Для Linux выпущен руткит принципиально нового типа

отметили
27
человек
в архиве
Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит DR Linux 2.6 (Debug Register Rootkit для Linux ядра 2.6.x), реализующего принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника. В рутките (rootkit) также предусмотрена возможность удаленного управления, через специально разработанный бэкдор, работающий в виде скрытого пользовательского процесса.

Кроме того, автоматически скрываются дочерние процессы и сокеты, порождаемые спрятанными программами, при этом для таких программ все скрытые руткитом ресурсы являются открытыми. Установка DR Linux 2.6 производится через загрузку модуля ядра.
Добавил Dimonuch Dimonuch 6 Сентября 2008
проблема (4)
Комментарии участников:
Dimonuch
0
Dimonuch, 6 Сентября 2008 , url
помнится, кто-то доказывал мне, что Линукс безопасен "по определению"…
Dreammaker
+1
Dreammaker, 7 Сентября 2008 , url
Доказывал не я, но скажу, что насколько я понимаю чтобы запустить этот руткит нужны права рута (сорри, за тавтологию) :)
Dimonuch
0
Dimonuch, 7 Сентября 2008 , url
да, доказывал не ты. И даже не на Н2 этот спор у меня вышел.

как я понимаю ты прав, для загрузки ядерного модуля требуются права рута. Что в случае с повальным увлечением sudo не есть большая сложность. Особенно когда sudo настроен на выполнение всех команд и без вопросов.
плюс привычки некоторых сидеть под рутом ...

в Форточках тоже из-под обычного юзера при нормальной настройке политик вирус сможет сделать не много.
Dimonuch
0
Dimonuch, 7 Сентября 2008 , url
О! В тему использования юзерами рута, нашел вот:
сделал как было написано выше, у меня запустилась KDE. мало того что она меня не пускает под рутом, так еще и когда запустился desktop, включилось такое разрешение, что ого-го!
хорошо хоть KDE умная, не пускает под рутом…
Dreammaker
0
Dreammaker, 7 Сентября 2008 , url
Особенно когда sudo настроен на выполнение всех команд и без вопросов.


Да, вот об этом я не подумал. Яркий пример — я :) Время от времени сижу под Убунтой для тренировки (думаю всё-таки со времени перейти на неё) и если что-то нужно установить, то естественно требует пароль. Но… очень часто ввожу его не до конца понимая, что будет происходить дальше. В итоге, для такого пользователя как я windows пока что получается более безопасна, чем Linux. :)
scas
0
scas, 7 Сентября 2008 , url
не винда безопаснее а та система в которой разбираешься
у меня вот знакомая ее знакомство с компами началось с альт линукса — она ваще не может в винде работать
Dimonuch
0
Dimonuch, 7 Сентября 2008 , url
знакомство с компами началось с альт линукса — она ваще не может в винде работать
это вопрос привычки. На что руку "набил".
Dimonuch
0
Dimonuch, 7 Сентября 2008 , url
и если что-то нужно установить, то естественно требует пароль
хорошо хоть пароль требует. Это исключает запуск чего-то через sudo таким образом, что ты и знать не будешь. Т.е. sudo не даст выполнить команду с uid 0 пока ты не введешь пароль ей.
Dreammaker
0
Dreammaker, 7 Сентября 2008 , url
С другой стороны, и пароль не поможет, если я нарвусь на "вирус", сделанный в виде статьи с последовательностью действий, которые могут привести к установке чего-то левого. :)

Но вероятность такого, конечно меньше чем попасть на сайт с вредоносным кодом, который попробует установиться автоматически.
Dimonuch
0
Dimonuch, 7 Сентября 2008 , url
С другой стороны, и пароль не поможет, если я нарвусь на "вирус", сделанный в виде статьи с последовательностью действий, которые могут привести к установке чего-то левого. :)

ну извини :) если ты из-под рута (не важно через что) сделаешь что-то вроде "rm -rf /" — будешь виноват сам :) Потому и надо хотя минимально понимать что делаешь и зачем. А софт брать с доверенных источников. В Винде то же самое все, поверь :)

Но вероятность такого, конечно меньше чем попасть на сайт с вредоносным кодом, который попробует установиться автоматически.

ага. И тот же Firefox здесь не панацея. В нем регулярно находят дырки, недавно даже обещали показать (не знаю чем кончилось) демонстрационный вирус, "ломающий" Firefox.

Забавнее будет, если ФФ окажется с uid 0 или внедряющийся вирус сможет вызвать себя через sudo… Вот тут сливай воду.


Войдите или станьте участником, чтобы комментировать