|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
 |
|
|
|
|
|
|
|
ein auszug aus der faq von wildlist.org:
As far as where is 'out there', we like the definition
given by Paul Ducklin of Sophos, PLC in his paper
'Counting Viruses':
For a virus to be considered In the Wild, it must be
spreading as a result of normal day-to-day operations on
and between the computers of unsuspecting users.
This means viruses which merely exist but are not
spreading are not considered 'In the Wild'.
Das neue daran ist, dass der Virus sich allen "auf Linux können sich keine Viren verbreiten"-Rufen verbreitet. Denn nur Viren, die sich auch wirklich weiterverbreiten, kommen auf diese Liste.
.cruz
|
|
|
|
|
|
|
|
|
|
|
|
|
Bitte etwas mehr Infos. Wie soll sich der Virus "as a result of normal day-to-day operations" verbreiten? Jeder halbwegs brauchbare Sysadmin weiss, dass man nur das Nötigste als root macht und für den Rest einen Useraccount nimmt.
Wenn ich also diesen Virus starte, dann nur als User. Somit besteht eigentlich noch keine Gefahr für das System. Oder kann dieser Virus auch gleich noch die Maschine anhacken und nen root-exploit ausnutzen?
--
Diesen Satz bitte nicht lesen! Und diesen auch nicht!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Dann stelle dir mal 'ne Multiuser-Maschine, wie z.B. in 'nem Linux-Pool auf 'nem Uni-Campus vor, bei der der Administrator nicht bei jedem Wunsch auf weitere zu installierende Programme kuscht. Auf solchen Maschinen ist es durchaus üblich, daß irgendwo im HOME-Directory vom User veränderbare Binaries rumhängen. Oder nimm dir 'ne Entwicklermaschine: Da gibt's auch vom User veränderbare Binaries. Sprich: Es besteht eine gewisse Chance, daß der Virus Futter findet. Wenn das Teil dann erstmal denn Useraccount infiziert und die Backdoor gestartet hat, ist es nur noch eine Frage der Zeit, bis mal wieder 'n brauchbarer Rootexploit auftaucht und die Backdoor aufgerüstet wird (wie dem Artikel zu entnehmen, hat das Teil nämlich 'ne Update-Funktion).Hinzu kommt, daß sicher nicht alle Linux-Installationen gegen alle bekannten local-root-exploits gepatcht sind. Bei mir auf dem Campus funktionierte z.B. noch bis vor wenigen Wochen der altbekannte gettext-Exploit. Muß sowieso sagen: Beachtlich, beachtlich, was der Virenauthor so alles in winzig kleine 8KByte gequätscht hat... Von der Warte: Respect!
Außerdem: Was soll's daß die Binaries nicht schreibbar sind? Hier meine Infektionsroutine:
#!/bin/sh
cp backdoord somewhere
echo somewhere/backdoord \& >> ~/.profile
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Gefahr besteht doch schon auf 2 Arten: er kann sich trotzdem weiterverbreiten und er kann das System massiv lahmlegen, z.B. bei einem Web- oder Mail-Server mal den Speicher vollknallen oder einfach im Home des Users die Platte vollmüllen. Wenn der Admin die Platte schlecht partitioniert hat, legt er so schon ne ganze Menge lahm.
Und 3. fall er einen TCP-Dienst einrichtet, der einem Hacker den Zugang ermöglicht, kann dieser dort dann wunderbar versuchen, Root-Rechte zu erlangen: Fehler in S-Bit-Programmen sind doch wesentlich häufiger als bei Netz-Servicen.
Und was mir noch einfällt: Wenn einem Admin ein seltsames Programm bei einem User auffällt, das das System stört (eben über solche oben genannten Wege), wird er evtl. in dennen Home gehen und die Programm dort mal ansehen und vielleicht auch testen - als root durchaus! Und selbst wenn er das nicht macht, hat er vielleicht ./ im Suchpfad und der Virus hat ein Programm mit den klangvollen Name "ls" erzeugt - und wenn ./ vorne im Suchpfad steht: Bingo!
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
