Autor |
Sõnum |
karlsson
Pingviini aktivist
Liitunud: 30.09.2011
Postitused: 122
|
|
Viimati muutis karlsson 14.01.2020, 07:59; muudetud 1 kord
|
|
|
|
ertserts
Vana Pingviin
Liitunud: 31.10.2013
Postitused: 445
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
|
|
Vaimu- ja südamerahuks võid kahtlusalase Linux arvuti(d) veel üle kontrollida malware ja rootkit tasandil. Debian ja Ubuntu distrotel on selleks korralikud utiliidid olemas.
Näiteks:
Lynis - security auditing tool for Unix based systems.
$ sudo apt install lynis
Kui soovid ekraani kaupa infot (kasutad klaviatuuril space klahvi) või kui mitte siis ilma lõputa (| more):
$ sudo lynis audit system | more
Ps! Raport fail luuakse rajaga: /var/log/lynis-report.dat
Chkrootkit - rootkit detector.
$ sudo apt install chkrootkit
$ sudo chkrootkit | more
No ja lõpetuseks veel üks hea turva utiliit. Joosep Toots'i sõnutsi see õige magus "Lati Pats".
Rkhunter - rootkit, backdoor, sniffer and exploit scanner.
$ sudo apt install rkhunter
Kui soovid ekraani kaupa infot (kasutad klaviatuuril space ja enter klahvi) või kui mitte siis ilma lõputa (| more):
$ sudo rkhunter -c | more
Ps! Raport fail luuakse rajaga: /var/log/rkhunter.log
Linux arvutit auditeerides tuleks säilitada kaine mõistus ja selge pea. Silmas tuleks pidada ka false positive võimalikkuse protsenti.
Samas 'rkhunter' tuletab Linux kasutajale meelde pahalastest kes võivad vaikselt pesitseda arvutis. Ja nende pahalaste nimed on igati korralikud "poisslaste nimed": Apache, BeastKit, Danny-Boy's, Devil, Diamorphine, Dreams, Fuck`it, GasKit, Heroin, ignoKit, Lockit, Shutdown, Sin, Sneakin, Suckit, Vampire, Xzibit. Linux kasutaja peaks arvestama võimalusega, et Punamütsike ei jõua alati pannkookidega läbi pimeda metsa Vanaema juurde. Pimedas metsas (Internetis) luusib ringi suur kuri Hunt.
|
|
|
|
_________________ ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo
|
|
|
|
karlsson
Pingviini aktivist
Liitunud: 30.09.2011
Postitused: 122
|
|
Viimati muutis karlsson 14.01.2020, 07:59; muudetud 1 kord
|
|
|
|
643
Pingviini aktivist
Liitunud: 08.07.2019
Postitused: 386
Distributsioon: GNU/Linux (64bit/32bit)
|
|
karlsson kirjutas: |
1)Kahtlused sellest, et dd ei toimi korrektselt, /dev/random /dev/urandom /dev/zero on anomaaliatega. zero annab umbes (täpselt ei tea) 10MB bloki ja hangub. Random on sigaaeglane ja cat abil vaadeldes üldse mitte.. random. Andmekandjatele kirjutamise vahel oleks nagu mingi takistus või teenusena mingi tarkvara. Veel. Windowsi all, kettamaht näiteks on 100G, andmeid peal 30GB ja vaba ruumi näitab 10GB. Numbrid olid hetkel laest võetud aga proportsioonid samad. Ahjaa, wiresharkiga võrguliiklust vaadates oli seal palju üleliigset.
2)Hetke koduvõrgu olukord.. ka praeguses arvutis on midagi võõrast sees. Aga ei takista tegevust. Linux muidugi läheb käima "koos lisadega" ja arvan, et see dd endiselt töötab vigaselt.
3)Tõenäoliselt algne häkk tehti windowsi all kodukootud pythoni crawleriga, mis korjas darknetist aadresse ja muid metaandmeid. Sisendid-väljundid olid silumata.
4)BIOS oli viimane versioon, F10 ja mälu järgi 2014 väljalase.
5)Koduvõrgus hetkel veel telekas, aga korraga kasutan ainult ühte seadet juhtme otsas.
Kohe hakkan su juhiste osas asja vaatama. |
Ketta tervise testi tuleks ka ära teha ja kui on windows, siis see tahaks ka välist (plaadipealset viirusetõrjekontrolli)
UEFI ja seda protsessori sisest OS-i ei saa mitte ühegi asjaga kontrollida hetkel sellisel viisil
|
|
|
|
_________________ getbitcoin.org
|
|
|
|
ertserts
Vana Pingviin
Liitunud: 31.10.2013
Postitused: 445
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
|
|
UEFI rootkit (LoJax jt.) puhuks pajatab Internet nii mõndagi põnevat ja hirmutavat.
Ei aita tõesti operatsioonisüsteemi reinstall ega kõvaketta vahetus jms. toimingud. Aidata võiks Bios reflash või emaplaadi vahetus (loe uus arvuti!). Kuidas saaks sellist uefi rootkit asja ennetada? Bios'es võiks Secure Boot olla aktiveeritud (enabled).
Mida saad UEFI suhtes veel teha on see et skanneerid läbi oma "kahtlase arvuti" Eset NOD32 uusima trial versiooni antiviirusega. Kahjuks saad seda teha läbi Windows OS'i kuhu installid selle antiviiruse. Seejärel valid antiviiruses: Computer scan > Advanced scans > Custom scan > Computer scan: valikud Operating memory ja Boot sectors/UEFI. Millegipärast Eset NOD32 antiviirus Linuxile seda UEFI skanneeringut ei võimalda. Mine tea, vahest polegi seda Linux kasutajatele vaja.
Oled sa ikka kindel et tegid nmap'i oma kodu ruuteri välisele IP aadressile?
Kui sa ise pole oma ruuteris tcp porte 23, 80, 443, 1723 lahti teinud siis peaksid need tcp pordid olema välisvõrgust vaadates kas closed või vähemalt filtered staatuses. On olemas võimalus et ISP'idel on erinevad tulemüüride konfiguratsioonid. Samas loogika ütleb et ega neid TCP porte "pühast vaimust" nii sama lahti ei keerata.
Kindluse mõttes vaata asi uuesti läbi WhatIsmyIP. Valid oma IP aadressi alt Package ja sealt saad omakorda valida 4 skanneeringu varianti: Basic, Web, Games, Malicious (pahalased). Vastusteks peaksid kõikides saama staatuse closed. Juhuks muidugi kui sa ise pole midagi oma ruuteris välismaailma jaoks lampi lahti keeranud.
Ps! TCP 1723 on PPTP VPN (Point-to-Point Tunneling Protocol Virtual Private Networking). Sisevõrgus olev TCP 3000 sinu arvutis viitab kõigest NtopNG teenusele.
Mina ise eriti ei usu, et sul oli kusagil "õnnelik" Interneti külastus ja "kuldaväärt käsi" mis suutis üles korjata suht haruldase UEFI rootkit'i. Kuid mine tea, arvutikasutaja ja Internet on ettearvamatu kombinatsioonide võimalus.
|
|
|
|
_________________ ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo
|
|
|
|
643
Pingviini aktivist
Liitunud: 08.07.2019
Postitused: 386
Distributsioon: GNU/Linux (64bit/32bit)
|
|
Mis sellest superavutist edasi sai? Stallman pole seda soovitanud kasutada.
|
|
|
|
_________________ getbitcoin.org
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Väga ebameeldiv lõpptulemus asjal. Miks võttis teema algataja kätte ja kustutas kõik oma postitused. Tegelikult muutuvad nii mõtetuks kõigi vastused. Mõned tõesti proovisid aidata. Kuid nüüd on tulemuseks teema, mis teisi enam ei aita tulevikus!
Teemat ei kustuta, kuid panen lukku ja jätan siia, et ka teema algataja saaks oma tegevusest ehk aru. Lisaks sai teema algataja ka hoiatuse.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
|
|