Форумы
| Kalina LUG :: Форумы :: Основной :: Безопасность |
|
<< Предыдущая тема | Следующая тема >> |
| Скрытая вредоносная вставка в deb-пакете с хранителем экрана waterfall | ||
|
Модераторы: kalina, sanitar, NaTty, COMRADE_ARTYOM, variable, Solaris, az, Andreyf1
|
| Автор | Добавил | ||
| Solaris |
|
||
   ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look, зафиксировано наличие скрытой вредоносной вставки. После установки данного пакета в систему интегрируется специальный набор скриптов, предназначенный для подключения машины к проведению DDoS атак. Скрипт поддерживает удаленное получение заданий и способен самостоятельно обновить себя до более новой версии. Логика работы вредоносного ПО сводится к периодической загрузке и обычного shell скрипта, который затем запускается с правами root и выполняет, например, "ping -s 65507 хост". Кроме того, подобный вредоносный код удалось обнаружить и в пакете с визуальной темой Ninja Black. Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные. При установке троянского пакета в системе появляются файлы /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh и index.php. Для излечения достаточно найти и удалить эти файлы, а также удалить пакет app5552 (sudo dpkg -r app5552). Взято отсюда. Проверяйте пакеты программ. |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Также по просьбе форумчан публикую русскоязычный источник: [-link-] с русским текстом. | ||
| Наверх |
|
||
| Гарик |
|
||
 ID пользователя #23
Зарегистрирован: Втр Фев 26 2008, 15:41Сообщений: 534 |
Сначала новые антивирусы, теперь вредоносные закладки. Видимо, Линукс набирает-таки популярность. | ||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Если не работать под root думаю ничего страшного от этой закладки не будет в системе. | ||
| Наверх |
|
||
| Гарик |
|
||
|
ID пользователя #23
Зарегистрирован: Втр Фев 26 2008, 15:41Сообщений: 534 |
В том-то и дело, что этот скрипт пользуется рутовыми правами, полученными при установке пакета. | ||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
А если ставить без root, а через sudo ставить? | ||
| Наверх |
|
||
| overmind88 |
|
||
  ID пользователя #25
Зарегистрирован: Чтв Фев 28 2008, 23:58Сообщений: 221 |
без разницы | ||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
А как скрипт может пользоваться правами пользователя root? Мне просто хочется понять это. Может быть он будет спрашивать пароль как это обычно происходит? | ||
| Наверх |
|
||
| overmind88 |
|
||
|
ID пользователя #25
Зарегистрирован: Чтв Фев 28 2008, 23:58Сообщений: 221 |
примерно так же, как выполняются скрипты при загрузке, владелец - рут, поставлен флаг исполнения (+x) и всё | ||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Тогда это действительно серьезно. В системе брешь. Интересно как можно избежать этого. | ||
| Наверх |
|
||
| overmind88 |
|
||
|
ID пользователя #25
Зарегистрирован: Чтв Фев 28 2008, 23:58Сообщений: 221 |
ну это брешь уровня rm -rf под рутом  а избежать - ставить пакеты только из официальных репозиториев, подписанных gpg-ключом |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Ведь почти никто не проверяет подписан ли пакет. | ||
| Наверх |
|
||
Powered by e107 Forum System
