Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaSee teema on lukustatud: sa ei saa postitusi muuta ega neile vastata.
Autor Sõnum
karlsson


Pingviini aktivist
Pingviini aktivist



Liitunud: 30.09.2011
Postitused: 122


niger.gif
postituspostitatud: 29.12.2019, 18:13  postituse pealkiri:  (teema puudub)  

Lahendatud.




Viimati muutis karlsson 14.01.2020, 07:59; muudetud 1 kord
ertserts
Vana Pingviin
Vana Pingviin



Liitunud: 31.10.2013
Postitused: 443
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
estonia.gif
postituspostitatud: 30.12.2019, 18:42  postituse pealkiri:  (teema puudub)  

Vaimu- ja südamerahuks võid kahtlusalase Linux arvuti(d) veel üle kontrollida malware ja rootkit tasandil. Debian ja Ubuntu distrotel on selleks korralikud utiliidid olemas.

Näiteks:
Lynis - security auditing tool for Unix based systems.
$ sudo apt install lynis
Kui soovid ekraani kaupa infot (kasutad klaviatuuril space klahvi) või kui mitte siis ilma lõputa (| more):
$ sudo lynis audit system | more
Ps! Raport fail luuakse rajaga: /var/log/lynis-report.dat

Chkrootkit - rootkit detector.
$ sudo apt install chkrootkit
$ sudo chkrootkit | more

No ja lõpetuseks veel üks hea turva utiliit. Joosep Toots'i sõnutsi see õige magus "Lati Pats".
Rkhunter - rootkit, backdoor, sniffer and exploit scanner.
$ sudo apt install rkhunter
Kui soovid ekraani kaupa infot (kasutad klaviatuuril space ja enter klahvi) või kui mitte siis ilma lõputa (| more):
$ sudo rkhunter -c | more
Ps! Raport fail luuakse rajaga: /var/log/rkhunter.log

Linux arvutit auditeerides tuleks säilitada kaine mõistus ja selge pea. Silmas tuleks pidada ka false positive võimalikkuse protsenti.

Samas 'rkhunter' tuletab Linux kasutajale meelde pahalastest kes võivad vaikselt pesitseda arvutis. Ja nende pahalaste nimed on igati korralikud "poisslaste nimed": Apache, BeastKit, Danny-Boy's, Devil, Diamorphine, Dreams, Fuck`it, GasKit, Heroin, ignoKit, Lockit, Shutdown, Sin, Sneakin, Suckit, Vampire, Xzibit. Linux kasutaja peaks arvestama võimalusega, et Punamütsike ei jõua alati pannkookidega läbi pimeda metsa Vanaema juurde. Pimedas metsas (Internetis) luusib ringi suur kuri Hunt. Wink

_________________
ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo

karlsson


Pingviini aktivist
Pingviini aktivist



Liitunud: 30.09.2011
Postitused: 122


niger.gif
postituspostitatud: 30.12.2019, 19:09  postituse pealkiri:  (teema puudub)  

Lahendatud.




Viimati muutis karlsson 14.01.2020, 07:59; muudetud 1 kord
643
Pingviini aktivist
Pingviini aktivist



Liitunud: 08.07.2019
Postitused: 162

Distributsioon: debian
blank.gif
postituspostitatud: 30.12.2019, 20:58  postituse pealkiri:  (teema puudub)  

karlsson kirjutas:


1)Kahtlused sellest, et dd ei toimi korrektselt, /dev/random /dev/urandom /dev/zero on anomaaliatega. zero annab umbes (täpselt ei tea) 10MB bloki ja hangub. Random on sigaaeglane ja cat abil vaadeldes üldse mitte.. random. Andmekandjatele kirjutamise vahel oleks nagu mingi takistus või teenusena mingi tarkvara. Veel. Windowsi all, kettamaht näiteks on 100G, andmeid peal 30GB ja vaba ruumi näitab 10GB. Numbrid olid hetkel laest võetud aga proportsioonid samad. Ahjaa, wiresharkiga võrguliiklust vaadates oli seal palju üleliigset.
2)Hetke koduvõrgu olukord.. ka praeguses arvutis on midagi võõrast sees. Aga ei takista tegevust. Linux muidugi läheb käima "koos lisadega" ja arvan, et see dd endiselt töötab vigaselt.
3)Tõenäoliselt algne häkk tehti windowsi all kodukootud pythoni crawleriga, mis korjas darknetist aadresse ja muid metaandmeid. Sisendid-väljundid olid silumata.
4)BIOS oli viimane versioon, F10 ja mälu järgi 2014 väljalase.
5)Koduvõrgus hetkel veel telekas, aga korraga kasutan ainult ühte seadet juhtme otsas.

Kohe hakkan su juhiste osas asja vaatama.


Ketta tervise testi tuleks ka ära teha ja kui on windows, siis see tahaks ka välist (plaadipealset viirusetõrjekontrolli)

UEFI ja seda protsessori sisest OS-i ei saa mitte ühegi asjaga kontrollida hetkel sellisel viisil

_________________
service

ertserts
Vana Pingviin
Vana Pingviin



Liitunud: 31.10.2013
Postitused: 443
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
estonia.gif
postituspostitatud: 01.01.2020, 21:48  postituse pealkiri:  (teema puudub)  

UEFI rootkit (LoJax jt.) puhuks pajatab Internet nii mõndagi põnevat ja hirmutavat.
Ei aita tõesti operatsioonisüsteemi reinstall ega kõvaketta vahetus jms. toimingud. Aidata võiks Bios reflash või emaplaadi vahetus (loe uus arvuti!). Kuidas saaks sellist uefi rootkit asja ennetada? Bios'es võiks Secure Boot olla aktiveeritud (enabled).

Mida saad UEFI suhtes veel teha on see et skanneerid läbi oma "kahtlase arvuti" Eset NOD32 uusima trial versiooni antiviirusega. Kahjuks saad seda teha läbi Windows OS'i kuhu installid selle antiviiruse. Seejärel valid antiviiruses: Computer scan > Advanced scans > Custom scan > Computer scan: valikud Operating memory ja Boot sectors/UEFI. Millegipärast Eset NOD32 antiviirus Linuxile seda UEFI skanneeringut ei võimalda. Mine tea, vahest polegi seda Linux kasutajatele vaja.

Oled sa ikka kindel et tegid nmap'i oma kodu ruuteri välisele IP aadressile?
Kui sa ise pole oma ruuteris tcp porte 23, 80, 443, 1723 lahti teinud siis peaksid need tcp pordid olema välisvõrgust vaadates kas closed või vähemalt filtered staatuses. On olemas võimalus et ISP'idel on erinevad tulemüüride konfiguratsioonid. Samas loogika ütleb et ega neid TCP porte "pühast vaimust" nii sama lahti ei keerata.

Kindluse mõttes vaata asi uuesti läbi WhatIsmyIP. Valid oma IP aadressi alt Package ja sealt saad omakorda valida 4 skanneeringu varianti: Basic, Web, Games, Malicious (pahalased). Vastusteks peaksid kõikides saama staatuse closed. Juhuks muidugi kui sa ise pole midagi oma ruuteris välismaailma jaoks lampi lahti keeranud.

Ps! TCP 1723 on PPTP VPN (Point-to-Point Tunneling Protocol Virtual Private Networking). Sisevõrgus olev TCP 3000 sinu arvutis viitab kõigest NtopNG teenusele.

Mina ise eriti ei usu, et sul oli kusagil "õnnelik" Interneti külastus ja "kuldaväärt käsi" mis suutis üles korjata suht haruldase UEFI rootkit'i. Kuid mine tea, arvutikasutaja ja Internet on ettearvamatu kombinatsioonide võimalus. Smile

_________________
ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo

643
Pingviini aktivist
Pingviini aktivist



Liitunud: 08.07.2019
Postitused: 162

Distributsioon: debian
blank.gif
postituspostitatud: 07.01.2020, 21:28  postituse pealkiri:  (teema puudub)  

Mis sellest superavutist edasi sai? Stallman pole seda soovitanud kasutada.

_________________
service

spott
Admin
Admin


Vanus: 39
Liitunud: 04.06.2005
Postitused: 8800

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 15.01.2020, 09:21  postituse pealkiri:  (teema puudub)  

Väga ebameeldiv lõpptulemus asjal. Miks võttis teema algataja kätte ja kustutas kõik oma postitused. Tegelikult muutuvad nii mõtetuks kõigi vastused. Mõned tõesti proovisid aidata. Kuid nüüd on tulemuseks teema, mis teisi enam ei aita tulevikus!
Teemat ei kustuta, kuid panen lukku ja jätan siia, et ka teema algataja saaks oma tegevusest ehk aru. Lisaks sai teema algataja ka hoiatuse.

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

Näita (aja järgi):      
Postita uus teemaSee teema on lukustatud: sa ei saa postitusi muuta ega neile vastata.


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group