3つのAURパッケージでマルウェアが見つかり、削除されましたacroread。blazminergate例: PKGBUILD 詳細 acroread)。これは、孤立したAURパッケージの所有者を変更し、悪意のあるコマンドを含む悪意のあるユーザーがcurl投稿したコミットで見つかりました。
このcurlコマンドはデフォルトのbashスクリプトをダウンロードxしてからsystemdサービスを作成し、機能を使用していくつかのシステムデータ(機密ではないデータ)を収集する2番目のスクリプトu(u.sh)をダウンロードしますが、攻撃者はこれらのスクリプトを修正して順次アップロードしますできます。
実際には、何らかの理由で(一部の知識が必要、時間がかかるなど)、すべてのユーザーがシステムでパッケージをビルドする前にPKGBUILDを確認できるわけではありません。仕組みを理解するために、2つのbashスクリプトをダウンロードしてアップロードしました。この過去の空のページ。
AURパッケージにマルウェアがあるかどうかを確認する最も簡単な方法は何ですか?
答え1
経験が不足しているユーザーが確認するのは簡単ではないかもしれません。ソースコード。しかし、当然のことながら、Arch Linuxは経験の浅いユーザーに最適なLinuxディストリビューションではないと言うことができます。
Arch wiki、AURヘルパー、およびほとんどのオンラインフォーラムは、これらのリポジトリ/AURの危険性と盲目的に信頼できないことを警告します。一部のヘルパーは、インストールする前にPKGBUILDを読む必要があると警告します。
提案として常に使用することをお勧めします。テリソンこれは、ユーザーにパッケージ/違いのリストを確認する機会を提供するため(問題/非アクティブ化としてリストされている)の代わりにaurman(または同様のユーティリティ)です。yaourt貢献履歴を表示することは、パッケージを選択または更新するときにも役立ちます。
一般ユーザーは、代わりに公式のバイナリパッケージがある場合は、これらのリポジトリをパッケージのデフォルトソースとして使用しないでください。 AURを使用する必要がある場合は、Archフォーラムおよび/またはメーリングリストから問題レポートを検索できます。しかし、これは過度に楽観的な見方ですが、Archコミュニティはここの場合のように定期的にパッケージをチェックしているようです。
ダウンロードしたソースコードから既知のマルウェア署名を検索してみることもできますが、カスタムmaldetectコードを使用して何かを見つける可能性はゼロです。maldetect多くの場合、PHPコードでマルウェアをキャッチするのに適しています。
dhcpdPSの最後の作業では、しばらくの間ソースからコンパイルされたパッケージを使用し、長年に渡ってソースでコンパイルされたFreeRadiusパッケージを使用しました(Debianのバージョンが古くなったため)。
最初のケースでは、githubからダウンロードしたソースコードを何度も簡単に確認しました。 2番目のケースでは、FreeRadiusユーザーフォーラム、githubフォーラム、およびコードアップデートに積極的に従います。テスト/分離環境もあります。 (テスト環境で発見された重要なバグレポートも提出しました。)
あなたがやっているなら、ポイントを取得します。どのソースからパッケージを真剣にインストールするには、通常、ディストリビューションが提供する公式のコンパイルパッケージよりも多くの作業が必要です。
PS2。一般的に経験豊富なUnix管理者curlであれば、何らかの形のビジュアルチェックなしで直接スクリプト/ソースコードを実行することはセキュリティの観点から非常に悪い考えだと言うでしょう。