Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Co jakiś czas tak profilaktycznie skanuje sobie /home clamAV. Dziś wyrzucił mi on 20 infekcji, mówię: WTF?!?! Patrzę w zarażone pliki — backupy bazy danych i to wszystkie. Co robić? Przecie nie wywalę swójej bazy danych, ma co prawda 4mb, ale tam są najważniejsze dane świata, wikileaks przy tym to pryszcz. xD
Ok patrzę co tam za wirus — PUA.Phishing.Bank. Do googla go, odesłało mnie do strony clamAV, patrze a tam coś o malware piszą. Myślę sobie jest źle, nie mogę usunąć bazy, a mam jakiś syf z phishingiem. Może chociaż część danych da się uratować. Rozdzieliłem tabele oracle'owskim narzędziem i wyeksportowałem nowy backup. Skanuję, jaka tabela zarażona? Ta w której są najwartościowsze dane. xD
Zacząłem usuwać wpisy — pierwszych sto. Skan, czysto... hmmm. Wir jest w tych 100 wpisach. To przywrócenie 100 wpisów i usunięcie 50. W końcu udało mi się wyłonić ten 1 winny wpis po którego usunięciu clamAV nie zgłaszał infekcji. Niby jeden wpis ale info też dużo. Patrze na wynik, niby normalny. Znaczniki html p,ul,div, niby nic niezwykłego — to zwykły text przeformatowany html'em. W sumie dużo tekstu było, to może coś się dokleiło, choć to niemożliwe. Mam kopie tego dokumentu w zwykłym pliku txt — porównanie różnic, pliki są takie same. Zeskanowałem plik txt-- czysto. WTF? No nic antyviry wiedzą lepiej, zacząłem sprawdzać. Usunąłem połowę textu, sprawdzam, nie ma wira, to przy wróciłem drugą połowę textu — jest wir. Ok, jedziemy dalej. xD Metodą prób i błędów (32) udało mi się znaleźć winowajcę. Nie był to kod htm, js ani w ogóle żaden niezwykły ciąg znaków. Było to:
Citibanku[/quote]
Technologia idzie do przodu — wirus w postaci nazwy banku zagraża ludzkości, wszyscy zginiemy. ClamAV właśnie stracił rację bytu na mojej maszynie. xDOstatnio edytowany przez morfik (2013-03-24 20:50:50)
Offline
Przypuszczam, że są reguły konfiguracyjne ClamAV, on nawet pliki kompilowane MinGW wyrzuca jako wirus, więc ...
Zawsze masz Avasta :P
Fervi
Offline
Na Linuxie coś takiego nie ma sensu. Prędzej niedoświadczony user samemu rozwali system niż coś złapie o ile to możliwe - raczje nie ;)
Offline
[quote=morfik]Jak najbardziej jest możliwe złapanie syfu na linuxie. Mało masz syfu na androida? xD[/quote]
Bajek się naczytał?
Na Androida chyba nie ma w ogóle wirusów, a to, że debile ściągają tapety wysyłające premium SMS, to inna sprawa
Fervi
Offline
http://www.popularmechanics.com/technology/how-to/computer-security/you-should-put-antivirus-software-on-your-phone-14886208
Wszystko zależy od świadomości użytkownika i popularności systemu. Jeżeli masz linuxa, to po co komu mierzyć w 1% rynek, jak może mieć większe pole odbiorców, czyli większe ratio przy polowaniu. Tak samo z androidem, po co komu mierzyć w fona z winem? Jak na fonach win ma takie wzięcie jak linux na desktopach.
Linux nie jest bezpieczny tylko dlatego, że jest linuxem, jest to oprogramowanie jak każde inne i takie same zasady się stosują do niego, wliczając w to bugi jak i viry i inne syfy.
Offline
[quote=fervi]Bajek się naczytał?
Na Androida chyba nie ma w ogóle wirusów...[/quote]
[b]Chyba[/b] robi różnicę. Bajki to przestań tworzyć i najpierw odrób lekcje.
Offline
[quote=BlackEvo][quote=fervi]Bajek się naczytał?
Na Androida chyba nie ma w ogóle wirusów...[/quote]
[b]Chyba[/b] robi różnicę. Bajki to przestań tworzyć i najpierw odrób lekcje.[/quote]
Pytanie czymże jest wirus
Jeśli to coś w stylu "pobierz tapetę, a ona wysyła płatne SMS'y", to nie wirus, to debilizm i się leczy strzałem w głowę.
Nie słyszałem o innych typach wirusów, a przy instalacji aplikacji masz napisane do czego ona chce mieć dostęp
Fervi
Offline
morfik generalnie zgadzam się, dużo zależy od świadomości użytkownika - chociaż powiem Ci, że jestem świadomy, nie klikam bezmyślnie i nie dało się - zawsze Windows mi coś łapał (nawet z antywirusem). Czemu M$ nic z tym nie zrobi? Ludzie się już pogodzili biorą ser szwajcarski a potem płacą za antywirusy (lub instalują avasta). U większości dystrybucji mamy zaufane, scentralizowane w pewien sposób repozytoria z aplikacjami (a w Androdzie nie jest to google play?) co już jest jakimś zabezpieczeniem. W Windowsie tego brak - potem użytkownicy ściągają paczki/pliki *.exe z różnych stron i sami sobie łapią syf, mają po 10 idiotycznych toolbars w przeglądarce. Niby wprowadzili w Windows8 jakiś Sklep Aplikacji czy coś takiego - ale mało tam aplikacji. Są jeszcze inne mankamenty, jak jakieś dziury w office, outlookach itd.... Z aluzją jakoby brak wirusów na Linuxa wywołany był jego małą popularnością na desktopach nie mogę się zgodzić. To jest trochę lepsza architektura niż Windows. Tam w ogóle trudniej głębiej ogarnąć co się dzieje i nie wiem jakbym się nie starał zawsze coś mi łapie - inaczej tutaj ;)
Offline
Najprościej to chyba spytać człowieka czy kiedykolwiek weryfikował plik, który pobrał. xD
Na winie w życiu się nie spotkałem by ktoś pobrany plik, chociaż po sumie kontrolnej przebadał -- ściągają i instalują. Wejdą na jakieś instlaki.coś.tam a potem się dziwią, że mają problemy.
Na winie jest też ten problem, że tam wszytko działa out of box. Na linuxie, o ile będzie się chciał rozwijać, tez tak będzie. Im więcej będzie tego typu aplikacji na linuxa, tym łatwiej będzie można syf wgrać.
Ja będąc za NAT, przez 3-4lata na win xp, nie złapałem żadnego syfa. Ale wtedy to i uptime na winie miałem po 3-4 tygodnie. xD Na dobrą sprawę, w życiu bym wina (ani żadnego innego systemu) bezpośrednio w internet nie wetknął.
Offline
http://forum.dug.net.pl/viewtopic.php?id=22698
Offline
[quote=morfik]Na winie jest też ten problem, że tam wszytko działa out of box. Na linuxie, o ile będzie się chciał rozwijać, tez tak będzie. Im więcej będzie tego typu aplikacji na linuxa, tym łatwiej będzie można syf wgrać.[/quote]
Chcesz przez to powiedzieć że gdyby dźwięk w Windows nie działał od razu tylko musiałbyś coś jeszcze grzebać, to system stanie się bezpieczniejszy ? :D Co do drugiego zdania, przecież Ubuntu ( czyli linux który działa out-of-box) jest bezpieczniejszy od np. Debiana ( mam na myśli czysty system, bez łatania kernela itp.)
Offline
W Linuksie też mogą być wirusy, problem w tym jak je wgrać. Jeśli ktoś wpisze XYZ Download w Google to można spreparować takie cudo. Problem jest taki, że podstawę aplikacji Linuksowych stanowi repozytorium, do którego dość ciężko jest coś wgrać (przynajmniej tak obstawiam, klucze itd.), tylko trzeba też myśleć i przestrzegać podstawowych zasad bezpieczeństwa - nawet Linux nam nie pomoże, jeśli nie pobierzemy kluczy, nie dodamy itd. (można wymusić instalację bez kluczową).
Więc podstawową ochroną Linuksa jest ... repozytorium
Fervi
Offline
Pod tym linkiem jest bardzo ładne porównanie wina do lina, nic dodać nic ująć — http://niebezpiecznik.pl/post/pierwszy-trojan-na-ubuntu/
W przypadku Linuksa, deby z niezaufanych źródeł (np. spoza repozytoriów) mogą zawierać w skrypcie instalacyjnym ”dodatkowe linijkę” wykonujące złośliwe komendy. Gdyby przenieść omawiany atak na świat Windowsa, sytuacja przypominałaby przejście na stronę wygaszacz.com i ściągnięcie, a następnie instalacja pliku wygaszacz.exe — nigdy nie wiadomo, co się stanie…[/quote]
Jasne, że repo daje jakąś ochronę, co w przypadku gdy w repo znajdują się bugnięte paczki, które umożliwiają bezproblemowe zwiększenie uprawnień. Co mi za różnica czy paczka pobrana z zewnętrznego serwisu czy bugnięty pakiecik z repo, który może pozwolić na bezproblemowe używanie roota? Takich sytuacji tylko w przeciągu ostatnich paru miechów było xxx.
@tekn — nie znam się na windowsach. Ostatnie doświadczenia jakie miałem to win xp ponad 4 lata temu. Wtedy podstawowym problemem było używanie konta administratora i bieganie po necie bez NAT albo jakiegoś podstawowego fw. Nie wiem jak wygląda teraz windows, i czy coś się zmieniło. U mnie wtedy dźwięk nie działał i wymagał instalacji sterów, które można było pobrać zewsząd — syf w sterach? Przesadzasz! xD
Im więcej grzebiesz w systemie, tym lepiej. Podstawowym problemem obecnych czasów jest — zaufanie. jeżeli ufasz komuś kto ci dostarcza oprogramowanie, to nie ma znaczenia czy to jest open czy closed source. Może zrobić z tobą co będzie chciał i tylko dlatego, że mu ufasz. Ludzie ufają, instalując exe, ufają instalując deb, ufają instalując kernela. Kto z was przebadał osobiście kod kernela? Nikt? Przecie źródła są dostępne... Wierzycie na słowo, że nie ma tam syfu. :) Czasem jakiś odmieniec się trafi i przejrzy kod jakiejś aplikacji i co się wtedy okazuje? — backdoor, trojan, rootkit. xD
[quote=tekn]Co do drugiego zdania, przecież Ubuntu ( czyli linux który działa out-of-box) jest bezpieczniejszy od np. Debiana ( mam na myśli czysty system, bez łatania kernela itp.)[/quote]
Nie rozumiem za bardzo jak system może być bezpieczny bez łatania kernela itp* (*cokolwiek to znaczy). To tak jakbyś powiedział, że firefox jest bezpieczny oraz, że masz zainstalowaną wersję 3.0.1. :]
Pod moim dowództwem nawet win będzie bezpieczny. Tak jak napisałem w powyższym poście, systemy jako takie są bezpieczne, chyba, że mają znane, niezałatane dziury. Nawet linux ma dziury i to sporo ale zwykle się je łata i czeka na kolejne wieści o nowych podatnościach. Podstawowym problemem jest ludzka głupota i ufność. Wyeliminuj obie te rzeczy i nigdy syfu nie złapiesz, chyba, że developer aplikacji da dupy. :]
Offline
morfik jakieś herezje piszesz. jak to open czy closed source nie ma znaczenia? gdy ktoś wypuszcza aplikacje są ludzie którzy znają się na programowaniu i przejrzą kod. w przypadku zamkniętych źródłem nie mogą tego zrobić. tak samo kernel nie każdy zna C i ma takie umiejętności, ale są ludzie rozproszeni i nie związani ze sobą przez korporacje, którzy to czynią. zarzuć też linkiem jakimś odnośnie tych bugniętych pakiecików, które umożliwiały wbicie na roota. odnośnie zaufania? http://www.youtube.com/watch?v=NklSgmYbpSE tak bym traktował Windows ;)
Offline
[quote=dominbik]są ludzie którzy znają się na programowaniu i przejrzą kod[/quote]
Właśnie w tym problem, że rzeczywistość w sporej części przypadków okazuje się inna i przeciętny użytkownik domowego pc tego nie robi — ja piszę o zwykłych użytkownikach linuxa, korzystających z danej aplikacji opensource. I na dobrą sprawę dla zwykłego człowieka używającego linuxa nie ma znaczenia czy kod jest zamknięty czy otwarty — zawsze mówi, że lepiej by był otwarty, bo ktoś tam może zajrzeć, a co jeżeli ten ktoś nie zajrzy albo zrobi to po roku?
Nikt z moich znajomych co używają linuxa — aż 2 xD — nigdy nie zaglądał w kod aplikacji. Ja np tylko przeglądam skrypty i staram się je zrozumieć, ale w kod aplikacji też nie zaglądam. Opieram się o sygnatury i sumy kontrolne i ufam, że twórcy oprogramowania nie będą mi chcieli zaszkodzić. xD
Ostatnio edytowany przez morfik (2013-03-25 15:16:10)
Offline
Wydaje mi się, że w przypadku Debiana nie jest to do końca możliwe, gdyż każdy pakiet ma swojego opiekuna, czyli kolesia, który powinien kod aplikacji rozumieć, co zmniejsza ryzyko. Poza tym, żeby takie wirusy tworzyć musiałaby to być tylko jedna osoba w takim projekcie, w wielkich projektach wgrać taki kod byłoby ciężko, bo to przechodzi przez parę komputerów
Fervi
Offline
@morfik:
Piszesz jakby repozytoria były siedliskiem wirusów.
W kod jednak ktoś zagląda, stąd częste aktualizacje z poprawkami.
Gdy ktoś sobie „instaluje” skórki nie wiadomo skąd, to jego problem. Od tego jest katalog ~/.themes, do którego nie potrzeba żadnych skryptów. Na głupotę nie ma lekarstwa.
Wystarczy, że bezmyślnie kopiują wszystko z rożnych poradników znalezionych w sieci. Efekty czasem lepsze niż niejeden wirus :)
Offline
[quote=morfik][quote=dominbik]są ludzie którzy znają się na programowaniu i przejrzą kod[/quote]
Właśnie w tym problem, że rzeczywistość w sporej części przypadków okazuje się inna i przeciętny użytkownik domowego pc tego nie robi — ja piszę o zwykłych użytkownikach linuxa, korzystających z danej aplikacji opensource. I na dobrą sprawę dla zwykłego człowieka używającego linuxa nie ma znaczenia czy kod jest zamknięty czy otwarty — zawsze mówi, że lepiej by był otwarty, bo ktoś tam może zajrzeć, a co jeżeli ten ktoś nie zajrzy albo zrobi to po roku?
Nikt z moich znajomych co używają linuxa — aż 2 xD — nigdy nie zaglądał w kod aplikacji. Ja np tylko przeglądam skrypty i staram się je zrozumieć, ale w kod aplikacji też nie zaglądam. Opieram się o sygnatury i sumy kontrolne i ufam, że twórcy oprogramowania nie będą mi chcieli zaszkodzić. xD[/quote]
Widzisz, ale chodzi o to, że w świecie Open Source istnieje możliwość przejrzenia takiego kodu. I przeważnie ktoś to robi niezależny od wydawcy oprogramowania, ostrzega o tym innych albo sam łata. W Windowsie nie masz takiej możliwości, dlatego nawet jeśli ktoś się zna to nie może nic poradzić, jeżeli w kodzie są jakieś podatności.
Offline
Hehe a mi się wydaje, że nie ważne jak dobrze zabezpieczony system jeżeli tylko przeciętny użyszkodnik (taki którego wiedza o systemach ogranicza się do klikania ikonek programów) ma dostęp do uprawnień admina. Niech tylko linux się wbije do main stream na pulpitach, a wirusy jak i antywirusy będą się rodzić jak grzyby po deszczu.
Offline
@yossarian -- nie, piszę tylko, że repo nie jest czymś nadzwyczajnym, mogą tam też się znaleźć trefne pakiety, a pakiety z eskalacją uprawnień zdarzają się ostatnio dość często. Zaletą repo jest to, że aktualizuje wszystko za pomocą jednego polecenia. Na winie miałem katalog "instalki", 100 różnych exeków i 99% była out of date, bo mi się nie chciało tego co dzień aktualizować -- włazić na jakiś pseudo mirror i pobrać aktualną wersję i tak 100x.
@caro_cenzura -- ja nie neguję dobroci otwartości kodu, ja tylko mówię, że zwykle ludzie myśląc, że coś jest opensource, zakładają, że jest bezpieczne. To czy ktoś znajdzie dziurę i powiadomi, zależy od tego kogoś, nie wszyscy są dobzi. xD Na winie, osoby, które w miarę ogarniają system, też sobie połatają we własnym zakresie, to nie jest tak, że jak jest dziura w winie, to nikt, poza zespołem MS, nie może nic zrobić. Sam, łatałem parę dziur i nie było to nic trudnego, trochę zabawy w rejestrze. :)
Offline
[quote=morfik]@yossarian — nie, piszę tylko, że repo nie jest czymś nadzwyczajnym, mogą tam też się znaleźć trefne pakiety, a pakiety z eskalacją uprawnień zdarzają się ostatnio dość często.[/quote]
Możesz to rozwinąć?
Offline
Sudo domyślnie nie jest skonfigurowane. Tym bardziej w tak idiotyczny sposób jak w Ubuntu.
Do zmiany czasu potrzeba uprawnień administratora.
Poza tym błąd w jakimś pakiecie to nie wirus.
Ostatnio edytowany przez yossarian (2013-03-25 20:44:12)
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00109 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.76.209' WHERE u.id=1 |
0.00068 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.76.209', 1732514829) |
0.00047 | SELECT * FROM punbb_online WHERE logged<1732514529 |
0.00081 | SELECT topic_id FROM punbb_posts WHERE id=228643 |
0.00004 | SELECT id FROM punbb_posts WHERE topic_id=23214 ORDER BY posted |
0.00062 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=23214 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00186 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=23214 ORDER BY p.id LIMIT 0,25 |
0.00079 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=23214 |
Total query time: 0.00661 s |