Mageia Forum

Nastavení systému a serverových služeb => Bezpečnost a síťové servery => Téma založeno: karel kudrna Listopad 16, 2015, 22:03:12

Název: napadení počítače?
Přispěvatel: karel kudrna Listopad 16, 2015, 22:03:12
Zdravím.
V krátkosti popíšu co se děje, nevím co si o tom myslet. V rohu obrazovky se mi objevuje zpráva: msec zjistil změny v bezpečnosti počítače. zpráva je ve /var/log/security.log. OK. chci log otevřít a nejde to ani jako root. restartuju abych přerušil spojení v síti, log otevřít jde, přikládám.
Nebyl bych nervozní, ale nějakej frajer z lucemburska mi ukrad peníze z účtu.
Any ideas?
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 18, 2015, 08:13:10
tak nevím... existuje vir na úrovni BIOSu? už nejde nic, chtěl jsem změnit heslo root, nespustím drakconf ani jako root, heslo je dobře, su funguje...  nechytne se mi DVD, takže ani reinstal nejede... hromada šrotu je to...
Název: Re:napadení počítače?
Přispěvatel: Yullaw Listopad 18, 2015, 20:05:41
Ahoj,

pro začátek prosím výpisy pod rootem:
Kód: [Vybrat]
# fdisk --list
# urpmq --list-media --list-url
# urpmq --list-media active --list-url

Nainstalovat antivir, spustit pod uživatelem, aktualizovat jej v GUI, skenovat složky:
Kód: [Vybrat]
# urpmi clamtk
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 19, 2015, 12:35:22
Tak řešení brutální a to reinstal. Mašinka přestala poslouchat i roota. problematice antiviru se ale věnovat můžeme, poreferuju až to nainstalím zatím díky.
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 19, 2015, 12:37:51
Pardon, jsem se nezeptal, jaký antivir se obvykle volí?
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 19, 2015, 12:42:01
ach jo... hlava prázdná... /home jsem neformátnul, počítám že vir může bydlet i tam, že?
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 19, 2015, 21:07:37
Zdravím, tak podle clamav viry nejsou... podle gparted je disk plný ale nic není vidět ani po ctrl -h
Kód: [Vybrat]
# fdisk --list

Disk /dev/ram0: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram1: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram2: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram3: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram4: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram5: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram6: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram7: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram8: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram9: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram10: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram11: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram12: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram13: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram14: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram15: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/sda: 74,5 GiB, 80 026 361 856 bajtů, 156 301 488 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 512 bajtů
Velikost I/O (minimální/optimální): 512 bajtů / 512 bajtů
Typ popisu disku: dos
Identifikátor disku: 0x0004fdf6

Device     Boot     Start       End   Sectors  Size Id Type
/dev/sda1  *         2048  28659959  28657912 13,7G 83 Linux
/dev/sda2        28663803 156301311 127637509 60,9G  5 Extended
/dev/sda5        28663808 155268224 126604417 60,4G 83 Linux
/dev/sda6       155273216 156301311   1028096  502M 82 Linux swap / Solaris
Kód: [Vybrat]
urpmq --list-media --list-url
Core Release (distrib1) http://mageia.supp.name/distrib/5/i586/media/core/release
Core Release Debug (distrib2)
Core Updates (distrib3) http://mageia.supp.name/distrib/5/i586/media/core/updates
Core Updates Debug (distrib4)
Core Updates Testing (distrib5)
Core Updates Testing Debug (distrib6)
Core Backports (distrib7)
Core Backports Debug (distrib8)
Core Backports Testing (distrib9)
Core Backports Testing Debug (distrib10)
Nonfree Release (distrib11) http://mageia.supp.name/distrib/5/i586/media/nonfree/release
Nonfree Release Debug (distrib12)
Nonfree Updates (distrib13) http://mageia.supp.name/distrib/5/i586/media/nonfree/updates
Nonfree Updates Debug (distrib14)
Nonfree Updates Testing (distrib15)
Nonfree Updates Testing Debug (distrib16)
Nonfree Backports (distrib17)
Nonfree Backports Debug (distrib18)
Nonfree Backports Testing (distrib19)
Nonfree Backports Testing Debug (distrib20)
Tainted Release (distrib21)
Tainted Release Debug (distrib22)
Tainted Updates (distrib23)
Tainted Updates Debug (distrib24)
Tainted Updates Testing (distrib25)
Tainted Updates Testing Debug (distrib26)
Tainted Backports (distrib27)
Tainted Backports Debug (distrib28)
Tainted Backports Testing (distrib29)
Tainted Backports Testing Debug (distrib30
Kód: [Vybrat]
urpmq --list-media active --list-url
Core Release (distrib1) http://mageia.supp.name/distrib/5/i586/media/core/release
Core Updates (distrib3) http://mageia.supp.name/distrib/5/i586/media/core/updates
Nonfree Release (distrib11) http://mageia.supp.name/distrib/5/i586/media/nonfree/release
Nonfree Updates (distrib13) http://mageia.supp.name/distrib/5/i586/media/nonfree/updates
zdroje jsem měl v pořádku.... podotýkám že moje data nejsou vidět ani pod slaxem... >:(
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 19, 2015, 21:11:26
Díky Yullav, už jsem tedy rozvrtal ledaco ale tohle jsem ještě neviděl... všechno je tam ale se vším co vím nejsem schopen to zviditelnit... jen mě napadá práva? uuid?
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 20, 2015, 08:27:40
Zdravím,
 security.log z jiného počítače v domě.
Název: Re:napadení počítače?
Přispěvatel: Yullaw Listopad 21, 2015, 12:44:27
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 21, 2015, 17:55:22
díky. No peníze jsou pryč elektronická platba asi... účet i karta už neexistují. na ten router se podívám. a zdroje jsem měl včetně Tainted, ten výpis je až po reinstalu. stejně to nepomohlo, další v řadě je photorec a pak formát oddílu /home.


díky za pomoc.
Název: Re:napadení počítače?
Přispěvatel: alda81 Listopad 22, 2015, 00:22:55
podobné problémy se systémem jsem měl, když mě odcházel pevný disk do věčných lovišť

tvůj popis napadení účtu je dost "zmatený", z výpisu u účtu zjistíš, jestli šli peníze přes kartu, pak tvůj počítač nebude napadený, pouze ti nějaký "obchodník" zneužil kartu (nepoctivý obchodník, čtečka u bankomatu, někdo z blízkých, ...), pokud ti odešly peníze klasickou cestou, tak spíš zapátrej v emailu a hledej nějaký "speciální" email s odkazem do tvého bankovnictví, to by ale musel být napadený i tvůj mobil kvůli potvrzovacím SMSkám

pokud máš disk připojený pod live systémem (nejsem si jistý, že to tak máš) , tak je mu nějaké uuid jedno, proto bych to viděl spíš na vadný disk
Název: Re:napadení počítače?
Přispěvatel: karel kudrna Listopad 22, 2015, 11:04:08
Vida Alešek... děkuju... Jo už to mám nějak zmáknutý, karta byla pojištěná, tak mi peníze snad vrátí. Samostudiem jsem se dopátral co a jak, s daty se loučím, je čas udělat disku pápá. Můj mobil typu cihla je napadený pavoukem na displeji... nedošlo mi že by mohl po síti... no ale je to pavouk, že.

Prostě jsem si utřídil data v hlavě, po počátečním šoku už dávám věci dohromady. Děkuju všem.