Všetku poštu na gmaili vybavujem pod Mandrivou 2009.1 cez Mozilla Firefox. Žiadne podozrivé stránky nenavštevujem. Aj skype mi beží cez MDV 2009.1. Na 1.particii HDD mám aj WinXP. Asi pred mesiacom ma začala zaplavovať všelijaká reklama. Dokonca, už aj sám sebe si posielam reklamu...(Ako odpoveď na reklamu)... Pri písaní textu pošty som si všimol, že reakcia na údery do klávesnice sa akoby o nejakú desatinku oneskorovala; to ma viedlo k zamysleniu, či nemám špióna v PC. A stalo sa: Stiahol som malinký keylogger-detector (našiel som len pre Win), preskenonoval Winca a potvrdilo sa...Je ich niekoľko špehúňov, hoci s Winom na net nechodím (len update Spybotu, OnlineArmor a AviraAV).
Včera som čírou náhodou zbadal varovanie Linuxa ÚTOK-SKENOVANIE PORTOV (škoda, že to blikne len tak krátko). Čo to skenovanie znamená, aký význam pre útočníka má? Čo s tým robiť?
Dnes mi google pri vstupe do mailboxu oznámil, že heslo je krátke, treba ho zosilniť a nepustil ma ďalej, kým som nezmenil-nezosilnil heslo (ale to sa mi zdá biedna ochrana, ak mám vnútri PC keyloggera=skopíruje každé heslo). Teda ako-čím preskenovať-prečistiť-ochrániť Linuxa, ak je i tam keylogger?
V Linuxe mám nonGUI ClamAV a viem, že aktívny je.
Má vôbec zmysel otrocké čistenie oboch operačných systémov, alebo radšej otrocká preinštalácia a updaty oboch OS? Keylogger je svojim princípom vlastne trojan; ako, že antitrojan ho nenájde?
Mne ten spam nevadí-krátkou cestou ho zmietnem, ale je mi ľúto, že nechtiac vlastne obťažujem všetkých mojich známych (a už aj neznámych!!!).
Prosím o rady podrobnejšie formulované, "po-lopatistické".
Moja IP sa prideľuje dynamicky.
Ďakujem.
Pre pridávanie komentárov sa musíte prihlásiť.
Kedy sa ti objaví tá správa, počas štartu Mandriva, počas behu alebo kedy?
..
Ktorý program to detekuje, takéto varovania bývajú zvyčajne zapísané v príslušnom log-file.
Prosím, skús ma nejako nasmerovať.
Už si spustil scan cez chkrootkit ? (Máš ho nainštalovaný ???)
Prípadne si to zopakoval pomocou rkhunter ? (Máš ho nainštalovaný ???)
Server www.soom.cz používa neplatný bezpečnostný certifikát.
Certifikát nie je dôveryhodný, pretože je podpísaný samým sebou.
Certifikát je platný len pre Antonin Capousek.
Platnosť certifikátu uplynula dňa 04.06.2008 16:58.
(Kód chyby: sec_error_expired_issuer_certificate)
* Toto môže byť problém s konfiguráciou servera alebo sa ho niekto snaží napodobniť.
* Ak ste sa k tomuto serveru úspešne pripojili v minulosti, chyba môže byť dočasná a pokus by ste mali opakovať neskôr.
Ale nakoniec som sa tam dopracoval a je to zaujímavé čítanie... Skrátka je to neriešiteľné, ostáva zbaviť sa k-loggera (už viem, že "usadený" je práve niekde v Moz-Firefofoxe).
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd"> <html lang="sk"> <head> <meta content="text/html; charset=utf-8" http-equiv="Content-Type"> <title>Gmail</title> <link rel="shortcut icon" href="/mail/images/favicon.ico" type="image/x-icon"> <link rel="alternate" type="application/atom+xml" title="Gmail Atom Feed" href="feed/atom" /> <script>
var startTime=(new Date).getTime()
</script> <script src="?view=page&name=browser&ver=zpwhtygjntrz"></script> <script>
if(window!=top)top.location=location.href;
(function(){if(location.href.indexOf("nocheckbrowser")!=-1)return;if(!is_browser_supported)location="?ui=html&zy=b";var agt=navigator.userAgent.toLowerCase();var wk=/webkit\/([^ ]+)/.exec(agt);var g=/rv:([^;)]+)/.exec(agt);var ie=/msie (\d+)/.exec(agt);var opr=window.opera&&parseFloat(window.opera.version());var sup=ie&&ie[1]>=7&&!opr||navigator.product=="Gecko"&&g&&g[1]>"1.8"||wk&&wk[1].split(".")[0]>
"522"||opr&&opr>=9.5;var win2k=agt.indexOf("windows nt 5.0")!=-1||agt.indexOf("windows 2000")!=-1;var win98OrMe=agt.indexOf("windows 98")!=-1;if(ie&&ie[1]==6&&!opr&&!win2k&&!win98OrMe){var jsv=Number(ScriptEngineMajorVersion()+"."+ScriptEngineMinorVersion());sup=jsv>=5.7||jsv==5.6&&ScriptEngineBuildVersion()>=8834}if(!sup)location="?hl=sk&zx=dqxrh2f6qr6r&shva=1&ui=1";var c="jscookietest=valid";document.cookie=
c;if(document.cookie.indexOf(c)==-1)location="html/sk/nocookies.html";document.cookie=c+";expires=Thu, 01 Jan 1970 00:00:00 GMT";if(agt.indexOf("msie")!=-1&&document.all&&agt.indexOf("opera")==-1&&agt.indexOf("mac")==-1)eval('try{new ActiveXObject(agt.indexOf("msie 5")!=-1?"Microsoft.XMLHTTP":"Msxml2.XMLHTTP")}catch(e){location="html/sk/noactivex.html"}')})()
body{margin:0;width:100%;height:100%} body,td,input,textarea,select{font-family:arial,sans-serif} input,textarea,select{font-size:100%} #loading{position:absolute;width:100%;height:100%;z-index:1000;background-color:#fff} .cmsg{margin:1em} .msg{font-weight:bold} .lpb{margin:2px 0;border:1px solid #949dad;width:300px;height:0.5em;overflow:hidden;padding:1px} #lpt{background:#d4e4ff;width:0;height:100%;font-size:0} .invfr{position:absolute;left:0;top:0;z-index:-1;width:0;height:0;border:0} .msgb{position:absolute;right:0;bottom:10px;font-size:12px;font-weight:normal;color:#000;background:#fff;padding:20px}
?ui=2&view=ss&ver=-1aw91n2pmifvg&am=b3EopeS3cCHoAb0i0fQ2xj9PPSDB0w","http://mail.google.com/support/?ctx=%67mail",,0,"Gmail","Gmail",[["us","a56ea28443925a8c",[["n"],["m","Novinka! Gmail Labs"],["u","http://mail.google.com/mail/help/intl/sk/
,["ub",[["^i",1244200562768]
,["^f",1244200562768]
,["^k",1244200562768]
,["^all",1244200562768]
,["^t",1244200562768]
,["^act",1244200562768]
,["^r",1244200562768]
,["^s",1244200562768]
,["^b",1244200562768]
]
,["te"]
,["ua",[["^i",1244200562768]
,["^f",1244200562768]
,["^k",1244200562768]
,["^all",1244200562768]
,["^t",1244200562768]
,["^act",1244200562768]
,["^r",1244200562768]
,["^s",1244200562768]
,["^b",1244200562768]
]
,1244200562045]
,["e",9,1244200563076,735,13273]
];</script></body></html>
A) Nevieme, či si spustil scanovanie na rootkit pod Linuxom, tak ako sa Ti doporučovalo (nástroj chkrootkit a rkhunter, najlepšie spustiť postupne obidva).
B) Ten keylogger si predsa objavil vo MS Windows, existujú postupy na jeho odstránenie (vid Google). Tento malware Ti pravdepodobne z Windows odoslal Tvoje osobné údaje o konte Gmail a zfuckoval Ti Gmail. Všetko nasvedčuje tomu, že za tie poštové problémy je zodpovedný Windows
C) Posledné verzie Mandriva majú integrované SELinux moduly, čo prakticky znemožňuje činnosť malware, ale najprv treba vykonať bod A).
D) Jediné, čo majú tieto dva systémy kvázi-spoločné sú java scripty, spúštané v patričnom browseri (Firefoxe alebo IE). Problémy v linuxovom browseri za určitých okolností by mohlo spôsobiť práve potvrdenie inštalácie takéhoto podvrhnutého kódu malware scriptu v otvorenom prehliadači, na čo je potrebné zadať root heslo.Množstvo začiatočníkov by najradšej spúštalo prehliadač aj ako užívateľ root, a nevie, že linux prísne a dokonale oddeľuje užívateľa (práva) a administrátora-root (práva). Napríklad na Fóre mandriva.cz som čítal o prípade, kedy užívateľ nerozumne poskytol kamarátom root heslo, a tí mu vyviedli "srandu" a nainštalovali linuxový program keylogger do Mandrivy.
Takže kámo, hor sa do do bodu A).
B) Áno, presne tak, no k "depilácii Winca" sa dostanem niekedy v nasl. ťýždni. "Zachlpil" sa niekedy, zrejme už dávnejšie, keď som sťahoval (googlil) free-ochrany do PC (AVira AV, FWall Comodo, SpyBot..) - zdá sa mi neuveriteľné, že by sa to mohlo stať iba počas update niektorej ochrany.
C) Jazdím MDV, po upgd.Spring (2009.0 na 2009.1), poctivo každý update, ktorý oznámi. K ostatnému sa akokoľvek vyjadrovať nemám právo.
D) Používam jedine FF, kedysi i Opera skúšobne, no IE nikdy. Svoj PC používam iba ja, ale žiadne autoprihlásenie!! (Iba ak syn, ktorý príde na návštevu 2x za rok, žeby ho spustil vo Wine bez môjho vedomia - ale to je pasé a jedno, tu je teraz problém ktorý treba dajak vyriešiť a seba poučiť).
Áno, rád to s vašou pomocou, kamoši, doriešim(e), k svojmu PC by som sa mal dostať niekedy v 1/2týždni a jasné, že sem, na fórik, sa poženiem ako prvé.
Zatiaľ vďaka a čoskoro dovi......
P.S.: Prosím, mrknite vyššie, je tam výňatok z jedného spamového zdrojáka.
teda
sudo chkrootkita potom
sudo rkhunterTak sa vykašli na sudo, rieš neskôr.
Spusti v Termináli klasický príkaz:
su -Vypýta si root heslo. Ako root spustíš potom tie scany
chkrootkita potomrkhunter.Neverím, žeby Linux mohol byť tak vážne poškodený!!! Skúšal som to niekoľkokrát; nič nepomáha.
su(to je prvý príkaz, ktorý treba potvrdiť ENTERom a po výzve napísať heslo - heslo sa nezobrazuje)chkrootkit(spustenie samotného programu)A) Kľudne ich spúštaj z terminálu, tak ako ti to vyššie poradil Branislav.
.................................................................................
Bolo by Ti treba aspoň trocha sa vyznať vo výpise, ktorý Ti vygeneruje veľmi užitočný príkaz
netstat -aJe s veľkou pravdepodnosťou integrovaný aj do MS Windows XP.Tento príkaz netstat -a Ti vypíše všetko, čo sa týka Tvojej sieťovej premávky na PC. Ja som našiel niečo užitočné pre Teba v slovenčine okolo príkazu netstat tu, nech Ťa neodradí že je to príručka admina. Vo vlastnom záujme môžeš potom šíriť osvetu aj do okolitého sveta a prosím venuj tomu pozornosť, lebo tento unixovský príkaz si to naozaj zaslúži.
BTW, ten "scan portov" nateraz pusti z hlavy .... kľudne.
:-)
super prikaz ten netstat
DAKUJEM vyuzijem
Vďaka!
Som úplne zabudol, že Príručka systémového administrátora je vhodná ako čítanie pre všetkých .. http://deja-vix.sk/sysadmin/index.php
:-)
Searching for suspicious files and dirs, it may take a while...
/usr/lib/firefox-3.0.10/.autoreg
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient)
(môže byť, že používam gkrellm?)
! RUID PID TTY CMD
! root 1453 tty7 /etc/X11/X -br -deferglyphs 16 -nolisten tcp :0 vt7 -auth /var/run/xauth/A:0-Zj2mEX
! root 3399 tty4 /sbin/mingetty tty4
! root 3412 tty5 /sbin/mingetty tty5
Všetko ostatné vypísal nothing found, or not infected atp.
Usage: rkhunter {--check | --update | --versioncheck |
--propupd [{filename | directory | package name},...] |
--list [{tests | {lang | languages} | rootkits},...] |
--version | --help} [options]
Current options are:
--append-log Append to the logfile, do not overwrite
--bindir <directory>... Use the specified command directories
-c, --check Check the local system
--cs2, --color-set2 Use the second color set for output
--configfile <file> Use the specified configuration file
--cronjob Run as a cron job
(implies -c, --sk and --nocolors options)
--dbdir <directory> Use the specified database directory
--debug Debug mode
(Do not use unless asked to do so)
--disable <test>[,<test>...] Disable specific tests
(Default is to disable no tests)
--display-logfile Display the logfile at the end
--enable <test>[,<test>...] Enable specific tests
(Default is to enable all tests)
--hash {MD5 | SHA1 | NONE | Use the specified file hash function
<command>} (Default is SHA1)
-h, --help Display this help menu, then exit
--lang, --language <language> Specify the language to use
(Default is English)
--list [tests | languages | List the available test names, languages,
rootkits] or checked for rootkits, then exit
-l, --logfile [file] Write to a logfile
(Default is /var/log/rkhunter.log)
--noappend-log Do not append to the logfile, overwrite it
--nocolors Use black and white output
--nolog Do not write to a logfile
--nomow, --no-mail-on-warning Do not send a message if warnings occur
--ns, --nosummary Do not show the summary of check results
--novl, --no-verbose-logging No verbose logging
--pkgmgr {RPM | DPKG | BSD | Use the specified package manager to obtain or
NONE} verify file hash values. (Default is NONE)
--propupd [file | directory | Update the entire file properties database,
package]... or just for the specified entries
-q, --quiet Quiet mode (no output at all)
--rwo, --report-warnings-only Show only warning messages
-r, --rootdir <directory> Use the specified root directory
--sk, --skip-keypress Don't wait for a keypress after each test
--summary Show the summary of system check results
(This is the default)
--syslog [facility.priority] Log the check start and finish times to syslog
(Default level is authpriv.notice)
--tmpdir <directory> Use the specified temporary directory
--update Check for updates to database files
--vl, --verbose-logging Use verbose logging (on by default)
-V, --version Display the version number, then exit
--versioncheck Check for latest version of program
-x, --autox Automatically detect if X is in use
-X, --no-autox Do not automatically detect if X is in use
[root@localhost oooooo]#
Z výsledku rkhunter-a som "jeleň", preto som ho celý skopíroval sem; ja si myslím, že Lin je vpodstate OK. Až bude viac času, presťahujem sa do Winca a otestujem tiež.
Ten rkhunter spustíš príkazom (ako root samozrejme):
rkhunter --checkpo skončení Ťa vyzve na príkaz (ako root):
rkhunter --propupdRkhunterov test - všetko dopadlo OK or NOT FOUND (príp.NONE FOUND). To by mohlo znamenať, že i u tohto druhého testu sa potvrdil čistý Lin? Príp.občas spustiť netstat - pre pokoj svedomia? Tak definitívne mi ostáva už len "vyprať" Win? (Je to ako nekonečná pieseň: Ak si človek myslí, že myslí, automamticky sa, z času - na čas, vynárajú nové a nové otázky..)
Ad) Linux Mandriva: Jednoduché áno a príkaz netstat Ti dáva prehľad, vedomosti a samozrejme pocit, že si sa niečo významné naučil, Ťa bude postrkovať ďalej.
Ad Windows: Existuje dobrý zvyk, nepoužívať na browsovanie Windows ale jedine Linux (keď je dualboot). Možno by som Ti doporučoval do MS Windows používať Sandbox pre browser, samozrejme ako browser vo Windows používaš jedine Firefox, Opera, nikdy nie IE !
Na brows používam iba Lin-MDV (Winca do netu pustím iba riedko-občas, keď chcem updat ochrany - AV, FW, AT, ap., inak nikdy a viem ustrážiť i MS-ové samospúšťacie "zázraky"). Win používam jedine fyzicky odpojený od netu na spracovanie svojej súkromnej video a audiotéky (neviem to v Lin-e, učiť sa ide už ťažšie-i hlava už tak neposlúcha).
Áno, OS mám na dualboot, na úplne iných partit., i fyzicky na druhom HDD (kedysi dokonca pre pokusy zdvojene - hda=2x Win, hdb=MDV a OSuSe).
V oboch súčasných OS (Win+MDV) jedine MozillaFF (IE je "magnet na problémy"...).
Síce OS Win na net nepoužívam (okr.výnimky viď vyššie), no Sandbox (teraz už viem, čo to je=nakukol som tam) si Lin-om downem a aspoň pre zaujímavosť (a istotu) do Win doinštalujem (je maličký a free).
sudo (podobný príkaz-aký význam)?
čo bol raz ten scan portov u mňa-čo to znamená?
Viackrát som bol svedkom toho na rôznych počítačoch u rôznych ľudí, že KRUSADER sa po nainštalovaní a reštarte PC nechcel spustiť (modré logo kratulinko bliklo, ikona nabiehala-nabiehala, ale nakoniec sa stratila a nič sa neudialo)... No po niekoľkých dňoch - i teda viackrát zapnutom PC - a asi aj rôzne update za ten čas, krusader sa spustiť dal, akoby sa nič nestalo... Existuje na to nejaký príkaz, ako ho donútiť, aby sa spustil hneď po nainštalovaní?
Ďakujem.
Nainštaluj si Zenmap (grafický frontend, využívajúci mocný UNIX nástroj nmap) a môžeš skenovať po Internete sám.
Linuxové distribúcie ho majú určite vo svojich repozitároch.
Domovská stránka Zenmap. Veľa zdaru pri scanovaní portov cudzích PC .
:-)
Ozaj je to sila.
Čo-to som pochopil z toho, čo som sa o ňom dočítal (len v posl.čase sa s anglinou zbližujem).
Nie som si istý, či by som s pomocou zenmap-u dokázal už pomôcť niekomu cudziemu a "nakúkať do cudzích hrncov" len tak, nie je v súlade s mojimi atribútami cti (tobôž niekomu škodiť!!). Ale stránka je v záložkách - pre istotu.
Odhadol si ma bezpečne.
Vďaka Ti ᚲ(-:)
[11:20:36] /bin/rpm [ Warning ]
[11:20:36] Warning: The file properties have changed:
[11:20:36] File: /bin/rpm
[11:20:36] Current hash: 05eecb1dc8cd5c693074ef2e111ca3d324ead6ac
[11:20:36] Stored hash : af4b8a2fffa47d5b07adb414eaf9731f58269e2c
[11:20:36] Current inode: 90290 Stored inode: 1332821
[11:20:36] Current file modification time: 1245315344
[11:20:36] Stored file modification time : 1234803570
File properties checks...
[11:26:00] Files checked: 128
[11:26:00] Suspect files: 1
[11:26:00]
[11:26:00] Rootkit checks...
[11:26:01] Rootkits checked : 113
[11:26:01] Possible rootkits: 0
[11:26:01]
[11:26:01] Applications checks...
[11:26:01] Applications checked: 3
[11:26:02] Suspect applications: 0
Vďaka!
Aha, pochopil som; /.../rpm (informácia presne k tomu).
Ďakujem pekne.
Niekde som sa dočítal: ...vypnúť IPv6 (čo to je?). Urobil som tak, no zmena nič moc. Žeby svoje robil aj firewall "natvrdo"? Prosím, čo ešte sa s tým dá robiť?
Vďaka.
Napriklad test kde jeden a ten isty subor stiahnes v Linuxe a nasledne v Windose poukaze len na existenciu (transparentneho) proxy na strane poskytovatela ale nic nehovori o aktualnej rychlosti linky. Rovnako to nic nepovie ak mas linux spusteny pod Windos cez napriklad Virtual Box a pocas testu Ti nejake stahovanie bezi aj na Windose.
PS.: ano, to co volas firewall dokaze aj obmedzovat rychlost. nastavenim stropu rychlosti alebo nepovolenim aktivnych pripojeni torrentu.
Načítavanie prevažujúcej väčšiny web stránok je závislé od typu prehliadača - konkrétnejšie rýchlosť určujúci proces v sústave browsera je najpomalší proces z nich, a v rokoch 200x je to stále Java-script interpreter. Odladenosť JEHO kódu je určujúca, a vieme, že pre známe dôvody je to stále lepšie odladené pre Windows, ako pre Linux. Toto je podľa mňa ten fakt rýchlejšieho načítavania web stránok v prostredí Win (aj keď sa môžem samozrejme mýliť).
Pomalšiu "jazdu" pod Linuxom som si všimol dávnejšie a začal som podozrievať môjho poskytovateľa internetovej služby, že porušuje zmluvu o rýchlosti 3500 KiBi/s - cca 437 kb/s (alebo opačne), odvážil som sa pustiť Winca do netu a pre istotu som ako najjednoduchšie-najrýchlejšie riešenie porovnával rýchlosť z jedného a potom druhého OS. (Čírou náhodou som niekde narazil na info vypnúť v Linuxe IPv6, no keďže sa to zlepšilo len málo, tak som začal merať a potom som si už len myslel, že snáď niečo mám zle nakonfigurované, keď sú také rozdiely; preto som "povesil" ten dotaz). Inak to za vážny problém nepovažujem.
Z oboch vašich odpovedí usudzujem, že ja tu už asi nie veľmi doladím niečo, teda pustím to z hlavy (netrápi ma to, Linux je aj tak oveľa bezpečnejší a to je z môjho pohľadu oveľa väčšia hodnota, než tá rýchlosť).
Vďaka za pomoc priatelia.
Dúfam, že používaš FF3.5 (dobre odladený Java interpreter pre Linux)..... a, a, a ešte jedna vec. Java skript spolu s Adobe Flash na web stránkach je náročný a pažravý na výkon CPU, teda čím rýchlejší/novší/multicore procesor máš, tým rýchlejšie sa Ti zobrazujú/načítavajú moderné web stránky.
Mimochodom, asi týždeň, práve vo Wine požívam updatovaný SK FF3.5.exe (iste aj to robí ten porovnávací rozdiel).
S CPU nič nenarobím, HW je taký, aký roky mám, P4-3GHz+RAM 2GB dualchan. (Tvoja info pre mňa cenná, dobré vedieť do budúcna).
Tento firefox-3.5.tar.bz2 použiješ jednoducho tak, že ho nakopíruješ napr do
/optalebo/hometam rozbalíš, vytvorí ti sám folder/firefoxa FF spúštaš kliknutím na súbor firefox alebo si vytvoríš spúštač na ploche.Do tvojich repos príde čoskoro, napr. Fedora ho už ponúka ....
:-)
Ďakujem.