Comments 50
UFO just landed and posted this here
Антивирусы для Linux беспомощны чуть менее чем полностью.
Буквально на той неделе изъяли почти 35 экземляров разлчичного зловредного ПО с серверов на Linux. Из них всех все возможные антивирусы на VirusTotal нашли лишь 5. А на 30 заявили, что это нормальные такие программы :)
Антивирусы — это иллюзия защиты, а на Linux — так тем более. Там даже иллюзию никто не пытается создать.
Буквально на той неделе изъяли почти 35 экземляров разлчичного зловредного ПО с серверов на Linux. Из них всех все возможные антивирусы на VirusTotal нашли лишь 5. А на 30 заявили, что это нормальные такие программы :)
Антивирусы — это иллюзия защиты, а на Linux — так тем более. Там даже иллюзию никто не пытается создать.
-2
От чего вы хотите защиту антивирусом? От дырок в серверных веб-приложениях?
Это не антивирус, это вам IDS нужна.
А на десктопах у линукса проблем совершенно нет, пока непривыкшие руки не делают wget | curl и прочие sudo ./install.sh. Хотя даже с учетом последнего я о массовых случаях не слышал.
Это не антивирус, это вам IDS нужна.
А на десктопах у линукса проблем совершенно нет, пока непривыкшие руки не делают wget | curl и прочие sudo ./install.sh. Хотя даже с учетом последнего я о массовых случаях не слышал.
+7
Скажите, а как вы нашли те 35 программ? И как определили, что те 30 зловредные?
0
Вы очень вовремя спросили, я буквально только что отписал небольшой отчет про то как искали: ссылка. Правда, там не все 30, а те, которые были особо тщательно проанализированы.
Обнаруживались они по косвенным признакам, например, попытка подделать Apache, атаки на удаленные серверы, подбор паролей к сторонним серверам. То есть именно по зловредной активности они себя и проявляли.
Обнаруживались они по косвенным признакам, например, попытка подделать Apache, атаки на удаленные серверы, подбор паролей к сторонним серверам. То есть именно по зловредной активности они себя и проявляли.
0
Это просто наработки какие-то? Или продукт делаете? А то пиаром попахивает…
0
Пиаром совершенно бесплатного open source GPLv2 продукта? :) Не, ну хотите — используйте, хотите — нет. А эффективность антивирусов там очень хорошо показана.
+2
Просто дело было вечером, делать было не чего…
Продуктом это можно назовётся, если найдутся единомышленники и будет сделаны доработки по дизайну, документации, расширен функционал. Например, нужны утилиты разбора для логов других DNS-серверов, автоматического обновления бан листов и др. Для моих нужд того, что сделано хватает за глаза, но это ж все навсего пока солянка из утилит и сайта одностраничника.
Продуктом это можно назовётся, если найдутся единомышленники и будет сделаны доработки по дизайну, документации, расширен функционал. Например, нужны утилиты разбора для логов других DNS-серверов, автоматического обновления бан листов и др. Для моих нужд того, что сделано хватает за глаза, но это ж все навсего пока солянка из утилит и сайта одностраничника.
0
Чего минусим-то человека?
Мнение извесное, неоднократно высказываемое извесными в инетах людьми от безопасности, кстати частненько и даказываемое как в теории так и на практике. Как минимум имеет место…
Иногда, я бы даже дальше пошел и сказал: «Антивирусы беспомощны чуть менее чем полностью». Без слова «линукс».
Поясню мысль:
— вы не представляете сколько раз, вычищая заразу из компьютеров очередного «родственника» (или друга друга и т.д. и т.п.), я находил на нем не старый анивирус (любимое подставить) с актуальными базами; Скорее это даже правило;
— часто, даже не зависит от «марки» операционки (чего я только не видел от XP, вист, 7-к до ubuntu, даже экзотические, по понятиям простых смертных, фряхи, хотя последняя ес-но без антивиря);
— а уж как часто я убеждался в том, что зловреды, извините, клали на установленый там антивирус… Книги писать можно… Иногда, просто теряешся в догадках, как оне туда забираются. Ладно под XP, когда люди под админом работают. Но блин бывало же: в 3-й раз после переустановки, у меня сдавали нервы — закрывал все (забирая пароль админа домой) и все устанавливая только сам, через удаленный доступ. Полгода — и все по новой, причем вплоть до — у зловреда все права администратора.
— всех этих зверей, начиная от питомцев ботовода и заканчивая койн-калькуляторами, оно (антивирь), если еще не отключен зловредом, не видит в упор или если и видит то позно — через два месяца, когда с обнавленными базами наконец-то нюх появился, но на компе уже зоопарк.
Люди спрашивают потом, а зачем мне антивирус и почему он не сработал (или сработал через два месяца, когда — зоопарк). Пытаюсь объяснить такой сказкой:
Антивирус — это как собака наоборот.
Нормальная сторожевая собака не пускает чужих в дом.
Перевернутая собака «Антивирь» — не пускает тех, кого она знает как чужой, остальные для нее нейтральны как минимум, если не свои в доску...
Думаю дальше на хабре развивать мысль не стоит — люди тут образованые… Хотя в последнее время, антивирусы разжирели и это не совсем верно — современные анивирусные пакеты на борту только что атомную бомбу не имеют (я имею ввиду все-то чем и сегодня их пичкают от firewall до ids, эвристики, анализаторов поведения и т.д. и т.п.).
Но упор к сожалению все еще не там, имхо.
Однако, что я заметил, внимание: Как правило, только человек уяснил что антивирь не панацея — доктор (всмысле я) больше не нужен. Больше я там не появляюсь или очень редко вычищаю какой-нить «поисковик» из браузера и подобную мелочь. Никаких больше плясок с бубном (скрытых, не удаляющихся процессов, самараспаковывающихся в самых неожиданных местах и прочей сереьезной дряни).
Сервера и персоналки (под nix) здесь к сожалению не исключение. Их меньше заражается — это да. Но и вычищать их — тот еще геморой.
И уровень дряни повыше, ломают часто серьезно, логи правильно подчищены, вплоть даже как пакеты указаные в apt/history, iptables красивый и все такое няшное. С виду совсем приличный сервер, не подкопаешся — если бы например не слитые пароли и ключи или не абузы одна лучше другой.
Так вот, в продолжение той сказки, простой вопрос:
Почему анивирусные компании дальше разводят «собак наоборот», вместо того чтобы просто установить хорошие «ворота» в доме, ну или хотя бы хорошую «сигнализацию»?
Это все не для холиваров и чуйкой чую тоже нахватаю минусов сейчас, ну да ладно — главное поддержал мнение с которым согласен и которое практикой сто раз подтверждалось.
А статья дельная, спасибо!
Мнение извесное, неоднократно высказываемое извесными в инетах людьми от безопасности, кстати частненько и даказываемое как в теории так и на практике. Как минимум имеет место…
Иногда, я бы даже дальше пошел и сказал: «Антивирусы беспомощны чуть менее чем полностью». Без слова «линукс».
Поясню мысль:
— вы не представляете сколько раз, вычищая заразу из компьютеров очередного «родственника» (или друга друга и т.д. и т.п.), я находил на нем не старый анивирус (любимое подставить) с актуальными базами; Скорее это даже правило;
— часто, даже не зависит от «марки» операционки (чего я только не видел от XP, вист, 7-к до ubuntu, даже экзотические, по понятиям простых смертных, фряхи, хотя последняя ес-но без антивиря);
— а уж как часто я убеждался в том, что зловреды, извините, клали на установленый там антивирус… Книги писать можно… Иногда, просто теряешся в догадках, как оне туда забираются. Ладно под XP, когда люди под админом работают. Но блин бывало же: в 3-й раз после переустановки, у меня сдавали нервы — закрывал все (забирая пароль админа домой) и все устанавливая только сам, через удаленный доступ. Полгода — и все по новой, причем вплоть до — у зловреда все права администратора.
— всех этих зверей, начиная от питомцев ботовода и заканчивая койн-калькуляторами, оно (антивирь), если еще не отключен зловредом, не видит в упор или если и видит то позно — через два месяца, когда с обнавленными базами наконец-то нюх появился, но на компе уже зоопарк.
Люди спрашивают потом, а зачем мне антивирус и почему он не сработал (или сработал через два месяца, когда — зоопарк). Пытаюсь объяснить такой сказкой:
Антивирус — это как собака наоборот.
Нормальная сторожевая собака не пускает чужих в дом.
Перевернутая собака «Антивирь» — не пускает тех, кого она знает как чужой, остальные для нее нейтральны как минимум, если не свои в доску...
Думаю дальше на хабре развивать мысль не стоит — люди тут образованые… Хотя в последнее время, антивирусы разжирели и это не совсем верно — современные анивирусные пакеты на борту только что атомную бомбу не имеют (я имею ввиду все-то чем и сегодня их пичкают от firewall до ids, эвристики, анализаторов поведения и т.д. и т.п.).
Но упор к сожалению все еще не там, имхо.
Однако, что я заметил, внимание: Как правило, только человек уяснил что антивирь не панацея — доктор (всмысле я) больше не нужен. Больше я там не появляюсь или очень редко вычищаю какой-нить «поисковик» из браузера и подобную мелочь. Никаких больше плясок с бубном (скрытых, не удаляющихся процессов, самараспаковывающихся в самых неожиданных местах и прочей сереьезной дряни).
Сервера и персоналки (под nix) здесь к сожалению не исключение. Их меньше заражается — это да. Но и вычищать их — тот еще геморой.
И уровень дряни повыше, ломают часто серьезно, логи правильно подчищены, вплоть даже как пакеты указаные в apt/history, iptables красивый и все такое няшное. С виду совсем приличный сервер, не подкопаешся — если бы например не слитые пароли и ключи или не абузы одна лучше другой.
Так вот, в продолжение той сказки, простой вопрос:
Почему анивирусные компании дальше разводят «собак наоборот», вместо того чтобы просто установить хорошие «ворота» в доме, ну или хотя бы хорошую «сигнализацию»?
Это все не для холиваров и чуйкой чую тоже нахватаю минусов сейчас, ну да ладно — главное поддержал мнение с которым согласен и которое практикой сто раз подтверждалось.
А статья дельная, спасибо!
+4
ТС, приятная статья и хорошая идея. Вообще со статистикой напрямую плохо у всех без исключения DNS серверов — ее тупо нету. Давно подумыаю чтобы на базе golib-dns нарисовать свой DNS, чтобы можно было почти в реальном времени анализировать аномалии.
0
Ну напрямую можно и этон инструмент настроить с использованием по расписанию. А в общем, соглашусь, везде нужен большой напильник. В том же bind9 чтобы включить логи нужно еще поискать где и как это сделать. Обидно другое, для использования своего DNS в идеале нужен постоянно включенный компьютер и не нулевые знания об устройсте и конфигурации Dns сервера. Это многих отталкивает, поэтому предложенное решение редко используется.
0
Еще можно случайно получить открытый для всех DNS-resolver и, как результат, получить реальный шанс поучаствовать в DNS Amplification атаках.
-1
Да да. Именно. Посему удобные анализаторы логов чаще нужны администраторам, которые знают где как их примененить. Без навыков администрирования такое ПО бесполезно.
0
Открытость резолвера никак принципиально не влияет на возможность проведения через него DNS Amplification.
-1
В своей сети желающих поDDoSить других я могу гонять и изолировать, а если резолвер доступен для всего мира, то весь мир почистить я не могу.
Так что не принципиально, но фактически влияет.
Так что не принципиально, но фактически влияет.
0
Причем тут своя сеть? DNS Amplification основан на том, что DNS сервер получает UDP-запросы с поддельными source-address жертвы и отвечает на них пакетами в несколько раз больше размера запроса.
К ддосу ботнетами изнутри сети это никакого отношения не имеет.
К ддосу ботнетами изнутри сети это никакого отношения не имеет.
0
Как при чем? Если DNS-сервер не доступен для всего интернета, то как до него дойдет пакет запроса от злоумышленника из интернета?
А ботов, которые шлют пакеты с поддельным source-address внутри моей сети я могут и погонять.
А ботов, которые шлют пакеты с поддельным source-address внутри моей сети я могут и погонять.
0
ДНС сервер, помимо рекурсии, зачастую (а обычно это его единственное занятие) занимается обслуживанием собственных доменов, на запросы к которым и отправляет ответы на фейковые адреса.
Внутри сети не имеет особого смысла их гонять — нормальный ДНС сервер не будет отправлять ответ через интерфейс, отличный от того с которого пришел запрос. Т.е. если запрос пришел с внутреннего интерфейса, то ддосить боты могут только твою сеть :)
Внутри сети не имеет особого смысла их гонять — нормальный ДНС сервер не будет отправлять ответ через интерфейс, отличный от того с которого пришел запрос. Т.е. если запрос пришел с внутреннего интерфейса, то ддосить боты могут только твою сеть :)
0
А еще можно посмотреть на возможность аналитики работы powerdns/nsd(?) и чего уж, логи ms dns, оформить это на каком-то более кросслатформенном решении, в общем-то.
Мне тут по ходу работы надо днс заниматься, так что я бы и помог.
и кстати, про национальные.рф/.укр и т.п. тоже не стоит забывать, если уже подходить комплексно
Мне тут по ходу работы надо днс заниматься, так что я бы и помог.
и кстати, про национальные.рф/.укр и т.п. тоже не стоит забывать, если уже подходить комплексно
0
В том и была задумка, если сообществу проект понравится расширять его можно до бесконечности. Главно чтобы пользу приносил. Ну и да, у меня на доработки не особо время есть, так что любая помощь будет не лишней.
0
Ни у PowerDNS, ни у nsd нет никакой толковой системы аналитики. В nsd ее нет вообще. В PowerDNS есть очень подробный лог топовых резольверов/топовых доменов/записей, но он довольно ограничен и не дает всей информации.
Единственно правильный вариант в данный момент, который существует — это приложение на PF_RING/PCAP слушающее 53й порт и собирающее статистику с него. А-ля dnstop, но умнее.
Единственно правильный вариант в данный момент, который существует — это приложение на PF_RING/PCAP слушающее 53й порт и собирающее статистику с него. А-ля dnstop, но умнее.
+1
На википедии например PowerDNS стоит в связке с bind, у последнего есть система логирования. Конечно наиболее универсальное решение — снифер порта DNS-службы. Используемые в DNS протоколы стандартизованы, но все равно снифер весьма не тривиальная задача.
0
Очень не хватает обратных доменных имен к IP адресам. Не понятно же так кто есть кто
0
Не понимаю, почему нельзя было просто использовать /etc/hosts или iptables -j REJECT, зачем бинд мучать?
+4
Отвечу за топикстартера, когда много техники на каждом смартфоне, планшете, чайнике, etc. настраивать фаирвол и обновлять его то еще удовольствие а при DNS, не являющимся при этом gw, настраиваем 1 раз и вся техника не ходит на зануленные ресурсы, делал похожее на домашнем сервере только подгружал базы адблока и ghostery, чтоб с мобильных устройств рекламу не грузило, просто например, на smart-TV банерорезалку или фаирвол не поставишь.
+1
Я имел в виду сделать это на шлюзе (там, где вероятно стоит бинд).
+1
DNS != Gateway
Часто шлюзом выступает роутер, тогда как ДНС крутится на NAS. Пустить весь трафик через сервер с DNS не всегда целесообразно и чем шире полоса, тем меньше смысла.
Часто шлюзом выступает роутер, тогда как ДНС крутится на NAS. Пустить весь трафик через сервер с DNS не всегда целесообразно и чем шире полоса, тем меньше смысла.
0
Смотря какой DNS-сервер. DNSMASQ, например, умеет смотреть в hosts.
0
Пользуюсь pdnsd дома, также умеет смотреть, что не меняет сути. Сформировать конфиг для любого DNS сервера дело пары минут и скрипта в несколько строк. Я лишь ответил почему не iptables, а именно dns.
+1
В домашних условиях как раз обычно DNS = Gateway. Тут видимо не совсем обычно все.
0
Во первых выше правильно сказали, hosts нужно будет настраивать везде (на каждом компьютере ) + поддерживать в актуальном состоянии.
Во вторых мне нужны были логи.
В третьих в статье я сказал, что вариантов много, мой не единственно и не догма.
Во вторых мне нужны были логи.
В третьих в статье я сказал, что вариантов много, мой не единственно и не догма.
0
Если бы вы выложили на базе своей аналитики скриптик, который генерировал бы файл hosts с top-1000 хостов с рекламой и счётчиками (типа mc.yandex.ru) — цены бы не было.
А то в интернетах полно школоты, которая собирает многомегабайтные (?!!!) списки хостов, которые в смартфон или в роутер не загрузишь — тяжело им с их маленькими процессорами и памятью.
А то в интернетах полно школоты, которая собирает многомегабайтные (?!!!) списки хостов, которые в смартфон или в роутер не загрузишь — тяжело им с их маленькими процессорами и памятью.
0
Пользуйтесь на здоровье, все придумано до нас:
github.com/dschuermann/ad-away/wiki/HostsSources
github.com/dschuermann/ad-away/wiki/HostsSources
0
Вы не поняли, ключевое слово — «топ-1000».
Ну нафига мне, скажите, в hosts держать IP аргентинской баннерокрутилки? Я баннер от неё увижу раз или два в жизни. А вот из-за мегабайтного hosts у меня планшет включается по пять минут _каждый_ раз. Так что пусть там будет Яндекс.Метрика, серверы AdWords и прочий крупняк.
Ну нафига мне, скажите, в hosts держать IP аргентинской баннерокрутилки? Я баннер от неё увижу раз или два в жизни. А вот из-за мегабайтного hosts у меня планшет включается по пять минут _каждый_ раз. Так что пусть там будет Яндекс.Метрика, серверы AdWords и прочий крупняк.
0
Тогда только самому набивать, у каждого свой ТОП-1000, у меня наоборот, я банер яндекса увижу раз в 2 месяца в лучшем случае, а вот ресурсы из usa и nl вижу систематически. Вообще это не так сложно сделать, неделю позаморачиваться, потом будет попадаться очень редко. Ну а большие списки фильтровать на собственном DNS (самая дешевая виртуалка, если нет своего сервера.) Я например даже через мобильный интернет иду через свой сервер со своим ДНС и без VPN не работаю.
0
см github.com/mcdir/statdnslog/blob/master/utill/tmp/ban_list.txt. Можно добавлять ручками и банить любые домены.
Можно и hosts генерировать, вообще тривиальная задача (см https://github.com/mcdir/statdnslog/blob/master/utill/tmp/local_serverlist_ban.txt).
Но все равно удобнее централизованный контролируемый свой DNS.
Можно и hosts генерировать, вообще тривиальная задача (см https://github.com/mcdir/statdnslog/blob/master/utill/tmp/local_serverlist_ban.txt).
А то в интернетах полно школоты, которая собирает многомегабайтные (?!!!) списки хостов, которые в смартфон или в роутер не загрузишь — тяжело им с их маленькими процессорами и памятью.
Но все равно удобнее централизованный контролируемый свой DNS.
0
А просто поснифать весь трафик и получить то же самое плюс еще много чего интересного нельзя? Включите в разрыв между провайдером и вашим роутером нечто, в простейшем случае комп с двумя сетевухами, настроенными мостом и наслаждайтесь. Можно и snort какой-нибудь еще на трафик натравить.
0
Тут вот какой минус, чем шире полоса, тем сложнее это сделать, попробуйте проделать такой фокус на трафике в гигабит или выше, да даже на 200-300 мегабит уже получите задержки, если вдумчиво не заниматься тюнингом всего. Например у меня дома выделенный гигабит, который через год я планирую расширить до 10Г, стоит хороший маршрутизатор L4 и пустить трафик не через него, а через отдельный сервак — это убить свою полосу и загрузить домашний сервер в полку бесполезными вычислениями, ему и так есть чем заняться. А вариант с ДНС в этом плане очень удобный, да не все фильтруется и на конечных устройствах нужно дополнительно принимать меры, но очень многое уходит в null изначально, не скачиваясь и не подвергаясь постобработке.
0
"… раздаёт DHCP ADSL-модема"
К ситуации автора ваши доводы не относятся, хотя для ваших скоростей они актуальны. Но когда дома гигабит и планируется 10 (?), то и моя реплика про сетевой мост тоже не актуальна. Вы там чем-то таким интересным занимаетесь, что наверняка можете себе позволить rspan на коллектор трафика, стоящий в стороне, имеющий подходящие сетевые интерфейсы и процессорные мощности. Окиньте взглядом вашу стойку, наверняка там такой есть.
К ситуации автора ваши доводы не относятся, хотя для ваших скоростей они актуальны. Но когда дома гигабит и планируется 10 (?), то и моя реплика про сетевой мост тоже не актуальна. Вы там чем-то таким интересным занимаетесь, что наверняка можете себе позволить rspan на коллектор трафика, стоящий в стороне, имеющий подходящие сетевые интерфейсы и процессорные мощности. Окиньте взглядом вашу стойку, наверняка там такой есть.
0
… да и кто, куда и когда из семейных ходит видно
Локальный маленький Большой Брат? ;)
0
Sign up to leave a comment.
Как я bind`ом вирусы искал…