Artykuły reklamowe:
- Konserwacja komputera, defragmentacja dysku
- Kierowca do dyspozycji na cały dzień, czyli czym jechać na wesele
- Tanie i bezpieczne taxi bagażowe
- Happy Shark, czyli organizowanie imprez typu pikniki i festyny
- Furgała - inny wymiar drzwi zewnętrznych
- Kmakpol, czyli kompleksowe usługi transportowe
- POL-KRAK, wykonywanie form do urządzeń technologicznych
- Kmakpol, najlepsze gadżety reklamowe w kraju
Bliss
Wirus działa na innej zasadzie niż klasyczne „robaki” i jest wirusem nadpisującym. Pliki mogą zostać zarażone przez zwykłego użytkownika, ale przede wszystkim przez administratora systemu. Dlatego nie należy pracować na co dzień jako root.Bliss to bardzo inteligentny wirus, który działa na innej zasadzie niż klasyczne „robaki”. Powstał specjalnie dla systemów GNU/Linux. Działa na tyle precyzyjnie, że potrafi wykryć starszą wersję siebie i podmienić ją na aktualną. Dokonuje próby wykorzystania niewłaściwie zabezpieczonej usługi rsh, aby uzyskać cudzą tożsamość i przenosić się na inne maszyny. To jedna z niewielu rzeczy, które upodabniają go do "robaków". Bezpowrotnie zastępuje początek infekowanego programu swoim kodem, dlatego jest wirusem nadpisującym. Bliss próbuje infekować skrypty shella poza plikami binarnymi. Potrafi jednak tylko wyleczyć później te pliki, lecz nie jest w stanie tak zarażonych plików później poprawnie uruchomić. Bliss uruchomiony z opcją "--bliss-uninfect-files-please" próbuje usunąć swoje kopie ze znajdujących się na liście plików. Dzieje się to na podstawie zapisywania ścieżki wszystkich zarażonych programów w pliku /tmp/.bliss. To wszystko sprawia raczej wrażenie rezultatu prac naukowych niż złośliwego wirusa.
Pliki mogą zostać zarażone przez zwykłego użytkownika jeśli w systemie znajdują się jakieś pliki wykonywalne zapisywane przez wszystkich. Dlatego Blissa nie należy lekceważyć. [Reklama: bearshare, bearshare] Jednak przede wszystkim możemy go zaprosić do naszego systemu korzystając z konta administratora, dlatego powinniśmy logować jako root tylko wtedy, gdy jest to naprawdę niezbędne. Warto podjąć wszelkie działania profilaktyczne w celu określenia obecności wirusa w naszym systemie. Możemy sprawdzić swój system pod kątem obecności infekowanych plików z konta administratora systemu za pomocą dwóch poleceń. Tak znajdziemy pliki wykonywalne zapisywane przez wszystkich i wyświetlimy ich bliższe dane:
% find / -type f -perm -003 -exec ls -l {} \;;
Drugim poleceniem znajdziemy wszystkie pliki .rhosts oraz .shosts zawierające znaki "+" i wyświetlimy ich zawartość. To właśnie one stanowią poważną dziurę w bezpieczeństwie usług rsh i ssh, wykorzystywaną m.in. przez Blissa.
% find /home -name ".[rs]hosts" -exe ls -l {} \; -exec grep "+" {} \;;
Takie pliki należy natychmiast usunąć, jeśli ich istnienie nie jest w jakiś sposób uzasadnione. Należy zastosować ustawienia standardowe, jeśli nie ma szczególnych powodów do zachowania określonych atrybutów pliku:
% chmod 755 plik (czyli "-rwxr-xr-x")
Jakimś wyjściem z sytuacji jest też skorzystanie z publicznie dostępnych skanerów SATAN, ISS, COPS lub Tiger. Poza szukaniem konkretnych dziur w konkretnych usługach, wszystkie z nich sprawdzają także atrybuty plików wykonywalnych.
Tagi: Bliss, administrator, nadpisanie, wirus, infekowanie, polecenia, skanery, kopie plików