В каталоге GNOME-Look зафиксировано наличие вредоносного ПО

[Svictor]

В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look, зафиксировано наличие скрытой вредоносной вставки. После установки данного пакета в систему интегрируется специальный набор скриптов, предназначенный для подключения машины к проведению DDoS атак. Скрипт поддерживает удаленное получение заданий и способен самостоятельно обновить себя до более новой версии. Логика работы вредоносного ПО сводится к периодической загрузке и обычного shell скрипта, который затем запускается с правами root и выполняет, например, "ping -s 65507 хост".


Кроме того, подобный вредоносный код удалось обнаружить и в пакете с визуальной темой Ninja Black. Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.

При установке троянского пакета в системе появляются файлы /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh и index.php. Для излечения достаточно найти и удалить эти файлы, а также удалить пакет app5552 (sudo dpkg -r app5552).

Источник

[LexxTheFox]

Однако ж, линукс становится популярнее - вот уже и малварь для десктопов начала появляться

Вот, чёрт возьми, радость-то какая  

[wilful]

который затем запускается с правами root и выполняет, например, "ping -s 65507 хост".

Вирусня появляется, только всё как всегда зависит от пользователя =) Интересно в какой момент происходит запрост Рута? Ведь, для установки тем рут не нужен...

ЗЫ: Небось еще и депенсы требует))))

[ezhyk]

УБИЙСТВО!!!
А собственно зачем запускать ping из под рута? Это виндовая привычка?

[Zerocool]

от пользователя запускать - палево в логах же будет дикое
Даже в bash_history упасть должно

Да и мало ли, какие у тебя там настройки, модет фаервол какой запрещает всем в нет, кроме рута ломицо ))

[LexxTheFox]

Тема разделена. Часть обсуждения, относящаяся к административным вопросам, вынесена в отдельное закрытое обсуждение.

[LexxTheFox]

Интересно в какой момент происходит запрост Рута? Ведь, для установки тем рут не нужен...

ЗЫ: Небось еще и депенсы требует))))

Пакет упакован в .deb, так что в момент установки имеет права рута и может разместить что угодно и где угодно. Что, собственно, и делает: размещает в системе несколько скриптов. /etc/profile.d/gnome.sh автоматически запускается при каждом логине каждой загрузке и, в свою очередь, запускает /usr/bin/Auto.bash, который обновляет скрипт /usr/bin/run.bash и передаёт ему управление. В последнем злоумышленник может реализовать всё, что ему будет угодно: открыть бэкдор, организовать DDOS, покрасть адресную книгу из почтового клиента и.т.п. В общем, вся мощь /bin/sh в руках злоумышленника. НО! Для этого пользователь должен установить пакет собственными руками Пакет можно удалить штатными средствами, но своё "наследие" он сам стирать не станет, нужно удалить скрипты вручную. Депенсов не требует

На всякий случай явно уточню: это не вирус, не червь и даже не троян, а просто обманка, рассчитанная на невнимательного и беззаботного пользователя.

Мораль сей байки такова: если качаешь что-то с общественного ресурса, на котором взаимоотношения построены на принципах доверия, не забывай перед установкой проверять скачанное. Это так же, и даже в большей степени, касается сторонних репозиториев и оверлеев - там всё и вся самостоятельно подвергать аудиту перед установкой практически нереально - слишком много пакетов. В полной мере доверять можно только официально поддерживаемым репозиториям дистрибутивов.

УБИЙСТВО!!!
А собственно зачем запускать ping из под рута? Это виндовая привычка?

Да нет. Просто в /etc/profile.d/ располагаются скрипты, предназначенные для задания значений системных переменных и иже с ними, эти скрипты выполняются при загрузке с правами рута в процессе инициализации системы. Вот туда-то злодей и подсунул скрипт gnome.sh

от пользователя запускать - палево в логах же будет дикое
Даже в bash_history упасть должно

Не должно. В bash_history падает только то, что было выполнено интерактивно. Выполняемые в фоне скрипты тоже логируются далеко не все. Во всяком случае по умолчаанию. Мало у кого логирование настроено в соответствии с обычной, здоровой паранойей

Да и мало ли, какие у тебя там настройки, модет фаервол какой запрещает всем в нет, кроме рута ломицо smile))

А это и ещё большая редкость.

[Zerocool]

Ну, учитывая уровень паранойи некоторых...

Хотя, в сущности, я так и не понял смысла устанавливать данный пакет

Там что, мегакрасивая вещь какая что ли?

[wilful]

Я с этого ресурса ничего не ставил в виде деб пакетов оО... Качаешь тему, и руками пропихиваешь куда нада, чет не понятно

[Yakoff]

Я с этого ресурса ничего не ставил в виде деб пакетов оО... Качаешь тему, и руками пропихиваешь куда нада, чет не понятно

  Вот, вот... Также не понятно. Пару раз ради интереса смотрел этот ресурс, взял пару темок... посмотрел и ручками вставил куда нужно.
  2LexxTheFox. Верно говоришь, смотреть нужно. Я хоть имею и маленький опыт с Linux, но все же что попало не ставлю.

[LexxTheFox]

Хотя, в сущности, я так и не понял смысла устанавливать данный пакет
Там что, мегакрасивая вещь какая что ли?

Ну бывают в природе любители свистелок и .. ээ .. гремелок
UPD: Xscreensaver, кстати, в стандартной поставке очень богат, в него входит тьма тмущая скринсейверов на все вкусы жизни. Я как-то часа полтора потратил разглядывая их. Встречаются потрясающе красивые. А blocktube даже натягивал на рабочий стол вместо обоев в флюксбоксе. Выглядело очень красиво.

Я с этого ресурса ничего не ставил в виде деб пакетов оО... Качаешь тему, и руками пропихиваешь куда нада, чет не понятно

Я тоже пару тем оттуда качал, просто в архивах. Но там, по-моему, жёстких правил на этот счёт нет, так что никто не мешает выкладывать дебки. Это даже на первый взгляд могло бы показаться заботой о посетителе