Fate attenzione quando si copiano comandi dal web sul terminale

Aperto da Tony, Domenica 29 Gennaio 2017, 17:47:39

Discussione precedente - Discussione successiva

Braccobaldo

#15
Per ovviare al problema del sudo, per il furfante, potrebbe essere sufficiente inserire il comando "traditore" in una serie di comandi che prevedono il sudo. La password si inserisce solo la prima volta e quando arriva "lui" trova la strada spianata. O no?



Tony

Esatto quello che ha detto Josh.
Aggiungo che il comando potrebbe perfino fare da trojan.
Cioè, mostra quello che l'utente si aspetta ma, dietro le quinte, fa altro.
Si potrebbe anche far si che i comandi malevoli vengano eseguiti al prossimo avvio del pc o ad una ora/data specifica.
Come detto, non servono per forza i poteri di amministratore per fare danni.
Anche ritrovarsi con la home vuota non è bello.

Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.

Tony

Citazione di: Superciuk il Mercoledì 01 Febbraio 2017, 08:27:49
Per ovviare al problema del sudo, per il furfante, potrebbe essere sufficiente inserire il comando "traditore" in una serie di comandi che prevedono il sudo. La password si inserisce solo la prima volta e quando arriva "lui" trova la strada spianata. O no?
Sì.

Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.

drugo

Citazione di: Tony il Domenica 29 Gennaio 2017, 17:47:39
Quindi in caso di fonti non fidate, meglio incollare prima il codice in un editore di testi, prima di eseguirlo.
Infatti.
La cosa potrebbe sembrare "pallosa" ma si evitano guai grossi se il comando copiato è malevolo.
Questo è il comando (innocuo), linkato da Tony:

ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
ls -lat


da notare quanto codice nascosto che contiene  :o :o
PS: Siccome "fidarsi è bene, non fidarsi è meglio", quando seguite una guida in internet, prendete la buona abitudine di fare copia e incolla prima in un editor di testo, controllando così che non ci siano codici strani, poi  nel terminale; vi eviterete spiacevoli sorprese!
PPS: Un'amicizia è sempre un'amicizia anche se virtuale!

Josh

Citazione di: Tony il Mercoledì 01 Febbraio 2017, 14:50:53
Esatto quello che ha detto Josh.

Non ho ben capito il motivo che fa eseguire automaticamente il comando incollato. Forse è perché si copia male la stringa dal sito web includendo così lo spazio antecedente il comando stesso. La shell di conseguenza interpreta lo spazio come "invio". Se così fosse non so se è un bug o una funzione appositamente implementata.
"Sii un uomo migliore di tuo padre"

stupenDOS

credo che dipenda dal fatto che viene copiato qualcosa tipo un "enter" (a capo in html?) in fondo alla stringa, che non si vede

Josh

"Sii un uomo migliore di tuo padre"

Tony

#22
Citazione di: stupenDOS il Mercoledì 01 Febbraio 2017, 22:19:54
credo che dipenda dal fatto che viene copiato qualcosa tipo un "enter" (a capo in html?) in fondo alla stringa, che non si vede
Più o meno è così.
In realtà si tratta di una lista di comandi.
Immaginatela come se fosse una lista della spesa.
Il terminale, quando trova una lista di comandi, li esegue a cascata, riga per riga, tranne l'ultimo che, invece, richiederà il tasto invio per essere eseguito.
L'ultima riga verrà, quindi, solamente visualizzata.
Ecco un esempio: aprite un terminale ed incollateci ciò che segue


clear ; echo "Questo messaggio verrà visualizzato immediatamente" ; sleep 2.5
clear ; echo "Anche questo" ; sleep 2.5 ; clear
"Se qui ci fosse un comando, dovresti premere invio per eseguirlo"


Chiaro?

Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.

Josh

"Sii un uomo migliore di tuo padre"

Tony

Segnalo l'ottimo emulatore di terminale tilix, che tra le altre interessantissime opzioni e caratteristiche, segnala anche che si sta per incollare del codice potenzialmente malevolo.
Ripetendo l'esperimento con tilix, infatti, esce una finestra che riporta il reale codice che si sta per incollare e chiede se si vuol proprio continuare o no.

Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.