Niepoprawne uwierzytelnianie w Debianie6

[Kaktus93]

Witam.
W trakcie poszukiwania konkretnego torrenta przeglądałem strony typu ,,pirackiego''.
Na niektórych wyskakiwało wiele różnych reklam. Od tego czasu system prosi mnie o uwierzytelnienie(czasami nawet dwukrotne co wydaje mi się absurdalne) przy montowaniu partycji, wcześniej w ogóle nie prosił.

Nie jestem zaawansowanym użytkownikiem Linuksa ale podejrzewam wykonanie się jakiegoś beznadziejnego skryptu.
Czy są jakieś niekomercyjne rozwiązania sprawdzenia poprawności działania systemu?

Mój system to Debian 6.0 Squeeze.

[sethiel]

Kod: Zaznacz cały

apt-get install rkhunter

[Kaktus93]

Dziękuję za odpowiedź. Skanowanie komputera dało taki rezultat (wyświetliłem tylko to gdzie jest ostrzeżenie):

Kod: Zaznacz cały

[12:08:15]     Checking for string 'hdparm'                  [ Warning ]
[12:08:15] Warning: Checking for possible rootkit strings    [ Warning ]
[12:08:28]   Checking for TCP port 1524                      [ Warning ]
[12:08:28] Warning: Network TCP port 1524 is being used by /usr/sbin/portsentry. Possible rootkit: Possible FreeBSD (FBRK) Rootkit backdoor
[12:08:28]   Checking for TCP port 6667                      [ Warning ]
[12:08:28] Warning: Network TCP port 6667 is being used by /usr/sbin/portsentry. Possible rootkit: Possible rogue IRC bot
[12:08:28]   Checking for TCP port 31337                     [ Warning ]
[12:08:28] Warning: Network TCP port 31337 is being used by /usr/sbin/portsentry. Possible rootkit: Historical backdoor port
[12:09:05]   Checking for hidden files and directories       [ Warning ]
[12:09:05] Warning: Hidden directory found: /etc/.java
[12:09:05] Warning: Hidden directory found: /dev/.udev
[12:09:05] Warning: Hidden directory found: /dev/.initramfs

Oraz końcowy wynik:
[12:09:08] File properties checks...
[12:09:08] Files checked: 131
[12:09:08] Suspect files: 0
[12:09:08]
[12:09:08] Rootkit checks...
[12:09:08] Rootkits checked : 242
[12:09:08] Possible rootkits: 2
[12:09:08] Rootkit names    : Xzibit Rootkit, Xzibit Rootkit
[12:09:08]
[12:09:08] Applications checks...
[12:09:08] All checks skipped
[12:09:08]
[12:09:08] The system checks took: 1 minute and 19 seconds
[12:09:08]
 [12:09:08] Info: End date is pon, 3 gru 2012, 12:09:08 CET

Wiecie co można z tym fantem zrobić?

[sethiel]

Rkhunter.log będziesz miał pliki/procesy z rootkitem.

Lista procesów/portów - zobacz czy coś masz co nie powinieneś mieć - np wiesz że nie instalowałeś:

Kod: Zaznacz cały

lsof -i
netstat -p

Usuwanie różnego śmiecia także wykonuje:

Kod: Zaznacz cały

apt-get install chkrootkit
chkrootkit

Zainstaluj Clamav - przeskanuj komputerek.

Xzibit Rootkit - to zazwyczaj "false positive" czyli fałszywy wynik - spowodowany np vmware-tools, albo używaniem jeszcze czegoś tam czego nie pamiętam. Oczywiście także może to być trojan. Taki vmware-tools to trojan - bo przekazuje wiele możliwości systemowi zdalnemu - tyle, że wiadomo - używany jest w słusznej sprawie.

[Kaktus93]

Wynik Clamav to m.in:

Kod: Zaznacz cały

 Known viruses: 1336555, Engine version: 0.97.6, Total errors: 7661. 

Jak można się pozbyć tych błędów? Chrootkit nic nie pokazał. lsof lub netstat (nie pamiętam) wyświetlił połączenie z facebookiem, problem w tym że tam nie wchodziłem. Ponadto gdy ekran jest wygaszony i poruszę np. myszką, to najpierw na około 1 sekundę wyświetli się pulpit a dopiero po tej chwili okienko do uwierzytelnienia systemu.

[fnmirk]

Jeżeli skanujesz system jako zwykły użytkownik to błędem jest brak dostępu do katalogów i plików, do których zwykły użytkownik nie ma dostępu. Np. katalogi i pliki w katalogu /root i wiele procesów odwołujących się do jądra.

[Kaktus93]

Użyłem Polecenia:

Kod: Zaznacz cały

sudo clamscan -r /