这是一个创建于 3599 天前的主题,其中的信息可能已经有所发展或是发生改变。
测试了一把,结果显示360基本对Linux社区规范和安全常识不give a fuck。
首先,这个deb包就是胡乱打包,依赖关系就没弄好:
$ dpkg-deb -I 360safeforlinux-3.0.0.66-stripped.deb
[...]
Package: 360safeforlinux
Version: 3.0.0.66
Architecture: amd64
Maintainer: qihu360 company
Installed-Size: 23617
Depends: libc6 (>= 2.14),libglib2.0-0 (>= 2.38),python2.7 (>= 2.7.6),openssl(>= 1.0),curl,libqt4-network(>= 4.8.5),libqt4-sql(>= 4.8.5)
Section: gnome
Priority: required
Essential: yes
Description: 360 safe for linux
但是还实际依赖了libpython2.7和libqtgui4两个库没有标明,要我手动修复。
这个打包还通过滥用Essential标记来制造卸载的麻烦。
root@debian-amd64:/home/user# apt-get remove 360safeforlinux
[...]
The following packages will be REMOVED:
360safeforlinux
WARNING: The following essential packages will be removed.
This should NOT be done unless you know exactly what you are doing!
360safeforlinux
[...]
**You are about to do something potentially harmful.**
To continue type in the phrase 'Yes, do as I say!'
?]
Abort.
root@debian-amd64:/home/user# aptitude remove 360safeforlinux
The following packages will be REMOVED:
360safeforlinux
[...]
The following ESSENTIAL packages will be REMOVED!
360safeforlinux
WARNING: Performing this action will probably cause your system to break!
Do NOT continue unless you know EXACTLY what you are doing!
To continue, type the phrase "I am aware that this is a very bad idea":
关于Essential打包政策,Debian和Ubuntu都只保留给最必要的包。
安装后dpkg配置时它的postinst脚本直接给加上了setuid。如此随意地使用setuid,还能自称是安全?
if [ "$1" = "configure" ];then
chmod u+s /opt/360safeforlinux/s360SafeForLinux
[...]
fi
这个的意思就是,以普通用户权限运行这个东西,它会变成root:
user@debian-amd64:~$ id
uid=1000(user) gid=1000(user) groups=1000(user),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev)
user@debian-amd64:~$ start360 &
[1] 4512
user@debian-amd64:~$ pstree -u
init─┬─dhclient
├─5*[getty]
├─login───bash(user)───startx───xinit─┬─Xorg(root)
│ └─x-window-manage
[...]
├─urxvtd(user)
└─urxvtd(user)─┬─bash───start360(root)─┬─{BackendTaskThre}
│ ├─{BrowserHomePage}
│ ├─{CpuMemUseState}
│ ├─{FileWatcher}
│ ├─{IsolateZone}
│ ├─{LogCleanThread}
│ ├─2*[{MyThread}]
│ ├─{VdUpload}
│ └─3*[{start360}]
└─bash───pstree
dpkg的prerm脚本还有奇怪的东西:
rc=`lsmod | grep "rk360" | xargs echo`
if [ -n "$rc" ];then
rmmod rk360 2>/dev/null 1>&2
rm -rf /etc/360safe/360safe.ko 2>/dev/null 1>&2
fi
rc=`lsmod | grep "immu" | xargs echo`
if [ -n "$rc" ];then
rmmod immu 2>/dev/null 1>&2
rm -rf /etc/360safe/immu.ko 2>/dev/null 1>&2
fi
360不仅不满足于root权限,还在用内核模块?不过这次使用中并未发现这两个内核模块。
start360启动,然后有两个运行时怪现状:
- 把pid保存到
/etc/360safe/360safeforlinux.pid。会不会遵守FHS? - 疯狂扫描系统文件,powertop显示闲置状态每秒30个唤醒,笔记本电池寿命已死。会不会用inotify?
它提供了一些功能。
- 全盘扫描。所有文件都是按照标准设计的,哪个恶意哪个不恶意真不是360能说了算的。
- 一键清理。可以使用这个命令替代:
rm -r ~/.adobe ~/.cache ~/.local ~/.macromedia ~/.thumbnails /tmp/*。但是这些临时文件是有用的,也占不了多大空间。 - 优化加速。就是把
update-rc.d/chkconfig封装了一个图形界面。 - 软件管家。360的私货app store。
- 文件粉碎。Linux下有什么无法删除的“顽固”文件?还是重新发明了coreutils的
/usr/bin/shred?来删除/proc试试? - 网盾。就是Firefox和Chrome的插件。
./etc/360safe/urlcheck
./etc/360safe/urlcheck/normalize.py
./etc/360safe/urlcheck/Firefox
./etc/360safe/urlcheck/Firefox/[email protected]
./etc/360safe/urlcheck/lcloud.ini
./etc/360safe/urlcheck/browserextensionsinstaller.py
./etc/360safe/urlcheck/Chrome
./etc/360safe/urlcheck/Chrome/360WebShield.crx
- 还有二进制库的“云查杀”,QEX引擎,BitDefender引擎。不了解有什么用处。
360唯有一点用功了,就是列了一大堆非GPL的许可证:
license/zlib_license.txt
license/c-ares_license.txt
license/qt_license_lgpl.txt
license/unrar_license.txt
license/sqlite_license.txt
license/elftoolchain_license.txt
license/libcurl_license.txt
license/7-Zip_license.txt
license/boost_license.txt
license/openssl_licnese.txt
license/minizip_license.txt
license/jsoncpp_license.txt
license/protobuf_license.txt
license/Noto fonts_license.txt
license/qt_lgpl_exception.txt
这样人们就无权索要源代码。不过,一个安全产品不公开源代码,然后用setuid拿了root还要搞内核模块,谁知道你要干嘛?总之,360对Linux社区规范和安全常识基本不give a fuck。
第 1 条附言 · 2015-01-01 13:47:57 +08:00
为什么说缺乏安全常识。
首先,用setuid给一个图形网络程序整体提权到root就是自送漏洞,全身是洞,只要发现一个,就是远程root。
其次,用户界面永远不需要root,提权进行特定动作特定配置有polkit,更新系统配置文件可以有facl可以有SELinux/AppArmor,内核级文件扫描可以有auditd,这些机制都不需要一个以root运行的用户界面造成巨大的攻击面。
第三,以root权限运行网上下载的二进制文件是一切病毒发生的起源。尤其是这种既没有源代码可审计,也没有数字签名可验证真实性的东西。
首先,用setuid给一个图形网络程序整体提权到root就是自送漏洞,全身是洞,只要发现一个,就是远程root。
其次,用户界面永远不需要root,提权进行特定动作特定配置有polkit,更新系统配置文件可以有facl可以有SELinux/AppArmor,内核级文件扫描可以有auditd,这些机制都不需要一个以root运行的用户界面造成巨大的攻击面。
第三,以root权限运行网上下载的二进制文件是一切病毒发生的起源。尤其是这种既没有源代码可审计,也没有数字签名可验证真实性的东西。
78 条回复 • 2018-02-21 02:32:42 +08:00
 |
1
yanyuechuixue 2015-01-01 08:29:14 +08:00 via Android
火钳刘明
|
 |
2
pertersonvv 2015-01-01 08:37:55 +08:00
欢迎楼主加入数字公司:)
|
 |
3
riaqn 2015-01-01 08:41:39 +08:00  3
确定 .local/ 下的文件可以删? 我记得steam把游戏下载在此处的.另外很多程序都把用户相关的数据放在此处.
/tmp下至少有fcitx的sock 另外把.cache删了那要cache干嘛? 我表示装机2年多从来没清理过"垃圾",现在firefox里还有两年前的浏览记录. |
 |
4
wzxjohn 2015-01-01 08:44:49 +08:00
数字公司嘛,干啥都不奇怪=。=
|
 |
5
imlonghao 2015-01-01 08:45:24 +08:00 via Android
抵制国产软件真不是开玩笑的了
|
 |
6
aber02zzl 2015-01-01 08:55:24 +08:00
小白膜拜一下……
|
 |
7
kmvan 2015-01-01 08:56:09 +08:00 2
一键清理。 rm -rf /
|
 |
8
Devin 2015-01-01 08:58:06 +08:00
who cares?!
|
 |
9
assassinpig 2015-01-01 09:03:57 +08:00
新年第一天
|
 |
10
shierji 2015-01-01 09:05:25 +08:00
在linux上搞一个小白工具这个行为本身就有够奇怪了吧。。。
|
 |
11
Quaintjade 2015-01-01 09:13:02 +08:00 via Android 1
|
 |
14
yangyanggnu 2015-01-01 09:34:50 +08:00
实在要用,BleachBit 足以。
|
 |
15
9hills 2015-01-01 09:39:23 +08:00 via iPhone
卸载那里笑了。
|
 |
16
qq446015875 2015-01-01 09:40:51 +08:00 via Android
安全软件要权限很正常吧→_→没权限玩个球?
不过Linux下,360暂时没啥存在价值吧 |
 |
17
Jimrussell 2015-01-01 09:45:51 +08:00 1
显然又是kpi的产物。估计与讨好某部门有关。
|
 |
18
jakes 2015-01-01 09:56:09 +08:00
我觉得想在Linux中用数字的人没必要用Linux。
|
 |
19
Vincentcow 2015-01-01 09:58:40 +08:00
反正用Linux做生产力的绝逼不会安装这货
所以这家伙的市场就是用Linux的小白?怎么想也想不通啊 |
 |
20
invite 2015-01-01 09:59:31 +08:00
用linux的人,会去安装360?哈哈。
|
|
21
9hills 2015-01-01 10:09:24 +08:00 via iPhone
@Jimrussell 猜测是给政府采购做的,毕竟所谓的自主操作系统就是linux
|
 |
22
cbsw 2015-01-01 10:11:56 +08:00 1
进军 Linux 是数字公司的先见之明,因为上面已经吹风要推国产操作系统了,真正推广后必定会有大批小白用户,他们不能离开数字公司产品的保护
|
 |
23
mcone 2015-01-01 10:52:13 +08:00
卸载部分笑尿 =。=
|
 |
24
dant 2015-01-01 10:58:05 +08:00 via iPhone
rk360 模块应该是防止自己的进程被 kill 的。
不过在 gdb 面前就是一纸老虎。 |
 |
25
danmary61 2015-01-01 11:25:19 +08:00
12月22日,由工信部软件与集成电路促进中心、国防科技大学联手Canonical共同研发的国产操作系统优麒麟Ubuntu Kylin15.04版开放下载~
其实这是很大的一步棋呢。数字觉得自己很识实务。 |
 |
26
DreaMQ 2015-01-01 11:27:49 +08:00 via Android 1
用360的都不配用Unix
|
 |
28
xfspace 2015-01-01 11:37:54 +08:00
欢迎楼主登上数字船。。。
|
 |
29
feefk 2015-01-01 11:52:50 +08:00
火钳刘明
|
 |
30
abscon 2015-01-01 11:58:40 +08:00 via Android
等着有人改/etc/hosts后被弎瘤蕶警告或者直接行首加#
|
 |
31
zro 2015-01-01 12:11:25 +08:00
安卓版应该比这版本还更那个吧。。。
|
 |
32
cicku 2015-01-01 12:31:45 +08:00
这是要干神马?
|
 |
33
JamesRuan 2015-01-01 12:45:41 +08:00 via Android
求放过小白用户吧!昨天做了半个小时的思想工作都不能说服小白用户卸载360。
|
 |
34
CRight 2015-01-01 12:49:38 +08:00 via iPad
安全软件公开源码?你去卡饭与那里的人论战吧。
|
|
35
CRight 2015-01-01 12:54:23 +08:00 via iPad
@JamesRuan 你这和福音堂里的大妈,拉着人传教有什么区别。每个人都有自己的想法,没必要去改变。
360多大仇啊,金山那怂货怎么没有这么多喷子。批评当然可以,但纯粹是无意义的、主观的、带有偏见的批评就没有必要了。好歹po主是列了一系列有用信息才加以批判的。 |
 |
36
bitweaver 2015-01-01 12:58:55 +08:00
建议360等国产流氓软件还是速度滚回Windows那个圈子,欺负欺负电脑小白好了,别再开源和*nix圈子自找没趣!
|
 |
37
VigoFen 2015-01-01 13:12:21 +08:00 via iPhone
火钳刘明
|
 |
38
nikolai 2015-01-01 13:15:10 +08:00
给勇士点赞。。
|
 |
39
imn1 2015-01-01 13:24:02 +08:00
后面几个早就可以预期,360 没有 root 还能干啥?
|
 |
40
liubiantao 2015-01-01 13:31:12 +08:00
@JamesRuan 卸载以后你对人家电脑以后出现的各种问题和需求负责吗?
|
 |
41
Numbcoder 2015-01-01 13:37:08 +08:00
这种垃圾,劣币驱逐良币,真 TM 悲哀!
|
 |
42
Cu635 2015-01-01 14:01:53 +08:00
根本不是360对Linux社区规范和安全常识态度的问题,这完全就是故意的流氓行为。
|
 |
43
ssenkrad 2015-01-01 14:03:54 +08:00 via Android
文件粉碎…隔三差五就能看到手一抖rm -rf / (以下填入实际想删除的东西)的人你告诉我Linux下有东西删不掉?
|
 |
44
crystone 2015-01-01 15:16:08 +08:00
这要有多勇敢才在linux上用数字软件啊
|
 |
45
virusdefender 2015-01-01 15:20:54 +08:00
昨天在Ubuntu上安装了一下看看,结果安装好了之后就是不显示界面,估计是兼容性问题。然后也是apt-get remove 的时候惊呆了~
|
 |
46
juicy 2015-01-01 15:28:26 +08:00
等国内完成自制linux系统替代windows系统之后,360对广大人民群众来说就有用了。。360看得真远。。。。。
|
 |
47
niklaus520 2015-01-01 15:36:01 +08:00
必然是因为国家要大力推行“国产操作系统”,这时候行也得上,不行也得上,这么大的市场缺口呢……
|
|
48
niklaus520 2015-01-01 15:39:03 +08:00
妈蛋将来有一天连linux的系统下都冒出来一堆数字企鹅熊掌抢着开机,想想还有点小激动呢
|
 |
49
wizardforcel 2015-01-01 16:29:26 +08:00
windows从win7开始,360就没必要存在了。更何况360。
|
|
50
wizardforcel 2015-01-01 16:29:49 +08:00
@wizardforcel 打错了。。。更何况linux
|
 |
51
233 2015-01-01 17:12:19 +08:00
进入linux desktop就是一个布局,估计过后会有很多公司跟进。
不在于这产品有没有人用,而是以数字现在的资源来讲,做个linux版的卫士用零花钱就够了。0收益也无所谓,万一做到了提前布局就是大赚。 就像Android刚出来时,看不看好它的多会扔一个team过去研究研究,万一以后火了呢? 像N记那么耿直的,大家也都看见了 |
 |
52
deepurple 2015-01-01 17:32:36 +08:00 1
居然已经有人把360提交到AUR上了
https://aur.archlinux.org/packages/360safeforlinux/ its kernel module is put in the folder /etc/360safe and only used to set itself immutable to be deleted! |
 |
53
ysicing 2015-01-01 18:29:53 +08:00
流氓,呵呵
|
 |
54
scinart 2015-01-01 19:26:26 +08:00
360都流氓这么多年了,我是流氓我怕谁。
|
|
55
JamesRuan 2015-01-01 19:52:50 +08:00 via Android
@liubiantao 当然不负责啦!我只是告诉他,360真正做的事是什么,信不信由他,删不删由他。
|
 |
56
MeirLin 2015-01-01 19:55:07 +08:00
|
|
57
JamesRuan 2015-01-01 20:00:06 +08:00 via Android
@CRight No 你去找一个基督徒问怎么才能去天堂,他当然告诉你要信主,爱主,这不是显而易见的?
那个小白用户知道我很少用Windows,还来问我怎么让电脑更快些。我看了下,他本来习惯就很好很好,360对他来说弊大于利,除了卸载360外没有更有效的方法。 |
 |
58
lvfujun 2015-01-01 20:54:18 +08:00 1
360 == 流氓 百度 ===流氓
|
 |
59
acgtyrant 2015-01-01 23:49:36 +08:00 1
|
 |
60
up76733 2015-01-02 02:44:32 +08:00
lz要被红衣教主诏安了
|
 |
63
stephenpcg 2015-01-02 12:37:50 +08:00 1
打包这一块,不仅滥用Essential,还滥用了“Priority: required”,这是Debian/Ubuntu在debootstrap过程中要自动安装的包。
|
 |
64
lgn21st 2015-01-02 18:08:06 +08:00
有了360 安全卫士 for Linux 后,Linux 就跟 Windows 一样安全了,哦耶!
|
 |
66
smalloldsb 2015-01-02 20:58:21 +08:00
linux下也要不太平了嘛。。
|
 |
67
TimePower 2015-01-02 21:30:28 +08:00
强烈建议社区集体抵制360
|
 |
68
Lax 2015-01-03 01:00:55 +08:00
Shame of Arch
|
 |
69
conanca 2015-01-04 09:48:15 +08:00
醉翁之意不在酒啊,还是想捆绑它的软件管家。
|
 |
70
sopato 2015-01-05 14:41:32 +08:00
欢迎楼主加入数字公司,:)
|
 |
71
mogging 2015-01-07 11:08:29 +08:00
楼主好用功赞一个先
|
 |
72
int64ago 2015-01-22 13:20:39 +08:00
刚刚吃了午饭,看了差点恶心吐了……
arch居然允许360存在,耻辱 |
 |
73
FifiLyu 2015-01-23 16:43:04 +08:00
小白可能会用一用。不过,熟手会用?哈哈
|
 |
75
McZoden 2015-01-27 15:53:14 +08:00
在得知360进军Linux时,就该知道这货肯定会把自己提升至root,怎么可能满足于操作$HOME/里面的文件?360不是一直致力于开机加速么?既然要管理开机项,root管理init/systemd是必不可少的。
|
 |
76
xieyudi1990 2015-02-18 08:51:28 +08:00
对AUR里边的东西都很谨慎
看到很多人装了Arch之后为了一时方便就装yaourt之类的... 要是哪天把系统里边的库的以来搞混乱了那就... 以前用Ubuntu的时候总喜欢自己到处弄第三方的源便一下往/usr/bin下面放, 结果有一次升级系统, apt-get居然要我把整个系统卸载了才能继续, dependendies的画面美得一塌糊涂... 2333 |
 |
77
kfangf 2018-02-21 02:30:45 +08:00 via Android
啥都不怕就怕国内 Linux 发行版本内置。。。等流氓统统登陆 Linux 时,开机大概是这样的:1 小时,您超越了全宇宙 99%的用户!(炫耀一下)。垃圾配置: 100 年,恭喜您跨越了一个世纪!人类长生不老,但是所有的时间都用在等开机了。。。
——瞎想—— 三体:罗辑拿着大数字法则吓跑了三体人逼迫他们解除了智子对地球继续科学的封锁。。。 |
Select Language