Осторожно с копипастом!

Всем, кто работает в терминале Linux, хоть раз, приходилось копировать найденные фрагмены шелл-кода  и запускать в терминале. С несложными коммандами ситуация попроще - их можно запомнить и быстро набрать в случае необходимости. Если-же комманда громоздкая - проще запомнить ресурс, откуда, в случае необходимости, ее скопировать.

Возьмем к примеру комманду:

git clone /dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy code from websites you don'"'"'t trust!
Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd
git clone
git://git.kernel.org/pub/scm/utils/kup/kup.git

Попробуйте скопировать и запустить данную комманду в терминале у себя на компьютере. Вам может показаться, что комманда безобидная, но это только на первый взгляд. На самом деле, вы видите только безобидный код, а код, который может причинить вред вашему компьютеру - спрятан от вашего взора средствами CSS. На самом HTML код выглядит так:

<p class="codeblock">
      <!-- Oh noes, you found it! -->
      git clone
      <span style="position: absolute; left: -1000px; top: -1000px">/dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy code from websites you don'"'"'t trust!<br>Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd<br>git clone </span>
      git://git.kernel.org/pub/scm/utils/kup/kup.git
</p>

А то, что вы вставите в терминал выглядит так:

git clone /dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy code from websites you don'"'"'t trust!
Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd
git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

Как вы видите, текст, который вы хотели скопировать и текст, который вы скопировали сильно отличаются. Так что будьте бдительны и внимательно копируйте куски шелл кода с незнакомых сайтов. Лучше взять себе за правило вставлять скопированные куски кода в какой-нибудь редактор и если код не вызывает подозрения - уже всталять в терминал.

Источник

Добавить комментарий

You must have Javascript enabled to use this form.