Windows batte Linux 60000 a 40

[daniele_dll]

^^

su linuz tranne se l'utonto starta il virus da solo non parte ^^

[Ikitt]

Originariamente inviato da daniele_dll
^^

su linuz tranne se l'utonto starta il virus da solo non parte ^^

Vero.
Pero' se c'e' un server in ascolto...
Se il server ha un buffer overflow o altra vulnerabilita' critica...
Se la patch non e' applicata...

Fantascienza? No, e` cosi` che ha funzionato slapper, slammer e blaster...

+++

Linux e' robusto e puo` essere reso molto sicuro, ma questo richiede comunque impegno, non e` che e` sicuro per grazia ricevuta o intercessione di S. IGNUcius...

[daniele_dll]

Originariamente inviato da Ikitt
Vero.
Pero' se c'e' un server in ascolto...
Se il server ha un buffer overflow o altra vulnerabilita' critica...
Se la patch non e' applicata...

Fantascienza? No, e` cosi` che ha funzionato slapper, slammer e blaster...

+++

Linux e' robusto e puo` essere reso molto sicuro, ma questo richiede comunque impegno, non e` che e` sicuro per grazia ricevuta o intercessione di S. IGNUcius...

. . .

proprio con le reti e i server lavoro da 1 vita ^^ e ne so a sufficenza per poter dire che sono pochissimi i server che necessitano strettamente di girare come root (anzi se non lo si fa proprio è meglio)

ad es apache...si già come root...ma lui dopo che binda la porta switcha sull'utente che gli viene fornito ^^

quindi si con i buffer overflow...ma comunque possono andare ad intaccare solo quelle parti connesse al server ^^ xche girano come utente del server che ha avuto l'overflow

quindi se a me apache gira come nodoby...non possono farmi nulla...se gira come utente proprio possono andare ad intaccare SOLAMENTE i file creati da lui ^^ ovvero ad es quelli scritti con php o perl

i buffer overflow sono pericolosi...ma utilizzarli in maniera efficente ci vuole conoscere bene la struttura e l'organizzazione della macchina

[alexmaz]

Originariamente inviato da daniele_dll
^^

su linuz tranne se l'utonto starta il virus da solo non parte ^^

nemmeno su Windows nella maggior parte dei casi... se noti la maggior parte dei virus arriva come allegato alla mail su cui l'utonto fa doppio click. Esistevano una serie di vulnerabilità di outlook e compani che facevano partire eseguibili in automatico, ma dovrebbero essere ormai risolte. E comunque, se evolution per esempio avesse lo stesso tipo di bug, il problema sarebbe identico su linux.

Quello che cerco di dire e che la struttura dei due OS è comparabile.

[alexmaz]

Originariamente inviato da daniele_dll
. . .

proprio con le reti e i server lavoro da 1 vita ^^ e ne so a sufficenza per poter dire che sono pochissimi i server che necessitano strettamente di girare come root (anzi se non lo si fa proprio è meglio)

ad es apache...si già come root...ma lui dopo che binda la porta switcha sull'utente che gli viene fornito ^^

quindi si con i buffer overflow...ma comunque possono andare ad intaccare solo quelle parti connesse al server ^^ xche girano come utente del server che ha avuto l'overflow

quindi se a me apache gira come nodoby...non possono farmi nulla...se gira come utente proprio possono andare ad intaccare SOLAMENTE i file creati da lui ^^ ovvero ad es quelli scritti con php o perl

i buffer overflow sono pericolosi...ma utilizzarli in maniera efficente ci vuole conoscere bene la struttura e l'organizzazione della macchina

si, ma sai quanta roba su una macchina ha i bit SUID e SGID attivati?

codice:

root@chimera Tue Oct 21 13:08:43 /home/alex # find / -type f -a \( -perm -2000 -o -perm -4000 \) -print
/bin/su
/bin/ping
/bin/mount
/bin/ping6
/bin/umount
/opt/vmware/bin/vmware-ping
/opt/vmware/bin/vmware
/opt/vmware/lib/bin/vmware-vmx
/usr/bin/gpg
/usr/bin/man
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/lppasswd
/usr/bin/crontab
/usr/bin/gnometris
/usr/bin/aterm
/usr/bin/chage
/usr/bin/gtali
/usr/bin/write
/usr/bin/gnotravex
/usr/bin/traceroute6
/usr/bin/tracepath6
/usr/bin/dotlockfile
/usr/bin/traceroute
/usr/bin/slocate
/usr/bin/mahjongg
/usr/bin/gnome-stones
/usr/bin/expiry
/usr/bin/sperl5.8.0
/usr/bin/glines
/usr/bin/netselect
/usr/bin/newgrp
/usr/bin/gnomine
/usr/bin/gnotski
/usr/bin/passwd
/usr/bin/gnuplot
/usr/bin/gpasswd
/usr/bin/gnibbles
/usr/bin/smbumount
/usr/bin/gnobots2
/usr/bin/tracepath
/usr/bin/suidperl
/usr/bin/same-gnome
/usr/kde/3.1/bin/kppp
/usr/kde/3.1/bin/reslisa
/usr/kde/3.1/bin/fileshareset
/usr/kde/3.1/bin/kdesud
/usr/kde/3.1/bin/kcheckpass
/usr/kde/3.1/bin/konsole_grantpty
/usr/kde/3.1/bin/kpac_dhcp_helper
/usr/lib/misc/ssh-keysign
/usr/lib/misc/pt_chown
/usr/lib/xcdroast-0.98/bin/xcdrwrap
/usr/lib/svgalib/demos/fun
/usr/lib/svgalib/demos/spin
/usr/lib/svgalib/demos/linearfork
/usr/lib/svgalib/demos/joytest
/usr/lib/svgalib/demos/svidtune
/usr/lib/svgalib/demos/keytest
/usr/lib/svgalib/demos/mousetest
/usr/lib/svgalib/demos/accel
/usr/lib/svgalib/demos/linearspeed
/usr/lib/svgalib/demos/testlinear
/usr/lib/svgalib/demos/lineart
/usr/lib/svgalib/demos/forktest
/usr/lib/svgalib/demos/bankspeed
/usr/lib/svgalib/demos/eventtest
/usr/lib/svgalib/demos/scrolltest
/usr/lib/svgalib/demos/vgatweak
/usr/lib/svgalib/demos/testgl
/usr/lib/svgalib/demos/vgatest
/usr/lib/svgalib/demos/mjoytest
/usr/lib/svgalib/demos/addmodetest
/usr/lib/svgalib/demos/bg_test
/usr/lib/svgalib/demos/speedtest
/usr/lib/svgalib/demos/printftest
/usr/lib/svgalib/demos/testaccel
/usr/lib/svgalib/theeDKit/plane
/usr/lib/svgalib/theeDKit/wrapdemo
/usr/sbin/unix_chkpwd
/usr/sbin/pwdb_chkpwd
/usr/sbin/smbmnt
/usr/sbin/amcheck
/usr/sbin/gnome-pty-helper
/usr/sbin/pam_timestamp_check
/usr/X11R6/bin/Xwrapper
/usr/X11R6/bin/xterm
/usr/libexec/libzvt-2.0/gnome-pty-helper
/usr/libexec/rundump
/usr/libexec/killpgrp
/usr/libexec/calcsize
/usr/libexec/dumper
/usr/libexec/runtar
/usr/libexec/gnome-pty-helper
/usr/libexec/lockspool
/usr/libexec/evolution/1.4/camel/camel-lock-helper
/usr/libexec/planner

[daniele_dll]

(quando mi riferivo al fatto che partivano in automatico era riferito proprio ad outlook ed a ie ^^)

si è vero...molta roba ha i SUID e i SGID...xo...un server serio è diverso...xche imposta i 2 bit SOLO ai tool che devono usare gli utenti ammesso che il server in questione è un server con terminale remoto con utenti esterni...altrimenti se sul server deve ad es girare apache...tutta quella roba non serve ^^

su un server a che pippa servono le SVGALIB? o X? o tanta tanta tanta tanta tanta altra roba?

hai perfettamente ragione a preoccuparti del SUID e SGID...ma un'admin decente ci bada a queste cose

[alexmaz]

Originariamente inviato da daniele_dll
(quando mi riferivo al fatto che partivano in automatico era riferito proprio ad outlook ed a ie ^^)

si è vero...molta roba ha i SUID e i SGID...xo...un server serio è diverso...xche imposta i 2 bit SOLO ai tool che devono usare gli utenti ammesso che il server in questione è un server con terminale remoto con utenti esterni...altrimenti se sul server deve ad es girare apache...tutta quella roba non serve ^^

su un server a che pippa servono le SVGALIB? o X? o tanta tanta tanta tanta tanta altra roba?

hai perfettamente ragione a preoccuparti del SUID e SGID...ma un'admin decente ci bada a queste cose

si d'accordo... il succo del discorso è che comunque gli attacchi portati a Windows non funzionano perchè non ha memoria protetta e file senza permessi

[daniele_dll]

Originariamente inviato da alexmaz
si d'accordo... il succo del discorso è che comunque gli attacchi portati a Windows non funzionano perchè non ha memoria protetta e file senza permessi

si infatti

che poi stavo riflettendo su una cosa imporntante...

su linux non è possibile scaricare in blocco la memoria su hd...ma su winzoz si ^^

xche non essendo protetta un qualsiasi app può scaricarsi tutta la memoria

[daniele_dll]

questi sono i pacchetti che hanno SUID e SGID da me ^^

ho usato una sorcerer (la ver vecchia non la nuova) e 170 sorgenti compilati a mano (ho lavoratu su questo pc 7 e ancora lo devo finire)

/bin/mount
/bin/ping
/bin/su
/bin/umount

/usr/bin/chage
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/expiry
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/rcp
/usr/bin/rlogin
/usr/bin/rsh
/usr/bin/screen-3.9.11
/usr/bin/write
/usr/bin/screen-3.9.15

/usr/local/bin/su
/usr/local/bin/rsh
/usr/local/bin/rcp
/usr/local/bin/rlogin
/usr/local/bin/ping
/usr/local/bin/dotlock
/usr/local/bin/ssh-signer2
/usr/sbin/traceroute

xo tieni conto che quelli in grassetto devono diventare link simbolici dentro quelli che stanno dentro usr local bin e rsh, rcp, rlogig devono sparire ^^

quindi effettivamente quando lo finirò...

dovrebbe essere +/-:

/bin/mount
/bin/ping
/bin/su
/bin/umount
/usr/bin/screen-3.9.11
/usr/bin/screen-3.9.15
/usr/local/bin/su
/usr/local/bin/ping
/usr/local/bin/dotlock
/usr/local/bin/ssh-signer2
/usr/sbin/traceroute

una quantità molto ridotta ^^

anche se poi dovrò fare ancora pulizia

probabilmente rimarra soltanto il su x gli utenti normali (quanto basta x loggare da ssh come utente e fare il su ^^ xche via ssh ovviamente non si ci può loggare in root)

consigli?

[alexmaz]

Originariamente inviato da daniele_dll
si infatti

che poi stavo riflettendo su una cosa imporntante...

su linux non è possibile scaricare in blocco la memoria su hd...ma su winzoz si ^^

xche non essendo protetta un qualsiasi app può scaricarsi tutta la memoria

Non ci siamo ricapiti... Windows NT ha memoria protetta!!!! il post di prima può essere capito male, il senso era "gli attacchi du Windows funzionano per altri motivi, non per mancanza di memoria protetta o permessi sui file. Il dump della memoria lo fa anche linux volendo.