Проверка исходников на наличие вредоносного кода.

amigo	# 12 лет, 3 месяца назад
Темы: 35 Сообщения: 2126 Участник с: 05 февраля 2007	Всё так. А что не так? Разберемся, голубчик!

vadik	# 12 лет, 3 месяца назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	Вобщем склепал следующее: #!/bin/bash echo 'Создаем папку для распаковки: /tmp/skan' mkdir /tmp/skan echo 'Распаковываем архив:' $1 tar -xvf $1 -C /tmp/skan echo 'Сканим архив' grep -i -n -r -f /путь_к_файлу_с_образцами /tmp/skan/* > ~/путь_к_файлу_логов echo 'Удаляем лишнее' rm -r /tmp/skan Теперь бы придумать как подсунуть скрипт ФМ (pcmanfm и nautilus).

vadik

# 12 лет, 3 месяца назад

Темы: 55

Сообщения: 5395

Участник с: 17 августа 2009

Вобщем склепал следующее:

#!/bin/bash
echo 'Создаем папку для распаковки: /tmp/skan'
mkdir /tmp/skan
echo 'Распаковываем архив:' $1
tar -xvf $1 -C /tmp/skan
echo 'Сканим архив'
grep -i -n -r -f /путь_к_файлу_с_образцами /tmp/skan/* > ~/путь_к_файлу_логов
echo 'Удаляем лишнее'
rm -r /tmp/skan

Теперь бы придумать как подсунуть скрипт ФМ (pcmanfm и nautilus).

sirocco	# 12 лет, 3 месяца назад
Темы: 29 Сообщения: 2501 Участник с: 25 июля 2007	vadik Теперь бы придумать как подсунуть скрипт ФМ (pcmanfm и nautilus). Неплохо ещё узнать, что такое пайпы. И не нужно будет временных каталогов. http://xgu.ru/wiki/stdin

Nebulosa	# 12 лет, 3 месяца назад
Темы: 10 Сообщения: 831 Участник с: 05 марта 2009	vadik Теперь бы придумать как подсунуть скрипт ФМ (pcmanfm и nautilus). http://g-scripts.sourceforge.net/faq.php

vadik	# 12 лет, 3 месяца назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	Спасибо, пошел изучать.

sirocco	# 12 лет, 3 месяца назад
Темы: 29 Сообщения: 2501 Участник с: 25 июля 2007	Любопытно, а clamav реагирует на пресловутое rm / -rf?

vadik	# 12 лет, 3 месяца назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	sirocco Неплохо ещё узнать, что такое пайпы. И не нужно будет временных каталогов. Что скажите? tar -xvf $1 \| grep -i -n -r -f /путь_к_файлу_с_образцами * > /путь_к_файлу_логов notify-send -u low -t 600000 -i /путь_к_изображению.svg "Проверка $1" "окончена"

sirocco	# 12 лет, 2 месяца назад
Темы: 29 Сообщения: 2501 Участник с: 25 июля 2007	А вот и grep в реальной жизни… http://www.opennet.ru/opennews/art.shtml?num=26945 Разработчики популярного свободного IRC-сервера UnrealIRCd опубликовали уведомление, в котором обнародовали информацию об обнаружении факта подмены злоумышленниками архива с исходными текстами программы. В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку. Добавленный троянский код представляет собой бэкдор (backdoor), предназначенный для организации лазейки для выполнения команд злоумышленников на сервере с привилегиями, под которыми запущен процесс UnrealIRCd. При этом бэкдор доступен злоумышленникам даже если IRC-сервер работает в режиме транзитного хаба или доступ пользователей к нему ограничен парольной авторизацией. Злонамеренный код обнаружен только в архиве Unreal3.2.8.1.tar.gz, не пострадали более старые версии, копии загруженные до 10 ноября 2009 года и код в CVS-репозитории проекта. Проверить наличие троянского кода можно выполнив в директории с исходными текстами команду “grep DEBUG3_DOLOG_SYSTEM include/struct.h”, если маска DEBUG3_DOLOG_SYSTEM не будет найдена, то код чист. http://mailman.archlinux.org/pipermail/arch-general/2010-June/013952.html

sirocco

# 12 лет, 2 месяца назад

Темы: 29

Сообщения: 2501

Участник с: 25 июля 2007

А вот и grep в реальной жизни…
http://www.opennet.ru/opennews/art.shtml?num=26945

Разработчики популярного свободного IRC-сервера UnrealIRCd опубликовали уведомление, в котором обнародовали информацию об обнаружении факта подмены злоумышленниками архива с исходными текстами программы. В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку.

Добавленный троянский код представляет собой бэкдор (backdoor), предназначенный для организации лазейки для выполнения команд злоумышленников на сервере с привилегиями, под которыми запущен процесс UnrealIRCd. При этом бэкдор доступен злоумышленникам даже если IRC-сервер работает в режиме транзитного хаба или доступ пользователей к нему ограничен парольной авторизацией.

Злонамеренный код обнаружен только в архиве Unreal3.2.8.1.tar.gz, не пострадали более старые версии, копии загруженные до 10 ноября 2009 года и код в CVS-репозитории проекта. Проверить наличие троянского кода можно выполнив в директории с исходными текстами команду “grep DEBUG3_DOLOG_SYSTEM include/struct.h”, если маска DEBUG3_DOLOG_SYSTEM не будет найдена, то код чист.

http://mailman.archlinux.org/pipermail/arch-general/2010-June/013952.html

vadik	# 12 лет, 2 месяца назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	Угу, очередной повод задуматься - а в нужном ли направлении мы катимся?

Nebulosa	# 12 лет, 2 месяца назад
Темы: 10 Сообщения: 831 Участник с: 05 марта 2009	vadik Угу, очередной повод задуматься - а в нужном ли направлении мы катимся? Ох, я вас умоляю.. какое еще направление? Этот случай как раз показывает бесполезность вашего однострочника, когда все проверили, rmrf нету, а бэкдор - пожалуйста! Проблему чистоты исходников нужно решать комплексно, через цифровые подписи, контрольные суммы и пр.. что как раз не сделали изначально разработчики этой программы.

Nebulosa

# 12 лет, 2 месяца назад

Темы: 10

Сообщения: 831

Участник с: 05 марта 2009

vadik
Угу, очередной повод задуматься - а в нужном ли направлении мы катимся?

Ох, я вас умоляю.. какое еще направление? Этот случай как раз показывает бесполезность вашего однострочника, когда все проверили, rmrf нету, а бэкдор - пожалуйста! Проблему чистоты исходников нужно решать комплексно, через цифровые подписи, контрольные суммы и пр.. что как раз не сделали изначально разработчики этой программы.