No virus napsat lze, lze napadnout i ELF, ale neni to tak jednoduche, musi ho cely prekopat, prepsat kontrolni soucty a hlavne se nezryje pred strace a jinymi vecmi.
Dale jsou zde tripwire, ci jen blbe RPM chcecksumy, takze kazdy virus je velmi rychle odhalen.
Dostat ROOTkit do linuxu uz neni vubec jednoduche, i kdyz ne nemozne.
Dale muzu binarku udelat statickou a pobezi na stejne arch.
Ale co skutecne brani sireni wiru a cervu na linuxu:
* Velke mnozstvi podporocbanych CPU artch.
* Linux ma skutecne uzivatele, ne jako widnows, ktery nic jineho nez admina nezna a systemu muze kazdy uz. posilat kernelu prikazdy pres message sytem.
* Ani root nema pristup do kernelu, musi k tomu pouzit moduly a volani kernelu, ktere muze nejaky inst. det. system zabranovat.
* Vetsinou se lze pohybovat jenom v $HOME a /tmp
* Linux poidpruje NX byt, coz zneprijemnuje napadani, vetsinou i znemoznuje
* random pid, random mem. adr .... to je sakra velky problem pro buffer overflow.
* I kdyz mam deravou aplikaci, diky nastaveni, chrootu, NX, patchutemu GCC ale RedHat, Selinuxu a kdo vi cim jeste, muzu napadeni velmi uspesne branit
* Linuxu uz presly od nebezpecnych programu jako sendmail k jinym a i ten sendmail se uz zlepsil.
* pokud se utocnik nedostane tak daleko, ze nainstaluje rootkit (cemuz muzu taky castecne branit kompilaci kernelu s podepisovanim modulu, i kdyz do kmemu muzu napadnout i nemodularni kenel), tak existuji nastroje, jako debugfs, ktere zobrazi skryte soubory pres ROOTkit ... uz jsem to resil, takze vim o cem mluvim, masinu jsem uvedl zpet do provozu velmi rychle, nasel jsem skryte soubory, rebootoval do zachraneho CD, smazal ty soubory, preplacl cely kernel, zjistil mod. soubory, checknul init.rc a inittab, nastavil firewall pro opravdovou paranoiu a do 30min system bezel, pak jsem jeste par hod kontroloval a zjitsoval co se stalo.
* Kdyz se vir neskryje, je videt v procesech a kazdy damin vi, ktery proces ma bezet a ktery ne, dale kazdy soubor je v balickovacim syst. registrovan a je jecho CRC, md5 a kdo vi co jeste ...
Takze Linux lze napadnout, ale je to moc slozite, je mnoho veci, na kterych to muze ztroskotat a hlavne schopny admin by mohl utok opetovat a zacit nicit a mazat.