Autor Téma: napadení počítače?  (Přečteno 2226 krát)

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
napadení počítače?
« kdy: Listopad 16, 2015, 22:03:12 »
Zdravím.
V krátkosti popíšu co se děje, nevím co si o tom myslet. V rohu obrazovky se mi objevuje zpráva: msec zjistil změny v bezpečnosti počítače. zpráva je ve /var/log/security.log. OK. chci log otevřít a nejde to ani jako root. restartuju abych přerušil spojení v síti, log otevřít jde, přikládám.
Nebyl bych nervozní, ale nějakej frajer z lucemburska mi ukrad peníze z účtu.
Any ideas?
prostý user
...selským rozumem...

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #1 kdy: Listopad 18, 2015, 08:13:10 »
tak nevím... existuje vir na úrovni BIOSu? už nejde nic, chtěl jsem změnit heslo root, nespustím drakconf ani jako root, heslo je dobře, su funguje...  nechytne se mi DVD, takže ani reinstal nejede... hromada šrotu je to...
prostý user
...selským rozumem...

Yullaw

  • Global Moderator
  • Hero Member
  • *****
  • Příspěvků: 709
  • Karma: +47/-0
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #2 kdy: Listopad 18, 2015, 20:05:41 »
Ahoj,

pro začátek prosím výpisy pod rootem:
Kód: [Vybrat]
# fdisk --list
# urpmq --list-media --list-url
# urpmq --list-media active --list-url

Nainstalovat antivir, spustit pod uživatelem, aktualizovat jej v GUI, skenovat složky:
Kód: [Vybrat]
# urpmi clamtk

Mageia 6 (64bit), KDE 5.8.7, kernel 4.9.35-desktop-1.mga6
Notebook Acer Aspire E1-571G
CPU:Intel® Core i5-3230M 2.6GHz, GPU:Intel+nVidia Optimus GeForce 710M

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #3 kdy: Listopad 19, 2015, 12:35:22 »
Tak řešení brutální a to reinstal. Mašinka přestala poslouchat i roota. problematice antiviru se ale věnovat můžeme, poreferuju až to nainstalím zatím díky.
prostý user
...selským rozumem...

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #4 kdy: Listopad 19, 2015, 12:37:51 »
Pardon, jsem se nezeptal, jaký antivir se obvykle volí?
prostý user
...selským rozumem...

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #5 kdy: Listopad 19, 2015, 12:42:01 »
ach jo... hlava prázdná... /home jsem neformátnul, počítám že vir může bydlet i tam, že?
prostý user
...selským rozumem...

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #6 kdy: Listopad 19, 2015, 21:07:37 »
Zdravím, tak podle clamav viry nejsou... podle gparted je disk plný ale nic není vidět ani po ctrl -h
Kód: [Vybrat]
# fdisk --list

Disk /dev/ram0: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram1: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram2: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram3: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram4: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram5: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram6: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram7: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram8: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram9: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram10: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram11: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram12: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram13: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram14: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/ram15: 31,3 MiB, 32 768 000 bajtů, 64 000 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 4096 bajtů
Velikost I/O (minimální/optimální): 4096 bajtů / 4096 bajtů
Disk /dev/sda: 74,5 GiB, 80 026 361 856 bajtů, 156 301 488 sektorů
Jednotky: sektorů po 1 * 512 = 512 bajtech
Velikost sektoru (logického/fyzického): 512 bajtů / 512 bajtů
Velikost I/O (minimální/optimální): 512 bajtů / 512 bajtů
Typ popisu disku: dos
Identifikátor disku: 0x0004fdf6

Device     Boot     Start       End   Sectors  Size Id Type
/dev/sda1  *         2048  28659959  28657912 13,7G 83 Linux
/dev/sda2        28663803 156301311 127637509 60,9G  5 Extended
/dev/sda5        28663808 155268224 126604417 60,4G 83 Linux
/dev/sda6       155273216 156301311   1028096  502M 82 Linux swap / Solaris
Kód: [Vybrat]
urpmq --list-media --list-url
Core Release (distrib1) http://mageia.supp.name/distrib/5/i586/media/core/release
Core Release Debug (distrib2)
Core Updates (distrib3) http://mageia.supp.name/distrib/5/i586/media/core/updates
Core Updates Debug (distrib4)
Core Updates Testing (distrib5)
Core Updates Testing Debug (distrib6)
Core Backports (distrib7)
Core Backports Debug (distrib8)
Core Backports Testing (distrib9)
Core Backports Testing Debug (distrib10)
Nonfree Release (distrib11) http://mageia.supp.name/distrib/5/i586/media/nonfree/release
Nonfree Release Debug (distrib12)
Nonfree Updates (distrib13) http://mageia.supp.name/distrib/5/i586/media/nonfree/updates
Nonfree Updates Debug (distrib14)
Nonfree Updates Testing (distrib15)
Nonfree Updates Testing Debug (distrib16)
Nonfree Backports (distrib17)
Nonfree Backports Debug (distrib18)
Nonfree Backports Testing (distrib19)
Nonfree Backports Testing Debug (distrib20)
Tainted Release (distrib21)
Tainted Release Debug (distrib22)
Tainted Updates (distrib23)
Tainted Updates Debug (distrib24)
Tainted Updates Testing (distrib25)
Tainted Updates Testing Debug (distrib26)
Tainted Backports (distrib27)
Tainted Backports Debug (distrib28)
Tainted Backports Testing (distrib29)
Tainted Backports Testing Debug (distrib30
Kód: [Vybrat]
urpmq --list-media active --list-url
Core Release (distrib1) http://mageia.supp.name/distrib/5/i586/media/core/release
Core Updates (distrib3) http://mageia.supp.name/distrib/5/i586/media/core/updates
Nonfree Release (distrib11) http://mageia.supp.name/distrib/5/i586/media/nonfree/release
Nonfree Updates (distrib13) http://mageia.supp.name/distrib/5/i586/media/nonfree/updates
zdroje jsem měl v pořádku.... podotýkám že moje data nejsou vidět ani pod slaxem... >:(
prostý user
...selským rozumem...

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #7 kdy: Listopad 19, 2015, 21:11:26 »
Díky Yullav, už jsem tedy rozvrtal ledaco ale tohle jsem ještě neviděl... všechno je tam ale se vším co vím nejsem schopen to zviditelnit... jen mě napadá práva? uuid?
prostý user
...selským rozumem...

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #8 kdy: Listopad 20, 2015, 08:27:40 »
Zdravím,
 security.log z jiného počítače v domě.
prostý user
...selským rozumem...

Yullaw

  • Global Moderator
  • Hero Member
  • *****
  • Příspěvků: 709
  • Karma: +47/-0
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #9 kdy: Listopad 21, 2015, 12:44:27 »
  • Nemohu se moc zorientovat, co je konkrétně za problém. Specifikuj jasněji, prosím. Antivir ClamAV obecně v Linuxu není třeba instalovat, jen z důvodu prověření Windows oddílů, aplikací, archívů a jiných souborů. Je mi záhadou tvá věta:
    ...
    Nebyl bych nervozní, ale nějakej frajer z lucemburska mi ukrad peníze z účtu.
    ...
    Pochybuji, že by se do tvého počítače někdo dostal jen tak. Ledaže bys "otevřel vrátka" ke svému kontu nebezpečným způsobem (Windows+vir, mobil, elektronická platba přes internet, nezakrytí klávesnice při zadávání pinu nebo skrytá čtečka v bankomatu ap.)
  • Logy bych nechal prozkoumat na forums.mageia.org nebo na IRC kanál #mageia, tam ti jistě poradí a sdělí, zda je vše v pořádku.
  • Ověření bezpečnosti routeru: používáš-li k připojení internetu wifi router, prověř si jeho zabezpečení na http://rom-0.cz/, více na http://blog.nic.cz/2014/05/21/kriticka-zranitelnost-mnoha-domacich-routeru/
  • Pozn. k tvým zdrojům: aktivuj si i Tainted Release a Tainted Updates

Mageia 6 (64bit), KDE 5.8.7, kernel 4.9.35-desktop-1.mga6
Notebook Acer Aspire E1-571G
CPU:Intel® Core i5-3230M 2.6GHz, GPU:Intel+nVidia Optimus GeForce 710M

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #10 kdy: Listopad 21, 2015, 17:55:22 »
díky. No peníze jsou pryč elektronická platba asi... účet i karta už neexistují. na ten router se podívám. a zdroje jsem měl včetně Tainted, ten výpis je až po reinstalu. stejně to nepomohlo, další v řadě je photorec a pak formát oddílu /home.


díky za pomoc.
prostý user
...selským rozumem...

alda81

  • Sr. Member
  • ****
  • Příspěvků: 394
  • Karma: +13/-0
    • Zobrazit profil
    • aldacerny.cz
Re:napadení počítače?
« Odpověď #11 kdy: Listopad 22, 2015, 00:22:55 »
podobné problémy se systémem jsem měl, když mě odcházel pevný disk do věčných lovišť

tvůj popis napadení účtu je dost "zmatený", z výpisu u účtu zjistíš, jestli šli peníze přes kartu, pak tvůj počítač nebude napadený, pouze ti nějaký "obchodník" zneužil kartu (nepoctivý obchodník, čtečka u bankomatu, někdo z blízkých, ...), pokud ti odešly peníze klasickou cestou, tak spíš zapátrej v emailu a hledej nějaký "speciální" email s odkazem do tvého bankovnictví, to by ale musel být napadený i tvůj mobil kvůli potvrzovacím SMSkám

pokud máš disk připojený pod live systémem (nejsem si jistý, že to tak máš) , tak je mu nějaké uuid jedno, proto bych to viděl spíš na vadný disk
Nutné čtení pro všechny! Jak se ptát na fóru: http://wiki.mageia.cz/wiki:jak_se_ptat_na_foru

karel kudrna

  • Newbie
  • *
  • Příspěvků: 39
  • Karma: +0/-0
  • skill :: googllama jabber:patryk@jabber.cz
    • Zobrazit profil
Re:napadení počítače?
« Odpověď #12 kdy: Listopad 22, 2015, 11:04:08 »
Vida Alešek... děkuju... Jo už to mám nějak zmáknutý, karta byla pojištěná, tak mi peníze snad vrátí. Samostudiem jsem se dopátral co a jak, s daty se loučím, je čas udělat disku pápá. Můj mobil typu cihla je napadený pavoukem na displeji... nedošlo mi že by mohl po síti... no ale je to pavouk, že.

Prostě jsem si utřídil data v hlavě, po počátečním šoku už dávám věci dohromady. Děkuju všem.
prostý user
...selským rozumem...