Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam,
wczoraj około 13-16 miałem włamanie na konto pocztowe na gmail`a.
Z tego co widzę to włamywacz wysłał tylko jednego maila do ludzi z mojej książki adresowej.
Włam miał miejsce z: Chiny (ny.adsl:115.49.89.115) , Chiny (ny.adsl:115.59.74.131).
Dziwi minie jedna włamywacz zdobył hasło, ponieważ było ono dosyć trudne do zgadnięcia (miało ono formę aaw124JAU), litery i cyfry były przypadkowe nie tworzyły żadnego słowa.
Dodam że dzień wcześniej uruchomiłem na swoim kompie thunderbird v3.6.1 (linux) oraz firefox v3.6.12 (linux) z dodatkami.
Czy ktoś z was miał podobną sytuację? Czy wiecie jak sprawdzić czy na linuxie niema jakiegoś wirusa (jakiś skaner systemu jak w windzie)??
Pozdrawiam.
Offline
Podaj dodatki i skad je masz.
Logowanie ruchu wychodzacego ale to w trzy dupy miejsca zajmie jesli sie zle zrobi wiec odrazu jakis IDS najlepiej.
Offline
Widział taką sytuację w Windowsach, w Linuxie jeszcze nie, o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.
Radziłbym do Firefoxa dorzucić dodatek noscript, a poczty nie sprawdzać w firefoxie, lecz w thunderbirdzie ustawionym na imap.
Ponadto bezwzględnie dostęp do poczty szyfrowany.
W sieci lokalnej da się wyłapać hasła przesyłane otwartym tekstem, zwłaszcza, gdy te komputery mają neta konfigurowanego przez dhcp, lub podłączenie przez nieszyfrowane wifi.
I wtedy trojan może być nie w twoim komputerze, tylko - z wbudowanym snifferem, gdzieś w "sąsiedztwie"
To by było na tyle
;-)
Offline
repoz.
# deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main # deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main deb http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main deb-src http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main deb http://security.debian.org/ lenny/updates main deb-src http://security.debian.org/ lenny/updates main deb http://volatile.debian.org/debian-volatile lenny/volatile main deb-src http://volatile.debian.org/debian-volatile lenny/volatile main deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free #deb http://deb.opera.com/opera/ stable non-free #deb http://dl.google.com/linux/deb/ stable non-free main #deb http://www.debian-multimedia.org lenny main non-free #deb-src http://www.debian-multimedia.org lenny main non-free #deb http://download.skype.com/linux/repos/debian/ stable non-free
Jeśli chodzi o dodatki do firefox nie powiem teraz dokładnie jakie one były.
Ale nie było tam niczego specjalnego: addblock, plus 4 dodatki do tworzenia stron www.
W każdym bądź razie wywaliłem całego firefoxa, thunderbirda i ściągnąłem nowe czyste wersje.
Pozdr.
Offline
To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa [url=https://addons.mozilla.org/pl/firefox/addon/722/]noscripta[/url] - to diabelnie skuteczny drobiazg.
Sznurek:
http://noscript.net/
Ostatnio edytowany przez Jacekalex (2010-12-08 18:02:24)
Offline
.
Ostatnio edytowany przez mareq (2013-11-14 06:00:27)
Offline
[quote=Jacekalex]To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa [url=https://addons.mozilla.org/pl/firefox/addon/722/]noscripta[/url] - to diabelnie skuteczny drobiazg.
Sznurek:
http://noscript.net/[/quote]
Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku? Mało to syfu w dodatkach było (mówiła, gnome-look, itd.).
Po drugie co ma do tego noscript? Swego czasu to właśnie on był zainfekowany.
Offline
[quote=qluk]Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?[/quote]
a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?
Offline
Przechwycenie hasła to jedna z możliwości, i nie zakładam, że za nat, zakładam raczej, że: jeśli laptop (hotspot?), jeśli blaszak, to snifer jest bardzo prawdopodobny.
Sam nie jestem za żadnym natem, ale charakterystyka sieci jest taka, ze gdybym zastosował dość prosty trik z serwerem dhcp lub arpspoofingiem, to w ciągu tygodnia miałbym całkiem sporo haseł, i danych od sąsiadów.
Już pomijając, co się dzieje u mnie na firewallu, i to często ataki i skany z tej samej sieci (maska /24).
Dziwnym trafem zawsze przychodzą z kompów z Windą.
Jakiś syf z gnome-look też jest możliwy, ale bardziej w Ubuntu aniżeli Debianie.
Jak ktoś bierze Debiana, to nie dlatego, ze to łatwy system dla każdego, gdzie każdy syf z netu można instalować.
Poza tym wcześniej napisałem po polsku:
o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.
A noscript bardzo skutecznie zabezpiecza firefoxa przed różnymi niespodziankami, których w internecie nie brakuje.
Poza tym dobry firewall też nie zaszkodzi, wręcz przeciwnie.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2010-12-09 01:45:01)
Offline
[quote=bercik][quote=qluk]Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?[/quote]
a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?[/quote]
Sprawdzales siec z jakiej pisze autor? Zrob nasluch w takiej sieci bez fizycznego dostepu do centrali isp'a.
Offline
Podejrzewam że było to spowodowane jakimś dodatkiem z FF. Problem powstał w sieci domowej wlan szyfrowany, a połączenie z pocztą po ssl.
Zaraz sprawdzę noscript co to jest i co potrafi.
Dzięki za pomoc.
Offline
A którą wersję FF miałeś w momencie tego włamania?
Czy nie przypadkiem 3.6.9? Bo miał dziury jak ser szwajcarski.
A i aktualna wersja [url=https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2010-3765]3.6.12[/url] też bezbłędna nie jest.
Do dziurawego FF wystarczy odpowiednio spreparowana strona www z exploitem.
Ostatnio edytowany przez Jacekalex (2010-12-09 21:15:58)
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00089 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.40.239' WHERE u.id=1 |
0.00087 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.40.239', 1732326413) |
0.00050 | SELECT * FROM punbb_online WHERE logged<1732326113 |
0.00051 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=17884 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00214 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=17884 ORDER BY p.id LIMIT 0,25 |
0.00070 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=17884 |
Total query time: 0.0058 s |