Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Неизвестные файлы через локалку попали в Ubuntu  (Прочитано 6389 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн demkov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2756
  • Юрист
    • Просмотр профиля
    • Контекстная реклама в MMGP
Ололо, я что-то поймал.

Записи — хз откуда это взято, у меня таких папок давно не было. Записи.pif — какая-то фигота, очень похожая на вирус. Вирустотал гарантирует это.
И это никак не может быть связано с Wine, так как не запускал его недели две-три последних, а файлик обнаружил сегодня внезапно днём. Так как каждый день набираю лекции в этой папке, вижу её каждый день. Нетбук кроме как интернет/офис не использую.

Хоть вирус и для винды и аж 2008 года, это большое достижение очень хорошее!
Откуда он мог взяться, проследить можно?

Пользователь решил продолжить мысль 14 Март 2013, 21:44:29:

Твоюжмать, что делать-то? Wine в фоновом режиме??
И да, Записи — это ярлык на Документы/Учёба на рабочем столе
« Последнее редактирование: 21 Март 2013, 07:13:45 от VinnyPooh »
Для вебмастеров: CPC-реклама на MMGP-проектах!

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Вирусы в Ubuntu
« Ответ #1 : 14 Март 2013, 21:46:26 »
самба свободно как обычно windows, ну не страшно.
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн demkov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2756
  • Юрист
    • Просмотр профиля
    • Контекстная реклама в MMGP
Re: Вирусы в Ubuntu
« Ответ #2 : 14 Март 2013, 21:48:43 »
Хотел Рабочий стол.scr проверить на вирустотале, он сказал, что файл уже был проверен 10 минут назад (Записи), хотя в именах файлов есть только Записи.pif, а других нет. Вес идентичный — полметра.
victor00000,
у меня не подключена самба и с виндой я нигде не контактировал. Разве что подключался по шифрованному вайфаю у себя дома с роутером, к которому подключается нетбук с виндой. Он через роутер мог перекинуться без авторизации?
Ещё вафлю пользовал в универе, тоже с шифрованием, и не думаю, что у них серваки на винде.
Для вебмастеров: CPC-реклама на MMGP-проектах!

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Вирусы в Ubuntu
« Ответ #3 : 14 Март 2013, 22:02:35 »
Цитировать
Ололо, я что-то поймал.
играйся сайт другие, оно сервер придумываться стучите порт
139 и 445 раздеваться и отправиться.
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн Пользователь

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 2468
  • Runtu XFCE 18.04 (64-bit)
    • Просмотр профиля
Re: Вирусы в Ubuntu
« Ответ #4 : 15 Март 2013, 00:47:03 »
Вайн первый на подозрении. Так что удаляй вайн вместе со всеми виндовс программами и чисти остатки.

Можно ради интереса поиск задать по расширениям, может еще найдутся подобные файлы.
« Последнее редактирование: 15 Март 2013, 00:49:01 от Пользователь »

Оффлайн avi9526

  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
Re: Вирусы в Ubuntu
« Ответ #5 : 15 Март 2013, 05:51:57 »
А если ClamAV-ом всё проверить? Вон в списке virustotal он обнаружил вирус…
Ubuntu 14.10

Оффлайн demkov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2756
  • Юрист
    • Просмотр профиля
    • Контекстная реклама в MMGP
Re: Re: Вирусы в Ubuntu
« Ответ #6 : 15 Март 2013, 06:41:59 »
А если ClamAV-ом всё проверить? Вон в списке virustotal он обнаружил вирус…
Как вариант. Надо заняться, как будет время.
Для вебмастеров: CPC-реклама на MMGP-проектах!

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Вирусы в Ubuntu
« Ответ #7 : 15 Март 2013, 10:26:31 »
forekko,мои стоит самба.
пиши терминал
smbclient -L //victor00000.mooo.com/ -Nкто пишет?
« Последнее редактирование: 15 Март 2013, 10:32:35 от victor00000 »
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Вирусы в Ubuntu
« Ответ #8 : 15 Март 2013, 11:07:31 »
Опять вендовые вирусы. Скукота. =(

stat *.pifСмотрите на даты, вспоминайте, что делали.

Оффлайн Пользователь

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 2468
  • Runtu XFCE 18.04 (64-bit)
    • Просмотр профиля
Re: Вирусы в Ubuntu
« Ответ #9 : 15 Март 2013, 11:21:56 »
Виндовые программы запускаемые под вайном скачивались с официальных сайтов?

Если не с официальных, то ничего удивительного, что попался вирус.

Согласен с тем, что надо посмотреть на даты создания и последнего доступа к файлам.

Но эти пару файлов ты уже сам наверно много раз ковырял - даты изменились. Вот и стоит поискать нетронутые подобные файлы.

Оффлайн demkov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2756
  • Юрист
    • Просмотр профиля
    • Контекстная реклама в MMGP
Re: Вирусы в Ubuntu
« Ответ #10 : 15 Март 2013, 11:32:33 »
Пользователь,
специально ничего не трогал.
ArcFi,
проверил, удивляет, что было создано никогда и никем никакой группы.
denis@denis-AOD257:~$ stat *.pif && stat ./Документы/Учёба/Записи.pif && stat "./Рабочий стол/Рабочий стол.scr"
  Файл: «denis.d.pif»
  Размер: 491520    Блоков: 960        Блок В/В: 4096   обычный файл
Устройство: 806h/2054d Inode: 11800118    Ссылки: 1
Доступ: (0744/-rwxr--r--)  Uid: (65534/  nobody)   Gid: (65534/ nogroup)
Доступ: 2013-03-14 17:14:12.503399071 +0400
Модифицирован: 2013-03-14 14:23:45.472708527 +0400
Изменён: 2013-03-14 14:23:45.466741150 +0400
 Создан: -
  Файл: «./Документы/Учёба/Записи.pif»
  Размер: 491520    Блоков: 960        Блок В/В: 4096   обычный файл
Устройство: 806h/2054d Inode: 11799177    Ссылки: 1
Доступ: (0744/-rwxr--r--)  Uid: (65534/  nobody)   Gid: (65534/ nogroup)
Доступ: 2013-03-14 14:41:50.048119296 +0400
Модифицирован: 2013-03-14 14:41:47.220753680 +0400
Изменён: 2013-03-14 14:41:47.216105247 +0400
 Создан: -
  Файл: «./Рабочий стол/Рабочий стол.scr»
  Размер: 491520    Блоков: 960        Блок В/В: 4096   обычный файл
Устройство: 806h/2054d Inode: 11799176    Ссылки: 1
Доступ: (0744/-rwxr--r--)  Uid: (65534/  nobody)   Gid: (65534/ nogroup)
Доступ: 2013-03-14 14:41:49.132114751 +0400
Модифицирован: 2013-03-14 14:41:45.758431762 +0400
Изменён: 2013-03-14 14:41:45.756098018 +0400
 Создан: -

Пользователь решил продолжить мысль 15 Март 2013, 11:35:01:
как посмотреть логи компьютера в это время? Что он делал? Мне кажется, он вообще ничего не делал, это лекция была. Я сейчас на лекции, гуглить некогда.
« Последнее редактирование: 15 Март 2013, 11:35:01 от forekko »
Для вебмастеров: CPC-реклама на MMGP-проектах!

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Вирусы в Ubuntu
« Ответ #11 : 15 Март 2013, 11:36:48 »
forekko, эти даты и время вам о чём-нибудь говорят?

Покажите
sudo ss -lnptu

Оффлайн demkov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2756
  • Юрист
    • Просмотр профиля
    • Контекстная реклама в MMGP
Re: Вирусы в Ubuntu
« Ответ #12 : 15 Март 2013, 11:43:31 »
Виндовые программы запускаемые под вайном скачивались с официальных сайтов?
Давно ничего не запускал под вайном.
Покажите
sudo ss -lnptu
denis@denis-AOD257:~$ sudo ss -lnptu
[sudo] password for denis:
Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
udp    UNCONN     0      0                      *:5353                  *:*      users:(("avahi-daemon",868,13))
udp    UNCONN     0      0                      *:42838                 *:*      users:(("avahi-daemon",868,14))
udp    UNCONN     0      0              127.0.1.1:53                    *:*      users:(("dnsmasq",2331,4))
udp    UNCONN     0      0                      *:68                    *:*      users:(("dhclient",25558,6))
udp    UNCONN     0      0                      *:61024                 *:*      users:(("dhclient",25558,20))
udp    UNCONN     0      0          172.25.23.255:137                   *:*      users:(("nmbd",2481,12))
udp    UNCONN     0      0           172.25.20.89:137                   *:*      users:(("nmbd",2481,11))
udp    UNCONN     0      0                      *:137                   *:*      users:(("nmbd",2481,9))
udp    UNCONN     0      0          172.25.23.255:138                   *:*      users:(("nmbd",2481,14))
udp    UNCONN     0      0           172.25.20.89:138                   *:*      users:(("nmbd",2481,13))
udp    UNCONN     0      0                      *:138                   *:*      users:(("nmbd",2481,10))
tcp    LISTEN     0      5              127.0.1.1:53                    *:*      users:(("dnsmasq",2331,5))
tcp    LISTEN     0      2              127.0.0.1:3350                  *:*      users:(("xrdp-sesman",1212,6))
tcp    LISTEN     0      128            127.0.0.1:631                   *:*      users:(("cupsd",841,7))
tcp    LISTEN     0      2                      *:3389                  *:*      users:(("xrdp",1199,6))
tcp    LISTEN     0      50                     *:445                   *:*      users:(("smbd",704,27))
tcp    LISTEN     0      50                     *:139                   *:*      users:(("smbd",704,28))
Скорее всего, сидел в библиотеке, подключенным к корпоративной вафле. И таки самба работает, то есть ко мне кто-то подключился с моим логином и паролем и засадил?
Для вебмастеров: CPC-реклама на MMGP-проектах!

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
Re: Вирусы в Ubuntu
« Ответ #13 : 15 Март 2013, 11:54:58 »
ls /var/log/sambaтогда ип другое откуда.
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Вирусы в Ubuntu
« Ответ #14 : 15 Март 2013, 12:01:41 »
forekko, я бы на вашем месте настроил фаервол (iptables).
И надо разбираться, где там дырка в samba, т.к. скорее всего, проблема именно в ней.
Кстати, 3389/tcp выставлять наружу, по-моему, тоже не стоит.

 

Страница сгенерирована за 0.152 секунд. Запросов: 24.