Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Возможное заражение системы  (Прочитано 3527 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dextroza12

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Возможное заражение системы
« : 30 Ноября 2021, 19:50:21 »
Здравствуйте, уважаемые линуксоиды.Была проблема с windows, подозреваю, что нахватал вирусов. Решил переустановить ос, поставил lubuntu, ибо ноутбук слабенький. По неопытности не чистил диск перед установкой , думал, что при установке lubuntu она все затрет. Видимо, каким-то образом они остались на жестком диске, ибо при первом же входе в вк через ноут, через некоторое время пришло оповещение о левой попытке входа в аккаун с чужого айпи(стоит двухфакторная аутентификация, устройство было не мое).Поменял пароли, вхожу теперь лишь через телефон. Теперь и не знаю,как все это чистить и есть ли возможность? При установке не ставил пароль на root, некоторое время работал вообще без него. Пытался смотреть логи,открыте порты, сканировал систему "chkrootkit" но  мне как профану, ничего не понятно. Подскажите, в какую сторону двигаться.По каким параметрам можно подтвердить, что у меня зловред и кто-то сидит с удаленного доступа/ssh?И если переустанавливать ос в дальнейшем, то каким образом можно точно с диска очистить всю нечесть? Заранее спасибо за помощь.
(Нажмите, чтобы показать/скрыть)
-  Лог chkrootkit
« Последнее редактирование: 30 Ноября 2021, 19:56:34 от dextroza12 »

Оффлайн AlexBKost

  • Старожил
  • *
  • Сообщений: 3782
  • Kubuntu 12.04, 16.04, 18.04, 20.04, 22.04, 24.04
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #1 : 30 Ноября 2021, 20:22:23 »
И если переустанавливать ос в дальнейшем, то каким образом можно точно с диска очистить всю нечесть?

Да нет у тебя никакой нечисти, но если очень сильно сомневаешься, при переустановке отформатируй все разделы, куда будет ставиться система.
« Последнее редактирование: 30 Ноября 2021, 20:47:22 от AlexBKost »
Я странен, а не странен кто ж? (С)

Оффлайн dextroza12

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #2 : 30 Ноября 2021, 20:44:43 »
Благодарю за ответ. Все равно есть сомнения, возможно паранойя, но хотелось бы точно знать, что пк не скомпрометирован. Может есть специализированные программы, которые сможет осилить новичок в linux, и которые находят заражения(все что нашел, это только платные антивирусы для серверов)? Ибо непонятная попытка входа в вк с моими данными не единственное, что заставляет думать о вирусе. Постоянно отваливается wi-fi соединение, происходит непонятный сброс раскладки, хотя я напрямую ее прописывал в конфиг.

Оффлайн fita

  • Участник
  • *
  • Сообщений: 211
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #3 : 30 Ноября 2021, 20:52:09 »
думал, что при установке lubuntu она все затрет

Да так оно и есть. Никаких вирусов, тем более вирусов, троянов и прочих зловредов совсем для другой ОС остаться и не могло.

Видимо, каким-то образом они остались на жестком диске

Нет. И не бывает таких универсальных зловредов, чтобы работали в любой ОС, для каждой нужен свой.


при первом же входе в вк через ноут, через некоторое время пришло оповещение о левой попытке входа в аккаун с чужого айпи(стоит двухфакторная аутентификация, устройство было не мое)

И даже сообщил этот ВК с какого именно ай-пи была попытка входа? Что-то я такой функции у него не встречала.
Зато встречала их (ВК) хитрость - заставляют менять пароль потому что якобы с данного аккаунта ВК были переходы на подозрительные сайты. То есть явная чушь для запугивания, чтобы еще раз номер телефона подтвердили. И их техподдержка на эти вопросы не отвечает.

Подскажите, в какую сторону двигаться.
В самую простую: использовать средства, которые уже в системе имеются и расчитаны как раз на новичков:



В системе должно это быть, но если нет, то устанавливается из официальных источников.

кто-то сидит с удаленного доступа/ssh?

Если все входящие запрещены, то никто не сидит.

Ну и для успокоения можно почитать старую закрепленную тему:
Тема: Часто задаваемые вопросы

Оффлайн seralekseenko

  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #4 : 30 Ноября 2021, 20:55:45 »
Маловероятно что троянчики так просто перекочевали из форточки в линь.  В лине есть свои вирусы, но чтобы их найти — стоит постараться.

Про линукс-систему:
  • Паролем лучше не пренебрегать в начале знакомства с линуксом.
  • Опыт придет.
  • Всегда читайте о том что нажимаете или вводите.

Про несанкционированный доступ к учетке в инете.

Смена паролей —  это правильный первый шаг. Еще бы почту перепаролить. И посто включить фаервол в системе.
Теперь нужно отключить все активные сессии в настройках аккаунта.

Скорее всего у кого-то есть доступ к почте, на которой висит аккаунт.
Еще есть возможность, что логин и пароль были как-то введены на фишинговой (поддельной) странице.
Может кто-то слизывает логин и пароль прямо из трафика через роутер (фантастично но возможно при совпадении целого ряда условий).
Можно еще найти потенциальные точки утечки логина и пароля.

Но сначала стоит исключить потенциальную погоню за собственным хвостом.
Начнем с того, что айпишник телефона по сотовому интернету и айпишник домашнего компа не будут совпадать в интернете. И вообще — внешний айпишник компа может часто меняться, дело в провайдере.

Теперь заходим с компа на 2ip.ru и смотрим инфу о своем айпишнике, сравниваем с тем, о котором приходило уведомление.

После очистки всех активных сессий в настройках аккаунта можно попробовать опять зайти с компа, пройти двухфакторку и посмотреть как отображается новая активная сессия в настройках аккаунта.

Параноя должна быть здоровой и материально подтвержденной ;)

P.S. Как-то я дизасеблировал приложушку вкакашки под андроид и узрел там страшную реализацию — теперь только через браузер хожу туда)))

Оффлайн fita

  • Участник
  • *
  • Сообщений: 211
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #5 : 30 Ноября 2021, 21:05:23 »
которые сможет осилить новичок в linux, и которые находят заражения(все что нашел, это только платные антивирусы для серверов)

Нужен ли антивирус в Ubuntu?
Нет, если это не сервер. Работающий вирус для linux встретить практически невозможно.

Однако если файлы из линукс потом планируется передать в Windows, то можно воспользоваться:



Также устанавливается из официальных репозиториев. Официальная рекомендация:

2. do not install antivirus, as you *really* don't need it in Linux;unless you share files with Windows
Цитировать
2. не устанавливайте антивирус, так как он вам * действительно * не нужен в Linux; кроме случаев, когда вы делитесь файлами с Windows
« Последнее редактирование: 30 Ноября 2021, 21:49:58 от fita »

Оффлайн Domitory

  • Активист
  • *
  • Сообщений: 565
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #6 : 30 Ноября 2021, 22:15:54 »
через некоторое время пришло оповещение о левой попытке входа в аккаун с чужого айпи(

Куда и откуда пришло такое сообщение? Если с вконтакте то это у них всегда так, постоянно предупреждают что был вход с нового устройства.
просто бдят.

Оффлайн dextroza12

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #7 : 30 Ноября 2021, 22:33:29 »
Начнем с того, что айпишник телефона по сотовому интернету и айпишник домашнего компа не будут совпадать в интернете. И вообще — внешний айпишник компа может часто меняться, дело в провайдере.
Я все это прекрасно понимаю, но спасибо еще раз за информацию. Я сверял ip телефона и пк с тем, про который мне сообщил вк. Он разный, плюс устройство было явно не мое даже если судить по используемой ос. Винды в данный момент у меня нигде не стоит. Телефон + ноутбук с линем. Ноутбук подключен к роутеру через wi-fi, в инет с телефона  теперь выхожу только через мобильный интернет. Пароль почты тоже сменил.
Может кто-то слизывает логин и пароль прямо из трафика через роутер (фантастично но возможно при совпадении целого ряда условий).
Я думал об этом. Но разве для этого не нужно находиться в рамках моей локальной сети? Или можно подключиться к роутеру из другой сети каким-то образом?


Оффлайн ALiEN

  • Администратор
  • Старожил
  • *
  • Сообщений: 6690
  • 20% Cooler
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #8 : 30 Ноября 2021, 22:39:50 »
dextroza12, никаких расширений типа TOR,VPN не ставили в браузер/в телефон?
🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн dextroza12

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #9 : 30 Ноября 2021, 23:35:01 »
Нет, не ставил. Сейчас начал смотреть логи, и соединение с сетью wi-fi стало постоянно пропадать. До этого тоже периодически отваливалось, но сейчас прям каждые 5 минут.

Логи, перед тем и во время потери сети:
(Нажмите, чтобы показать/скрыть)

И еще вот эта часть с блютузом вызывает сомнения, приложил скрин.
Система сама его включает? Просто бывало, что с утра просыпаюсь, телефон полностью разряжен и блютуз активен...



Пользователь добавил сообщение 01 Декабря 2021, 00:00:09:
Еще  в логах входа вот такое добро:
(Нажмите, чтобы показать/скрыть)
И все логи, которые смотрю, всего лишь за два дня, а не со старта системы.Это нормально?
« Последнее редактирование: 01 Декабря 2021, 00:00:09 от dextroza12 »

Оффлайн jurganov

  • Старожил
  • *
  • Сообщений: 1402
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #10 : 01 Декабря 2021, 04:45:35 »
а что, прям такая необходимость в планировщике??

Morisson

  • Гость
Re: Возможное заражение системы
« Ответ #11 : 01 Декабря 2021, 06:03:22 »
Винды в данный момент у меня нигде не стоит.
firefox представляется Windows


Morisson

  • Гость
Re: Возможное заражение системы
« Ответ #12 : 01 Декабря 2021, 06:07:08 »
первом же входе в вк через ноут, через некоторое время пришло оповещение о левой попытке входа в аккаун с чужого айпи
это нормально. у меня также.

Dzhoser

  • Гость
Re: Возможное заражение системы
« Ответ #13 : 01 Декабря 2021, 09:31:56 »
Нет. И не бывает таких универсальных зловредов, чтобы работали в любой ОС, для каждой нужен свой.
Это не совсем так. Например
https://www.zdnet.com/article/cross-platform-trojan-checks-your-os-attacks-windows-mac-linux/

Пользователь добавил сообщение 01 Декабря 2021, 09:33:03:
это нормально. у меня также.
А можно IP левый в студию, ну так для статистики.
dextroza12, ну посмотрите что там в планировщике
Цитировать
sudo crontab -e
« Последнее редактирование: 01 Декабря 2021, 09:34:48 от Dzhoser »

Оффлайн F12

  • Администратор
  • Старожил
  • *
  • Сообщений: 4402
    • Просмотр профиля
Re: Возможное заражение системы
« Ответ #14 : 01 Декабря 2021, 10:50:43 »
При установке не ставил пароль на root, некоторое время работал вообще без него.
- В Ubuntu по умолчанию root аккаунт вообще отключён, т.е. вы никаким способом не сможете попасть под root, не включив его. root именно что отключён, т.е. он присутствует в системе, под него всего лишь нельзя зайти.(C)
Активировать root не стоит, т.к. это обычному пользователю не нужно, и только делает систему потенциально более уязвимой...
Рекомендую прочесть статью (цитату из которой я привел выше) полностью.

Видимо, каким-то образом они остались на жестком диске
- могли остаться какие-то скрипты в кеше браузера, если ты перетащил профиль браузера с винды в Lubuntu, предварительно не удалив кеш, теоретически, они (скрипты) могли работать в браузере  новой ОС ::)

Пользователь добавил сообщение 01 Декабря 2021, 10:57:41:
Это не совсем так. Например
https://www.zdnet.com/article/cross-platform-trojan-checks-your-os-attacks-windows-mac-linux/
++

Кроме того, не следует забывать про уязвимости в кроссплатформенном ПО, например в браузерах, и о зловредах эксплуатирующих эти уязвимости ::)
« Последнее редактирование: 01 Декабря 2021, 10:57:41 от F12 »

 

Страница сгенерирована за 0.063 секунд. Запросов: 22.