегают иными мерами защиты. Они реально полагают, что антивирус должен и может ловить 100% вирья на входе — именно это закладывается в модель защиты
Если о новостях, то новости у нас, каспера, есета не фейковые. Описания вирусов и все. Обычно трояны попадаются сразу всем, соответственно если разбор будет кривой, в тусовке вспоминать будут долго. Обычно новости кривые у тех, кто сам не имеет статистики по десктопам или нет собственной антивирусной лаборатории. Вопрос выбора источников.
Я бы даже сказал, что мало новостей. Новость о новом трояне/вирусе/черве — ну раз в неделю, ну два. У людей создается впечатление, что вирья мало. А его вагон. Одних шифровальщиков штук 20 в день сигнатур добавляется. А уж довнлоадеров и адвари…
Это реально очень плохо. Недооценка рисков, неверная оценка рисков. Приходишь на конференцию, к заказчику. Спрашиваешь — сколько нам образцов приходит на анализ? Называют цифры 10, 100 и тд. Говоришь — миллион в день. Шок. В чем недооценка рисков — недооценка изменчивости вредоносного ПО. Организации полагаются на антивирус и пренебрегают иными мерами защиты. Они реально полагают, что антивирус должен и может ловить 100% вирья на входе — именно это закладывается в модель защиты
Так выходит сами же и закладывают в модель защиты не верные представления об угрозах… На лицо та самая недооценка рисков…
Но переоценка с подачи новостей — тоже не есть гуд (читаем выше про неявное вымогательство).
Но вот вы опять грамотно ушли в сторону от главного вопроса (просто как бы не заметили его)… Где он тот вирус который я без сборки смогу запустить на любом (хотя бы из популярных) Linux-е?
Но переоценка с подачи новостей — тоже не есть гуд (читаем выше про неявное вымогательство).
Но вот вы опять грамотно ушли в сторону от главного вопроса (просто как бы не заметили его)… Где он тот вирус который я без сборки смогу запустить на любом (хотя бы из популярных) Linux-е?
Так я ответил — не раздаем
Оценка рисков — искусство. И не переоценить и не недоценить. Мы даем вводные — количество угроз и текущую раскладку по типам. Но оценить важность информации и соответственно этому выбрать меры защиты — обязанность компании.
Количество не показатель, ну взбредёт мне кому-нибудь в голову устроить охоту на бубунту через очередной зеродэй, как минимум каждая посылочка будет уникальной, несколько попадут в ханейпоты вот и будет куча разных сигнатур, на одну и ту-же пакость, а если какой пионэр ради спортивного интереса запилит вирус, с вариабильным тулщейном упаковки, и хитроделанным компилятором упаковщика, и всё это будет плясать от айди родителя и рандома, что бы задавить вероятность подобий даже…
Ну или трезвый сценарий (ибо палить такие темы за интерес никто не будет, оне денех стоют, хороших), чёрный рынок, есть конструкторы пакости, есть конструкторы упаковщиков и есть услуги по упаковке. Вот и получается иллюзия разнообразия, хотя всё одно и тоже и при желании со стороны антивирусов замечательно «эвристически» распознаётся :-) (например всякими комодами и битдефендорами, но это не про линуксы, ибо там векторы и смыслы атак совсем иные, и способы противостояния нужны соответствующие)
Ну или трезвый сценарий (ибо палить такие темы за интерес никто не будет, оне денех стоют, хороших), чёрный рынок, есть конструкторы пакости, есть конструкторы упаковщиков и есть услуги по упаковке. Вот и получается иллюзия разнообразия, хотя всё одно и тоже и при желании со стороны антивирусов замечательно «эвристически» распознаётся :-) (например всякими комодами и битдефендорами, но это не про линуксы, ибо там векторы и смыслы атак совсем иные, и способы противостояния нужны соответствующие)
Все верно, только насчет «при желании со стороны антивирусов замечательно «эвристически» распознаётся» вы увы не правы. Сейчас есть и утилиты и даже сервисы, которые автоматически и полуавтоматически перешифруют вирусы. В результате имеем разную сигнатуру, хотя тело одно и тоже. Для исключения пропуска все такие модификации нужно добавлять в базы. Генерить такие варианты можно с жуткой скоростью. У Доктор Веба есть технология поиска в зашифрованных файлах неизвестного вредоносного ПО, но и она 100% не дает естественно. А поведенческих анализаторов пока в антивирусах для Linux нет
Вдогонку. Без пересборки будут работать в частности шифровальщики точно. Видел на чистом баше с вызовом предустановленных утилит. Естественно если утилиты есть. На питоне пишут.
Вообще сейчас рост количества скриптового вирья. Не только для Линукса
Вообще сейчас рост количества скриптового вирья. Не только для Линукса
Ну таки да под рутом баш-скрипт запустить он много чего с системой сотворить может.
Но вот давайте я вам ip дам и вы на компе с этим ip запустите мне bash-скрипт под правами рута? Готовы такое продемонстрировать?
Но вот давайте я вам ip дам и вы на компе с этим ip запустите мне bash-скрипт под правами рута? Готовы такое продемонстрировать?
Сидят русский с чукчей к берегу ледовитого океана. Холодно, скучно. Русский чукче.
А давай анекдоты рассказывать!
Чукча — неа
Почему?
Сошлют.
Я вот этот чукча. Нельзя представителям компании этого
А давай анекдоты рассказывать!
Чукча — неа
Почему?
Сошлют.
Я вот этот чукча. Нельзя представителям компании этого
Т.е. вы предлагает вам наслово поверить что вы можете это сделать…
UFO just landed and posted this here
На память не скажу процентовку, но количество вредоносного ПО, которое рассчитано на запуск руками для Линукс существенно меньше, чем для Windows и Android.
Прежде чем говорить о вирусах (как я обещал — примеры я подготовлю) — немного по общей ситуации с вирусами и антивирусами под Линукс
1. Линукс — очень прозрачная система. Если так можно ее назвать. В отличии от Windows и Android в ней практически отсутствуют места, где тому же трояну можно спрятаться незаметно для пользователя. Не скажу, что их нет. Есть, но меньше. Отсюда идут и преимущества и проблемы защиты Линукс.
С одной стороны — куда меньше проблем в поиске и удалении вредоносного ПО. Но с другой стороны — и антивирус под Линукс полностью беззащитен. Самозащита в нормальном качестве вряд-ли реализуема, а поэтому любой неизвестный троян может делать все что хочет — ограничиваясь лишь ограничениями прав (соответственно кстати выше требования к админам)
Итог этой части — заражение Линукса в целом опаснее, чем Windows (хотя для Андроида все еще хуже)
2. Антивирус — не SIEM и всякие UEBA. В нем отсутствует развитая аналитика логов. С другой стороны админы не уделяют достаточного внимания защите логов. И вот тут мы переходим к вашему вопросу о векторах атаки. Если вы читаете разборы вирья, то наверно обратили внимание, что зачастую описания процедуры внедрения нет. Это не сокрытие информации. Многие вредоносные программы попадают в антивирусные лаборатории от пользователей. А они в свою очередь присылают только часть вредоносного комплекса. Downloader, первым внедрившийся в систему, давно уже загрузил всю полезную нагрузку, потер логи и стерся с системы. В результате дыра в системе остается необнаруживаемой
Ну и пара примеров из последних новостей для иллюстрации сказанного:
— Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz (https://news.drweb.ru/show/?i=11593)
— Linux.IotReapper (модификация Linux.Mirai. Для взлома устройств Linux.IotReapper запускает эксплойты и проверяет результат их выполнения.
— Linux.ProxyM, запускает на инфицированном Linux-устройстве SOCKS-прокси-сервер. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC, то есть он может работать на многих «умных» устройствах, таких как роутеры, телевизионные приставки и т. д. (https://news.drweb.ru/show/?i=11503)
Linux.MulDrop.14 — атакует исключительно миникомпьютеры Raspberry Pi. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. (http://news.drweb.ru/show/?i=11320)
— Linux. Encoder.10 и Linux. Encoder.11. заражено 153 Linux-сервера и более 3400 бизнес-сайтов, которые размещает хостинг-провайдер (https://habrahabr.ru/company/cloud4y/blog/331266)
Прежде чем говорить о вирусах (как я обещал — примеры я подготовлю) — немного по общей ситуации с вирусами и антивирусами под Линукс
1. Линукс — очень прозрачная система. Если так можно ее назвать. В отличии от Windows и Android в ней практически отсутствуют места, где тому же трояну можно спрятаться незаметно для пользователя. Не скажу, что их нет. Есть, но меньше. Отсюда идут и преимущества и проблемы защиты Линукс.
С одной стороны — куда меньше проблем в поиске и удалении вредоносного ПО. Но с другой стороны — и антивирус под Линукс полностью беззащитен. Самозащита в нормальном качестве вряд-ли реализуема, а поэтому любой неизвестный троян может делать все что хочет — ограничиваясь лишь ограничениями прав (соответственно кстати выше требования к админам)
Итог этой части — заражение Линукса в целом опаснее, чем Windows (хотя для Андроида все еще хуже)
2. Антивирус — не SIEM и всякие UEBA. В нем отсутствует развитая аналитика логов. С другой стороны админы не уделяют достаточного внимания защите логов. И вот тут мы переходим к вашему вопросу о векторах атаки. Если вы читаете разборы вирья, то наверно обратили внимание, что зачастую описания процедуры внедрения нет. Это не сокрытие информации. Многие вредоносные программы попадают в антивирусные лаборатории от пользователей. А они в свою очередь присылают только часть вредоносного комплекса. Downloader, первым внедрившийся в систему, давно уже загрузил всю полезную нагрузку, потер логи и стерся с системы. В результате дыра в системе остается необнаруживаемой
Ну и пара примеров из последних новостей для иллюстрации сказанного:
— Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz (https://news.drweb.ru/show/?i=11593)
— Linux.IotReapper (модификация Linux.Mirai. Для взлома устройств Linux.IotReapper запускает эксплойты и проверяет результат их выполнения.
— Linux.ProxyM, запускает на инфицированном Linux-устройстве SOCKS-прокси-сервер. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC, то есть он может работать на многих «умных» устройствах, таких как роутеры, телевизионные приставки и т. д. (https://news.drweb.ru/show/?i=11503)
Linux.MulDrop.14 — атакует исключительно миникомпьютеры Raspberry Pi. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. (http://news.drweb.ru/show/?i=11320)
— Linux. Encoder.10 и Linux. Encoder.11. заражено 153 Linux-сервера и более 3400 бизнес-сайтов, которые размещает хостинг-провайдер (https://habrahabr.ru/company/cloud4y/blog/331266)
UFO just landed and posted this here
UFO just landed and posted this here
Самозащита (не контроль целостности) подразумевает невозможность блокирования антивируса, перехвата или обхода его контроля, изменения прав и тд. В Windows это драйвер, который контролирует чтобы никто не сел ниже антивируса и никто не лазил к критичные данные антивируса без прав.
Защита драйвера от выгрузки и подмены как минимум обеспечивается тем, что винду надо перегрузить — уж это-то пользователь заметит
В Линукс, если на компьютер попадет неизвестный антивирусу вредоносный файл и запустится с нужными правами, то любой модуль ядра можно вынести, как и любой запущенный процесс. Права рута в Линуксе абсолютны (есть конечно грязные хаки, но они системно зависимы, насколько я знаю)
По поводу «как попадает» — увы, не всегда известно. Для этого надо ставить SIEM, обеспечивать защиту логов и их длительное хранение. К сожалению у нас в стране Линукс используется (не считая шлюзов) практически исключительно в малом и среднем бизнесе. У них и антивирус-то не всегда есть
Распаковывается и извлекается, а далее много вариантов
Защита драйвера от выгрузки и подмены как минимум обеспечивается тем, что винду надо перегрузить — уж это-то пользователь заметит
В Линукс, если на компьютер попадет неизвестный антивирусу вредоносный файл и запустится с нужными правами, то любой модуль ядра можно вынести, как и любой запущенный процесс. Права рута в Линуксе абсолютны (есть конечно грязные хаки, но они системно зависимы, насколько я знаю)
По поводу «как попадает» — увы, не всегда известно. Для этого надо ставить SIEM, обеспечивать защиту логов и их длительное хранение. К сожалению у нас в стране Линукс используется (не считая шлюзов) практически исключительно в малом и среднем бизнесе. У них и антивирус-то не всегда есть
Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют
Распаковывается и извлекается, а далее много вариантов
Это ЕМНИП локальная уязвимость./blockquote>
Если посмотрите, то таковых много. Зачастую используется не один троян, а вредоносный комплекс. К нам попадает только часть комплекса. Качественные Downloader'ы у нас редкие гости
Короче, вы почему-то систематически не пишете, как именно вирусня попадает на целевую машину
И не только мы. И с удовольствием бы писали. Как раз в этих местах обычно данных, которые желательно скрывать нету
Продолжим.
Как я уже говорил, огромное количество вредоносных программ неизвестно как очутились на зараженной машине. Типа так «Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста». В итоге описание вредоносной программы не будет содержать модели проникновения.
Тем не менее некую статистику привести можно.
Пользователи под Линукс есть, а значит они будут скачивать и устанавливать с сайтов вредоносные файлы. На данный пример как горячие пирожки расходятся майнеры. Устанавливаемый пользователем майнер майнит, но отдает намайненное налево. Или Linux.Lady.1 — троянец, написанный на языке G. Тоже был нам прислан пользователем.
Еще пример
Линк.
Забавно кстати, что «На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом».
Основной же метод проникновения конечно перебор паролей и эксплойты — здесь без разбора заражаются и сервера и рабочие станции.
Немного примеров.
Естественно первый был Червь Морриса. Общеизвестная вещь, поэтому про него рассказывать не буду.
Пропустим кучу древних вирусов. Почитать про них можно тут.
Ботнеты:
Линк
Взлом ресурсов разработчиков
Линк
Линк
Взлом системы разработки
Линк
Эксплойт
Линк
Линк
Линк
Отдельно нужно отметить Linux/Moose
Итого: для заражения Linux-систем злоумышленники в основном полагаются на брутфорс и эксплойты — увы, но апдейты ставятся не всегда. Есть также вредоносные программы, которые ставятся с сайтов — но их куда меньше, чем для Windows. Иные модели атак (взлом инфраструктуры разработки, репозиториев, подмена трафика) используются крайне редко
Как я уже говорил, огромное количество вредоносных программ неизвестно как очутились на зараженной машине. Типа так «Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста». В итоге описание вредоносной программы не будет содержать модели проникновения.
Тем не менее некую статистику привести можно.
Пользователи под Линукс есть, а значит они будут скачивать и устанавливать с сайтов вредоносные файлы. На данный пример как горячие пирожки расходятся майнеры. Устанавливаемый пользователем майнер майнит, но отдает намайненное налево. Или Linux.Lady.1 — троянец, написанный на языке G. Тоже был нам прислан пользователем.
Еще пример
вредоносные программы были обнаружены на серверах, зараженных троянцем Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ
Линк.
Забавно кстати, что «На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом».
Основной же метод проникновения конечно перебор паролей и эксплойты — здесь без разбора заражаются и сервера и рабочие станции.
Немного примеров.
Естественно первый был Червь Морриса. Общеизвестная вещь, поэтому про него рассказывать не буду.
Пропустим кучу древних вирусов. Почитать про них можно тут.
Ботнеты:
Злоумышленникам удалось доказать возможность создания рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тысячами ADSL мини-маршрутизаторов, c основанной на Linux прошивкой, и задействовав их в качестве единой ботнет сети. Захват управления стал возможен из-за халатности производителей оборудования, допустивших возможность входа с типовым паролем на открытый для внешней сети web-интерфейс или SSH/FTP/telnet порт.
Линк
Взлом ресурсов разработчиков
Начиная с 12 августа на серверах kernel.org находился троян, который записывал пароли, действия пользователей, предоставлял root-доступ и модифицировал ПО на сервере.
Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.
Линк
взлом инфраструктуры проекта PHP
Линк
Взлом системы разработки
Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP. Судя по тексту заявления, подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP.
Линк
Эксплойт
Троян распространяется в качестве файла с расширением .mp3, который, при проигрывании в некоторых версиях mpg123, запускает код, рекурсивно удаляющий все файлы из домашнего каталога текущего пользователя.
Линк
Согласно документам, опубликованным WikiLeaks, один из инструментов, используемых Центральным разведывательным управлением США (ЦРУ) для атак Linux-систем, называется OutlawCountry. OutlawCountry описывается его разработчиками как инструмент, который использует модуль ядра для создания скрытой таблицы netfilter на целевой системе Linux
Линк
«бэкдор Linux/Mumblehard для управления различными ОС Linux и BSD — с использованием скриптов на perl
два основных вектора распространения этого вредоносного ПО. Одним из таких векторов было использование лоумышленниками эксплойтов для популярных систем управления содержимым сайтов Joomla и Wordpress. Другой вектор заключался в распространении злоумышленниками пиратских backdoored версий программы DirectMailer для Linux & BSD
Линк
Отдельно нужно отметить Linux/Moose
Linux/Moose может заражать компьютеры внутри сети, при этом обходя защиту устаревших брандмауэров. Для этого используется два различных механизма: первый полагается на слабые настройки брандмауэра, а второй на NAT traversal.
Итого: для заражения Linux-систем злоумышленники в основном полагаются на брутфорс и эксплойты — увы, но апдейты ставятся не всегда. Есть также вредоносные программы, которые ставятся с сайтов — но их куда меньше, чем для Windows. Иные модели атак (взлом инфраструктуры разработки, репозиториев, подмена трафика) используются крайне редко
UFO just landed and posted this here
А решение очень простое: не надо скачивать и устанавливать с сайтов вредоносные файлы.
Уж сколько раз твердили миру. Кто бы спорил
ручками запускать надо
Если система настроена — еще и подтвердить запуск
единственным решением будет антивирус
Как бы распространенный миф, против которого все борются. Естественно нет. Я видел организации, у которых нет антивируса на десктопах и нет инцидентов ИБ и видел компании, закупившие гору софта и легшие при ваннакрае. Антивирус далеко не единственная защита от вредоносных программ. И уж точно не панацея. Но это сильно отдельная тема
UFO just landed and posted this here
А мы вроде и не спорим.
Есть только несколько тонких моментов, которые обычно упускается.
— квалификация защищаемого пользователя. Если мы говорим об обычном пользователя, то он сам не может настроить всякие ограничения, так как не является айтишником. В этом случае если нет знакомых айтишников, то деваться некуда и нужно использовать антивирус. Если человек специалист, не лазит по опасным ресурсам и тд, то он может использовать на свой риск иные средства защиты
— финансы и мощности. Антивирус не может поймать все до одного вирусы. Это как бы понятно. Поэтому использование одного антивируса снижает риск, но его не устраняет. Нельзя поставив антивирус безбоязненно кликать по ссылкам. Нужно использовать меры защиты от запуска неизвестных вирусов. И вот тут проблема, так как очень и очень многие компании малого и среднего бизнеса и неготовы запретить свой бардак и не могут это сделать (скажем по финансовым причинам)
Финансы и квалификация. А все остальное — лишь выбранные инструменты и точная оценка рисков
Есть только несколько тонких моментов, которые обычно упускается.
— квалификация защищаемого пользователя. Если мы говорим об обычном пользователя, то он сам не может настроить всякие ограничения, так как не является айтишником. В этом случае если нет знакомых айтишников, то деваться некуда и нужно использовать антивирус. Если человек специалист, не лазит по опасным ресурсам и тд, то он может использовать на свой риск иные средства защиты
— финансы и мощности. Антивирус не может поймать все до одного вирусы. Это как бы понятно. Поэтому использование одного антивируса снижает риск, но его не устраняет. Нельзя поставив антивирус безбоязненно кликать по ссылкам. Нужно использовать меры защиты от запуска неизвестных вирусов. И вот тут проблема, так как очень и очень многие компании малого и среднего бизнеса и неготовы запретить свой бардак и не могут это сделать (скажем по финансовым причинам)
Финансы и квалификация. А все остальное — лишь выбранные инструменты и точная оценка рисков
Задача шифровальщика не грохнуть ваш Windows/Linux/MenuetOS/FreeDOS/WhatElseOS, а зашифровать ваши документы, котиков и т.п… Документы и котики обычно создаются не от root:root, а от cooluser:users, и чтобы это дело пошифровать рута получать не надо. ОС можно и переустановить и настроить, потратив на это день (пользователи gentoo в пролёте увы), а восстановить свежие коммиты, которые ещё небыли запушены и прочие полезные файлы (созданные опять от имени пользователя) — это задача гораздо сложнее. Шифровальшику надо либо с вас поиметь баблонов, либо просто насрать вам, удалив полезные файлы (а не операционную систему).
П.С. Если вы довели параною до максимума и на рабочей машине завели PaX+rsbac+selinux+турбозеркалирование, то да, наверняка для вас шифровальщики и прочие поделия ничего не значат.
П.С. Если вы довели параною до максимума и на рабочей машине завели PaX+rsbac+selinux+турбозеркалирование, то да, наверняка для вас шифровальщики и прочие поделия ничего не значат.
Все верно, можно и без рута… упрощаем:
Я IP даю, а вы запускаете на указанном IP bash-скрипт под текущим пользователем.
Или другой вариант: я готов по указанному вами URL перейти из браузера с той машины на которой вы запустите bash-скрипт под текущим пользователем.
Никаких извратов параноика — стандартная ОС «искаропки» с последними обновлениями. Готовы?
ЗЫ если надо могу подписать документ об отказе в претензиях и прочая прочая, чтобы не подставлять взломщика.
Я IP даю, а вы запускаете на указанном IP bash-скрипт под текущим пользователем.
Или другой вариант: я готов по указанному вами URL перейти из браузера с той машины на которой вы запустите bash-скрипт под текущим пользователем.
Никаких извратов параноика — стандартная ОС «искаропки» с последними обновлениями. Готовы?
ЗЫ если надо могу подписать документ об отказе в претензиях и прочая прочая, чтобы не подставлять взломщика.
UFO just landed and posted this here
Ну запустите своими руками rm -rf ./ в вашем домашнем каталоге из под вашего пользователя.
Я безусловно могу это сделать. Не вопрос.
Вопрос в том, что раз linux так дыряв, то тоже самое вы сможете запустить на любом linux компьютере (ip или из браузера).
Да собственно не важно что запускать. Главное запустить. Готовы ВЫ на моём компе удаленно организовать запуск скрипта?
Вопрос в том, что раз linux так дыряв, то тоже самое вы сможете запустить на любом linux компьютере (ip или из браузера).
Да собственно не важно что запускать. Главное запустить. Готовы ВЫ на моём компе удаленно организовать запуск скрипта?
Я себе на хлеб зарабатываю не поиском уязвимостей. Для вашего случая — поищите по свежим CVE у популярных решений вида FireFox+Adobe Flash (и прочих) возможности RCE, потом посмотрите на даты CVE и даты, когда вы установили обновления закрывающие эти уязвимости. Если вы прошляпили обновление на несколько дней — возможность сделать вам rm -rf ./ была.
У меня обновления безопасности ставятся автоматом. По некоторым реально серьёзным CVE с опубликованными эксплоитами/чекерами пробовал проверять. Как правило, на момент под'ема хайпа у меня уже стояли фиксирующие обновления или они сваливались буквально в течении дня.
Ну и таки да. Для эксперимента мне ещё придётся вывесить подопытную машину на белый IP. А то так у меня все за роутерами, причём чаще всего не за одним…
Ну и таки да. Для эксперимента мне ещё придётся вывесить подопытную машину на белый IP. А то так у меня все за роутерами, причём чаще всего не за одним…
Так-то оно так, но фигня вся в том, что вопреки расхожему мнению жизненный цикл уязвимости хайпом таки заканчивается, более того хайпы обычно предшествует публикациям…
… хорошая уязвимость товар штучный, никто в здравом уме, не пустит её на криптолокер, ведь денежку придётся ещё собирать и как-то обналичивать
Самая правильная стратегия защиты, ограничивать и мониторить трафик, «профайлить процессы»…
… хорошая уязвимость товар штучный, никто в здравом уме, не пустит её на криптолокер, ведь денежку придётся ещё собирать и как-то обналичивать
Самая правильная стратегия защиты, ограничивать и мониторить трафик, «профайлить процессы»…
UFO just landed and posted this here
UFO just landed and posted this here
Из того что даже по свежей новости не найти ничего что взял, запустил, и оно сработало.
Не, когда новости про уязвимости, то да иногда успеваешь поместить эксплоит пока не обновления не упали.
Но страшные вирусы про которые даже намека нет про способ распространения/проникновения — это может быть конечно и не фейки… Только опять же — а как проверить?
Не, когда новости про уязвимости, то да иногда успеваешь поместить эксплоит пока не обновления не упали.
Но страшные вирусы про которые даже намека нет про способ распространения/проникновения — это может быть конечно и не фейки… Только опять же — а как проверить?
Фейковые новости тоже есть, нужно проверять первоисточник и желательно читать не в переводе. Но хуже то, что очень много новостей, которые не фейк, но вводят в заблуждение. Скажем компания занимающаяся сетевым оборудованием пишет статистику вирья. Я лезу в статистику заражений — и ноль соответствия. Причина — статистика того, что проходит через сетевое оборудование, а не что реально запускается на десктопе. Или новость — 100% компаний используют… Вранье? ни в коем — не указано каких компаний.
То есть читая любую новость со статистикой им прогнозами нужно проводить через фильтр, какие компании вендор обслуживает, есть ли у нее собственная лаборатория и тд и тп.
Если касаться вирусов, то обычно в СМИ шквал упоминаний (а не только разбор трояна на профильном разделе) — если заражаются какие заметные компании или украдена туча денег. Отличный пример — ваннакрай и лже петя — весьма не совершенные трояны, но атаковали крупный бизнес и потому им внимание. Одновременно распространялись в разы больше заразившие трояны — про них новостей 0. В итоге туча запросов как защититься от Ваннакрая и ноль про более опасные вещи. Получается перекос знаний о рисках
То есть читая любую новость со статистикой им прогнозами нужно проводить через фильтр, какие компании вендор обслуживает, есть ли у нее собственная лаборатория и тд и тп.
Если касаться вирусов, то обычно в СМИ шквал упоминаний (а не только разбор трояна на профильном разделе) — если заражаются какие заметные компании или украдена туча денег. Отличный пример — ваннакрай и лже петя — весьма не совершенные трояны, но атаковали крупный бизнес и потому им внимание. Одновременно распространялись в разы больше заразившие трояны — про них новостей 0. В итоге туча запросов как защититься от Ваннакрая и ноль про более опасные вещи. Получается перекос знаний о рисках
С дырами на роутерах — надо ещё производителям задать вопрос «какого [censored] вы бэкдоры встраиваете», а то встречается всякое вида «1) Open mykyylrauter.local:8899/?rapemyass=yes 2) telnet to port 666»
UFO just landed and posted this here
Ну выше уже поминалась флэшь, но это лишь частный случай…
… а в общем один из популярных заходов в том, что бы спровоцировать не штатное падение приложения, предварительно насрав в память таким образом, что бы нечто из насраного получило управление с привилегиями приложения и далее по списку может быть загрузка тестера который проведёт предварительную разведку и по её итогам загрузит и передаст управление инструменту для повышения привилегий…
В реале всё несколько сложнее, иногда процесс сопровождается «внезапной» перезагрузкой, so внезапные падения процессов и тем паче крэши, админу всегда каг-бэ намекають ;-)
… а в общем один из популярных заходов в том, что бы спровоцировать не штатное падение приложения, предварительно насрав в память таким образом, что бы нечто из насраного получило управление с привилегиями приложения и далее по списку может быть загрузка тестера который проведёт предварительную разведку и по её итогам загрузит и передаст управление инструменту для повышения привилегий…
В реале всё несколько сложнее, иногда процесс сопровождается «внезапной» перезагрузкой, so внезапные падения процессов и тем паче крэши, админу всегда каг-бэ намекають ;-)
Это было так давно, что и не помню. Браузер был Файрфокс. Антивирус ругнулся, я этот факт отметил, отправил письмо админу сайта и все.
Для заражения ничего можно не делать. В смысле не ставить обновления, не настраивать системы безопасности и тд.
Примеры нечисти я вам подберу, если интересно, но это денек займет
Для заражения ничего можно не делать. В смысле не ставить обновления, не настраивать системы безопасности и тд.
Примеры нечисти я вам подберу, если интересно, но это денек займет
Вирусы как таковые в среде Linux имеют распространение в форме слухов
Недавно чистил старенький shared hosting, майнеров штук 5, парочка троянов и несколько неизвестных программулин, работающих от root.
UFO just landed and posted this here
> Особенности Sophos
> Обнаружение и удаление вредоносного ПО.
В списке есть те, кто это не умеет?
> Особенности Comodo
> Отсутствие ложных срабатываний
Самоуверенные ребята…
> Особенности ClamAV
> Совместим с POSIX.
В списке есть несовместимые?
> Из названия этого антивируса, Chkrootkit, можно предположить, что он работает с правами root-пользователя. И на самом деле — так оно и есть. Это, честно говоря, наиболее удачное решение для поиска руткитов на Linux.
Что это за треш? X_X
> Обнаружение и удаление вредоносного ПО.
В списке есть те, кто это не умеет?
> Особенности Comodo
> Отсутствие ложных срабатываний
Самоуверенные ребята…
> Особенности ClamAV
> Совместим с POSIX.
В списке есть несовместимые?
> Из названия этого антивируса, Chkrootkit, можно предположить, что он работает с правами root-пользователя. И на самом деле — так оно и есть. Это, честно говоря, наиболее удачное решение для поиска руткитов на Linux.
Что это за треш? X_X
Работает из терминала.
Поддерживает почтовые службы.
Совместим с POSIX.
Не требует установки.
Это какая-то бездумная копипаста, в которой вы сделали перевод через гуглтранслейт, причем видимо транзитом через пару мертвых языков, или автор действительно видит смысл в этом?
У меня давно такой вопрос без ответа:
Многие веб разрабочики используют npm, bower и т.п. которые вытягивают неимоверное кол-во js (сейчас взвесил один рабочий проект: node_modules + bower_components ~ 280Mb), и запускают сборку локально (я стараюсь запускать подобное в docker). Что если автор какой нибудь более менее популярной либы встроит (на время) троян, который при запуске пропишет себя (либо подгрузит другой троян) в ~/.bashrc, ~/.profile (+ ещё пачка способов) которые как правило доступны на изменение, будет запускаться каждый раз при старте и может устроить апокалипсис (в пределах пользователя), покрошить документы, исходники, отправить кеши браузеров и др. программ и т.п.
Кто-то как-то предостеригается от подобного, каким образом?
Многие веб разрабочики используют npm, bower и т.п. которые вытягивают неимоверное кол-во js (сейчас взвесил один рабочий проект: node_modules + bower_components ~ 280Mb), и запускают сборку локально (я стараюсь запускать подобное в docker). Что если автор какой нибудь более менее популярной либы встроит (на время) троян, который при запуске пропишет себя (либо подгрузит другой троян) в ~/.bashrc, ~/.profile (+ ещё пачка способов) которые как правило доступны на изменение, будет запускаться каждый раз при старте и может устроить апокалипсис (в пределах пользователя), покрошить документы, исходники, отправить кеши браузеров и др. программ и т.п.
Кто-то как-то предостеригается от подобного, каким образом?
А в моей компании стоит SEP12, в т.ч. на никсах. Здесь в перечне он не упоминается, поэтому дабы решить все споры — голосую за практическое тестирование))
А как же Антивирус Попова? )
Забыли про Касперского. Юзали его на серваке в одном крупном банке, в один прекрасный момент он нашел сигнатуру вируса под DOS в файле базы постгреса и отправил файл в карантин. СУБД радостно упала, транзакции ходить перестали, мы получили люлей. Проблема решилась запретом кашперскому смотреть в директорию с базой и накатыванием бэкапа, но осадочек остался.
В результате прочтения статьи можно прийти к выводу, что нет ни одного опенсорсного антивируса кроме топорного Clamav, у которого уже лет 20 нет проверки в режиме реального времени. Убогий прожорливый интерфейс на TK с нулём функций как не был никому не нужен раньше, так и остаётся таковым по сей день.
Clamav с начала времён страдал низкой угадываемостью вирусов. Не верите? Вложите eicar в zip и этот zip в другой zip. Всё! Клам даже не попробует проверить глубже одного вложения.
Вся остальная проприетарщина — софт для шпионажа. Не верите? А кто докажет что это не так без сорцов?
Итоги. Антивируса под Linux не было и нет. Контейнеризация или SELinux и… фух, оказывается антивирус и не нужен!
Clamav с начала времён страдал низкой угадываемостью вирусов. Не верите? Вложите eicar в zip и этот zip в другой zip. Всё! Клам даже не попробует проверить глубже одного вложения.
Вся остальная проприетарщина — софт для шпионажа. Не верите? А кто докажет что это не так без сорцов?
Итоги. Антивируса под Linux не было и нет. Контейнеризация или SELinux и… фух, оказывается антивирус и не нужен!
Антивирус не нужен, нужны мозги и прямые руки, совсем идеально было бы иметь более совершенную систему прав доступа.
Наличие битдефендера, аваста и есета в топе, которые и на оффтопике то со своим предназначением справляются весьма посредственно, при отсутствии в обзоре таких динозавров как DrWeb и Касперский — это как минимум странно, грустно и бессмысленно. Вы уже определитесь, вам надо с вируснёй бороться или пропускать половину, но вместо защиты попутно грохать всякие там кейгены, активаторы давно неподдерживаемого ПО и фальспозитивы.
Sign up to leave a comment.
Десять лучших антивирусов для Linux