Смена владельцев в /home -- опасно ли для всей системы?
 

Debian Etch, всего два юзера. *Установлен WINE* (если это что-нибудь даст), защиту специально не ставил, ни iptables, ни других файрволов (возможно, напрасно), антивирей тоже. Внешнего IP нету, в инете через вот этот маршрутизатор с заводской (необновлённой) прошивкой и провайдерский нат. Жена под своим акком что-то сделала, говорит, попыталась загрузить со злосекты ВКонтакте какую-то картинку, -- но не ту, о которой ДРВеб предупреждал, что это, мол, вирус в жпеге, а вообще какую-то стороннюю безобидную картиночку. После чего, по её словам, в окошке IceWeasel'я "Сохранить как" в поле "название файла" бегущей строкой быстро побежали спецсимволы и вся система подвисла намертво вообще. Reset, и, по её словам (что выглядит опять же странно, я не видел), система после загрузки выдала ей консольное приглашение, в котором было написано слово *ROOT* -- и она выключила комп после этого.
Прихожу и вижу: у обоих наших пользователей в /home владельцы на все файлы стоят у одного 1000:1000, у другого 1002:1002, и только у /home/lost+found почему-то остались root:root. Ну ладно, перезашёл под Кноппиксом, через chroot сказал #chown -hR gene:gene /home/gene, для второго юзера по аналогии, сменил все пароли, вроде всё ОК, перезахожу в Дебиан -- опять владельцы послетали, на этот раз цифры поменьше были, но суть та же. Я ничего не понял, перезашёл в Мандриву, снова поменял всех владельцев, на этот раз не меняя пароли, -- вроде заработало всё в Дебиане. Кстати, после тотальной проверки Дебиана уже из Мандаривы обнаружил несколько включений с разрешениями 1002:1002 в системном /tmp -- прибил их совсем.
Кто подскажет, что это вообще было? И какая рекомендуется профилактика/проверка, чтобы если что-то уже сидит в системе, найти это и вычистить оттуда? Ставил klamav (это K-морда для clamav), попытался его запустить, но он сказал что-то про то, что virus base initialization failed и отказался проводить дальнейшую проверку, да и заодно комп опять же мне намертво завесил, допконсоли не работали, на клаву и мыш ноль реакции, пришлось просто перезагрузиться. И как защититься, если система была всё же скомпрометирована?

Под Winе вирусы очень хорошо себя чувствуют. Поэтому Wine можно запускать только под пользователем и только в необходимых случаях, когда есть уверенность, что нет опасности заражения.

Согласен, я, наверное, тоже бы посчитал безумием запуск софта под вайн с рутовыми правами. Не, у меня жена пароля рута не знает, всё только под юзером работает. Какая на ваш взгляд дрянь могла мне перебить всех владельцев/группы в /home на свои собственные, да ещё и снова умудрилось сделать то же самое уже после того, как я сменил пароли через Кноппикс?

В некоторых дистрибутивах демон Wine запускается c правами root.

Собственно вирусы под WINE гадят только в ~/.wine/drive_c
Так что опасность в любом случае небольшая. Но запускать любые программы от root, которые этого не требуют - дикость.

Envel, вы не учитываете,
1. что теоретически, вирус , поразив сам демон wine пакостит с правами демона там, куда имеет права доступа демон. А написать вирус под одну конкретную программу, да ёщё и зная её особенности (код и т.п.) гораздо проще, причём вирус может размножаться внутри среды wine, а пакостить как rootkit (которые есть и в *nix)
2. Некоторые расшаривают для Wine не только ~/.wine/drive_c, но и домашний каталог пользователя, а некоторые и весь корень. (причём в отдельных дистрибутивах, типа LinuxХР, это чуть-ли не из коробки так).

ruslandh, после такого что-то я не могу линукс считать свободным от вирусов... Может быть тогда лучше вместо wine использовать виртуализацию?
Хотя там я тоже расшариваю корень... В сомнениях прям.

Coutty, всякая среда, в которой может выполняться Win программа - потенциальная дыра, если такая среда не запускается от root, то это уже пол-дела - она может изменить только файлы с правами пользователя, от имени которого запушена (а их свести к минимуму - только то, что нужно этой среде). Наверное, правильней c точки зрения безопасности, запускать такие вещи под правами псевдопользователя в контейнере. типа chroot а к хостовой машине давать доступ через сетевые интерфейсы (samba, ftp и т.п.).

1. Вирус, написанный для Windows даже теоретически не может причинить вред системе, организованной как *nix. Там нет ни Program Files, ни Windows, они есть только в виртуальном пространства ~/.wine/drive_c
2. Согласен. Часто даже по умолчанию открыт домашний каталог в качестве отдельного диска. Это может привести только к потери всех данных в домашнем каталоге (чисто теоретически). Потому этого делать не надо.
Но вопрос! Вы видели rootkit под linux? Я с ними, честно, не сталкивался ни разу. И вообще, по наличию вирусов под linux могу судить только по отчетам лаборатории Касперского (не знаю, где они их выкапывают).

Конечно, потенциально в системе может быть куча дыр даже без Wine, но реально оказывается так, что работать вирус может только у пользователя, который своей головой не умеет управлять. Средний уровень интеллекта пользователей Linux значительно выше такового у пользователей, например, Windows (я, например, и на ней ловлю вирусы очень редко).

Пока вирусы в среде linux распространение не получили. Связано это и с объективными причинами (другая маркетинговая модель, открытое ПО, слабая в процентном соотношении распространенность, особая модель системы) и субъективными (как я уже сказал, достаточно высокий уровень подготовки пользователей).

Envel, так я вот что думаю: если ~ расшарен для виртуальной машины, то вирус, активированный под виртуализированной windows сотрёт содержимое домашнего каталога. Или нет? Думаю, что всё-таки сотрёт.
Но вот через ftp связь организовывать... Хм... Это уж слишком:) Пожалуй, можно монтировать каталоги только на чтение.

1. Речь не о вирусе написанном для Windows, а о вирусе, использующем особенности Wine
2 Да будет вам известно первый rootkit был и написанн для *nix систем, это даже в его названии есть и при желании можно найти открытый код этой программы. Не путайте вирусы и rootkit. rootkit - не обязан размножаться (он в классическом виде и не размножается), он может себя не как не проявлять, основная его функция - дать возможность удалённому пользователю скрытый доступ на ваш компьютер с правами root . Это один из основных инструментов хакеров при взломе серверов под *nix. Антивирусы не ловят (unix) rootkit, так-как он работает в пространстве ядра, как подгружаемый модуль ядра, а антивирусы работают в пространстве пользователя.

Вот поэтому я всегда отключаю модули на серверах :) А также hardened сборка ядра - супер.

Мда... Ребят, спасибо за интересное обсуждение, а всё же кто-то может предположить последствия для системы и способы профилактики, что я и хотел выяснить? Т.е. чем бы и как мне свою систему проверить, не сидит ли там чего, и может ли быть система скомпрометирована (опять же, как это определить)? Вот те же модули, о которых вы говорили, -- если руткит способен подгружаться в виде модулей, то как мне его опознать и выкусить без разрушающих последствий?
У меня ничего не пропало, все настройки, вроде, на месте, всё пашет как обычно, инфу никакую не потерял... но не хочу просто беспечно забыть об этом случае, ибо зело не понравилось мне то, что произошло.

Ещё вопрос пришёл в голову, к бывалым юниксоидам: люди, а возможно, чтобы система Дебиан *сама* в случае каких-то определённых сбоев передоверяла владельца/группу с буквенного юзернейма на UID или что-то в этом роде? (типа 1000 должен быть как раз UID первого юзера в системе) -- выглядит бредово, хотя фиг её знает, не знаю, что подозревать.

Вот интересная статья по этому поводу
Невидимость В *Nix / Обзор Stealth-механизмов Бэкдоров

Руслан, спасибо за инфу.
Ну вот, та же фигня случилась при похожих обстоятельствах: жена теперь работала в Мандриве 2007 вчера вечером, тоже просматривала картинки, сохранённые на фат32 -- мигание по всему монитору и отключение мыши с клавой -- перезагруз -- и вот оно, снова слетели владельцы, на этот раз они выглядят так: user:group 500:500 и 501:501. Да что за напасть меня посещает?!!! Восстановил всех законных владельцев, на этот раз из Дебиана, но по-прежнему не понимаю, что происходит.

Помогите кто-нибудь определить, что за ... у меня переназначает владельцев в домашней директории, плиииз!!! Не знаю, какой гадости и с какой стороны ждать на очереди.

Прогнал, кстати, в восстановленном Дебиане rkhunter -- кроме десятка Warning'ов, ничего серьёзного не было обнаружено, руткитов и троянов он не нашёл. Насколько я понял, он должен по идее гнаться по вообще всей системе, включая примонтированные разделы. Примонтировал два раздела Мандривы, / и /home соответственно. В общем, #rkhunter -c ничего совсем плохого не обнаружил. Могу выложить вечером /var/log/rkhunter.log, если нужно.
Антивирусником пока воспользоваться не успел. Унываю! 8`-(

Может бажный скрипт какой-то ?
Я-бы для начала проверил сначала с помощью
rpm -v установленные пакеты.

Ну вот, к счастью или к сожалению, даже не уверен, появились новые подробности.
Ставлю нулёвую новую машину другу, на неё Дебиан Ленни (тестируемый). Вчера вечером сидел в этом Дебиане и сами по себе слетели Х-ы, т.е. зависли, перекорёжилась вся графика, клава и мыш не работали никак. Причём сбоя по питанию не было вообще (горел свет, монитор не мигнул, только перекорёжилось всё изображение, а у компа корпус 400Вт). Ресет. Помня о всякой фигне в /tmp, идутуда и обнаруживаю появление и изменение каких-то непонятных файлов от имени юзера leonid (это я так юзера назвал), и от имени рута. Из того, что там возникало, я предположительно сделал вывод о том, что на меня зашли по SSH.
Что там было сомнительного? Были длинные файлы в дире /tmp/orbit-leonid вида linc-b4a-0-... и linc-b66-0-... -- порывшись в нете, нашёл, что это файлы компонентов CORBA. Ладно, может быть. Была создана такая конструкция: /tmp/gconfd-leonid/lock/ior с правами -rwx------ для root:root. Вроде оно должно иметь отношение к GTK, точно не могу сказать. Не понял, зачем оно нужно, в гугле какая-то отрывочная информация. Совсем напрягло наличие /tmp/agent.2780 с владельцами leonid:leonid. Ну, и прямо на моих глазах создание и переделка каких-то файлов с упоминанием ssh, каких-то сервисов и ещё чего-то. Убил под рутом всё подозрительное. Причём, когда убил пару элементов из /tmp, через минуту зашёл туда же рутом, и увидел, что эти же самые элементы появились, на этот раз симлинками на файлы, нарисовавшиеся теперь в /var/tmp, что тоже не порадовало. Может быть, я и выглядел котёнком, гоняющимся за собственным хвостом, но я хочу чётко понимать, что происходит на моей машине, особенно после таких весьма неприятных сбоев!
На линуксфоруме предложили посмотреть /etc/passwd на наличие подозрительных записей. Вот, что мне там показалось непонятным и я их удалил:
www-data:x:33:33:www-data:/var/www:bin/sh
festival:x:104:29::/home/festival:/bin/false
saned:x:106:112::/home/saned:/bin/false

Последнее очень напоминает что-то от сканерной системы SANE, но нуждается в подтверждении.
Команда netstat показала подключения, среди которых в том числе были и с такими именами: /kla, /klaun и /i. Не нашёл таких в гугле.
Пожалуйста, посмотрите мой /var/log/auth.log, там записано, что происходило, но я не понимаю, как это интерпретировать и насколько безопасно то, что там создавалось (насколько я понял, именно в то время, когда я заходил в консоли под рутом через su, запуская mc. Мне непонятно, почему в одной попытке входа в систему там написано, что ruser=leonid и при этом его uid=0. Хочу вообще запрета всем ремоут юзерам коннектиться к моим машинам по-любому. Как это реализовать?
Нашёл в сети про запрет хостам ALL: ALL в файле /etc/hosts.deny. Вписал, наряду с раскомментированием ALL: PARANOID.

Насколько правильно всё, что я сделал в свете защиты от удалённых соединений и что ещё надо сделать, чтобы навсегда их заблокировать?

Что-то так и не понял, где все могут увидеть вложенный лог, я его сам почему-то вижу только если редактирую сообщение... Выкладываю ещё и ссылкой, вот сюда.