Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Большинство антивирусов подвержены атаке через символические..."	+/–
Сообщение от opennews (ok), 21-Апр-20, 12:49
Исследователи из компании RACK911 Labs обратили внимание на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52779
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

6. Сообщение от Аноним (6), 21-Апр-20, 12:57	+/–
Речь идёт о символьных ссылках, а не указателях на ячейки памяти, то есть кривописатели не проверяют, ссылка ли перед ними аль файл, поэтому вопросы все к кривописателям, а не языку программирования.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от КО (?), 21-Апр-20, 12:59	–3 +/–
Как страшно жить... Веба как всегда в списке нет ну и поф.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #26, #48

9. Сообщение от Аноним (9), 21-Апр-20, 13:07	+4 +/–
Касперский все равно что McAffee, и ничего он не защищает, а вот взлом Касперского, когда я стдел на Винде было уже несколько раз! Причем, те дыры, которые есть в Винде, позволяют с легкостью отключить Касперский из трея. Да и обновления базы Касперского ничего не дают, плохо они справляются с поиском вирусов. В основном удаляют те файлы, которые не содержат вирус. А зараженные вылечить не в состоянии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #25, #80, #85, #98

10. Сообщение от Аноним (10), 21-Апр-20, 13:09	+12 +/–
Никто и не смнивался, что в антивирусной отрасли большинство "сапожников без сапог". Ещё нужно хорошо взвесить, что важнее защита от вирусов или угрозы от компрометации антивирусного ПО.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

12. Сообщение от КО (?), 21-Апр-20, 13:24	+3 +/–
Важнее лишняя производительность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #30

13. Сообщение от нона (?), 21-Апр-20, 13:34	+4 +/–
Тоже новость, security продуктами управляют самые хитропопые продажники. Качество соответствующее. На внутрянки всяких WAF без слез нельзя смотреть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

14. Сообщение от Anonymouse (?), 21-Апр-20, 13:36	+7 +/–
ADinf32 не подвержен, пронесло
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

15. Сообщение от Аноним (17), 21-Апр-20, 13:39	+/–
Красиво
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от ryoken (ok), 21-Апр-20, 13:40	–1 +/–
Как ни смешно, а G-Data в списке дуршлагов не нашёл :D.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

17. Сообщение от Аноним (17), 21-Апр-20, 13:42	+1 +/–
Так если продажи итак идут зачем им заморчиваться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #31

18. Сообщение от Tita_M (ok), 21-Апр-20, 13:43	+2 +/–
Нет потому что не уязвим? Или потому что не популярен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от vitalif (ok), 21-Апр-20, 13:45	+4 +/–
Офигеть, сколько антивирусов под линукс существует, а мужики-то не знают! То есть ClamAV оказался единственным, кто нормально себя ведёт?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #59, #104

23. Сообщение от Tita_M (ok), 21-Апр-20, 13:59	–2 +/–
У Касперского нужно настройки паролем защищать к тому же у них вроде даже нету защиты от эмуляции действий пользователя, т.е. через всякие программы удалённого доступа можно отключить антивирус. Мне нравиться как сделано в Доктор Вебе. Там чтобы изменить настройки нужно перейти в программе в специальный режим администратора, т.е. нужно знать пароль от админа компьютера так что пользователь машины если он работает под юзерской учёткой не сможет отключить антивирус или изменить настройки в отличие от Касперского. Плюс к этому имеются стандартная парольная защита и запрет на эмуляцию действий пользователя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #37

25. Сообщение от Она их (?), 21-Апр-20, 14:04	+2 +/–
Взломать можно всё! На каждый антивирус найдётся свой буравчик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

26. Сообщение от Она их (?), 21-Апр-20, 14:09	+3 +/–
Все антивирусу - это от лукавого. Полная фигня. Забросил эту ахинею несколько лет назад, не установлено ни одного АВ. Никакой разницы нет. Что с ним не знал, где люди вирусы берут, что без него. А некоторые дебилоиды по несколько установят и сидят корячатся. И все равно умудряются поймать трипе... вирусняк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #122

27. Сообщение от Аноним (27), 21-Апр-20, 14:11	+1 +/–
Эх... вот если бы антивирусник весь хоум пользователя перемещал бы в каталог quarantine - это был бы номер, прям в тему.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

28. Сообщение от An (??), 21-Апр-20, 14:26	+/–
Ну красавчики же )
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74

29. Сообщение от Аноним (62), 21-Апр-20, 14:36	+3 +/–
Нет, просто он не умеет мониторить ФС, поэтому ничего автоматом не удаляет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #120

30. Сообщение от Аноним (30), 21-Апр-20, 14:46	+22 +/–
Некоторые антивирусные решения предполагают, что компьютер пользователя предназначен только для поиска и удаления вирусов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #45

31. Сообщение от Аноним (30), 21-Апр-20, 14:47	–4 +/–
Нормальная убогая логика старого компьютерщика: работает - не тронь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #36, #41, #44, #53

32. Сообщение от Аноним (30), 21-Апр-20, 14:50	+3 +/–
Зачем, если кое-какие популярные ОС сами это делают при обновлении.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от evkogan (?), 21-Апр-20, 14:50	+1 +/–
Отсутствие всяких drweb и др. в списке это скорее всего не тестировали. Но в списке нет TrendMicro. А это один из самых распространенных в мире. Хотя странная подача материала, дать список уязвимых и не дать списка тестированных
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #43

34. Сообщение от vz_2 (?), 21-Апр-20, 15:02	+3 +/–
Подозрительно, в списке нет Windows Defender.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #61, #70, #73

35. Сообщение от vz_2 (?), 21-Апр-20, 15:05	+/–
Вернее уже Microsoft Defender
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от mfa (?), 21-Апр-20, 15:11	+11 +/–
ненормальная логика малолетнего дебила - построить неработающее вместо сломанного работающего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #54

37. Сообщение от Timoteo Cirkla (ok), 21-Апр-20, 15:21	+3 +/–
На самом деле нет. При любом удалённом доступе кошмарский недоступен для того, кто подключился к компьютеру удалённо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #66

38. Сообщение от ффф (?), 21-Апр-20, 15:37	+7 +/–
Adinf не антивирус, а дисковый монитор. А вот aidstest - антивирус :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #109

39. Сообщение от robot228 (?), 21-Апр-20, 15:57	–2 +/–
не ав а помойка какая-то ну разве что каспер может претендовать на звание подручный фсб т.е. наверное знали об этом но не исправляли целенаправленно. почему нету нода дрвеба и от мс - загадка.
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от snmp agent (?), 21-Апр-20, 16:15	+/–
Реклама стоит денег )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

41. Сообщение от Аноним (41), 21-Апр-20, 16:17	+2 +/–
Зачем ломать то что работает? Только потому что ты молодой "компьюторщик?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #58

42. Сообщение от Ordu (ok), 21-Апр-20, 16:22	+2 +/–
А как антивирус может избежать такого? Мне в голову приходит только что-то в стиле: chdir(downloads_dir_name); if(av_check(downloaded_file_name)) {     unlink(downloaded_file_name); } Но довольно уродливо жеж: 1. chdir надо делать, фактически манипулируя глобальным состоянием процесса, что сакс. 2. антивирь висит фоновым процессом, и если он делает chdir в другую файловую систему, то хрен её отмонтируешь, пока он оттуда не свалит, что тоже минус 3. race-condition не убирается полностью. В смысле уязвимость устраняется, но а если кто-нибудь в это время сделает mv, и заменит файл? Первый файл будет удалён этим mv, а мы удалим то, что придёт на замену. Можно подключить inotify, но мне кажется это не спасёт полностью.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #50, #51, #68, #72

43. Сообщение от Аноним (108), 21-Апр-20, 16:31	+/–
>всяких Несколько раз сталкивался, что вирусы видел только drweb (ни нод, ни каспер не справились). Впрочем, ещё больше случаев было, когда он ничего не смог, и успешным оказался один из нод и каспер (но не оба, один из них постоянно пропускал). Что действительно странно, так это то, что нет самого распространённого от МС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #88

44. Сообщение от Аноним (45), 21-Апр-20, 16:34	+/–
Этот твой антипаттер называется "преждевременная оптимизация" можешь погуглить что это значит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #60

45. Сообщение от Аноним (45), 21-Апр-20, 16:35	+6 +/–
Чем медленнее работает браузер тем меньше вирусов им получится скачать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #47, #65

46. Сообщение от Аноним (46), 21-Апр-20, 16:41	+1 +/–
1) вместо chdir + unlink можно сделать unlinkat 2) см. 1. Чтобы отмонтировать, по-моему, достаточно закрыть за собой дескриптор директории 3) гонка внутри директории не убирается, но хотя бы есть гарантия, что файл удаляется из нужной директории, а не из /etc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #119

47. Сообщение от Аноним (62), 21-Апр-20, 16:43	+6 +/–
В этом плане современные браузеры достаточно защищены, чтобы обходиться без антивирусов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от Z (??), 21-Апр-20, 16:44	+2 +/–
Они запрещают тестирование и публикацию результатов тестирования со своим антивирусом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #62, #141

49. Сообщение от Аноним (62), 21-Апр-20, 16:45	+2 +/–
Самые безопасные — антивирусы Попова и Бабушкина. На них ни одного CVE нет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #67

50. Сообщение от Аноним (108), 21-Апр-20, 16:45	+2 +/–
Запоминать иноду проверяемого файла и удалять по ней? И после удаления убеждаться, не появилось ли чего на месте удалённого? Сабж из новости не баг, а фича, как же бесит софт, файлы которого не переместить в другое место подобным образом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #52, #95

51. Сообщение от Аноним (46), 21-Апр-20, 16:49	+/–
И ещё насчёт 3 — не уверен, что делается именно так, но антивирус может проверить файл на вирусы, и если он заражён, поместить в свою внутреннюю директорию с карантином, в которой настроены нужные права и которой он управляет единолично. В ней уже можно сверить номер inode с номером inode заражённого файла — если совпадают, удалить, если нет — восстановить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #127

52. Сообщение от Аноним (46), 21-Апр-20, 16:53	–1 +/–
А как удалить файл по inode? unlink принимает путь, а не inode
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #55

53. Сообщение от Урри (?), 21-Апр-20, 16:55	+1 +/–
Леня, перелогиньтесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

54. Сообщение от Аноним (54), 21-Апр-20, 17:21	–1 +/–
Как раз не малолетнего. Малолетние по всей Америке коболистов ищут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #63

55. Сообщение от Аноним (108), 21-Апр-20, 17:26	–1 +/–
> А как удалить файл по inode? unlink принимает путь, а не inode debugfs емнип
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

57. Сообщение от Аноним (57), 21-Апр-20, 17:34	–3 +/–
POSIX устарел - нужно менять его
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #69, #76, #110

58. Сообщение от Аноним (54), 21-Апр-20, 17:48	–2 +/–
Это недостаточная причина?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

59. Сообщение от Аноним (59), 21-Апр-20, 17:54	+/–
Да, это же форк антивируса Попова
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

60. Сообщение от Аноним (54), 21-Апр-20, 17:57	–2 +/–
Кнут? Так там и сказано - старого компьютерщика. А чтобы решиться всё сломать, когда перспектива работающего (пока что) решения туманна и сделать заново - надо быть Джобсом, Королёвым, Лавочкиным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #64, #131

61. Сообщение от Аноним (54), 21-Апр-20, 18:01	+/–
Намёк?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

62. Сообщение от Аноним (62), 21-Апр-20, 18:03	+/–
Так тут не о тестировании речь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

63. Сообщение от Аноним (62), 21-Апр-20, 18:06	–1 +/–
Ну-ка, покажи фотку столба с объявлением о поиске в качестве пруфа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #90

64. Сообщение от Аноним (54), 21-Апр-20, 18:11	+/–
Предположим, у тебя математическая библиотека на фортране. Твои действия? Оставить как есть или переписать на С? 20 000 строк на С (без хедеров) - это реально много.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #75, #108

65. Сообщение от Лол (?), 21-Апр-20, 18:15	+/–
Вирусы то как-раз накачаются в фоне, а юзер даже зависшим курсором пошевелить не сможет чтоб что-то сделать. Так себе секьюрность🤣🤣🤣
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #138

66. Сообщение от Tita_M (ok), 21-Апр-20, 18:15	+/–
А каким образом тогда его удалённо отключают всякие жулики? Не понимаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #86

67. Сообщение от Лол (?), 21-Апр-20, 18:17	+1 +/–
лучший антивирус это хоть изредка включающийся мозг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #123

68. Сообщение от Аноним (70), 21-Апр-20, 18:25	–2 +/–
1. Вместо chdir можно использовать абсолютный путь. 2. Насколько это критично для /home? 3. Нужно работать не с путевым именем, а файловым дескриптором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #117

69. Сообщение от Аноним (70), 21-Апр-20, 18:26	+1 +/–
Уже заменили на SUS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

70. Сообщение от Аноним (70), 21-Апр-20, 18:26	+/–
Есть же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #128

71. Сообщение от Iron_Bug (?), 21-Апр-20, 18:38	+13 +/–
Фрактал, запомни раз и навсегда - главная дырень находится в твоей голове. Это раз. И второе - ты не программист.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #92

72. Сообщение от Аноним (72), 21-Апр-20, 18:44	+2 +/–
Легко может избежать, если ты его не поставишь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

73. Сообщение от Аноним (-), 21-Апр-20, 18:47	+2 +/–
Винда не нужна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

74. Сообщение от Аноним (-), 21-Апр-20, 18:49	+1 +/–
Хoмячки, которые спонсируют вирусописателей (и по совместительству создателей антивирусов) - должны страдать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

75. Сообщение от Аноним (75), 21-Апр-20, 18:49	+/–
Сам с собой ведешь беседу? Но ответ такой ничего не трогать пока работает. Перестало работать/поддерживаться/что_угодно/упало_в_проде начинаешь переписывать до этого ничего не трогаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

76. Сообщение от Аноним (75), 21-Апр-20, 18:51	+/–
Fucsia OS не POSIX-совместимая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #107

77. Сообщение от Аноним (77), 21-Апр-20, 18:56	+/–
Офигеть... Откуда они все взялись? Можно и в консоль пердолиться, и гуи есть, и модуль ядра, и еще много чего... И руководство классное: > ядро ОС должно быть собрано со включением следующих опций... > ...библиотеку glibc версии 2.13 или новее. > наличие графической подсистемы X Window System и любого менеджера окон > для корректного отображения индикатора в... Unity... библиотека libappindicator1. > Для повышения привилегий... требуется...: su, sudo, gksu, gksudo, kdesu, kdesudo. > Для корректной работы... необходимо, чтобы... использовался механизм аутентификации PAM. > может конфликтовать с другими брандмауэрами: Shorewall и SuseFirewall2, FirewallD > ...если в состав ОС включен NetFilter версии младше 1.4.15... внутренней ошибкой в реализации NetFilter: при выключении... нарушается работа сети. > не совместим с подсистемой улучшения безопасности SELinux !!!Хорошая видать штука этот SELinux!!! И вишенка на торте: > Работа... в... «параноидальном» режиме с предварительной блокировкой доступа к еще не проверенным файлам возможна только через fanotify и при условии, что ядро ОС собрано с активной опцией CONFIG_FANOTIFY_ACCESS_PERMISSIONS. Этот, интересно, будет подвержен?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #83, #91

78. Сообщение от Суп из потрошков (?), 21-Апр-20, 18:56	–1 +/–
Оу, значит встроенный антивирус виндоуз не подвержен. Хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89

80. Сообщение от псевдонимус (?), 21-Апр-20, 19:05	+10 +/–
Касперский это как женские лобковые волосы: прикрывает, но не защищает :-) А вообще абсолютно любой антивирус является трояном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #99

83. Сообщение от Аноним (108), 21-Апр-20, 19:09	+/–
Это разве не странно, зачем программе, которая исключительно только показывает страшные картинки и визжит, имитируя бурную деятельность, столько всего? Хотя в новые версии встроили алгоритмы поиска интересных документов и отправки их на сервера всех заинтересованных, но для это ведь тоже это всё не нужно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

85. Сообщение от и.о.К.О. (?), 21-Апр-20, 19:23	+/–
>Причем, те дыры, которые есть в Винде, позволяют с легкостью отключить Касперский из трея. К чему эти сложности, касперский отлично отключается через его собственные дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

86. Сообщение от и.о.К.О. (?), 21-Апр-20, 19:24	+6 +/–
Для жуликов у касперского есть специальное API.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #137

88. Сообщение от Аномномномнимус (?), 21-Апр-20, 19:30	+/–
Базы пробовал обновлять?) Пока drweb самый адекватный из всех что я пробовал. А история общения с ним ещё со времён drweb for dos на 80486dx. Кошмарский конечно впереди... по файлс-позитивам. Нод до сих пор не привычно считать антивирусом. Но конечно лучше чем вагон и тележка какого-то вообще неведомого троянизированного недософта которого десяток лет ещё даже не видел никто и который фальспозитивит ещё чаще чем кошмарский и единственное что они исправно делают - всякие кряки и активаторы выносят. Трояны/вирусня/майнеры - только по праздникам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #93

89. Сообщение от и.о.К.О. (?), 21-Апр-20, 19:34	+1 +/–
у него другая беда. файловые операции замедляет в 17 раз. копирование диры с множеством файлов без антивирусов выполняется за 2 секунды, с ним за 33. с касперским "всего" за 24.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

90. Сообщение от Аноним (54), 21-Апр-20, 19:44	+/–
Гугель - поиск - кобол сша
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #105

91. Сообщение от Аноним (77), 21-Апр-20, 19:56	+2 +/–
> зачем программе, которая исключительно только показывает страшные картинки и визжит, имитируя бурную деятельность, столько всего? Требования все адекватные. Для отображения графики нужна графика, для проверки файловой активности используется fanotify, для проверки сетевой активности тоже нужны средства мониторинга сетевых соединений и возможность настройки файерволла. Все там нормально с требованиями... Другой вопрос - кому вообще потребовался АНТИВИРУС в линуксе? Были хорошие и востребованные решения типа livecd с антивирусником: загрузился и проверил наличие вирусов в файлах. Но там только диски сканируются (причем offline). А для работы online - ну тут уже видно: нужно грамотно настроить файерволл, а тот же SELinux прекрасно блокирует активность антивируса... с таким же успехом он заблокирует и активность вируса ;) Изменения в системных файлах (даже сделанные каким-то хакером) прекрасно видит пакетный менеджер (сравнивая размер и контрольные суммы файлов в пакетах и на диске). Польза от антивирусника становится сильно сомнительной, если руки из правильного места растут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #103

92. Сообщение от Аноним (92), 21-Апр-20, 20:01	–7 +/–
Сказал специалист во всех сферах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #100

93. Сообщение от Аноним (108), 21-Апр-20, 20:03	+/–
Угу, нод и каспер были лицензионные и обновлённые, а дрвеб самый свежий бесплатный cureit. Я не люблю чистить компы от малвари, поэтому не повторял, там просто надо было локалочку привести в порядок. И файлы выцепил для теста: запускаешь их, они заражают тебя криптолохерами и шпионами. Могу добавить только, что аваст ещё бесполезней нортона и мкафи (все обновлённые угу).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

94. Сообщение от Аноним (-), 21-Апр-20, 20:08	+/–
Ура, теперь мы будем знать как Доктор Вэб и Касперский следят за нами.
Ответить | Правка | Наверх | Cообщить модератору

95. Сообщение от КО (?), 21-Апр-20, 20:19	+/–
>Запоминать иноду проверяемого файла и удалять по ней? Если в ФС есть такое понятие. :) А вообще уязвимость чисто синтетическая. Вредоносу надо: 1. Успеть попасть на атакуемую систему. 2. Запустится 3. Подсунуть себя сканеру 4. устроить гонку. 5. поменять ссылку. 6. победить. Еще как способ школьнику снести антивирус в классе, как-то. И то надо суметь успеть гонку сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #96

96. Сообщение от Аноним (108), 21-Апр-20, 20:32	+1 +/–
Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно. А то и попросить разбудить, когда тебя кто-то трогает. Что до проникнуть… Сейчас кончено всё больше через жит в браузерах, раньше можно было постучаться в закрытый порт и попроситься в духе "виндоус, дорогая, пусти меня, пожалуйста, мне тут надо проникнуть" и всё. Не так и давно это было. А схожее понятие вроде же есть везде? Я не специалист по фс, но, как мне видится, без уникального идентификатора ничего бы не работало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #101

97. Сообщение от gogo (?), 21-Апр-20, 20:35	+1 +/–
Тролль. Не кормите его )
Ответить | Правка | Наверх | Cообщить модератору

98. Сообщение от Аноним (98), 21-Апр-20, 20:49	+5 +/–
Каспер сливает данные ФCБ, а Макафи АНБ. Выбирай из многих сортов, сынок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #115

99. Сообщение от Аноним (-), 21-Апр-20, 20:50	+1 +/–
Даешь крестовые походы против антивирусов!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

100. Сообщение от K50 (?), 21-Апр-20, 20:50	+4 +/–
Ньюфaг детектед!!1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #124, #125

101. Сообщение от КО (?), 21-Апр-20, 20:58	+/–
>Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно Сначала надо при работающей проактивной защите выполнить пункты 1-2. Попытаться перехватить операции к ФС раньше АВ ибо с работающим он не позволит (жадный). Ну и угадать со временем (подстроясь под конкретный с конкретным набором баз).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #118

102. Сообщение от Аноним (102), 21-Апр-20, 21:24	+/–
Лучший антивир - его отсутствие. В крайнем случае - когда его не слышно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #106, #116

103. Сообщение от Аноним (62), 21-Апр-20, 21:28	+1 +/–
> кому вообще потребовался АНТИВИРУС в линуксе? Задай этот вопрос ФСТЭКу. > SELinux прекрасно блокирует активность антивируса Скажу по большому секрету: ни фига он не блокирует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

104. Сообщение от Аноним (104), 21-Апр-20, 21:31	+/–
Comodo 02.2013 на qt4 - последняя версия. Не знаю, кто и ка на нём эти тесты проводил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

105. Сообщение от Аноним (62), 21-Апр-20, 21:33	+/–
Там чё-то жёлтое без ссылок на источники. Ты столб, столб покажи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

106. Сообщение от Аноним (108), 21-Апр-20, 22:03	+/–
Когда его не слышно, он всё ещё тормозит и шпионит. Удаляет файлы (актуально для любителей игрушечек -- пока авторы не пожалуются в каждый антивирус, у всех покупателей будут проблемы) и генерирует глюки в софте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

107. Сообщение от Аноним (70), 21-Апр-20, 22:04	–1 +/–
гугловцы же не наркоманы. Написали, что хотели под задачу. Они уже порядком подзадолбались участвовать в ненужных обсуждениях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

108. Сообщение от Аноним (108), 21-Апр-20, 22:08	+/–
Предположим библиотека или предположим на фортране? С какой целью ты собираешься переписывать на медленном языке то, прекрасно работает на быстром?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

109. Сообщение от тигар (ok), 21-Апр-20, 22:43	+4 +/–
ухты. олдафги в треде. жили у бабуси три веселых гуся - лоз, данилов и касперский, я от них тащууууся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #113

110. Сообщение от snmp agent (?), 21-Апр-20, 23:00	+/–
Да, проблема по идее не новая: https://www.linux.org.ru/forum/security/14137656 Интересно, как это фиксили те, кто пофиксил. У них какой-нибудь модуль ядра или просто усложнили эксплуатацию, приблизив проверку к месту вызова unlink?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

111. Сообщение от Daemon (??), 21-Апр-20, 23:49	–2 +/–
А нефига сидеть под админом/root`ом. Исключение только разве что BSD. Там со времен Морриса ничего не появилось. Так что можно смело под root сидеть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #134

113. Сообщение от Аноним (113), 22-Апр-20, 00:00	+1 +/–
Лозинский - дуб, аидстест - горбуха!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

114. Сообщение от Аноним (114), 22-Апр-20, 00:38	+3 +/–
То есть, чтобы подхватить вирус на линукс, нужно поставить антивирус?)
Ответить | Правка | Наверх | Cообщить модератору

115. Сообщение от Аноном (?), 22-Апр-20, 00:50	+/–
Каспер не такой клёвый и пищит как свинья, выбор очевиден: https://www.youtube.com/watch?v=bKgf5PaBzyg (всё равно они _все_ плюс минус бесполезны, этот хотя бы всегда стильный интерфейс имел).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

116. Сообщение от Аноним (116), 22-Апр-20, 01:14	+1 +/–
Надеюсь всех этих кaсперов и прочих прeдaтeлей Poдины отдадут под трибyнaл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

117. Сообщение от Ordu (ok), 22-Апр-20, 01:58	+1 +/–
> 1. Вместо chdir можно использовать абсолютный путь. Проблема которую надо устранить -- это возможность для злоумышленника поймать момент когда av_check запущен, а unlink ещё не сделан, удалить одну из директорий этого абсолютного пути и заменить её на симлинк на /etc. > 2. Насколько это критично для /home? А если это не /home? Я допустим после неоднократных переездов с одного диска на другой пришёл к раскладу где /home/me содержит много чего, но все downloads, torrents, porn и прочие объёмные хранилища на отдельном разделе. Так проще переезжать и проще добавить туда ещё диск. И в случаях когда диск переполняется, переполняется не /home/me, а вот та помойка. То есть, я не думаю, что это критично -- антивирус и прибить можно, если что, -- но всё равно это такая вещь, которой хотелось бы избежать. > 3. Нужно работать не с путевым именем, а файловым дескриптором. Как удалить файл через файловый дескриптор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

118. Сообщение от Ordu (ok), 22-Апр-20, 01:59	+1 +/–
>>Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно >  Сначала надо при работающей проактивной защите выполнить пункты 1-2. Попытаться перехватить > операции к ФС раньше АВ ибо с работающим он не позволит > (жадный). Ну и угадать со временем (подстроясь под конкретный с конкретным > набором баз). av запрещает прикладным программам пользоваться inotify?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

119. Сообщение от Ordu (ok), 22-Апр-20, 02:07	+/–
> 1) вместо chdir + unlink можно сделать unlinkat То есть передавать ядру абсолютный путь удаляемого файла, и если между av_check и unlink/unlinkat злоумышленник заменит директорию на симлинк, то мы удалим /etc/passwd. > 2) см. 1. Чтобы отмонтировать, по-моему, достаточно закрыть за собой дескриптор директории Нет, ежели у процесса текущая директория на разделе, то его не отмонтировать. Приходится выяснять что за процесс и прибивать его. > 3) гонка внутри директории не убирается, но хотя бы есть гарантия, что > файл удаляется из нужной директории, а не из /etc Да, я согласен. Но всё равно интересно. По-моему без API позволяющего лочить директории или пути на уровне ядра, не получится писать без race condition.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #129

120. Сообщение от Аноним (120), 22-Апр-20, 05:11	+2 +/–
А нахрена ее мониторить? Искать винчих в /usr/bin? Задача антивирусов под Linux - мониторить файлопомойки, которыми пользуются несчастные пользователи винды. Хук на аплоад по http/ftp/smb всегда можно повесить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #126

121. Сообщение от Аноним2 (?), 22-Апр-20, 06:17	+1 +/–
Вообще, у всех вменяемых антивирусов модульная архитектура с проверкой целостности собственным файлов. Там что, чтобы антивирус вынести полностью - это нам нужен зловред, который под конкретный АВ создаст штук 5-6 таких обманок, чтобы вырубить АВ полностью и безвозвратно. То есть, нам нужен некий главный троянец, который будет плодить мелких зловредов с их подменой на ссылки, исходя из детектируемого АВ, чтобы далее, после убийства АВ, загрузить либо троян для скачивания чего-нибудь ценного, либо шифратор для крипто-вымогательства. Я плохо представляю, чтобы АВ пропустил такое светопредставление у себя под носом. Причем довольно интересный момент "в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями" - то есть уже запущенный АВ эта атака выгрузить и не сможет, а значит он вполне себе забьёт тревогу, что его файлы удаляют, что даст пользователю возможность как-то среагировать (выдернуть шнур:)). Про Linux не говорю, так как там и АВ, и вирусы - это из разряда мифологии. :) В общем, мне кажется вендоры подзабили, так как реально этим воспользоваться слишком сложно. В видео человек в консоли команды отдает, но это синтетика в чистом виде. Нагляднее было бы показать, как некий рандомный файл, например, из почты, скачанный на ПК и запущенный райткликом сможет сделать что-то действительно критическое для системы или пользовательских данных, используя данную уязвимость. П.С. Пользуюсь Eset-ом на оффтопике, как очень удобным и наглядным фаерволом с минимальной нагрузкой на систему. Закрыл все лишнии сетевые активности, настроил правила для контроля автозагрузки и доступа к рабочим файлам. Доволен и спокоен. Необходимости в чем-то более мощном на Windows не вижу, а на Linux и тем паче.
Ответить | Правка | Наверх | Cообщить модератору

122. Сообщение от Аноним (122), 22-Апр-20, 06:20	+3 +/–
> Все антивирусу - это от лукавого. Полная фигня. > Забросил эту ахинею несколько лет назад, не установлено ни одного АВ. Никакой > разницы нет. Что с ним не знал, где люди вирусы берут, > что без него. А некоторые дебилоиды по несколько установят и сидят > корячатся. И все равно умудряются поймать трипе... вирусняк. Ну, судя по тому, что "В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл" в данном случае эти антивирусы не только бесполезны, но ещё и вредны, с ними ещё хуже выходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

123. Сообщение от ryoken (ok), 22-Апр-20, 08:27	+/–
> лучший антивирус это хоть изредка включающийся мозг. так щас народ им не комплектуют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

124. Сообщение от Аноним (92), 22-Апр-20, 09:17	–2 +/–
Сам такой. Я на ЛОР-е чалюсь с конца 12
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

125. Сообщение от Аноним (92), 22-Апр-20, 09:18	+/–
С конца 2012 года, в смысле
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #133

126. Сообщение от Аноним (62), 22-Апр-20, 10:09	+1 +/–
> А нахрена ее мониторить? ХЗ, ФСТЭК говорит — надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #132

127. Сообщение от Аноним (62), 22-Апр-20, 10:14	+1 +/–
Только для этого надо иметь отдельный карантин для каждой точки монтирования. Кто-то реально так делает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #130

128. Сообщение от JL2001 (ok), 22-Апр-20, 11:54	+/–
> Есть же. это для макоси который?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

129. Сообщение от Аноним (46), 22-Апр-20, 13:39	+/–
> То есть передавать ядру абсолютный путь удаляемого файла, и если между av_check и unlink/unlinkat злоумышленник заменит директорию на симлинк, то мы удалим /etc/passwd. Я ничего не говорил про абсолютный путь до файла. Я имел в виду это: int dirfd = open(path_to_dir, O_DIRECTORY); int file = openat(dirfd, filename); if(av_check(file) == INFECTED) {     unlinkat(dirfd, filename); } close(file); close(dirfd);
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #135

130. Сообщение от Аноним (46), 22-Апр-20, 13:40	+/–
Да, именно так и делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

131. Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:54	–3 +/–
> А чтобы решиться всё сломать [...] - надо быть Джобсом Вот уж кого не жалко -- так это человека, угробившего запасы индия на планете почём зря.  Повторю вчерашнюю ссылочку до кучи: http://youtu.be/SbmgV7Oyp0w > Королёвым, Лавочкиным. Вы бы ещё Гейтса в тот же ряд посадили, хам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

132. Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:56	+/–
>> А нахрена ее мониторить? > ХЗ, ФСТЭК говорит — надо. Это беда, да.  Кстати, надо будет попробовать спросить с отсылкой к таким вот случаям -- мафия (антивирусная) мафией, но надо же и совесть знать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #139

133. Сообщение от Michael Shigorin (ok), 22-Апр-20, 15:00	+/–
> С конца 2012 года, в смысле Гм, а я оттуда ушёл в 2003.  Но #71 -- строго по существу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

134. Сообщение от Michael Shigorin (ok), 22-Апр-20, 15:07	+/–
> Исключение только разве что BSD. Там со времен Морриса ничего > не появилось. А это померещилось? -- http://www.nixp.ru/news/12639.html > Так что можно смело под root сидеть. Мальчик, никогда взрослые дяди не говорили, почему именно работать рутом -- плохая примета?  Что такое privsep не только в сервисах, а и в повседневной работе?.. Понимаю, что умных дядь в окрестности могло просто не оказаться -- одни олухи с криками про "ляликс" (порой в майках win2k, как Dear Never).  Но это тоже не повод головой-то совсем не думать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #140

135. Сообщение от Ordu (ok), 22-Апр-20, 18:54	+/–
А, круто-круто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

136. Сообщение от sazh (?), 23-Апр-20, 01:27	+/–
Я понял одно что антивирус на линуксе зло в двойне умножено на куб))
Ответить | Правка | Наверх | Cообщить модератору

137. Сообщение от annual slayer (?), 23-Апр-20, 05:00	+/–
доступное по премиальной подписке для разработчиков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

138. Сообщение от getfr (?), 23-Апр-20, 13:10	+/–
юзер может всегда выдернуть вилку из розетки. И пусть качаются после этого. После выключения отрубаются устройства коммуникации и чистится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

139. Сообщение от Аноним (139), 25-Апр-20, 11:41	+2 +/–
Мониторить фс и сканировать файлы при доступе надо. ClamAV умеет мониторить и блокировать доступ при обнаружении виря через fanotify. Файловый антивирус в GNULinux необходим для сканирования изменяемых разделов диска и получаемых через сеть файлов. /home, /tmp, /var/tmp надо сканировать при доступе. Настроить кеш с md5 сумами сканированных файлов и деятельность ClamAV станет неощутима.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #142

140. Сообщение от Daemon (??), 25-Апр-20, 20:02	+/–
> А это померещилось? -- http://www.nixp.ru/news/12639.html Во первых 2014 год. Во вторых PHP и LAMP/BAMP стек дырявый как дуршлаг. Базовую систему это не затрагивает. > Мальчик, никогда взрослые дяди не говорили, почему именно работать рутом -- плохая > примета?  Что такое privsep не только в сервисах, а и > в повседневной работе?.. > Понимаю, что умных дядь в окрестности могло просто не оказаться -- одни > олухи с криками про "ляликс" (порой в майках win2k, как Dear > Never).  Но это тоже не повод головой-то совсем не думать. Мальчик скоро дедушкой станет :) 53 как никак :) Предпочитаю не лазить лишний раз в настроенные сервера вообще. А сидеть на инструментальной машине, где собираешь/пишешь под рутом ничего зазорного не вижу. Дирректива NOPASSWD в sudo не сильно уступает руту. Упадет - бэкап + git. Дома на мультимедиа-компе да - юзер. Но там и sudo разве что для reboot вводить если в очередной раз после apt update все упало )))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

141. Сообщение от bOOster (ok), 26-Апр-20, 16:17	+/–
Че за чушь???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

142. Сообщение от bircoph (ok), 27-Апр-20, 10:52	+/–
> Файловый антивирус в GNULinux необходим для сканирования изменяемых разделов диска и получаемых через сеть файлов. /home, /tmp, /var/tmp надо сканировать при доступе. Зачем? Жизнеспособных вирусов для Linux нет. Это не значит, что нет иных методов взлома, но защищаются от них вовсе не антивирусами. > Настроить кеш с md5 сумами сканированных файлов и деятельность ClamAV станет неощутима. md5 коллизии легко подбираемы, так что настраивайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема