Czy mogłem złapać na Ubuntu jakieś spyware?


(Slawek Master) #1

Witam

czy jest możliwe aby wgrało się jakies spyware na ubuntu?

przykadowa sytacja, chodze po roznych forach, i zauważyłem ze zostaja pobierane dane ze strony xxx.xxxxxx.xxx , sprawdziłem na http://www.mywot.com istrona ma złą reputacje (wszystko na czerwono) prawdopodobnie głownie zostały pobrane zdjęcia, ale byla tam informacja na mywot.com ze strona uzywa spyware.

wiec pytanie czy otwierajac tematy na forach można złapać takiego spyware?

zapomniałem dodac ze na firewall - firestarter akurat jak odwiedzalem te forum/temat wyskoczyla mi proba połączenia się z nieznanego źródła


(jessica) #2

Nie wiem, jak jest w tym konkretnym przypadku, ale teoretycznie jest to możliwe.

Już dawno upadł mit o tym, że Linuks/Ubuntu to całkowicie bezpieczne Systemy.

Tak było, dopóki "hakierzy" nie zaczęli pisać "wirusów" przeznaczonych na ten System - okazało się wtedy, że ten System jest tak samo podatny na infekcje, jak WINDOWS.

To fakt, że na Linuksie zdarza się dużo mniej infekcji, ale to tylko dlatego, że "hakierom" nie chce się pisać "wirusów" przeznaczonych tylko na ten System, bo Linuks jest mniej rozpowszechniony w świecie niż WINDOWS. Po prostu im się nie opłaca.

jessi


(Slawek Master) #3

rozumiem

ale to tez nasuwa sie pytanie, czy fora nie maja zabezpieczeń aby użytownicy nie dodawali zdjec/linków do zdjęć które mogą spowodować zagrozenie, bo tak jak mowie, na strone bezposrednio nie wszedlem, jedynie wchodząc w tematy na forach dane są pobierane z różnych zewnętrznych źródeł

wyswietlilo sie zdjęcie które ewidetnie wskazywalo ze moze powstać jakies zagrozenie, widzac z jakiego adresu zostaja pobierane dane sprawdzilem te strone, i tak wlasnie powstal moj problem/obawa


(jessica) #4

Fora raczej nie mają takich zabezpieczeń.

Jedynym zabezpieczeniem jest zapis w Regulaminie, że nie wolno podawać na Forum szkodliwych linków.

Ale to tylko zapis, a nie konkretne zabezpieczenie.

jessi


(nintyfan) #5

Forum raczej służy próbie rozwiązania problemów, a nie luźnej dyskusji ;-p

Jaki program łączył się z tą stronką? Może po prostu Firefox pobrał z niej zdjęcia? Prawdą jest, że dzięki nowym mechanizmom przyśpieszenia ładowania stron, zdjęcia mogły się ładować, mimo iż nie odwiedziłeś tej strony. Po prostu przeglądarka wczytuje dane z wyprzedzeniem. Wystarczyłaby np. źle zaprojektowana reklama takiej strony lub umyślne działanie, mające przyśpieszyć załadowanie strony w przypadku kliknięcia w linka.

@jessica: Wirusów oczywiście w dużym cudzysłowiu. To, co ewentualnie można spotkać na Linuksie, to niewiele ma wspólnego z wirusami. W zasadzie, to nie ma nawet zbytnio sposobu infekcji tego systemu. Nawet, gdy instaluje się jakieś zamknięte g**no, to i tak instalator(bo najczęściej niestety odbywa się to przez instalator) nie wymaga dodatkowych uprawnień. Wszelkie próby infekcji swojego profilu można łatwo wykryć. Jeżeli nie stawiasz serwera, a także nie jesteś wieloletnim użytkownikiem Windows, to do zastosowań domowych Linux jest całkowicie bezpieczny.

Może więcej szczegółów - skąd dowiedziałeś się, że jakiś program odwiedził tę stronę?


(roobal) #6

Co do mywot ja bym zbytnio nie wierzył tej stronie, chociażby pewna bardzo zaufana strona, na którą zaglądam została uznana przez WOT jako niebezpieczna a wcale tak nie jest. WOT też ma prawo się mylić i spotakałem się z wieloma takimi stronami i zacząłem się zastanawiać czy warto korzystać w ogóle z WOT skoro nie można mu ufać :slight_smile:

Oczywiście spyware może istnieć ale to jest małe prawdopodobieństwo, skonfiguruj dobrze firewall nawet jeśli się czymś zainfekujesz to taki spyware wiele nie zdziała - nie wyśle informacji do autora aplikacji.

O raju takich bzdur to ja od bardzo dawna nie czytałem. Zastanów się zanim sama zaczniesz rozpowszechniać mity. Owszem zgodzę się, że popularność ma wpływ ale co najwyżej na ilość wirusów ale nie ma żadnego wpływu na bezpieczeństwo systemu. Linux jak inne systemy wzorujące się na Uniksie są tak skonstruowane, że trzeba się na prawdę namęczyć aby uruchomić wirusa na takim systemie i "hakierom" nie chce się nie dlatego, że system jest mało popularny ale dlatego, że o wiele łatwiej jest pisać wirusy dla Windowsa, który działa standardowo na prawach administratora. Zresztą sprawdź sama, używaj w Windowsie na co dzień tylko konta z ograniczonymi prawami, uwierz mi antywirusa możesz wywalić, będzie tylko niepotrzebnie zamulał system. Tak poza tym gdyby popularność miała znaczenie to już dawno powstałaby masa wirusów na Linuksa/FreeBSD i inne systemy - to że Linux jest mało popularny na komputerach domowych nie oznacza, że nie jest w ogóle popularny. Linux największą popularność ma na serwerach a serwer jest lepszym celem dla "hakiera" niż komputer Kowalskiego. MacOS ma około 10% popularności, podobno są tworzone na niego jakieś wirusy, podobno bo ile ich powstało w stosunku do Windowsa a ile konputerów Apple jest zainfekowany o ile w ogóle się zainfekowały? Dopóki użytkownik świadomie lub nieświadomie nie zainstaluje wirusa taki wirus nie ma prawa sam się zainstalować jak to ma miejscie w systemach Windows i nie ma prawa bytu bez naszej wiedzy.

Co mitów, że wirusów na Linuksa - a kto powiedział, że ich nie ma? Są i to pisane specjalnie, chociażby w celach testowych i takim wirusem jest na przykład Bliss. Wirusów na Linuksa nie opłaca się pisać, bo mechanizm zabezpieczeń utrudnia zadanie i tu popularność nie ma żadnego wpływu na podatność na wirusy, co najwyżej może być ich więcej. Ale skoro zaczną się ataki to i deweloperzy Linuksa będą lepiej dbali o bezpieczeństwo systemu i kółko się zamyka - taka polityka. Inna sprawa to wirusy na Linuksa jeśli są w ogóle tworzone to zapewne na specjalne zamówienie w celu przeprowadzenia ataku.

Oczywiście należy mieć świadomość, że nie ma 100% bezpiecznego systemu, wystarczy błąd w przeglądarce WWW aby "hakier" przejął nasz system i to nie ważne czy to jest Linux/Unix czy Windows lub MacOS, dlatego należy regularnie aktualizować system. MacOS został właśnie przejęty tylko dzięki luce w przeglądarce Safari i tylko dlatego, każdy system jest podatny na takie ataki - błedy w oprogramowaniu, dlatego trzeba pamiętać o aktualizacjach.

Tak poza tym najsłabszym ogniwem zawsze będzie człowiek - jaki administrator taki system :slight_smile:

Pozdrawiam!


(MaRa) #7

Hakerzy nie wzięli się ostatnio za linuksa, lecz zabierają się od samego początku - przecież linuks jest tworzony przez hakerów.

Natomiast krakerzy, ci co robią szkody, z reguły mają znacznie niższe umiejętności od hakerów (hakerzy z zasady nie wyrządzają szkód i nie pozostawiają śladów).

W linuksie "samo" nic się nie zainstaluje z tego prostego powodu, że nie ma praw do wykonywania. Trzeba najpierw ściągnąć plik na dysk, nadać mu prawa do wykonywania, a następnie zainstalować podając hasło roota.

Teoretycznie mogą istnieć szkodniki uruchamiające się z prawami zwykłego użytkownika, ale one i tak wymagają wcześniejszego nadania im praw do wykonywania (same sobie nie nadadzą).

Włamania dotyczą serwerów linuksowych - usługa (demon) serwera (np. Apache) musi mieć prawa roota ze względu na obsługę protokołu TCP/IP, jeśli ma lukę to można go wykorzystać. Drugi przypadek to puste, domyślne lub łatwe do odgadnięcia hasło roota i ustawiona możliwość zdalnego logowania (np. poprzez telnet). Trzeci przypadek to posiadanie konta na maszynie i wykorzystanie luki do poniesienia swoich uprawnień. Ale takie możliwości wykraczają poza zautomatyzowane wirusy.


(roobal) #8

Dokładnie, właśnie o to mi chodzi o czym pisze MaRa , spróbuj wykonać jakikolwiek skrypt albo zainstalować chociażby sterowniki własnościowe do kart graficznych NVidi czy Ati lub inne bez nadania praw do wykonania. Poza tym nawet jeśli uda się czymś zainfekować to wirus narobi bałaganu co najwyżej w naszym katalogu domowy, poza ten katalog już nie "wyjdzie", bo nie będzie miał takich uprawnień.

Ogólnie Linux/Unix dla wirusów jest jak kwaśne środowisko dla wirusów istniejących w przyrodzie - mogą w nim żyć ale się nie rozwiną.

Pozdrawiam!


(nintyfan) #9

<<

Tak było, dopóki "hakierzy" nie zaczęli pisać "wirusów" przeznaczonych na ten System - okazało się wtedy, że ten System jest tak samo podatny na infekcje, jak WINDOWS. >>>

Przypomina mi się gadka-szmatka firm antywirusowych, które jednocześnie, ale bezskutecznie starają się stworzyć działającego wirusa na Linuksa. Jak pisali przedmówcy - malware istnieją, lecz same z siebie nic nam nie zrobią. Jeżeli nie jesteśmy programistami, którzy nie dbają o bezpieczeństwo, a w dodatku uruchamiają swoje potworki na wysokich uprawnieniach(jak np. twórcy stron w PHP), to nam nic nie grozi. Oczywiście, że trzeba uważać, co się robi i nie denerwować się, że system nie daje automatycznie programom, które tego zażądają najwyższych uprawnień.

Jeżeli faktycznie masz jakiegoś malware, to sprawdź najpierw swój profil(utwórz sobie nowy, testowy). Przeszukaj autostart na swoim obecnym profilu, sprawdź .bashrc, .profile, .bash_profile, sprawdź, co zawiera katalog /bin .


(mati75) #10

Potwierdzam, że coś mogło być. Bo na moim debianie zaobserwowałem dziwne zachowanie systemu. Format pomógł.


(roobal) #11

Nie skanowałeś go nawet chociażby ClamAV-em? Poza tym to mógłby być też wirus windowsowy zainstalowany w Wine ale taki wirus raczej poza katalogiem .wine wiele by nie zdziałał.

Mi kiedyś DobrySkaner też wykrył wirusa ale to był wirus mimo wszystko windowsowy dołączony do załącznika wiadomości przesłanej mailem :slight_smile:

Zresztą, kto nie widział to niech ogląda :slight_smile:

image_id: 2232

Pozdrawiam!


(mati75) #12

Oczywiście, że skanowałem i nic było wykryte, ale system dalej siał spam po sieci lokalnej.


(Slawek Master) #13

to było tak, wszedłem na temat w forum i zobaczyłem na pasku stanu ze zostają pobrane dane ze strony ..... , nie popatrzyłem w jaki temat wszedłem a były tam treści dla dorosłych, wiec wyszedłem ale już dane skończyły się pobierać, wpisałem wiec te stronę w mywot.com i zobaczyłem ze jest zła opinia, dlatego mam pewność ze w tej kwestii wot akurat nie kłamie :wink:

nie mam w ogóle takiego folderu w swoim profilu

edit:

jednak mam te pliki, poza bash_profile , jest bash_history, i tam jest historia konsoli, i widzę ze jest tam tylko to co ja pisałem

a w bash_profile i bashrc jest 'coś'

mam tez plik .sudo_as_admin_successful i jest pusty( nie wiem czy to istotne)

edit2:

zauważyłem ze próbują się połączyć

74.125.43.19 poprzez port 53743

174.36.30.9 port 40823

porotokół TCP a usługa nieznana

takie info mam od firestarter


(nintyfan) #14

Podane przez Ciebie adresy IP należą do Google. Może korzystasz z Google gadgets?

Jeżeli to, co powyżej opsiałeś, to prawda, to jesteś przewrażliwiony. Byłoby lepiej niż to, o czym pisałem - po prostu przeglądarka ściągała dane z tamtej strony. Uśmieszek jednak wszystko tłumaczy.


(Dawiddek55) #15

właśnie przymierzam się do instalacji Ubuntu 10.04-i jak tak czytam te wasze wypowiedzi to myślę że jednak AV jest niezbędny... a firewall koniecznie (zainstaluje gufw). Kolejna sprawa-ataki sieciowe-czy jeśli na windowsie mam ataki które KIS blokuje to na linuxie bez AV też może zaatakować czy raczej na linuxa nie atakują?


(Slawek Master) #16

tak to prawda, i owszem jestem przewrażliwiony, ale nic na to nie poradzę , czasami jak czegos szukam i szybko klikne zanim się WOT załaduje to poxniej mysle czy nic mi sie nie wgrało, jak np szukam sterowników czy czegoś innego gdzie często jest jakiś spyware, dlatego uciekłem od windowsa ... a tu sie okazuje ze na ubuntu tez może cos byc ...

poprostu teraz każdy chce być cracker'em i robia mnóstwo tego syfu

znaczy się jest dobrze :slight_smile: bo chyba literówkę zrobiłeś albo źle zdanie ułożyłeś, bo teraz nie wiem :slight_smile:


(roobal) #17

Jeśli to była jakiś skrypt to nie dziwne, że nie wykrył, może instalowałeś jakiś motyw - Gnome-Look.org słynie z "hostowania" złośliwych skryptów :slight_smile: Ale jedno jest pewne, samo nic się nie zainstalowało, najprędzej zainstalowałeś jakieś świństwo osobiście ale nieświadomie :slight_smile:

Pozdrawiam!


(nintyfan) #18

AV Ci nic nie wykryje - jedyną możliwością ochrony jest:

  1. Utworzenie ~/bin i zamiana jego właściciela na root z jednoczesnym odebraniem sobie praw zapisu(najważniejsze)

  2. Zmiana właściciela plików ~/.bashrc ~/.profile, itd. na użytkownika root

  3. Sprawdzanie co jakiś czas listy uruchomionych procesów, bo na Linuksie nie da się ukryć procesu przed użytkownikiem, jak na Windowsie(można ewentualnie zmienić trochę jego nazwę)

Tyle czynności powinno wystarczyć. Co do Firewall-a, to już w systemie masz bardzo dobry firewall.

-- Dodane 01.05.2010 (So) 8:04 --

Jeszcze pozostaje kwestia autostartu środowiska, ale tutaj należałoby trochę pokombinować.


(roobal) #19

Jak pisał nintyfan - zbędny. Antywirus wykrywa głównie wirusy windowsowe.

Nie musisz nic instalować Gufw to graficzna nakładka na Ufw, który jest nakładką konsolową na IPTables, który znowu jest modułem jądra do zarządzania filtrem pakietów jądra Linux. Firewall a konkretnie filtr pakietów sieciowych wbudowany jest w jądro Linux. Gufw (Ufw)/IPTables służy jedynie do ustalania własnych bardziej rygorystycznych reguł filtra czy przekierowanie pakietów itp, dlatego jeśli nie zamierzasz konfigurować na własny sposób zapory to instalacja Gufw mija się z celem.

W te blokady KISa to ja bym tak do końca nie wierzył :slight_smile: Co do ataków na Linuksa to przez zaporę na pewno nie jest łatwo się przebić a włamania najłatwiej przeprowadzić przez błąd w oprogramowaniu - najczęściej luki w przeglądarkach - właśnie w ten sposób przejęto MacOS X na Pwn2Own, przez luki w przeglądarce Safari a tak to system był nie do ruszenia.

Prawda jest taka, że system 100% bezpieczny i bezbłędny nie istnieje i trzeba mieć tego świadomość i nie ważne czy to Windows czy Linux czy inny, każdy system, każde zabepiecznie można złamać. Różnica polega na tym, że jedne systemy łamie się szybko (Windows) a na inne trzeba poświęcić trochę czasu. Każda twierdza jest do zdobycia i jak to ktoś kiedyś powiedział: nie ma zamka na złodzieja :wink:

Tak poza tym głównym celem ataków na Linuksa są serwery :slight_smile: W przypadku każdego systemu trzeba po prostu myśleć - nie instalować czego popadnie z niewaidomych źródeł, nie podawać haseł administratora bez potrzeby i jak pisał nintyfan od czasu do czasu należy przeglądać logi :slight_smile:

Pozdrawiam!


(Adam Romanowski993) #20

I aktualizować system :).