Ubuntu'da casus yazılım tehlikesi!

Başlatan tarakbumba, 10 Aralık 2009 - 13:00:35

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

tarakbumba

Gnome-look sitesinde yayınlanan bir "ekran koruyucu" nun casus yazılım niteliğinde olan ve bir siteye Dos saldırısı düzenlenmesine yol açan betik içerdiği belirlendi. Bu "ekran koruyucu" 116772-WaterFall.deb adını taşıyor ve .deb paketi şeklinde kuruluyor. Şu anda gnome-look.org sitesinden çıkartılan bu uygulamayı yüklemiş olan arkadaşların acilen aşağıdaki komutları çalıştırmaları öneriliyor:
sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

Bu olay hakkında ayrıntılı bilgi edinmek isteyen arkadaşların şu sayfayı okumaları önerilir.

Bu olaydan çıkartılabilecek ders: Ne kadar güvenli olduğu düşünülürse düşünülsün bir dağıtımın resmi paket deposu dışındaki yerlerden kurulacak paketler bilgisayarınıza kımıl zararlılarını sokabilir.

superjax

yüklediğine emin olamayanlar çıkacaktır bence herkes kodu girsin

xwes

verilen komutta /etc/profile.d/gnome.sh dosyasinin silinmesi filan var. Bence bu komutu bu konuda daha fazla bilgisi olan biri burada onaylamadikça uygulamayin.

superjax

aslında benimde sonradan aklıma geldi ve uygulamadım ama arkadaş kaynak göstermiş

xwes

Alıntı yapılan: superjax - 10 Aralık 2009 - 14:24:06
aslında benimde sonradan aklıma geldi ve uygulamadım ama arkadaş kaynak göstermiş
Kaynaga ustun koru bir goz attim ama 15 sayfa yazilmiş, hepsine bakamadim. Yukaridaki komutta geçen çozumlerden de bahsedilmiş ama yine de temkinli olmak istedim.

localhost

Paket deb olarak kuruldugu icin nerelere dosyalari yüklemis bilmiyorum. Suanda standart yeni kurulmus bir ubuntuda yukarida silinecek olan dosyalar yok. Eger sizde asagidaki dosyalar mevcutsa silebilirsiniz.

/usr/bin/Auto.bash
/usr/bin/run.bash
/etc/profile.d/gnome.sh index.php run.bash
Linux LPIC1 - MCSA

tarakbumba

Vediğim komutta geçen dosyalar, casus yazılım paketi ile kuruluyor. Ubuntu' nun kurulumunda bu dosyalar yok. Bu dosyalardan Auto.bash betiği, kendiliğinden internete bağlanıp  kendini yeni sürümüyle güncellemeyi başarıyor. Bunun sebebi  /etc/profile.d/ içindeki diğer casus betiklerin her GNOME masaüstü başlangıcında çalışması. Bu paketi yapan kişi, kendince bir deneme ve bir şeyleri kanıtlamaya çalışmış. Bu konuda ping istekleri gönderilen ve Dos saldırısı yapılan siteye bir ileti göndermiş. İletimde verdiğim forum sayfalarında bu ileti de var.

Önemli bir haberi daha vereyim. Aynı şekilde gnome-look.org sitesinde fark edilene kadar kısa bir süre yayınlanan Ninja teması DEB paketi de casus kod içeriyormuş. Henüz bir çözümü var mı bulamadım ama varsa yükleyenler için uyarayım istedim. Bu konuyu da Mandriva forumlarında gezerken fark etmiştim.

canosayan

kendi çapımda bir tespitte bulunayım mı? iki örneğede bakarsak casus kodlar daha çok görsellik materyallerinden. Sanırım görsellik ile uğraşanların daha kolay yem olacağı düşünülüyor.
Chmod bizim işimiz.

fortran

Uyarı için teşekkürler tarakbumba.
Özgür yazılım dergisi: eniXma

erhan

Alıntı yapılan: tarakbumba - 10 Aralık 2009 - 13:00:35
Bu olaydan çıkartılabilecek ders: Ne kadar güvenli olduğu düşünülürse düşünülsün bir dağıtımın resmi paket deposu dışındaki yerlerden kurulacak paketler bilgisayarınıza kımıl zararlılarını sokabilir.

katılıyorum uyarı için teşekkürler.
İki Dinle bir konuş!