Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Вирусное заражение Ubuntu Server 10.04.3 LTS  (Прочитано 6901 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Charles Malaheenee

  • Активист
  • *
  • Сообщений: 756
  • Учтите, мы можем дать и вредный совет.
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #15 : 18 Январь 2012, 05:37:10 »
Представляем себе всплеск поисковой активности в гугле по запросу "жуткий вирус human"  :2funny:
Debian Sid (XFCE) x 2; Debian Sid (Openbox) x 1.
Все мы где-то, когда-то и в чем-то были новичками.

Оффлайн astrobeglec

  • Автор темы
  • Активист
  • *
  • Сообщений: 838
  • Самая тяжелая ноша - пророк в извращенном мире...
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #16 : 18 Январь 2012, 09:44:26 »
Действительно.
astrobeglec, что в виртуалбоксе твоём? :)
винсервер2003
Я вернулся...

Оффлайн ploxish

  • Любитель
  • *
  • Сообщений: 97
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #17 : 01 Март 2012, 19:25:46 »
Где вы только такое находите, я на вас удивляюсь.
Если фаерволл не видит, а я думаю что вы просто не туда смотрите, то поставьте Wireshark, это снифФер, он вам покажет куда и откуда течет траф, да он еще может делать дамп трафика, для последующего анализа, хотя tcpdamp тоже есть в системе.
Не ужели Firestarter не показывает исходящий трафик ну вот не верю я...

Оффлайн astrobeglec

  • Автор темы
  • Активист
  • *
  • Сообщений: 838
  • Самая тяжелая ноша - пророк в извращенном мире...
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #18 : 02 Март 2012, 08:09:53 »
Систему переустановил (стояло 2 и на основной корень закончился, в системе более 3000 пакетов), несмотря на сервер в виртбоксе сабж пропал, экспериментировать не на чем. Тему можно закрывать.

P.S. Грешу на файерфокс.
Я вернулся...

Оффлайн DavTert

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #19 : 17 Апрель 2012, 16:22:56 »
Такая же проблема как и у ТС. После установки расширения из интернет магазина хрома (даунлоадер музыки и видео вконтакте) пошел спам из учетной записи вконтакте, сам браузер стал требовать пасс суперпользователя при заходе на любой сайт, где требуется авторизация. Удаление (командой apt-get purge chrom*) и переустановка браузера не помогла. Почитал отзывы о расширении в интернет магазине хрома - сплошные маты на фишинг. Надо было конечно сразу почитать, но что уже поделаешь... Само расширение удалил, но гадость осталась - как её найти и грохнуть?
Поставил еще оперу и огнелиса - в них без проблем.

Оффлайн Сперанский

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 4062
  • Dictum ac factum
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #20 : 17 Апрель 2012, 16:33:14 »
папку ~/.config/chromium удаляли?

Оффлайн DavTert

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #21 : 17 Апрель 2012, 17:04:41 »
Хм, а разве apt-get purge не должен был удалить этот каталог? Хотя да, пользовательские настройки остались нетронуты.
Удалил все ручками, все каталоги, которые нашел по поиску chrom*. Удалил и поставил хромиум, все настройки слетели, зловред остался =(

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1687
  • חתול המדען
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #22 : 17 Апрель 2012, 17:16:25 »
Хм, а разве apt-get purge не должен был удалить этот каталог?
Необязательно. Мантейнер (сборщик) пакета не мог заранее знать, сколько пользователей, какие y них логины и где могут располагаться их домашние директории.
зловред остался =(
Кроме того, что бы удалить файло с конфигом хромиума, надо бы посмотреть, что оно там там понаписало в процессах.
sudo ps aux |grep -w user
И что вообще происходит
sudo lsof -i
и искать подозрительные.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн DavTert

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #23 : 17 Апрель 2012, 17:47:11 »
Не запущен хромиум:
(Нажмите, чтобы показать/скрыть)
Запущен хромиум:
(Нажмите, чтобы показать/скрыть)
Зашел на форум (требует автороизацию) - сразу вылез запрос на разблокировку основной связки ключей и :
(Нажмите, чтобы показать/скрыть)

Оффлайн DavTert

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #24 : 24 Апрель 2012, 18:31:34 »
Ладно, раз так все непросто, можете дать наводку - где рыть и на что обращать внимание?
К примеру, в подобной ситуации на винде, я бы полез в:
1. msconfig - посмотрел наличие подозрительных вещей в автозагрузке.
2. regedit - ключи run и runonce
3. localhosts.
4. службы.
Что то подобное где смотреть в Ubuntu? Т.е. список демонов, та же самая автозагрузка?

Оффлайн ZwS

  • Редактор
  • Старожил
  • *
  • Сообщений: 1687
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #25 : 24 Апрель 2012, 19:20:36 »
Зашел на форум (требует автороизацию) - сразу вылез запрос на разблокировку основной связки ключей
тебя этот запрос смущает чтоль? это не вирус никакой. просто хром все пароли хранит в менеджере паролей смысл которого в следующем - чтоб не надо было запоминать разные пароли для сайтов, он хранит все в одной базе, на которую стоит мастер пароль. вводишь яго - подтверждаешь что ты за компом и позволяешь приложению взять нужную ему информацию.

Ладно, раз так все непросто, можете дать наводку - где рыть и на что обращать внимание?
К примеру, в подобной ситуации на винде, я бы полез в:
1. msconfig - посмотрел наличие подозрительных вещей в автозагрузке.
2. regedit - ключи run и runonce
3. localhosts.
4. службы.
Что то подобное где смотреть в Ubuntu? Т.е. список демонов, та же самая автозагрузка?
хых, есть множество файлов в которых чтото может быть не так. системные процессы которые загружаются останавливаются на разнух уровнях загрузки лежат в  /etc/rc[номер уровня].d . то что лежит в автозагрузке у пользователя находится в ~/.config/autostart .

вот только дело в том что линуксы весьма разношерстные и эти пути не универсальны. например я не уверен что KDE черпает информацию об автозагрузке  из ~/.config/autostart , а в арче нету папок /etc/rc[номер уровня].d . отсутствие единых стандартов очень сильно затрудняет написание вирусов под линухи, это одна из основных причин их устойчивости к эпидемиям.
Dell Inspiron One 2330 | Intel+Radeon HD7650A | 8GB RAM | Ubuntu GNOME 17.10

Оффлайн DavTert

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #26 : 24 Апрель 2012, 20:17:02 »
тебя этот запрос смущает чтоль? это не вирус никакой. просто хром все пароли хранит в менеджере паролей смысл которого в следующем - чтоб не надо было запоминать разные пароли для сайтов, он хранит все в одной базе, на которую стоит мастер пароль. вводишь яго - подтверждаешь что ты за компом и позволяешь приложению взять нужную ему информацию.
Дело в том, что до определенного момента времени пасс у меня не запрашивался - я вообще не храню пароли на компе. После того, как скачал то расширение - браузер стал запрашивать пароль, я постоянно нажимал отмену. Один раз, ради интереса (нафига ему все таки пасс?) забил его - и тут же пошла спам рассылка вконтакте (в тот момент, это был единственный сайт, на который я залогинился).
Т.о. этот запрос для меня один из сигналов, что не все ладно. Если же это стандартная работа приложения, то как убедиться, что я победил зловреда?.

Оффлайн ZwS

  • Редактор
  • Старожил
  • *
  • Сообщений: 1687
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #27 : 24 Апрель 2012, 20:26:34 »
Дело в том, что до определенного момента времени пасс у меня не запрашивался - я вообще не храню пароли на компе. После того, как скачал то расширение - браузер стал запрашивать пароль, я постоянно нажимал отмену. Один раз, ради интереса (нафига ему все таки пасс?) забил его - и тут же пошла спам рассылка вконтакте (в тот момент, это был единственный сайт, на который я залогинился).
Т.о. этот запрос для меня один из сигналов, что не все ладно. Если же это стандартная работа приложения, то как убедиться, что я победил зловреда?.
возможно ты случайно сохранил какой то пароль и по этому оно начало тебя спрашивать. проверить так ли это можно при помощи приложения Пароли и ключи шифрования.
хром и хромиум считаются довольно безопасными браузерами (не зря гугль за нахожение в них уязвимостей платеть неплохие деньги) и обойти все уровни их защиты очень проблематично. так чт орасширение это вырватся за пределы браузера врятли смогло. если ты снес все настройки браузера и очистил его кеш то ~95% что ничего больше не осталось.
если же все уровни защиты обойдены - шли расширение гуглю, тебе за это денег дадут  :) (не помню сколько точно, кажется 3000$)
Dell Inspiron One 2330 | Intel+Radeon HD7650A | 8GB RAM | Ubuntu GNOME 17.10

Оффлайн DavTert

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #28 : 24 Апрель 2012, 21:15:02 »
Проверил, там парочка ключей "Desktop Couch user authentication" (кстати, а что это за ключи?).
Зловред за уровень приложения не вылез, удалить хромиум и забить на это дело моя параноя не позволяет... Вот и хочется решить проблему раз и навсегда.
3к долларов - это скорее всего автору зловреда светит, если пошлет, но он, видимо, по другому зарабатывает =).

Оффлайн ZwS

  • Редактор
  • Старожил
  • *
  • Сообщений: 1687
    • Просмотр профиля
Re: Вирусное заражение Ubuntu Server 10.04.3 LTS
« Ответ #29 : 24 Апрель 2012, 21:30:11 »
Проверил, там парочка ключей "Desktop Couch user authentication" (кстати, а что это за ключи?).
Зловред за уровень приложения не вылез, удалить хромиум и забить на это дело моя параноя не позволяет... Вот и хочется решить проблему раз и навсегда.
3к долларов - это скорее всего автору зловреда светит, если пошлет, но он, видимо, по другому зарабатывает =).
Couch это такая база данных, которая раньше для чего то использовался в убунте (не помню для чего).
никто не предлагает удалять хромиум, удали его настройки и кеш.
кто первый сообщение о дыре отправил - тот 3к и получил  ;D
Dell Inspiron One 2330 | Intel+Radeon HD7650A | 8GB RAM | Ubuntu GNOME 17.10

 

Страница сгенерирована за 0.064 секунд. Запросов: 24.