Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Выявить вирус в системе.  (Прочитано 1202 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Выявить вирус в системе.
« : 13 Март 2016, 22:59:33 »
Доброго времени суток!


Обнаружил, что у меня в системе есть некий вирус. Который сидит у меня в компе, отправляет на хостинг инфу с компа. Нужно его выявить.


Я вкл комп, заранее выключил из автозагрузки, все, что может полесть в интернет. И в правилах IPTABLES поставил логи на всех направлениях INPUT, OUTPUT, FORWARD.


В логах заметил закономерность, кодга вкл комп, высвечивается, что кто-то подключается по мне по 80 порту и потом на этот IP отправляется по протоколу TCP информация, потом соединение закрывается.

Whois показало, что это один хостинг за бугром. Тут уже и не спутать, явно на глаза, в системе сидит злоумышленик.


Задача.
Выяснить, что за программа отрабатывает у меня. Чтобы изучить потом этот вирус(троян)

Попробовал в крон добавить после вкл компа скрипт
netstat -tpl | grep :80 >> ip.txt

ни чего не показывает.

Хотя. Когда вкл комп и запускаю

tail -f /var/log/syslog то явно вижу, что происходит подключение, но netstat наглухо его не видит. Как тут быть?

Пользователь решил продолжить мысль 13 Март 2016, 23:03:01:
Почему я вообще решил, что у меня, кто-то сидит?

Да, потому, что, кто-то стучится по моим серверам, причем да же по тем, что не подключены к главным, к тем на которых домен привязан. И, когда стуки начались от моего IP, меня это вообще удивило. Вот и начал искать причину.
« Последнее редактирование: 13 Март 2016, 23:03:01 от FTK »

Оффлайн ShadowUser15

  • Активист
  • *
  • Сообщений: 714
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #1 : 14 Март 2016, 00:07:56 »
счётчик трафика поставить?
линукс - антивирус? (таких много)
вероятное введение нестандартных десятичностей, внутри системы - заставляет задуматься о переходе на другой

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #2 : 14 Март 2016, 00:17:27 »
AVG, DrWeb, ClamAV,malwere, antirootriki всякие ставил. Ни чего не нашли.

Оффлайн ShadowUser15

  • Активист
  • *
  • Сообщений: 714
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #3 : 14 Март 2016, 00:23:20 »
аваст, авира и каспер до кучи протестить можно. В том числе kaspersky tool - но знает ли он про линукс я не знаю.
а счётчик трафика что скажет?
вероятное введение нестандартных десятичностей, внутри системы - заставляет задуматься о переходе на другой

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #4 : 14 Март 2016, 00:34:50 »
молчит. Активность была многократно замечена при вкл компа. Сегодня наночь придется ставить, и смотреть логи, он через интервал еще раз выходит в интернет и что-то передает.

Оффлайн wajnon

  • Старожил
  • *
  • Сообщений: 2778
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #5 : 14 Март 2016, 00:39:40 »
FTK,
у тебя случайно,не Минт?

Оффлайн vip.lohmatiy

  • Активист
  • *
  • Сообщений: 555
  • RealScanFoto
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #6 : 14 Март 2016, 00:46:07 »
Цитировать
tail -f /var/log/syslog то явно вижу, что происходит подключение
Может и здесь покажешь, а то пока похоже на суслика, которого не видно, но он стучит по  серверу.
CPU-1.1G , RAM-640M , VGA-16M , рядом Матэ белка.

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #7 : 14 Март 2016, 01:50:04 »
 :2funny: :2funny: :2funny: Один IP Был ложным. Это оказался плагин от sublime. Но, все же. Вирус есть, раз от меня идут стуки в базу данных на Virtualbox и так же от меня идут стуки к серверам на базу данных. Тут я не правильно определил IP. А, это еще хуже. так как значит, Iptables его выходит на трафике не отловил. Или я просто не поймал тот момент, когда он запускается.

Пользователь решил продолжить мысль [time]14 Март 2016, 02:51:19[/time]:
стоит ubuntu 14.04

И, как долго мне еще тут вводить ответы на загадки, когда хочу, что-то написать на форуме? ))

Пользователь решил продолжить мысль [time]14 Март 2016, 02:55:11[/time]:
213.87.137.109     ===========================

Mar 13 18:16:13 PC kernel: [   77.063074] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=51 TOS=0x18 PREC=0x60 TTL=118 ID=13767 PROTO=UDP SPT=14330 DPT=60921 LEN=31
Mar 13 18:16:13 PC kernel: [   77.063109] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=79 TOS=0x18 PREC=0xC0 TTL=64 ID=58457 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=51 TOS=0x18 PREC=0x60 TTL=118 ID=13767 PROTO=UDP SPT=14330 DPT=60921 LEN=31 ]
Mar 13 18:16:13 PC kernel: [   77.065086] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=70 TOS=0x18 PREC=0x60 TTL=118 ID=13768 PROTO=UDP SPT=14330 DPT=60921 LEN=50
Mar 13 18:16:13 PC kernel: [   77.065114] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=98 TOS=0x18 PREC=0xC0 TTL=64 ID=58458 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=70 TOS=0x18 PREC=0x60 TTL=118 ID=13768 PROTO=UDP SPT=14330 DPT=60921 LEN=50 ]
Mar 13 18:16:14 PC kernel: [   77.333667] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=73 TOS=0x18 PREC=0x60 TTL=118 ID=13779 PROTO=UDP SPT=14330 DPT=60921 LEN=53
Mar 13 18:16:14 PC kernel: [   77.333697] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=101 TOS=0x18 PREC=0xC0 TTL=64 ID=58514 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=73 TOS=0x18 PREC=0x60 TTL=118 ID=13779 PROTO=UDP SPT=14330 DPT=60921 LEN=53 ]
Mar 13 18:16:14 PC kernel: [   77.337704] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13782 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:14 PC kernel: [   77.337732] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=120 TOS=0x18 PREC=0xC0 TTL=64 ID=58515 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13782 PROTO=UDP SPT=14330 DPT=60921 LEN=72 ]
Mar 13 18:16:14 PC kernel: [   77.371886] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=73 TOS=0x18 PREC=0x60 TTL=118 ID=13786 PROTO=UDP SPT=14330 DPT=60921 LEN=53
Mar 13 18:16:14 PC kernel: [   77.371909] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=101 TOS=0x18 PREC=0xC0 TTL=64 ID=58518 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=73 TOS=0x18 PREC=0x60 TTL=118 ID=13786 PROTO=UDP SPT=14330 DPT=60921 LEN=53 ]
Mar 13 18:16:14 PC kernel: [   77.375425] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13789 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:14 PC kernel: [   77.375444] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=120 TOS=0x18 PREC=0xC0 TTL=64 ID=58519 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13789 PROTO=UDP SPT=14330 DPT=60921 LEN=72 ]
Mar 13 18:16:14 PC kernel: [   77.623507] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=73 TOS=0x18 PREC=0x60 TTL=118 ID=13799 PROTO=UDP SPT=14330 DPT=60921 LEN=53
Mar 13 18:16:14 PC kernel: [   77.637291] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13803 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:14 PC kernel: [   77.930181] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=73 TOS=0x18 PREC=0x60 TTL=118 ID=13809 PROTO=UDP SPT=14330 DPT=60921 LEN=53
Mar 13 18:16:14 PC kernel: [   78.039897] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13815 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:15 PC kernel: [   79.111853] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=70 TOS=0x18 PREC=0x60 TTL=118 ID=13818 PROTO=UDP SPT=14330 DPT=60921 LEN=50
Mar 13 18:16:15 PC kernel: [   79.111885] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=98 TOS=0x18 PREC=0xC0 TTL=64 ID=58752 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=70 TOS=0x18 PREC=0x60 TTL=118 ID=13818 PROTO=UDP SPT=14330 DPT=60921 LEN=50 ]
Mar 13 18:16:16 PC kernel: [   79.400122] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13819 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:16 PC kernel: [   79.400153] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=120 TOS=0x18 PREC=0xC0 TTL=64 ID=58812 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13819 PROTO=UDP SPT=14330 DPT=60921 LEN=72 ]
Mar 13 18:16:16 PC kernel: [   79.448657] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13820 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:16 PC kernel: [   79.639766] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13821 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:16 PC kernel: [   79.944368] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13822 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:19 PC kernel: [   83.122940] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=70 TOS=0x18 PREC=0x60 TTL=118 ID=13830 PROTO=UDP SPT=14330 DPT=60921 LEN=50
Mar 13 18:16:19 PC kernel: [   83.122968] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=98 TOS=0x18 PREC=0xC0 TTL=64 ID=59083 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=70 TOS=0x18 PREC=0x60 TTL=118 ID=13830 PROTO=UDP SPT=14330 DPT=60921 LEN=50 ]
Mar 13 18:16:20 PC kernel: [   83.374761] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13831 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:20 PC kernel: [   83.374790] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=120 TOS=0x18 PREC=0xC0 TTL=64 ID=59084 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13831 PROTO=UDP SPT=14330 DPT=60921 LEN=72 ]
Mar 13 18:16:20 PC kernel: [   83.424786] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13832 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:20 PC kernel: [   83.424813] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=120 TOS=0x18 PREC=0xC0 TTL=64 ID=59088 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13832 PROTO=UDP SPT=14330 DPT=60921 LEN=72 ]
Mar 13 18:16:20 PC kernel: [   83.627115] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13833 PROTO=UDP SPT=14330 DPT=60921 LEN=72
Mar 13 18:16:20 PC kernel: [   83.627144] IPT OUTPUT: IN= OUT=eth0 SRC=192.168.0.100 DST=213.87.137.109 LEN=120 TOS=0x18 PREC=0xC0 TTL=64 ID=59123 PROTO=ICMP TYPE=3 CODE=3 [SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13833 PROTO=UDP SPT=14330 DPT=60921 LEN=72 ]
Mar 13 18:16:20 PC kernel: [   83.924856] IPT INPUT: IN=eth0 OUT= MAC=10:fe:ed:02:7c:f4:a0:f3:c1:c8:52:30:08:00 SRC=213.87.137.109 DST=192.168.0.100 LEN=92 TOS=0x18 PREC=0x60 TTL=118 ID=13835 PROTO=UDP SPT=14330 DPT=60921 LEN=72



Вот он, это МТС. А, у меня интернет не он предоставляет.

Пользователь решил продолжить мысль [time]14 Март 2016, 03:22:32[/time]:
еще одно странное повидение. Сейчас вкл еще раз комп и заметил. Что процессор( 4 ядра) работают в среднем 40% в htop больше 5% не показывает. Это как?

« Последнее редактирование: 14 Март 2016, 02:25:22 от FTK »

Оффлайн john1400

  • Активист
  • *
  • Сообщений: 582
  • debian
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #8 : 14 Март 2016, 07:49:48 »
netstat -tuphttp://zenway.ru/page/firestarter
http://rus-linux.net/kos.php?name=/papers/lsof/lsof.html
https://en.wikipedia.org/wiki/Iftop

а затем 2 бэкапа сравнить предыдущий без трояна и текущий
http://pingvinus.ru/note/compare-files-diff-in-linux

Пользователь решил продолжить мысль [time]14 Март 2016, 09:04:12[/time]:
https://en.wikipedia.org/wiki/Comparison_of_file_comparison_tools
вот сравнивалки выбирайте
текстовые бинарные разные вобщем  :)

Пользователь решил продолжить мысль 14 Март 2016, 08:12:20:
вообще лучше так делать чистую Ubuntu поставить забэкапить
затем заразить и забекапить
и потом компарить и вытащить живого червяка
« Последнее редактирование: 14 Март 2016, 08:12:20 от john1400 »

Оффлайн cargan

  • Активист
  • *
  • Сообщений: 316
  • Oderint, dum metuant
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #9 : 14 Март 2016, 08:25:07 »
FTK,
Цитировать
213.87.137.109     ===========================
........
Вот он, это МТС. А, у меня интернет не он предоставляет.
это вообще то не провайдер а
(Нажмите, чтобы показать/скрыть)

-- GPRS - ваше положение в гугль к примеру передает

и еще МТС - на сегодня объединеное название нескольких провайдеров в том числе и таких МГТС, ростелеком, НКС, ОНЛАЙМ, и пр.
------------------------------
TeamViewer- ??? это кажись не наше!!!!  И не в нем ли дело!
« Последнее редактирование: 14 Март 2016, 08:33:12 от cargan »

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 14922
  • Я не слышу.
    • Просмотр профиля
~.o

Оффлайн z-user

  • Активист
  • *
  • Сообщений: 604
  • Ubuntu User
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #11 : 14 Март 2016, 14:00:07 »
Система обновления ОС (из репозитория), NTP?
Резервирование?
А может Skype? Он периодически помимо обмена пакетами с серверами - обменивается с IP адресами клиентов из списка (что кстати позволяет узнать местоположение собеседника)

Оффлайн alsoijw

  • Старожил
  • *
  • Сообщений: 4073
  • Fedora 25 GNOME 3 amd64
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #12 : 14 Март 2016, 14:01:32 »
линукс - антивирус? (таких много)
Искать вирусы для винды?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Выявить вирус в системе.
« Ответ #13 : 16 Март 2016, 02:10:53 »
Да, видимо это был собеседник из Скайпа. А, он в комп по backdoor зашел. И, его вообще тут не заметить.

 

Страница сгенерирована за 0.068 секунд. Запросов: 24.