Forum Debian Users Gang

ich · 2010-12-08 08:52:05

Witam,

wczoraj około 13-16 miałem włamanie na konto pocztowe na gmail`a.
Z tego co widzę to włamywacz wysłał tylko jednego maila do ludzi z mojej książki adresowej.
Włam miał miejsce z: Chiny (ny.adsl:115.49.89.115) , Chiny (ny.adsl:115.59.74.131).

Dziwi minie jedna włamywacz zdobył hasło, ponieważ było ono dosyć trudne do zgadnięcia (miało ono formę aaw124JAU), litery i cyfry były przypadkowe nie tworzyły żadnego słowa.
Dodam że dzień wcześniej uruchomiłem na swoim kompie thunderbird v3.6.1 (linux) oraz firefox v3.6.12 (linux) z dodatkami.
Czy ktoś z was miał podobną sytuację? Czy wiecie jak sprawdzić czy na linuxie niema jakiegoś wirusa (jakiś skaner systemu jak w windzie)??

Pozdrawiam.

qluk · 2010-12-08 14:11:35

Podaj dodatki i skad je masz.

Logowanie ruchu wychodzacego ale to w trzy dupy miejsca zajmie jesli sie zle zrobi wiec odrazu jakis IDS najlepiej.

Jacekalex · 2010-12-08 16:58:49

Widział taką sytuację w Windowsach, w Linuxie jeszcze nie, o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.
Radziłbym do Firefoxa dorzucić dodatek noscript, a poczty nie sprawdzać w firefoxie, lecz w thunderbirdzie ustawionym na imap.

Ponadto bezwzględnie dostęp do poczty szyfrowany.
W sieci lokalnej da się wyłapać hasła przesyłane otwartym tekstem, zwłaszcza, gdy te komputery mają neta konfigurowanego przez dhcp, lub podłączenie przez nieszyfrowane wifi.

I wtedy trojan może być nie w twoim komputerze, tylko - z wbudowanym snifferem, gdzieś w "sąsiedztwie"

To by było na tyle
;-)

ich · 2010-12-08 17:52:14

repoz.

Kod:

# deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main

# deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main

deb http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main
deb-src http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main

deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main

deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main


deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
#deb http://deb.opera.com/opera/ stable non-free
#deb http://dl.google.com/linux/deb/ stable non-free main
#deb http://www.debian-multimedia.org lenny main non-free
#deb-src http://www.debian-multimedia.org lenny main non-free
#deb http://download.skype.com/linux/repos/debian/ stable non-free

Jeśli chodzi o dodatki do firefox nie powiem teraz dokładnie jakie one były.
Ale nie było tam niczego specjalnego: addblock, plus 4 dodatki do tworzenia stron www.
W każdym bądź razie wywaliłem całego firefoxa, thunderbirda i ściągnąłem nowe czyste wersje.

Pozdr.

Jacekalex · 2010-12-08 18:01:03

To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa [url=https://addons.mozilla.org/pl/firefox/addon/722/]noscripta[/url] - to diabelnie skuteczny drobiazg.

Sznurek:
http://noscript.net/

Ostatnio edytowany przez Jacekalex (2010-12-08 18:02:24)

mareq · 2010-12-08 19:21:40

.

Ostatnio edytowany przez mareq (2013-11-14 06:00:27)

qluk · 2010-12-09 01:18:09

[quote=Jacekalex]To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa [url=https://addons.mozilla.org/pl/firefox/addon/722/]noscripta[/url] - to diabelnie skuteczny drobiazg.

Sznurek:
http://noscript.net/[/quote]
Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku? Mało to syfu w dodatkach było (mówiła, gnome-look, itd.).
Po drugie co ma do tego noscript? Swego czasu to właśnie on był zainfekowany.

bercik · 2010-12-09 01:35:18

[quote=qluk]Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?[/quote]
a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?

Jacekalex · 2010-12-09 01:36:06

Przechwycenie hasła to jedna z możliwości, i nie zakładam, że za nat, zakładam raczej, że: jeśli laptop (hotspot?), jeśli blaszak, to snifer jest bardzo prawdopodobny.
Sam nie jestem za żadnym natem, ale charakterystyka sieci jest taka, ze gdybym zastosował dość prosty trik z serwerem dhcp lub arpspoofingiem, to w ciągu tygodnia miałbym całkiem sporo haseł, i danych od sąsiadów.
Już pomijając, co się dzieje u mnie na firewallu, i to często ataki i skany z tej samej sieci (maska /24).
Dziwnym trafem zawsze przychodzą z kompów z Windą.

Jakiś syf z gnome-look też jest możliwy, ale bardziej w Ubuntu aniżeli Debianie.
Jak ktoś bierze Debiana, to nie dlatego, ze to łatwy system dla każdego, gdzie każdy syf z netu można instalować.

Poza tym wcześniej napisałem po polsku:

Kod:

o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.

A noscript bardzo skutecznie zabezpiecza firefoxa przed różnymi niespodziankami, których w internecie nie brakuje.
Poza tym dobry firewall też nie zaszkodzi, wręcz przeciwnie.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2010-12-09 01:45:01)

qluk · 2010-12-09 14:49:56

[quote=bercik][quote=qluk]Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?[/quote]
a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?[/quote]
Sprawdzales siec z jakiej pisze autor? Zrob nasluch w takiej sieci bez fizycznego dostepu do centrali isp'a.

ich · 2010-12-09 15:06:20

Podejrzewam że było to spowodowane jakimś dodatkiem z FF. Problem powstał w sieci domowej wlan szyfrowany, a połączenie z pocztą po ssl.

Zaraz sprawdzę noscript co to jest i co potrafi.

Dzięki za pomoc.

Jacekalex · 2010-12-09 21:08:25

A którą wersję FF miałeś w momencie tego włamania?
Czy nie przypadkiem 3.6.9? Bo miał dziury jak ser szwajcarski.
A i aktualna wersja [url=https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2010-3765]3.6.12[/url] też bezbłędna nie jest.
Do dziurawego FF wystarczy odpowiednio spreparowana strona www z exploitem.

Ostatnio edytowany przez Jacekalex (2010-12-09 21:15:58)

Time (s)	Query
0.00011	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00101	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.225.195.4' WHERE u.id=1
0.00089	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.225.195.4', 1732341102)
0.00042	SELECT * FROM punbb_online WHERE logged<1732340802
0.00043	SELECT topic_id FROM punbb_posts WHERE id=160235
0.00005	SELECT id FROM punbb_posts WHERE topic_id=17884 ORDER BY posted
0.00031	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=17884 AND t.moved_to IS NULL
0.00020	SELECT search_for, replace_with FROM punbb_censoring
0.00116	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=17884 ORDER BY p.id LIMIT 0,25
0.00089	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=17884
Total query time: 0.00551 s

Forum Debian Users Gang

Ogłoszenie

#1 2010-12-08 08:52:05

ich - Użytkownik

włamanie na konto pocztowe [gmail].

#2 2010-12-08 14:11:35

qluk - Pan inż. Cyc

Re: włamanie na konto pocztowe [gmail].

#3 2010-12-08 16:58:49

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

#4 2010-12-08 17:52:14

ich - Użytkownik

Re: włamanie na konto pocztowe [gmail].

Kod:

#5 2010-12-08 18:01:03

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

#6 2010-12-08 19:21:40

mareq - Członek DUG

Re: włamanie na konto pocztowe [gmail].

#7 2010-12-09 01:18:09

qluk - Pan inż. Cyc

Re: włamanie na konto pocztowe [gmail].

#8 2010-12-09 01:35:18

bercik - Moderator Mamut

Re: włamanie na konto pocztowe [gmail].

#9 2010-12-09 01:36:06

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

Kod:

#10 2010-12-09 14:49:56

qluk - Pan inż. Cyc

Re: włamanie na konto pocztowe [gmail].

#11 2010-12-09 15:06:20

ich - Użytkownik

Re: włamanie na konto pocztowe [gmail].

#12 2010-12-09 21:08:25

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

Stopka forum

Informacje debugowania