Malware na Linuksa z Gnome-Look.org
- Dodano: 11 grudnia 2009
- Wprowadził: michuk
- Komentarze: 65
Użytkownicy Linuksa, a szczególnie Ubuntu i Debiana, korzystający ze środowiska GNOME muszą uważać — na popularnej stronie z motywami Gnome-Look.org pojawiły się paczki z wygaszaczami ekranu zawierającymi złośliwe oprogramowanie.
O sprawie poinformował serwis OMG!Ubuntu na podstawie wątku na forum tego systemu, w którym użytkownicy zaczęli skarżyć się na dziwne zachowanie systemu po instalacji rzeczonego wygaszacza.
Malware znajdujące się w paczce ‘waterfall’ przygotowany był do wykonywania ataków typu DDoS. Zawierało też kod do automatycznej aktualizacji złośliwego pakietu.
Jeśli jesteś nieszczęśliwcem, który zainstalował wygaszacz z wodospadem, wykonaj następującą komendę, aby pozbyć się złośliwego kodu:
sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh \
index.php run.bash && sudo dpkg -r app5552Slashdot inforumuje, że podobny przypadek został wykryty w temacie Ninja Black — na podlinkowanej stronie znajduje się instrukcja usunięcia problemu.
Wniosek z całej sprawy? Wygląda na to, że Linux staje się na tyle popularny, że zaczyna się opłacać pisać na niego malware. Wniosek numer dwa: użytkownicy Linuksa powinni uważać instalując paczki z niepewnych źródeł (przede wszystkim: nie znajdujące się w oficjalnej dystrybucji), a deweloperzy zacząć zwracać szczególną uwagę na nowego typu zagrożenia. Pojawił się już artykuł The Malware Problem (and a solution) opisujący przyczyny problemu i oferujący rozwiązanie, które utrudni pojawianie się podobnych przypadków w przyszłości.
Więcej informacji: http://linux.slashdot.org/article.pl?sid...09/2215253
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
65 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
I tu pojawia się największa prawda: na niewiedzę/głupotę użytkownika żadne zabezpieczenia nie pomogą.
taa… az sie albanski wirus przypomina.
oho, widze, ze na Ubucentrum stosowny wpis — takze ide czytac
uroslo toto nawet do rangi "trojana". ihaaa… choc zamiast "zagrazaniu
uzytkownikom Linuxa" moznaby uczciwiej napisac, ze grozi to tym,
ktorzy maja za duzo pozwolenstw w sudoers. a autorow takich
"tematow" czy "motywow" nalezy obtaczac w smole i wytarzac w pierzu
i skazac na 3 lata uzywania Win98. w zawieszeniu
Kara w zawieszeniu czy Windows w zawieszeniu? ;>
LV: to jest zart przez niedopowiedzenie
> grozi to tym, ktorzy maja za duzo pozwolenstw w sudoers
Kod jest (ma być, nie sprawdzałem) wykonywany podczas instalacji pakietu, który to proces jest wykonywany na poziomie roota. Konfiguracja sudo nie ma nic do rzeczy.
pardon nie doczytalem… a, to tematy dodaje root? smieszne.
ciekawe jak jest w KDE, nigdy nie probowalem pobierania przez
siec… a w "mniejszych" srodowiskach uzytkownik instaluje
sobie sam w katalogu domowym co zechce. albo jak sie znudzi
jeden wzorek, robi
xsetroot -mod 4 4 -bg gray20 -fg gray40
i szafa gra.
> a, to tematy dodaje root?
spakietowane — tak
Bo to jest gnome;) Rozwiązanie z KDE jest lepsze: instalacja tematów nie wymaga hasła roota.
Ale prawda jest taka, że to nie jest wina systemu, tylko, jak zwykle, użytkowników. No i staffu gnome-look.
łoj, posypio sie minusy.. (-;
> instalacja tematów nie wymaga hasła roota
jeśli są umieszczone, jak w opisywanym przypadku, w pakietach — wymaga
@jakisja
Instalacja tematow pod gnome również nie wymaga hasła roota… wymaga tego instalacja pakietów, w kde zresztą identycznie…
Plichu, azhag: musialem sie niezle zatrzymac w "rozwoju":
tematy w pakietach to dla mnie nowosc — zwykle mam jakies
"dystrybucyjne" z KDE albo standardowe "wzorki" we
fluxboxie, a reszte sie pobiera np. z freshmeat. ale jakos
5 lat bedzie, jak ostatni raz sie tym interesowalem…
Chodziło pewnie o wbudowany w kde mechanizm pobierania tematów. Czyli można je wygodnie instalować bez użycie manadzera pakietów.
Ogólnie mówiąc, użytkownik nie powinien uruchamiać (powinien unikać) uruchamiania niezaufanego kodu także na prawach zwykłego użytkownika. Szczególnie na koncie, którego używa na co dzień.
Taka jest sprawa zdrowego rozsądku, dbania o bezpieczeństwo danych.
Linux jest bezpieczny, więc po co pogarszać ten stan? Wszak nawet siedzenie na normalnym krześle może skończyć się upadkiem, jeśli się np. jego nogę nieco upiłuje (nie pytajcie po co
).
@Plichu na dobra sprawę motyw z pakietu tez nie wymaga hasła, wystarczy rozpakować deba i skopiować motyw w odpowiednie miejsce w home.
malckolm: Jakiś czas temu przeglądałem i pobierałem tematy jakimś narzedziem – nie jest chyba standardowe ale jest chyba na tyle standardowe żeby być w repo dystrybucji (niestety nazwy nie pamietam). Oczywiście instalował z prawami > 0 (no chyba że ktoś korzysta z GNOME na koncie 0
).
Enlik: co do pilowania, to przypomina sie stare ludowe porzekadlo,
ze kto pod kim dolki kopie, ten awansuje
Pierwszy raz słyszę o tym, że kde instaluje jakieś pakiety. Plichu, masz dostęp do kde5000?
Chodzi o to, że kde zapewnia wygodny mechanizm instalowania pakietów przez zu, bez konieczności logowania się jako root.
Aha, no i kropki na koniec…
Nie chodzi o to że KDE zapewnia. Gnome też zapewnia.
Wygaszacz ekranu był w pakietach .deb nie dlatego że inaczej się nie dało, tylko dlatego żeby wymusić instalację przez administratora. Proste.
jakisja: No co ty gadasz? Możesz w dwóch miejscach instalować motyw, albo w /usr/share/{nazwa}/ albo w ~/.{nazwa}/ albo ~/.share/{nazwa}/ gdzie {nazwa} to np. themes, icons, applications, itp. W pierwszym przypadku aby zainstalować coś musisz móc zapisywać do katalogu (root:root rwxr-xr-x – gdzie zwykły user nie ma w(rite) więc musi zalogować się na roota). W drugim i trzecim przypadku wystarczy skopiować pliki themesu do swojego katalogu domowego. W przypadku załóżmy motywu gtk2 wystarczy rozpakować motyw do ~/.themes/ lub przeciągnąć plik na okno "tło i motyw" (działają też linki).
Nie ważne czy kde czy gnome, czy konto usera czy roota. Na koncie usera też skrypt może siebie dodać do autostartu (np. ~/.kde4/Autostart/), może również tyle co użytkownik (np. rm -rf "$HOME/*").
Jeszcze jedna sprawa, jak szeroko jest stosowany AppArmor, że tego nie wychwycił.
Fachowcem nie jestem w tym temacie, ale zgaduje ze AppArmor, nie interesuje sie prawami root, bo pewnie zaklada ze 'admin' wie znacznie wiecej niz konfiguracja jakiegos programu, dlatego pewnie pomija akcje z sudo/su itp.
wirusy zaczynają się pojawiać, a dobrego, darmowego antywira ni hu hu
Malware to nie wirus. Czytając newsa stwierdzam, że ten program nawet nie próbuję się ukrywać.
syf to syf
tautologia to tautologia…
GG czy Kazze też nazwiesz Syf-em? Dla mnie jest to syf, lecz wiele tzw. antywirusów tego nie wykrywa, jako wirus. Nie można więc stosować takich uproszczeń, jak ty.
Wirus to wirus. Malware to malware. So stfu.
Odnośnie antywirusa to ClamAV, oczywiście nie łaska zainstalować
"wirusy zaczynają się pojawiać, a dobrego, darmowego antywira ni hu hu"
avasat home edition for linux, ale to przeważnie i tak do chronienia partycji widnows, ale sprawdzić się nie chciało ni hu hu
Co definiujesz pod pojęciem antywirus? Masz na myśli program, co zawiera sygnatury wirusów czy taki, który rozpoznaje zagrożenie?
Jeżeli chodzi o pierwsze, to coś takiego nie ma prawa powstać, zanim nie powstaną wirusy(to, co zostało tutaj opisane nie jest i tak wirusem). Jeżeli chodzi o to drugie, to takie coś istnieje(nazywa się np. SeLinux), lecz nie jest określane mianem antywirus. W Fedorze każdy program działa w odpowiednim profilu(domenie?) SeLinuksa. Powoduje to, że system ubije proces, gdy program będzie chcieć zrobić coś niedozwolonego, a nawet o zaistniałym incydencie poinformuje admina. Powiem nawet, że SeLinux istniał przed tym, jak antywiry zaczęły wykorzystywać podobne mechanizmy i być bardziej inteligentne, więc nie twierdź, że na Linuksy nie ma programów zabezpieczających, bo są, tylko nie nazywa się ich antywirusem(na Linuksa być może nigdy nie będzie programów z sygnaturami wirusów – zamiast tego mamy np. repozytoria, czyli białe, a nie czarne listy).
Dla mnie najciekawszym wnioskiem płynącym z tej historii jest to, że tak na prawdę do końca nigdy nie wiemy co instalujemy. Wielu z nas bez myślenia instaluje rzeczy z szeroko pojętych niepewnych źródeł. Na przykład wpisujemy sobie adresy nieoficjalnych repozytoriów do pliku konfiguracyjnego, co szczerze mówiąc tworzy całkiem niezłą "furtkę". Bo trzeźwo patrząc – kto mi zabroni założenia jakiegoś niewielkiego, nieoficjalnego repo, np. z jednym programem, do którego będę dawał jakieś nieproszone "dodatki"? Warto się przyjrzeć temu kogo właściwie obdarzamy bądź, co bądź niemałym zaufaniem.
Ja bym tu nie do końca się zgodził. Większość osób używających Linuksa jakie spotykam, ma w zasadzie tylko dystrybucyjne repozytoria, ewentualnie jedno, dwa dodatkowe choć przeważnie szerzej znane i "w miarę pewne".
Użytkownik dużej dystrybucji w zasadzie nie ma potrzeby korzystać z innych. Sam do tej pory zainstalowałem tylko 1 program spoza repozytorium do testu, i trochę wodotrysków z *-look.org.
Dodatkowe repozytoria przeważnie dopisują nowi użytkownicy (niektórzy) ale ich się szybko wyprowadza z błędu po pierwszym założonym temacie o problemach z zależnościami. =]
Trudno powiedzieć ile osób korzysta z nieoficjalnych repozytoriów, ale zgaduję, że jest ich niemało, ja np. korzystam (dodam, że do początkujących nie należę). Oczywiście masz rację, że wiele z nich jest szeroko znanych i niby nie powinno tam nic być
Mimo to bezpieczeństwo to drażliwy temat, gdzie dmucha się na zimne i to kilka razy – tak na wszelki wypadek 
Na upartego, nawet i oficjalne repo nie daje ci 100% gwarancji.
Co do tego, że oficjalne repo daje wszystko co trzeba, to można polemizować. Ja np. używam Debiana i mam 6 adresów nieoficjalnych repo w sources.list. Dodam, że z oficjalnych mam podane zarówno do testing, jak i do unstable, a z takim miksem zależności można sobie poradzić, jak się wie co się robi
Tutaj w internecie jak i na autostradzie na drodze, wymagane jest ‘ograniczone zaufanie’, i tak samo jak i z kazdym systemem i Linux nie jest tutaj wyjatkiem, wypapuje sie rozne takie dziwne na Windows, i podejrzewam ze na AmigaOS by sie cos znalazlo jak by sie ktos uparl
Z tego, co pamiętam, to Debian powinien kontrolować, która paczka utworzyła dany plik. Jeżeli tamta paczka nie ma zostać odinstalowana(usunięta), to wystąpi problem z zależnościami.
Ciekawe jest natomiast to, że skrypty nie działają w pewnej piaskownicy i mogą wiele.
no i debian wywali tylko te pliki, które w paczce były, a nie te które zostały utworzone przez skrypty zawarte w pakiecie.
Aha. Które dystrybucje bazujące na Debianie są podatne? Jakoś nie doczytałem.
Ujme to tak – hura! W koncu Linux jest na tyle popularny ze cracking socjologiczny zaczyna sie oplacac.
Z tego co sie orientuje, domyslnie uzywane jest PKI do autoryzacji tego, co instaluje sie za pomoca narzedzi systemowych. Pozostaje tworcom dystrybucji zwiekszenie "user-firendlynosci" tej infrastruktury.
Mimo to – hura! Czyzby czyzyk i rok 2009 byl tak dlugo oczekiwanym "rokiem Linuksa"?
Na pewno to jakiś zniecierpliwiony FAN-GNOM zrobił.
Nie mógł się już doczekać chwili w której o gnomie coś ciekawego
da się napisać, więc stworzył na szybko coś co narobi trochę szumu.
myslalem, wini, ze bardziej sie wysilisz — np. zadawszy
pytanko, "czemu w shellu, a nie w mono?"
Jakby było w mono, to od razu wiadomo, że to kolega j23tom napisał.
Wybaczcie głupie pytanie, ale po kiego grzyba Debian wymaga roota do instalowania pakietów?
Racja, głupie pytanie.
Założenia są takie:
1) root wie co robi, więc może wszystko
2) użytkownik jest osobą o wątpliwej świadomości i mentalności, więc może tyle, na ile root mu pozwoli i nic więcej.
Jeżeli można uruchomić tylko programy znajdujące się w gałęziach z programami, a tam możliwość zapisu ma tylko root, to system jest bezpieczniejszy niż w sytuacji znanej z windowsa, gdzie każdy siedzi na koncie admina i może instalować i uruchamiać co mu się podoba. (a poza tym może nie wiele, bo admin z założenia jest zwykłym użytkownikiem, a root siedzi w Redmont – więc pozwala na więcej niż powinien, żeby mu co chwilę dupy nie zawracać)
@ szatox
Masz racje i Twoja wypowiedz wskazuje sedno sprawy: linux nie jest dla zu bo po prostu takowy nie jest w stanie kontrolowac bezpieczenstwa systemu, a co sie z tym wiaze nie powinno sie go wciskac dzieciakom z dobrychprogramow itp bo mozna zrobic im niedzwiedzia przysluge.
@tym
Masz racje i Twoja wypowiedź wskazuje sedno sprawy: żaden system (może z wyjątkiem przyszłego ChromeOS, gdzie będzie zablokowana możliwość instalacji oprogramowania) nie jest dla zu, ponieważ po prostu takowy, nie jest w stanie kontrolować bezpieczeństwa systemu, a co się z tym wiąże, nie powinno się go wciskać dzieciakom z dobrychprogramów itp, ponieważ można zrobić im niedźwiedzią przysługę.
ten ChromeOS to taki jednoreki terminal bedzie w takim razie?
Jednoręki, jednonogi, jednooki… ale za to jaki bezpieczny.
Co do bezpieczeństwa systemu, sposobu aktualizacji, itp. odsyłam do: Chromium OS – Design Documents – Security Overview
Oczywiście, jest tam tego więcej.
…jak choćby: Chromium OS – Design Documents – Software Architecture
Polecam zwłaszcza dalsze odnośniki związane z: System recovery (recovery firmware), Verified boot i Fast boot.
Czyli ten model zakłada, że root i użytkownik do dwa różne osobniki, co w przypadku Ubuntu jest nieprawdą.
O wiele lepiej by było, gdyby użytkownik mógł sam instalować pakiety (powiedzmy w swoim katalogu). Wtedy "odwirusowanie" systemu sprowadzałoby się do usunięcia zarażonego katalogu domowego, bez szkody dla innych kont tej samej maszyny. Poza tym z konta zwykłego użytkownika nie da się zainstalować rootkita.
Myślałem, że istnieją poważniejsze powody instalowania pakietów spod roota, ale skoro ich nie ma, to czas najwyższy usunąć tą dziurę w bezpieczeństwie.
haael: moje Ubuntu nazywa sie Slackware, a ja widocznie mam
schizofrenie — czasem jestem rootem; nasci:
"Nov 27 22:15:59 natas su[10624]: + pts/0 nat-root"
– raczej wyobrazaj sobie takiego zurnaliste, co wlazil do windy (tfu!)
i przeistaczal sie w supermana — jak w tym znanym komiksie. stad jedna
z interpretacji "su" — superuser. a sudo to nie wiem, jakas afrykanska
sztuka walki, ktora polega na kopnieciu kompa z cwiercobrotu i grozi
ponowna instalacja…
a na powaznie: nic nie stoi na przeszkodzie, zeby instalowac sobie
programy (szczegolnie takie, ktorych potrzebujemy tylko my) we
wlasnym katalogu (choc moze quota przeszkadzac…). co do "instalacji
rootkitow" nie wypowiadam sie, choc stawiam Lavazze przeciw kawie
zbozowej Anatol, ze spokojnie sie da, jesli zna sie odpowiednie
chwyty, tricki itp. czyli, "jak sie da, to sie da" (:
a "tematy" w pakiecie to jakies nieporozumienie, przeciez to nie
program, do licha — pewnie pliki graficzne i tekstowe, mowiace gdzie
jaki gradient, gdzie jaki obrazek, itp.
nat tematy to jeszcze nic widziałem, tapety w pakietach
hehe, a sprawdzili, ze np. jpeg zwieksza sie po „kompresji''?
no i wypada miec nadzieje, ze pakiety owe byly „noarch''.
yyy… a co ma Debian do Gnome (poza tym, ze Gnome mozna
zainstalowac pod Debianem)?
To, że na gnome-look są pakiety dla Debiana.
gdyby Gnome nie dalo sie zainstalowac pod Debianem,
to czy na gnome-look bylyby pakiety dla Debiana?..
Wszystko jedno – ważne, że użytkownik robi "su -" i odpala dpkg.
Moim teoretycznym jeszcze systemem eliminacji konfliktów jest możliwość nadania każdemu pliku systemowemu odpowiedniego właściciela, który byłby skojarzony z odpowiednim zarządcą paczek. W ten sposób podmiana plików systemowych by nie przeszła. Ustawienie przez jakąś paczkę bitu suid(właściciel root i bit uid) by nie przeszło. Modyfikacja przez zwykłego użytkownika zainstalowanych programów by nie przeszła, jednak każdy mógłby sobie instalować paczki w systemie. Oczywiście suid mógłby nadać odpowiedni skrypt wykonany z poziomu superużytkownika, lecz wtedy taki plik nie mógłby zostać dotknięty przez jakikolwiek system paczek(inny właściciel). Problemem będą wszelkie serwery systemowe – np. Apache. Mój pomysł oznaczałby, że po instalacji Apache i spełnieniu wszystkich wymogów bezpieczeństwa, nie będzie można Apache zaktualizować
.
moment… ale przeciez czym sie wlasciwie rozni utworzenie nowego uzytkownika,
od obslugi pakietow z poziomu roota? (jesli taki user moze np. pisac po /usr
instalujac programy). ok, moze tym, ze np. ten uzytkownik nie mialby dostepu
do danych "ludzi" w /home, ale! znow, pod warunkiem, ze "ludzie" w /home
poustawiaja sobie wlasciwe prawa dostepu.
hmm a ten syfik działa tylko na linuksie czy także syfi na *BSD/solarisie itd.
chyba na wszystkim *nixopodobnym, na czym zainstalowano
Gnome i ten feralny "temat"?
Prawda jest taka że nie wszyscy użytkownicy są programistami i nie wszyscy sprawdzają kod lub potrafią odróżnić złośliwy skrypt.
Więc pozostaje dla tych co nie umieją tylko pakiety z repo?
Pozostaje ściągnąć archiwum i rozpakować je w swoim katalogu domowym. Chyba, że to też jest za trudne. KDE zrobi to za ciebie. Oczywiście, też może się jakiś skrypcik odpalić, ale bez praw roota.
* ” deweloperzy zacząć zwracać szczególną uwagę na nowego typu zagrożenia. ”
To nie deweloper a użytkownik ma uważać z jakiego źródła instaluje różnego rodzaju oprogramowanie.