p2u

Следим за вирусами на Линукс

В этой теме 21 сообщений

На такие ссылки любой линуксоид ответит, что все это ерунда и вирус под Линуксом еще нужно суметь запустить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На такие ссылки любой линуксоид ответит, что все это ерунда и вирус под Линуксом еще нужно суметь запустить :)

Например, как в этом обсуждении;) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Например, как в этом обсуждении;) ?

Точно. Эта мантра повторяется везде, где только заходит речь о вирусах под Линукс :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На такие ссылки любой линуксоид ответит, что все это ерунда и вирус под Линуксом еще нужно суметь запустить

Так ещё говорили про висту когда она только появилась ^_^

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Например, как в этом обсуждении;) ?

Явно, уровень тролльства линуксойдов выше ... а то можно было бы задавить аргументами их. Зовите меня в следующий раз -))

UPD

Я исключительно про тролльство тут говорю...

и в шутку -))

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Задавите меня аргументами пожалуйста=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Явно, уровень тролльства линуксойдов выше ... а то можно было бы задавить аргументами их. Зовите меня в следующий раз -))

Один в поле воин? если да, то велком ту linux.org.ru :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Например, как в этом обсуждении;) ?

Статья на viruslist.com и в правду неодназначная.

По сути дела упоминается лишь обнаружение двух новых вредоносных программ под *nix

(иными словами констатируется просто сам факт наличия вредоносных программ для *nix),

а в заголовке и заключении размещаются кричаще громкие строки об "Очередном опровержение мифа о безопасности *nix"

и "Временах безопасности *nix-систем", которые "давно прошли" .

Т.е. внятной аргументации "опровержения мифа о безопасности *nix" не преведено,

а однозначный вывод сделан.

На вопрос о методе заражения, автор статьи ответил на другом ресурсе, но тоже, как-то своеобразно:

"Пример описан в комментах... может так и есть... + эти скрипты тоже не мои)"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Статья на viruslist.com и в правду неодназначная.

По сути дела упоминается лишь обнаружение двух новых вредоносных программ под *nix

(иными словами констатируется просто сам факт наличия вредоносных программ для *nix),

а в заголовке и заключении размещаются кричаще громкие строки об "Очередном опровержение мифа о безопасности *nix"

и "Временах безопасности *nix-систем", которые "давно прошли" .

Т.е. внятной аргументации "опровержения мифа о безопасности *nix" не преведено,

а однозначный вывод сделан.

На вопрос о методе заражения, автор статьи ответил на другом ресурсе, но тоже, как-то своеобразно:

"Пример описан в комментах... может так и есть... + эти скрипты тоже не мои)"

Миф заключается в том, что вирусов нет, а любой вредоносный софт очень сложно на них запустить.

Так мне и не только отвечали многие линуксойды на различных форумах.

Так что заголовок вполне справедлив.

Предлагаю вынести обсуждение той статьи в отдельную тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Миф заключается в том, что вирусов нет, а любой вредоносный софт очень сложно на них запустить.

Так мне и не только отвечали многие линуксойды на различных форумах.

Так что заголовок вполне справедлив.

Если бы миф заключался "в том, что вирусов нет", вряд ли бы у кого-то возникли

вопросы, а на virusinfo возникло бы обсуждение.

Никто из адекватных людей не отрицает тот факт, что вредоносные программы для *nix существуют,

причем уже не год, не два, и не пять. Не в этом дело.

Основной посыл статьи, заключается в фразе: "Очередное опровержение мифа о безопасности *nix".

Мне трудно воспринять эту фразу иначе, чем утверждение, подразумевающее небезопасную архитектуру *nix-образных систем.

Приведенные примеры двух новых вредоносных программ, подкрепить подобное утверждение не могут.

В общем-то примерно об этом на virusinfo уже написали, например,в этом сообщении.

(в той его части, которая относится непосредственно к обсуждению)

Если же автор статьи хотел всего лишь опровергнуть миф о том, что вредоносных программ для *nix не существует,

следовало бы так и озаглавить статью, например: "Очередное опровержение мифа об отсутствии вредоносных программ для *nix систем"

(хотя какую практическую ценность имела бы констатация очевидных фактов, мне было бы не понятно),

а не пытаться придать заурядной новости о двух новых вредоносных программах, ауру ниспровергателя "мифа о безопасности *nix".

Предлагаю вынести обсуждение той статьи в отдельную тему.

А какой в этом смысл, чем обсуждение статьи о двух новых вирусах для *nix,

отличается от этой темы - "Следим за вирусами на Линукс / Последние вирусы на Линукс" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Недавним примером уязвимости *nix-систем стали обнаруженные ЛК трояны Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.

Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения:

a1.jpg

Второй троян является исполняемым файлом для Linux и FreeBSD. Он расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт:

a2.png

Они были обнаружены на серверах, зараженных трояном Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ.

Ссылка на полную версию статьи >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чтобы все поняли: я создал данный топик в качестве шутки. Я всё удивляюсь: когда пользователи *nix спрашивают при каких обстоятельствах именно заражается система, что ответа нет; только понты. Понятно, что многие это воспринимают как попытку напугать пользователей Windows, чтобы те не смели переходить на *nix... :rolleyes:

P.S.: Кто-нибудь ответ знает?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кто-нибудь ответ знает?
Следим за вирусами на Линукс

Вот понаблюдаем и узнаем ответ. :)

я создал данный топик в качестве шутки.

Но тема то нешуточная. И не в разделе про юмор.

Поздно, вирусописатели намёк уже поняли. Строчат во всю ивановскую. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если бы миф заключался "в том, что вирусов нет", вряд ли бы у кого-то возникли

вопросы, а на virusinfo возникло бы обсуждение.

Если же автор статьи хотел всего лишь опровергнуть миф о том, что вредоносных программ для *nix не существует,

следовало бы так и озаглавить статью, например: "Очередное опровержение мифа об отсутствии вредоносных программ для *nix систем"

(хотя какую практическую ценность имела бы констатация очевидных фактов, мне было бы не понятно),

а не пытаться придать заурядной новости о двух новых вредоносных программах, ауру ниспровергателя "мифа о безопасности *nix".

ну-ну: "Очередное опровержение мифа об отсутствии вредоносных программ для Ubunte 9.04, 9.05............ Mandriva 10.01 ..... при бутфорсе пароля, рот поднятом фтп-сервере"

давайте выносить уже тогда весе содержание в название статьи.

Вы хотите сказать, что *nix абсолютно безопасная система? Если нет, тогда вы соглашаетесь с автором статьи.

Дальнейшее обсуждение, "как бы обозначить статью, что бы ни у кого не возникало вопросов", считаю лишним, т.к. уже назвали.

И просто некоторым, нужно полегче реагировать. А не начинать показывать свои знания в области никсов, доказывая что автор, ничего не понимает.

Пускай самоуверждаются в другом месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы хотите сказать, что *nix абсолютно безопасная система?

Этого никто не утверждал.

Также, автор статьи не использовал приведенное Вами слово "абсолютно", и написал в статье

об "Очередном опровержении мифа о безопасности *nix", а не об "Очередном опровержении мифа о абсолютной безопасности *nix".

Если бы это было не так, вопросов, как я уже писал, ни у кого бы не возникло. Была бы просто констатация общеизвестного факта,

вряд ли способная кого-либо заинтересовать. Но вместо этого, автор использовал категоричные обороты,

которые и вызвали ряд вопросов к статье.

И просто некоторым, нужно полегче реагировать. А не начинать показывать свои знания в области никсов, доказывая что автор, ничего не понимает.

Пускай самоуверждаются в другом месте.

Я не совсем понимаю такую эмоциональную и ничем не аргументированную реакцию с Вашей стороны.

В обсуждении на virusinfo.info адекватные участники высказали свое мнение, подкрепив его конкретными аргументами,

как мне кажется, более внятными, чем комментарий автора: "Пример описан в комментах... может так и есть... + эти скрипты тоже не мои)".

К тому же, мне показалось, что priv8v достаточно тактично пояснил,

чем, высказавшие свое альтернативное мнение на virusinfo.info участники, отличаются от детей-крикунов на соответствующих ресурсах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для меня ключевые слова 2 статьи:

Обнаружен пользователем на своём сервере
спам-боты появились на их серверах вследствие 3-х основных причин:

1. кража пароля от FTP, с помощью вредоносных программ;

2. перебор паролей от FTP, SSH по словарю;

3. проникновение через phpbb.

.

Особенно пункты 1 и 2 убивают, конечно (должны быть ОЧЕНЬ слабенькие пароли и очень непрофессиональное отношение владельца), но насколько они связаны с уязвимостями в самих системах *nix мне не совсем ясно.

P.S.: Думаю, что многим было бы интереснее узнать, как дело обстоит с рабочими станциями. Сервера это и так понятно, что легко взломаются; это уже годами так. А лох есть лох - разницы нет, работает ли он на Windows или на *nix...

P.S.: Показали бы drive-by download на *nix + захват системы - вот это было бы круто.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Особенно пункты 1 и 2 убивают, конечно (должны быть ОЧЕНЬ слабенькие пароли и очень непрофессиональное отношение владельца),

но насколько они связаны с уязвимостями в самих системах *nix мне не совсем ясно.

Коллега автора статьи высказал свое мнение еще более лаконично:

...речь идет об элементарной безалаберности и пренебрежении основными принципами компьютерной безопасности - такими как стойкие пароли,

хранение их в надежном месте... Т.е. закрывать в таких случаях какие то дыры не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Следим за вирусами на Линукс, на viruswatch ЛК...

А дальше поползут разговоры про: антивирус на Linux да, а мне дайте два! и т.д.

:facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по моему писать под никс вирусы глупое занятие))) ибо это не то на что охотятся, а то чем охотятся

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • ViktorFazz
      я себе недавно построил тоже)))
    • AM_Bot
      В статье рассказано о возможностях системы StaffCop Enterprise 4.1 в части аналитики поведения пользователей и выявления аномалий. StaffCop Enterprise — это специализированный продукт с функциями UEBA, DLP и SIEM. Он предназначен для решения комплекса задач по защите от утечек информации, расследования инцидентов внутри организации, контроля бизнес-процессов и мониторинга использования рабочего времени сотрудниками.   ВведениеСбор данныхСтатистический анализИнтеллектуальный анализ. Автоматический детектор аномалийПредупреждение и расследованиеДополнительные возможности StaffCopВыводы  ВведениеОдна из основных, самых серьезных угроз для бизнеса сегодня — это утечки конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные сотрудники компаний — инсайдеры. Инсайдером может стать абсолютно любой сотрудник: и молодой сисадмин, и сотрудница бухгалтерии. Мотивы у них могут быть совершенно различные: подкуп со стороны конкурентов или заинтересованных лиц, шантаж, личная выгода и многое другое.Традиционно для защиты от утечек применяются системы класса DLP. Но чем сложнее и изощреннее становятся методы атак, тем сложнее DLP-решениям контролировать потенциальные каналы утечек. Классический алгоритм выявления инсайдеров и предотвращения утечек (настроить правило контроля/блокировки — получить уведомление об утечке) работает уже не так эффективно: выявить утечку данных сложно и долго, если, например, «слив» произошел через разрешенные каналы (USB-носители, мессенджеры) и пользователь при этом имел санкционированный доступ к ресурсам.Одним из новых, но достаточно эффективных методов детектирования инсайдеров стал анализ поведения пользователей и выявление аномалий в их поведении. Подход подразумевает, что необычная активность, не соответствующая стандартному профилю, может более точно указывать на потенциальные инциденты информационной безопасности. По классификации Gartner, этот класс решений называется User and Entity Behavior Analytics (UEBA). Это новый тренд, активно набирающий обороты на рынке информационной безопасности. Решения этого класса анализируют образцы поведения пользователей, применяя специализированные алгоритмы и статистический анализ для детектирования значительных аномалий в поведении, указывающих на потенциальные угрозы. Таким образом, UEBA призваны заблаговременно обнаружить и предупредить об отклонениях в поведении.StaffCop Enterprise, о котором мы подробно поговорим в этой статье, — это специализированный продукт с функциями UEBA, DLP и SIEM. Он помогает решать комплекс задач по предотвращению утечек информации, расследованию инцидентов, если таковые произошли, а также контролировать бизнес-процессы и то, как рабочее временя используется сотрудниками. Сбор данныхИнформационная безопасность складывается из двух взаимодополняющих частей: предупреждение и расследование инцидентов. Оба механизма работают быстро и эффективно благодаря архитектуре StaffCop: агенты на рабочих станциях собирают информацию (события), а вся обработка происходит на выделенном сервере.Каждый тип события имеет свой набор измерений, по которым события разных типов могут быть связаны между собой. Каждое событие имеет стандартный набор измерений — данные о компьютере, пользователе, дате и времени, а также собственные атрибуты характерных для данных событий. Например, события типа «почта» имеют дополнительные измерения — данные о приложении, атрибуты, специфичные для диалогов: направление (входящие/исходящие), отправитель, получатель, формат сообщения, канал общения, участники переписки. Рисунок 1. Контроль каналов утечки информации Типы событий в StaffCop Enterprise:время активности — данные о наличии активности;ввод с клавиатуры;вход/выход из системы;посещение сайтов;операции с файлами;сеть — события, связанные с сетевыми подключениями, содержат информацию об IP-адресе подключения и сокете;снимок экрана;снимок с веб-камеры;запись с микрофона;внешние диски — данные об операциях со съемными USB-накопителями;установка ПО — факты установок и деинсталляции программного обеспечения;буфер обмена;интернет-пейджер;почта;перехваченный файл;устройства — данные о подключении и отключении USB-устройств, в том числе тех, которые не являются накопителями;активность — данные, собранные при помощи модуля контроля присутствия на рабочем месте;системный лог — используется для хранения логов агента при отладке;печать документов. Статистический анализВ основе StaffCop Enterprise лежит технология комплексного многомерного анализа данных OLAP, которая позволяет строить многомерные отчеты «на лету» и обрабатывать огромные объемы данных за секунды.Давайте рассмотрим несколько примеров, как в StaffCop можно анализировать поведение пользователей и быстро выявлять их опасные действия на основе статистики с помощью конструктора отчетов, различных таблиц и графиков.Поиск и расследование аномалий на примере файловых операцийЗадача: проанализировать операции копирования файлов с участием съемных носителей. Найдем отклонения от нормального поведения и всплески активности, узнаем, кто это был, что и когда было скопировано.Самым наглядным способом будет построить линейный график количества событий копирования файлов на съемные носители.  Сделать это очень просто — указать интересующий интервал времени, в конструкторе отчетов ограничить набор данных по измерениям «операции копирования», «тип диска: Removable» и выбрать вид отображения «Линейный график». Рисунок 2. Линейный график количества событий копирования файлов Невооруженным взглядом видно значительное превышение фактов копирования файлов в один из дней. При нажатии на вершину графика можно перейти к списку всех операций копирования в этот день.Для детализации данных можно просто кликнуть на нужный узел графика. На картинке ниже мы «провалились» глубже и визуализировали полученные данные с помощью гистограммы, разбив в конструкторе данные по пользователям. Рисунок 3. Детализация данных: гистограмма Если вы предпочитаете числовые значения графическому представлению можно воспользоваться таблицами. Рисунок 4. Визуализация отчета: числовые значения Стоит отметить, что все графики и таблицы имеют собственный конструктор для быстрой детализации и уточнения данных. Рисунок 5. На тепловой диаграмме можно оценить интенсивность и время всех операций исследуемого пользователя В нашем случае пользователь непрерывно копировал файлы с 11:15 до 13:37. В просмотрщике событий легко догадаться, что это исходные коды одного из дистрибутивов Linux, которые были скопированы с жесткого диска на флэш-накопитель Kingston DataTraveler 2.0 USB Device. Рисунок 6. Детализация события в StaffCop Enterprise Таким образом можно быстро и эффективно находить нетипичную активность пользователей или программ. Такие действия применимы практически к любым видам событий.Опасные действия чаще всего возникают при спонтанной активизации:обращения к личной почте;сетевая активность приложений;подключение съемных USB-устройств: флэшек, телефонов и т. п.;использование принтера;активность во внерабочее время. Интеллектуальный анализ. Автоматический детектор аномалийДля того чтобы упростить работу сотрудника службы безопасности для аналитики действий пользователей и выявления отклонений в StaffCop реализован автоматический детектор аномалий. Он анализирует поведение пользователя за выбранный период времени и показывает отклонения от нормального поведения. Рисунок 7. Автоматический детектор аномалий в StaffCop Enterprise Например, каждый сотрудник ежедневно использует одни и те же приложения примерно одинаковое число раз. Если число операций многократно превышает стандартное значение, то StaffCop Enterprise выдает такое событие за аномальное поведение, что может являться потенциальной угрозой.Поиск и расследование аномалий на примере копирования в облакоРабочая инструкция офицера безопасности предприятия может включать различный набор инструкций. В этом примере одной из таких еженедельных рутинных задач является проверка фактов копирования файлов в облачные сервисы.Детектор аномалий позволяет в автоматическом режиме находить отклонения от стандартного поведения пользователей. Для того чтобы эта функция корректно работала, необходимо задать представительный промежуток времени, чтобы система смогла построить паттерны поведения и найти в них отклонения от нормы. Поэтому выбираем 30-дневный период. Рисунок 8. Выбор временного периода для запуска Детектора аномалий Чтобы запустить Детектор аномалий, необходимо нажать соответствующую опцию в выпадающем меню Отчеты. Рисунок 9. Запуск «Детектор аномалий» в StaffCop Enterprise В появившемся отчете находим, что пользователь Oksana в семь раз превысила свою же норму копирования файлов в облачный сервис Dropbox.com. Рисунок 10. Отчет по аномалиям в StaffCop Enterprise Простой комбинацией фильтров в Конструкторе располагаем данные в отчете таким образом, чтобы название считанного с жесткого диска файла появлялось в таблице операций рядом с именем передаваемого в облачный сервис файла. Рисунок 11. В отчете StaffCop Enterprise видно, кто, когда и какие файлы передавал за периметр сети На приведенном скриншоте видно, что в 12:58:28 12 сентября 2017 г. файл «Технико-коммерческое предложение StaffCop Enterprise.docx» был считан с жестокого диска компьютера пользователя Oksana, а в следующую секунду (12:58:29) этот же файл был передан в облачный сервис.Вывод: при помощи Детектора аномалий, встроенного в StaffCop Enterprise 4.1, возможно выявлять инциденты автоматически. Предупреждение и расследованиеДля предупреждения угроз StaffCop имеет емкую библиотеку встроенных фильтров и предоставляет широкие возможности для построения собственных: это может быть ключевая фраза, файл или любое другое событие на компьютере пользователя.Кроме того, в системе предусмотрены также исключающие фильтры (анти-фильтры) — можно исключить из выборки заведомо неинтересные события. Таким образом, возможно коррелировать и фильтровать любые события, содержащиеся в базе данных. Рисунок 12. Исключающие фильтры (анти-фильтры) в StaffCop Enterprise 4.1 Способ оповещения о сработавшем фильтре можно настроить в зависимости от срочности: отправкой сообщения на электронную почту офицера ИБ или уведомлением в панели администратора StaffCop. Дополнительные возможности StaffCopStaffCop Enterprise позволяет также легко контролировать дисциплину сотрудников, выявлять блокирующие факторы и расследовать причины их появления:Учет рабочего времени сотрудников в онлайн-режиме (табель учета рабочего времени, детализированные отчеты о рабочем времени каждого сотрудника).Контроль присутствия на рабочем месте.Снимки экрана.Просмотр удаленного рабочего стола и удаленное управление.Подключение к рабочему столу пользователя осуществляется прямо из консоли администратора в браузере, при желании можно захватить управление компьютером. Рисунок 13. Удаленное подключение к рабочему столу сотрудника компании ВыводыStaffCop Enterprise представляет собой мощный набор инструментов для анализа событий и информации, что позволяет оценивать и контролировать продуктивность сотрудников за компьютерами, быстро и точно расследовать инциденты информационной безопасности внутри предприятия, а также решить широкий спектр задач, связанных с ИБ-аналитикой. С помощью StaffCop Enterprise можно контролировать критичные информационные ресурсы на предмет подозрительной активности и нетипичного поведения.Система имеет гибкую настройку фильтров и оповещений, поэтому возможную утечку или вторжение удается обнаружить на ранней стадии, чем существенно сократить последствия. Глобальная система записи всех возможных событий позволяет в случае произошедшего инцидента быстро добраться до источника утечки и точно назвать время, автора и объем утраченной информации. Тепловые карты активности, графы взаимодействий сотрудников и движения информации, настраиваемые графики событий, предустановленные и пользовательские фильтры — все это помогает отследить любой сценарий поведения. Для анализа не нужно обладать специальными знаниями: достаточно понимать, что ищешь, и просто выбирать поля в форме.Таким образом, StaffCop Enterprise позволяет сократить время, требуемое как на обнаружение реальной угрозы, так и на дальнейшее расследование инцидентов с критичными данными. Читать далее
    • Valeron
      Кто делает ставки на футбол, посоветуйте букмекера? 
    • Valeron
      Нужно уметь работать на дому)
    • Valeron