Strona 1 z 1
Niepoprawne uwierzytelnianie w Debianie6
: 24 listopada 2012, 11:33
autor: Kaktus93
Witam.
W trakcie poszukiwania konkretnego torrenta przeglądałem strony typu ,,pirackiego''.
Na niektórych wyskakiwało wiele różnych reklam. Od tego czasu system prosi mnie o uwierzytelnienie(czasami nawet dwukrotne co wydaje mi się absurdalne) przy montowaniu partycji, wcześniej w ogóle nie prosił.
Nie jestem zaawansowanym użytkownikiem Linuksa ale podejrzewam wykonanie się jakiegoś beznadziejnego skryptu.
Czy są jakieś niekomercyjne rozwiązania sprawdzenia poprawności działania systemu?
Mój system to Debian 6.0 Squeeze.
: 29 listopada 2012, 09:32
autor: sethiel
: 03 grudnia 2012, 13:21
autor: Kaktus93
Dzięk
uję za odpowiedź. Skanowanie komputera dało taki rezulta
t (wyświetliłem tylko to gdzie jest
ostrzeżenie):
Kod: Zaznacz cały
[12:08:15] Checking for string 'hdparm' [ Warning ]
[12:08:15] Warning: Checking for possible rootkit strings [ Warning ]
[12:08:28] Checking for TCP port 1524 [ Warning ]
[12:08:28] Warning: Network TCP port 1524 is being used by /usr/sbin/portsentry. Possible rootkit: Possible FreeBSD (FBRK) Rootkit backdoor
[12:08:28] Checking for TCP port 6667 [ Warning ]
[12:08:28] Warning: Network TCP port 6667 is being used by /usr/sbin/portsentry. Possible rootkit: Possible rogue IRC bot
[12:08:28] Checking for TCP port 31337 [ Warning ]
[12:08:28] Warning: Network TCP port 31337 is being used by /usr/sbin/portsentry. Possible rootkit: Historical backdoor port
[12:09:05] Checking for hidden files and directories [ Warning ]
[12:09:05] Warning: Hidden directory found: /etc/.java
[12:09:05] Warning: Hidden directory found: /dev/.udev
[12:09:05] Warning: Hidden directory found: /dev/.initramfs
Oraz końcowy wynik:
[12:09:08] File properties checks...
[12:09:08] Files checked: 131
[12:09:08] Suspect files: 0
[12:09:08]
[12:09:08] Rootkit checks...
[12:09:08] Rootkits checked : 242
[12:09:08] Possible rootkits: 2
[12:09:08] Rootkit names : Xzibit Rootkit, Xzibit Rootkit
[12:09:08]
[12:09:08] Applications checks...
[12:09:08] All checks skipped
[12:09:08]
[12:09:08] The system checks took: 1 minute and 19 seconds
[12:09:08]
[12:09:08] Info: End date is pon, 3 gru 2012, 12:09:08 CET
Wiecie co można z tym fantem zrobi
ć?
: 03 grudnia 2012, 14:30
autor: sethiel
Rkhunter.log będziesz miał pliki/procesy z rootkitem.
Lista procesów/portów - zobacz czy coś masz co nie powinieneś mieć - np wiesz że nie instalowałeś:
Usuwanie różnego śmiecia także wykonuje:
Zainstaluj Clamav - przeskanuj komputerek.
Xzibit Rootkit - to zazwyczaj "false positive" czyli fałszywy wynik - spowodowany np vmware-tools, albo używaniem jeszcze czegoś tam czego nie pamiętam. Oczywiście także może to być trojan. Taki vmware-tools to trojan - bo przekazuje wiele możliwości systemowi zdalnemu - tyle, że wiadomo - używany jest w słusznej sprawie.
: 08 grudnia 2012, 21:07
autor: Kaktus93
Wynik Clamav to m.in:
Kod: Zaznacz cały
Known viruses: 1336555, Engine version: 0.97.6, Total errors: 7661.
Jak można się pozbyć tych błędó
w? Chrootkit nic nie pokazał. lsof lub netstat (nie pamiętam) wyświetlił połączenie z facebookiem, problem w tym że tam nie wchodziłem. Ponadto gdy ekran jest
wygaszony i poruszę np. myszką, to najpierw na około 1 sekundę wyświetli się pulpit a dopiero po tej chwili okienko do uwierzytelnienia systemu.
: 25 grudnia 2012, 14:40
autor: fnmirk
Jeżeli skanujesz system jako zwykły użytkownik to błędem jest brak dostępu do katalogów i plików, do których zwykły użytkownik nie ma dostępu. Np. katalogi i pliki w katalogu /root i wiele procesów odwołujących się do jądra.
: 25 grudnia 2012, 17:59
autor: Kaktus93