Как предотвратить вирусоподобное поведение под Linux —

Если вы испытываете непредсказуемое поведение на компьютере с Linux, то вы, скорее всего, столкнетесь с проблемой конфигурации или аппаратного обеспечения. Странные события обычно связаны с этими двумя условиями. Некоторые графические адаптеры не работают без установки проприетарного программного обеспечения, в противном случае они выглядят странно. Возможно, вы также потеряли данные в результате несоответствия файловой системы или чего-то необычного, подобного этому. Тем не менее, может быть заманчиво обвинять такие проблемы в вирусе.

Вирус — это термин, который многие люди неправильно используют для обозначения всех видов различных вредоносных программ. Настоящие вирусные инфекции исключительно редки в Linux. Имейте в виду, что GNU / Linux — не самая популярная платформа для потребительских машин. В результате относительно мало угроз нацелено на домашних пользователей Linux. Серверы гораздо привлекательнее, хотя существуют некоторые угрозы для дистрибутивов Google Android, используемых на смартфонах и планшетах. Обязательно исключайте другие возможности, прежде чем паниковать. Уязвимости в Linux часто более эзотеричны, чем вирусные инфекции. Они часто больше похожи на подвиги. Помните об этих подсказках, и вам не придется иметь дело с какими-либо серьезными проблемами. Пожалуйста, помните, что обсуждаемые здесь команды чрезвычайно опасны и не должны использоваться. Мы просто говорим вам, на что обращать внимание. Хотя мы сделали несколько скриншотов в процессе, мы фактически использовали виртуальную машину для этой цели и не наносили ущерба реальной файловой структуре.

Метод 1: Предотвращение бомб Zip

Почтовые бомбы особенно проблематичны, потому что они одинаково вызывают проблемы для всех проблем. Они используют не операционную систему, а способ работы файловых архиваторов. Эксплойт с использованием Zip-бомбы, нанесший вред компьютерам MS-DOS в 1980-х годах, все еще может вызвать точно такую ​​же проблему для смартфона Android через 10 лет.

Возьмите печально известный 42.zip сжатый каталог, например. Хотя классически он называется 42.zip, поскольку он занимает 42 килобайта пространства, шутник может называть его как угодно. Архив содержит пять различных уровней вложенных архивов, организованных в наборы по 16. Каждый из них содержит нижний слой, который содержит приблизительно 3,99 двоичных гигабайт нулевых символов. Это те же самые ненужные данные, которые поступают из файла устройства / dev / null в Linux, а также из устройства NUL в MS-DOS и Microsoft Windows. Поскольку все символы являются нулевыми, они могут быть сжаты до предела и, таким образом, сделать процесс очень маленьким.

Все эти нулевые данные вместе занимают приблизительно 3,99 двоичных петабайт пространства при распаковке. Этого достаточно, чтобы зарегистрировать даже файловую структуру RAID. Никогда не распаковывайте архивы, в которых вы не уверены, чтобы предотвратить эту проблему.

Однако, если это когда-нибудь случится с вами, перезагрузите вашу систему с живого компакт-диска Linux, карты microSDHC или USB-накопителя и удалите лишние нулевые файлы, а затем снова перезагрузитесь из основной файловой системы. Сами данные обычно не вредны. Этот эксплойт просто использует тот факт, что большинство файловых структур и конфигураций ОЗУ не могут хранить столько данных одновременно.

Метод 2: Командный трюк

Никогда не запускайте команду Bash или tcsh, если вы точно не знаете, что она делает. Некоторые люди пытаются обмануть новых пользователей Linux, заставляя их запускать что-то, что может повредить их системе. Даже опытные пользователи могут быть обмануты очень хитрыми шутниками, которые пишут определенные типы опасных команд. Наиболее распространенными из них являются вилочные бомбы. Этот тип эксплойта определяет функцию, которая затем вызывает себя. Каждый недавно порожденный дочерний процесс вызывает себя до тех пор, пока вся система не выйдет из строя и не будет перезапущена.

Если кто-то просит вас запустить что-то нелепое, например: () {: |:};:, тогда он оскорбляет вас и пытается заставить вас разбить вашу машину. Все больше и больше дистрибутивов Linux теперь имеют защиту от этого. Некоторые говорят вам, что вы определяете процесс недопустимым образом.

2016-11-25_021652

Существует по крайней мере одна тестовая версия FreeBSD, которая активно оскорбляет любого пользователя, который пытается это сделать, но не позволяет им фактически навредить своей системе. Никогда не пытайтесь это сделать ради этого.

2016-11-25_021740

Метод 3: Изучение необычных сценариев

Каждый раз, когда вы получаете Python, Perl, Bash, Dash, tcsh или любой другой тип сценария, изучите его, прежде чем пытаться. Вредные команды могут быть скрыты внутри него. Посмотрите на все, что выглядит как набор шестнадцатеричного кода. Например:

«\ XFF \ XFF \ XFF \ XFF \ x68 \ XDF \ xd0 \ XDF \ xd9 \ x68 \ x8d \ x99″

«\ XDF \ x81 \ x68 \ x8d \ x92 \ XDF \ XD2 \ x54 \ x5e \ xf7 \ x16 \ xf7″

Эти две строки взяты из скрипта, который закодировал исключительно деструктивную команду rm -rf / в шестнадцатеричный код. Если бы вы не знали, что делаете, то вы могли бы легко заархивировать всю свою установку и, возможно, загрузочную систему UEFI вместе с ней.

Ищите команды, которые кажутся совершенно безобидными и потенциально опасными. Вы можете быть знакомы с тем, как использовать символ> для перенаправления вывода одной команды в другую. Если вы видите что-то подобное, перенаправляющее что-то в / dev / sda или / dev / sdb, то это попытка заменить данные в томе мусором. Вы не хотите этого делать.

Еще одна, которую вы часто будете видеть, это команда, которая выглядит примерно так:

mv / bin / * / dev / null

/ DEV / нуль Файл устройства — это не более чем ведро. Это точка возврата данных. Эта команда перемещает содержимое / бен каталог для / DEV / нуль, который удаляет все внутри него. Поскольку для этого требуется доступ с правами root, некоторые хитроумные шутники вместо этого напишут что-то вроде mv ~ / * / dev / null, так как это делает то же самое с пользовательским каталогом, но без какого-либо специального доступа. Некоторые дистрибутивы теперь будут возвращать сообщения об ошибках, если вы попытаетесь сделать это:

2016-11-25_021843

Обратите особое внимание на все, что использует дд или mkfs.ext3 или же mkfs.vfat команды. Они отформатируют диск и выглядят относительно нормально.

Еще раз, пожалуйста, имейте в виду, что вы никогда не должны запускать ни одну из этих команд в действующей файловой системе. Мы только говорим вам, на что обращать внимание, и мы не хотим, чтобы кто-либо публиковал свои данные. Будьте осторожны и убедитесь, что вы знаете, что делаете, прежде чем использовать внешний файл.

Ссылка на основную публикацию
Adblock
detector