>Nem mindenhol van mailto: a cim elott, viszont @ mindig van benne
Viszont nagyon sok helyen szerepelhet @ anelkul, hogy e-mail cim lenne. A mailto: viszont eleg jo indikator.
>Azzal is, hogy nemletezo cimekre kuldozgetek, csak terhelem a rendszert, ami nekem a feladatom, nem?
A virus elsodleges feladata a szaporodas es tuleles. A sajat tulelesi eselyeit csokkenti, ha olyan cimekre kuldi ki magat, ami nem letezik.
Lehet, hogy a rendszer terhelese is cel (nem tudom, meg sosem voltam virus), de a Loveletter ota emlekezetem szerint nem volt olyan virus, ami osszeomlasztott volna levelezorendszereket. Mostanaban kb. minden 200-adik e-mail virussal fertozott, ez meg nem okoz nagy terhelest, csak zavaro.
>Csak ugy beugrottal ide, vagy szoktad is olvasni az itteni topikokat?
Szoktam olvasni a topikokat is.
>a linuxos virusok milyen uton szaporodnak/terjednek?
Az a keves, ami tenyleg elterjedt, az worm volt (Adore, Li0n, Ramen). Ha nagyon altalanositani kell, akkor a Linuxon az eddig sikeres virusok a biztonsagi hibakat kihasznalo fergek voltak. Az OSF.8579 kivetelevel klasszikus programvirus nem terjedt el.
>Zárójelben megjegyeztem, hogy szerverről beszélek.
Azt gondolom, hogy mar tobb nem szerver Linux gep van. Nem feledkezhetsz meg roluk. Bar biztonsagosabb lenne.
> Remélhetőleg azokat nem átlagos windows userek tartják karban.
Windows alatt sem a rendszergazdak altal tobbe-kevesbe rendben tartott szervererekkel van gond, hanem az otthoni felhasznalokkal. Ha osszehasonlitod a Windows es a Linux felhasznalokat, akkor lehetoleg ugyanazt a kategoriat hasonlitsd ossze.
Igazabol leginkabb a mailto: -ra keresnek ra. Nem mindenhol van mailto: a cim elott, viszont @ mindig van benne :)
De amugy valoban eleg nagy hibaszazalekkal mukodik az e-mail cim begyujto resz. Na de ez engem, mint virust, csak felvidit. Azzal is, hogy nemletezo cimekre kuldozgetek, csak terhelem a rendszert, ami nekem a feladatom, nem? :)
Lip, a virus
Igy jar az, aki nem nezi meg az advisory, meg a letoltott csomag md5/pgp/stb hash-t, hogy egyezik-e. Ja, meg vicces dolog, foleg ircen olvastam regebben, valami elmebeteg, crontabbol frissitette a rendszert, aztan egyszercsak aramszunet miatt bootolt egyet a gep, aztan annyi... Azert ovatosabban kezelnem az automatizalt update kerdeset. Szigoruan manualisan. Akar single juzer modban.
A juzer meg kontarkodhat a home konyvtarjaban. Meg a vegen kap a particiora egy noexec mount opciot. Paranoia rulez ;-)
Szapi!
Csak ugy beugrottal ide, vagy szoktad is olvasni az itteni topikokat? (Csak a kivancsisag ;-) Ill. mit tudsz, a linuxos virusok milyen uton szaporodnak/terjednek?
koszi,
ui.: azert van par tippem mivel lehet virust/wormot/ilyesmit megfingatni ;-))
Zárójelben megjegyeztem, hogy szerverről beszélek. Remélhetőleg azokat nem átlagos windows userek tartják karban.
OFF:
Amúgymeg én félek windowst frissíteni, mivel nem tudom, miféle info áramlás zajlik le közben (üldözési mániám van, de asszem nem megvetendő dolog, ha MS-ről van szó), így én még sose frissítettem az általad leírt módon a winemet, csak foltozókat töltögetek le néha MS-ék oldaláról.
A javítások ideje meg igencsak hosszú win esetén. Olvass utána egy kicsit, és kiderűl, hogy nagyobb biztonsági réseken is képesek a bejelentéstől számítva hetekig/hónapokig űlni, közben persze mondogatják, hogy a probléma nagyon összetett (úgyse tudod ellenőrizni, hogy igazat mondanak-e, hisz nincs meg a forrás). Nemrég ezt egy olyan IE résre mondták, ami valahogy (gondolom véletlenül :o)újra bekerült a legújabb verzióba, miután egy jóval korábbiban is benne volt, és ahhoz már volt patch.
Nem tudom, milyen mozgatóerők állnak a háttérben, de azért néha nagyon gyanus dolgokat művelnek.
Üdv: Ego
PS:gondoltam belekezdek valamiféle összeesküvés-elmélet leírásába, de aztán lemondtam róla. Akit érdekel, az úgyis kitalál magának, vagy elolvas néhányat a neten. És amúgysem ebbe a topikba való.
>1. Debian alatt rendszerfrissítés 2 utasításból áll. Szerintem akinek van annyi esze, hogy
>Debiant tegyen fel, az eléggé rendszeresen kiadja ezt a 2 utasítást
A Windows rendszerfrissiteshez meg ennel is kevesebb esz kell (csak be kell potyogni az IE-be a www.winowsupdate.com cimet), es az OK gombokat nyomogatni. Megsem teszi meg a felhasznalok 10%-a sem. Ugyanezek a felhasznalok nem leszenk ontudatosabbak attol, hogy Linuxot tesznek fel a gepukre.
1. Debian alatt rendszerfrissítés 2 utasításból áll. Szerintem akinek van annyi esze, hogy Debiant tegyen fel, az eléggé rendszeresen kiadja ezt a 2 utasítást (vagy akár beidőzítí napi futtatásra) (term. szerverről beszélek)
2. Elég régóta használok Linuxotot, de ha jól számolom kb 0* küldtem vagy kaptam binárist.
2 alól 1 kivítel van, és ez szerintem egy elég komoly veszély is lehet:
csomagok (rpm, deb, ...)
Ha ezekközül egy gyakran használatos csomagból egy olyan ftp-re kerül fel fertőzött, ahonnan tükröznek a többiek, akkor néhány nap alatt elterjedhet, mielött a hibát felismerik. (mellékesen root-ként megy a telepítés)
Persze gondolom ezek a helyek eléggé védettek ilyen esetek ellen, de azért azt is tudjuk, hogy nincs feltörhetetlen rendszer, és a nyomokat sem lehetetlen eltünetetni (pl egy belső ember segítségével)
Desktop oldalon aránylag kevés támadható szolgáltatás fut, legalábbis olyan amihez a csomagszűrés miatt hozzá lehet férni.
szerencsere ez mar tobbe-kevesbe igaz. mikor az elso linuxom feltelepitettem (egy mandrake volt), ott default futott ftp szerver, sendmail, portmapper es meg jonehany teljesen felesleges szolgaltatas. ha most visszagondolok valoszinuleg eleg sokan atgyalogoltak a gepemen (persze lehet, h nem, de nem rajtam mult). raadasul a kezdok kiserletezgetnek. "tok jo, van sajat ftp szerverem" stbstb. de mire eljutnak odaig, hogy napi (de legalabbis gyakori) frissites, csomagszuro, biztonsagosabb kernel, addigra tenyleg csak a szerencsenek koszonhetik, ha nem csapja meg valaki a pingvint.
a mostani disztribekben szerencsere mar nincs minden enabled-ben az inet.d konfigjaban, de arra valo a user, hogy ezt megtegye :-)
persze ha minden kezdo felhasznalo mondana egy olyat, h ipchains -A input -p tcp -y ! -s localhost -j DENY akkor sokkal kevesebb zombi pingvin logna a halon.
na, legyetek jok, vagy rosszak, vagy ilyesmi
trooper
egy fereg nem csak cimlista alapjan terjedhet. itt nem emailben terjedo fergekrol van szo. ezek a fergek halozatokat scannelnek, keresik a gepeken a tamadhato portokat, igy terjednek.
Itt meg kell különböztetni desktop és szerveroldali férgeket. Desktop oldalon aránylag kevés támadható szolgáltatás fut, legalábbis olyan amihez a csomagszűrés miatt hozzá lehet férni. És még az sem egységes, Pl. Mandrake vagy SuSE alatt többféle nyomtatási rendszert is beállíthatsz.
Szerver oldalon már nagyobb a veszély, de ott meg van egy állandó rendszergizda akinek az a dolga hogy a biztonságra odafigyeljen. Sőt, ha jól sejtem a Debiannak van olyan szolgáltatása hogy automatikusan frissíti a rendszert.
Az biztos hogy 100%-os megoldás nincs, mint ahogy hiba nélküli program sincs. De az is hogy a linuxos rendszerek jóval kisebb százalékban lennének áldozatai egy ilyen támadásnak mint a windowsosak, mivel itt sokkal heterogénebb a rendszer. Ráadásul mivel nyílt forráskódú a dolog és viszonylag régi múltra tekinthet vissza, szvsz jóval kevesebb gyenge pontja van mint az M$ rendszereinek amiben ki tudja mi van. Azaz a linux egy hosszú pajzs-ágyú harc eredménye ahol a pajzs forráskódja mindig nyílt volt, és a crackerek szvsz a hibák jó részét felderítették (persze messze nem mindet). Míg a windows esetében a pajzs forráskódja zárt, így szvsz a crackerek, vírusírók csak a hibák, gyenge pontok töredékére tudtak rámutatni (azért így is akad néhány ;-). Ha viszont valaki igazán nagy pénzt szán a dologra (Pl. egy /oszama/bin/laden-nél némileg több fantáziával megáldott terroristavezér) akkor a forráskód visszafejtésével vagy megszerzésével érdekes dolgokat művelhet.
Sztem megallapodhatunk abban, hogy a fereg-ugy kivitelezheto. Egyreszt halozat, masreszt azert ne mondja senki, hogy nem lehet egyszeruen alkalmazkodni a multi-email-kliens kornyezethez. Legrosszabb esetben rakeresel a @ karakterre, es minden olyan stringet, amiben benne van, cimnek veszel. Kit erdekel, hogy a 90%-a nem mukodik?
>A féregnek elvi akadálya ugyan nincs, de ehhez viszont tudnia kellene hogy hol van a címlista.
A fergeknek ma mar csak kisebb resze hasznalja, a cimlistakat. Nagyobb reszuk az internet bongeszo cache-ebol olvassa ki az e-mail cimeket. Vagy a szamitogepen talalhato HTML, ASP allomanyokbol.
>Ha mindenki egyforma levelezőrendszert használna akkor ennek lenne esélye, de szerencsére ez nem
>így van.
Ez addig lesz igy, amig a Linux szelesebb korben el nem terjed. Akkor lesz 2-4 dominans disztribucio a default levelezoprogramjaival. Akkor mar kellokeppen sok felhasznalo fogja ugyanazt a levelezoprogramot hasznalni.
>A root exploit pedig elég ritkán van kernel szinten, általában valamelyik alkalmazásnak vagy
>szolgáltatásnak adott verziójú változatára van szükség.
Igy volt ez a Code Reddel is, korlatozott volt a sebezheto rendszerek szama. Azokon megis szelveszkent vegigfutott.
>hogy 1. az adott platformból sok legyen, 2. az adott platform egységes legyen. Az 1. előbb-utóbb
>a linuxra is igaz lesz, de szvsz a 2. nem igazán
Abban egyetertek veled, hogy ez a ket pont kell. De az en velemenyem szerint az egysegesedes be fog kovetkezni. Nem kell, hogy monolitikus legyen a Linux tabor, hogy 99%-uk ugyanazt a disztribuciot hasznalja, ha mar az egyharmaduk megteszi, az boven eleg.
Csakhogy a bináris terjedéshez az kellene hogy végig tudja fertőzni a rendszert. Azaz a programokat kellene megfertőzni, erre pedig unix/linux alatt a mezei user programjainak nincs lehetőségük.
ez igaz. a virusoknak az a fajtaja, amelyik userrol userre jar, keves lehetoseget kap, de nem is feltetlenul erre kell gondolni a linuxos virusoknal.
A féregnek elvi akadálya ugyan nincs, de ehhez viszont tudnia kellene hogy hol van a címlista. Ha mindenki egyforma levelezőrendszert használna akkor ennek lenne esélye, de szerencsére ez nem így van.
egy fereg nem csak cimlista alapjan terjedhet. itt nem emailben terjedo fergekrol van szo. ezek a fergek halozatokat scannelnek, keresik a gepeken a tamadhato portokat, igy terjednek.
A root exploit pedig elég ritkán van kernel szinten, általában valamelyik alkalmazásnak vagy szolgáltatásnak adott verziójú változatára van szükség.
jo pelda erre mikor anno ugyebar a bind-ban remote root exploit volt. vannak olyan elterjedt alkalmazasok, amiket rendszeresen rosszul irnak meg. pl a bind (persze nem kell rootkent futnia, de biztos vagyok benne, hogy sok helyen meg mindig ez a helyzet), de gyakran vannak hibas ftp szerverek, mail szerverek.
sztem linux alatt kicsit el kell vonatkoztatni a virusokrol kialakult keptol, ezek kicsit maskent mukodnek.
mi van akkor pl. ha a virust ugy irjak meg, hogy miutan bejutott a rendszerbe, fertozze meg a binarisokat. ez azert nem egy nagy feladat.
ezek ugyanugy elterjedhetnek, mint egy code red vagy sadmind. erdemes ranezni a CERTre. a linuxos alkalmazasok hibai ugyanugy kihasznalhatoak lennenek ilyen celokra.
na asszem ennyit akartam irni, bar kicsit masnapos vagyok, ugyhogy nem biztos.
Csakhogy a bináris terjedéshez az kellene hogy végig tudja fertőzni a rendszert. Azaz a programokat kellene megfertőzni, erre pedig unix/linux alatt a mezei user programjainak nincs lehetőségük.
A féregnek elvi akadálya ugyan nincs, de ehhez viszont tudnia kellene hogy hol van a címlista. Ha mindenki egyforma levelezőrendszert használna akkor ennek lenne esélye, de szerencsére ez nem így van.
A root exploit pedig elég ritkán van kernel szinten, általában valamelyik alkalmazásnak vagy szolgáltatásnak adott verziójú változatára van szükség.
Ahhoz hogy egy virnyák sikeres legyen ahhoz az kell hogy 1. az adott platformból sok legyen, 2. az adott platform egységes legyen. Az 1. előbb-utóbb a linuxra is igaz lesz, de szvsz a 2. nem igazán. A windows sem lenne annyira sebezhető ha nem csak IE/Outlook lenne elterjedve rajta.
naggyon rencergizdasan nezitek... "ha a rencert
nem vagja haza akkor nem is virus" blabla.
adott esetben a $HOME lehet a legnagyobb ertek
a masinaban. nem feltetlenul a nyaralas kepeire es az mp3akra gondolok. ha a szemet user ott tarti a szakdolgozatat akkor sztem morc lesz kicsit.
a masik, amit mar irtak, hogy ddos attackhoz eleg ha mezei userunk accat kaparintjak meg.
a harmadik pedig, h 1reszt azok akik otthoni hasznalatra feltelepitik, epphogy fel birtak, azok nem fogjak minden nap megnezni az aktualis patcheket (tuzfalrol, meg ilyesmirol nem is beszelve).
asszem a remote root exploitokat kihasznalo wormok eleg tisztessegesen el is terjedtek. 10 rencergizdabol talan 1 amelyik rendszeresen updatel, es valszeg o sem telepit fel ids-t. szoval a linuxos virus azert realis veszely asszem.
max a /home/$USER konyvtarat tudja legrosszabb esetben is letorolni. Az a juzer meg meg is erdemli :))
Szoval tekintsunk el attol, hogy root exploit. Azert egy Linux rendszer ebbol a szempontbol alapvetoen jobb helyzetben van, mint windoze.
Viszont nem ertek egyet, khiraly: lehet user-space virust is irni. Mert nem csak azzal tehet kart, hogy letorlni a $USER-t. Reszt vehet (mint userspace progi) DoS attakban, kuldhet szanaszet emailt, leterhelheti a te rendszeredet is... Nem csak filetorlessel lehet ma kart okozni, a jovoben meg, amikor mar a QoS-ert is kulon es bevallottan fogsz fizetni, meginkabb igaz lesz ez.
A windoze valoban no comment. Alapvetoen: nem. :))
De azt tovabbra is vallom, hogy a rendszerben virus komoly kart okozni nem tud.
A probléma pont itt kezdődik. A mezei usernek egy unixos rendszerben csak a saját home könyvtárába van írási joga. Ott pedig nem túl sűrűn fordulnak elő bináris futtatható dolgok, ha mégis akkor azok szintén csak a user dolgait tudják felülírni. Ezzel szemben windows-on defaultban a T. user akár a Program Files vagy a Windows/System alkönytárban is kavarhat úgy ahogy csak akar. 9x alatt jogosultság mint olyan fel sem merül, de a win2k default usere is fél kézzel agyonvághatja a rendszert és ehhez még trükkökre sincs szüksége (sőt, egynémely program ezt minden rosszindulat nélkül képes megtenni).
XP alatt ha jól tudom (ilyen állatkám még nincs) úgy műxenek a dolgok mint a Mee esetén, azaz a rendszer a sérült dll-eket egy mentés könyvtárból elő tudja szedni. De ez tudtommal csak a rendszer dolgaira vonatkozik, a felhasználó által telepítettekre már nem.
Falovat esetleg lehetne írni ami e-mailként továbbküldi magát más gépekre de ehhez a lovacskának tudnia kellene hogy én épp milyen levelezőrendszert használok. Ez ugye win alatt általában outlook, de linuxnál lehet a KMail, Pine, Netscape/Mozilla levelező és még kb 30. Úgy hogy igazán ennek sem jósolnék túl nagy jövőt.
Ha nincs a virusnak root joga, akkor sajnalom a rendszernek meg se kottyan.
Ha meg meg kart se csinal(a rendszerben), akkor az mitol virus?
Mert terjed?
A wolfenstein is terjed....;)
meg is fertozott....
Tehat ezt szerintem _NEM_ kene virusnak hivni, mert
max a /home/$USER konyvtarat tudja legrosszabb esetben is letorolni.
(Tevedes jogat fenntartom!
ugyved nelkul nem irok ala semmit..;))
Nem tudom, konkretan melyikre gondolsz. A Simile, amirol vannak most hirek, nem elterjedt. Ezzel szemben tobb helyrol is jeleztek az OSF.8579 nevu Linux virus fertozeseit. Ez mindenfele ELF programot megfertoz, amire a virust elindito felhasznalonak van irasi joga.
>De egy virustol en azt "varnam", hogy (mint ahogy vki mar mondta), root exploitkent masszon be
Es ahogy a malaj dijbirkozo mondta Fulig Jimmynek: o jobbrol varta a pofont.
Meg Windows eseteben sem igaz, hogy a legelterjedtebb virusok (makrovirusok, script virusok, e-mail fergek) "root" (= ring 0) jogosultsaggal birjanak. Ennek Linuxon sem kell igy lennie. Attol meg szepen tud terjedni egy virus, hogy nincs root jogosultsaga. Persze ha van, sokkal konnyebb a dolga, de nem szukseges feltetel.
>z ilyen biztonsagi hibak pedig egy normalisan kezelt Linux rendszeren (amire odafigyelnek) kb.
>-2 napig leteznek onnan, hogy a hiba kiderult (ugye a windows meg a Linux update policy kozti >aprocska kulonbsegek...).
Egy noramlisan kezelt Windows rendszeren is kb. ugyanennyi ideig leteznek biztonsagi hibak. A kerdes az, hogy a normalisan kezelt rendszerek aranya mekkora. Ez Windows eseteben nem tul nagy. De Linux eseteben valamivel jobb a helyzet. Ahogy azonban a Linux kezd egyre felhasznalobaratabb lenni, es elterjedni, ez az arany drasztikusan fog csokkenni, es egyre baratibb talajja fog valni a virusok szamara.
Script virus van jopar tucat, fene se szamolja. ELF fajlvirus ugy negyven korul van. Ezen kivul vannak meg a wormok, kozuluk nehany (Li0n, Adore,) elegge el is terjedt.
Eleg szkeptikus vagyok a hirrel kapcsolatban... Eloszor is, windows eseteben mindig reszletesen leirjak, hogy mit tesz, hova, mit mikor csinal, stb. Most semmi ilyesmi nem tortent (Symantec-et neztem): megmondtak, hogy huu, most aztan virus van, es Linuxon is fertoz. De mit, konyorgom??? Ha a juzer hulye, az ellen persze sose lehet tenni semmit, azon kivul, hogy megakadalyozzuk, hogy a rendszerbe nagyon bele tudjon turkalni... De egy virustol en azt "varnam", hogy (mint ahogy vki mar mondta), root exploitkent masszon be. Az ilyen biztonsagi hibak pedig egy normalisan kezelt Linux rendszeren (amire odafigyelnek) kb. 1-2 napig leteznek onnan, hogy a hiba kiderult (ugye a windows meg a Linux update policy kozti aprocska kulonbsegek...).
Nem azt mondom, hogy tart karokkal varom a rendszeremen, hogy megmerkozzunk, de azert valami reszletes hir jo lenne rola.
Meg DOS-os idokben kezdtem gyujteni egy idoben a virusokat.
(tele volt vele a gimnazium)
Kb 30 gyujtottem, de a lemezemen kioltek egyik a masikat...;(
De felhagytam ezzel(semmi ertelme).
Egy normális rendszerben a scripteket sincs joga írni a mezei usernek, kivéve a sajátjait azoknak viszont csak arra van joga mint a usernek. A régebbi virnyák sem tudott igazán nagy karrierre szert tenni. Szvsz egy virnyák linuxon csak akkor lenne igazán veszélyes ha egy root exploittal lenne egybeépítve. Viszont olyan exploit ami minden disztriben megy, arról nem is beszélve hogy ki mit rak fel... Szvz nem sok esélye van a dolognak.
Ha jol emlexem 3 vagy inkább 4 éve is volt ilyen csoda. Levlistakon utanna lehetne olvasni.
Mielott valaki bepanikolna, gondoljon arra, hogy script virusokat eddig is csak az nem irt, aki nem akart. És egy setuid-os scriptben elhelyezett rm -rf /* elég pusztitó tud lenni, illetve ennek megfelelő változata az autoexec.bat file-ban.
Aztan kerdeses, hogy van-e viruskereso, amelyik egyaltalan képes lenne kivedeni egy ilyen jellegu dolgot.
Ha mar eddig elolvastad - a problémáink erossegi sorrendben:
1 - user elcsesz valamit
2 - elromlik a winyó
3 - lefagy a program (adatbazist osszezagyválja)
4 - virusok
5 - kigyullad a szunetmentes. (Ez tegnap volt, ha 2 nappal kesobb tortenik - szombaton, leég az egész iroda)
6 - betorok elvisznek ezt azt (ilyen is volt)
