Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1 2 

 

#1  2015-05-22 13:26:43

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Rootkit?

Zainstalowalem dzis Jessie.Zaczolem przegladac wiadomosci.
Lista stron:

Kod:

https://www.google.ie/search?q=wgospodarce&ie=utf-8&oe=utf-8&gws_rd=cr&ei=3-deVY23Oumv7AamloHgCA
http://wpolityce.pl/polityka/245388-dr-jablonski-krytycznie-o-komorowskim-debata-byla-dobiciem-przeciwnika-ktory-zebrze-o-polityczna-eutanazje-no-i-ja-dostal
http://wpolityce.pl/
http://niezalezna.pl/
http://wiadomosci.onet.pl/kraj/kto-wygral-druga-debate-prezydencka/2tklzq
http://www.onet.pl/
http://www.google.ie/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCEQFjAA&url=http%3A%2F%2Fwww.onet.pl%2F&ei=_-ReVdaeCdTQ7Aa5l4DABw&usg=AFQjCNGzdKGJb0D4N142iHAnyS7WysXo8w&bvm=bv.93990622,d.ZGU
https://www.google.ie/search?q=onet&ie=utf-8&oe=utf-8&gws_rd=cr&ei=_-ReVevyA4vX7Qab_IGgCg

W pewnym momencie wiatraki i szuflada zaczely "wariowac.
Przeskanowalem rkhunterem,wynik

Kod:

Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

w logach emaila:

Kod:

May 22 11:25:48 debian iceweasel.desktop[1811]: (process:1811): GLib-CRITICAL **: g_slice_set_config: assertion 'sys_page_size == 0' failed
May 22 11:25:49 debian iceweasel.desktop[1811]: Gtk-Message: Failed to load module "canberra-gtk-module"
May 22 11:28:29 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:29:39 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:31:15 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:33:07 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:34:20 debian gksu.desktop[1985]: Gtk-Message: Failed to load module "canberra-gtk-module"
May 22 11:35:34 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:36:30 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:37:35 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:39:17 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:40:26 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:41:13 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:41:46 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:43:09 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:44:05 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:46:16 debian iceweasel.desktop[1811]: [ConvConfHandler] isPreferred contentType: application/x-debian-package
May 22 11:46:21 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:46:47 debian iceweasel.desktop[1811]: [ConvConfHandler] isPreferred contentType: application/x-debian-package
May 22 11:46:52 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:47:31 debian iceweasel.desktop[1811]: [ConvConfHandler] isPreferred contentType: application/x-debian-package
May 22 11:47:35 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:48:17 debian iceweasel.desktop[1811]: ATTENTION: default value of option force_s3tc_enable overridden by environment.
May 22 11:49:49 debian iceweasel.desktop[1811]: [ConvConfHandler] isPreferred contentType: application/x-debian-package
May 22 11:49:52 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:52:11 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:54:06 debian iceweasel.desktop[1811]: [ConvConfHandler] isPreferred contentType: application/x-debian-package
May 22 11:54:10 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:54:37 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:55:07 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:55:18 debian iceweasel.desktop[1811]: [ConvConfHandler] isPreferred contentType: application/x-debian-package
May 22 11:55:22 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 11:56:37 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 12:00:01 debian CRON[2414]: (root) CMD (if [ -x /usr/sbin/backupninja ]; then /usr/sbin/backupninja; fi)
May 22 12:00:05 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required
May 22 12:01:38 debian iceweasel.desktop[1811]: ** (iceweasel:1811): CRITICAL **: gst_app_src_set_size: assertion 'GST_IS_APP_SRC (appsrc)' failed
May 22 12:01:38 debian iceweasel.desktop[1811]: ** (iceweasel:1811): CRITICAL **: gst_app_src_set_size: assertion 'GST_IS_APP_SRC (appsrc)' failed
May 22 12:01:38 debian iceweasel.desktop[1811]: ** (iceweasel:1811): CRITICAL **: gst_app_src_set_size: assertion 'GST_IS_APP_SRC (appsrc)' failed
May 22 12:02:26 debian org.gnome.zeitgeist.Engine[1120]: ** (zeitgeist-datahub:1283): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incompl

Mysle, ze mi rootkita posadzili.
Zanim przeinstaluje system, chcialby Was zapytac o najlepsza Waszym zdaniem obrone:
- monitorowanie i automatyczne blokowanie zmian w plikach systemowych
- najskutecznieszy IDS dla Jessie
- jak zabezpieczyc Jessie bezposrednio po instalacji a przed polaczeniem z Siecia?
- inne skuteczne narzedzia antyrootkit? ( rkhunter, chkrootkit, ClamAV = znam)
- jak uzyc iptables najskuteczniej przeciwko rootkitom?

Mialem podobna sytuacje ok 1 miesiac wstecz i w logach rkhunter byly:
- ukryty plik .java
- ukryte polaczenie

nie moge wejsc do pliku logu rkhunter bo mi haslo roota przestalo dzialac

Ostatnio edytowany przez Novi-cjusz (2015-05-22 13:34:05)

------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#2  2015-05-22 13:33:51

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rootkit?

Wiatraki, to raczej ACPI, a co znalazł dokładnie rkhunter, to zobacz w jego logu.

Zmiany w plikach?

AIDE - zdecydowanie - dobrze skonfigurowany pokaże zawsze, jakie pliki się zmieniły.
Sprawdzanie sum kontrolnych zainstalowanych paczek?

Kod:

debsums openssh-client
/usr/bin/scp                                                                  OK
/usr/bin/sftp                                                                 OK
/usr/bin/ssh                                                                  OK
/usr/bin/ssh-add                                                              OK
/usr/bin/ssh-agent                                                            OK
/usr/bin/ssh-argv0                                                            OK
/usr/bin/ssh-copy-id                                                          OK
/usr/bin/ssh-keygen                                                           OK

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-05-22 13:46:13)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2015-05-22 13:35:17

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Rootkit?

nie dziala haslo roota a plik logu wymaga tych uprawnien

Ostatnio edytowany przez Novi-cjusz (2015-05-22 13:38:08)

------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#4  2015-05-22 13:45:02

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Rootkit?

to zrób żeby zadziałało.
jak rozumiem to nie jest serwer stojący na drugim końcu świata tylko desktop metr od twojej d... - problem odpalić w trybie awaryjnym czy nawet z pena?

Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#5  2015-05-22 13:48:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rootkit?

[quote=Novi-cjusz]nie dziala haslo roota a plik logu wymaga tych uprawnien[/quote]
Jak to nie działa hasło roota? przecież podałeś je przy instalacji.

Gdzie dokładnie nie działa hasło roota, jak logujesz sie w konsoli, czy przy [b]su[/b], [b]sudo[/b] czy w managerze logowania?

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2015-05-22 14:13:31

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Rootkit?

[quote=Novi-cjusz]W pewnym momencie wiatraki i szuflada zaczely "wariowac.[/quote]
Pewnie jakiś [s]gówniana wtyczka[/s] flash obciążył procka i dlatego się wiatrak włączył.

Ostatnio edytowany przez mati75 (2015-05-22 14:21:06)

[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#7  2015-05-22 14:50:29

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Rootkit?

Haslo roota nie dziala - NIGDZIEEE.
Szkoda mi czasu na naprawianie, zrobie reinstall + mozliwe zabezpieczenia.
Prosze jedynie o Wasze wskazowki nt monitoringu zmian i ew countermeasures.
Nie mam na tym dysku nic, swierzak.

Ps. Jacekalex - dziekuje za AIDE.

Ostatnio edytowany przez Novi-cjusz (2015-05-22 14:55:55)

------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#8  2015-05-22 14:55:14

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Rootkit?

i tak za każdym razem jak ci wiatrak zawyje to będziesz reinstalować? zastanów się może nad Najnowszym Windowsem (TM)...

Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#9  2015-05-22 14:58:50

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Rootkit?

[quote=ethanak]i tak za każdym razem jak ci wiatrak zawyje to będziesz reinstalować? zastanów się może nad Najnowszym Windowsem (TM)...[/quote]
Nonsens, to drugi raz kiedy tak jest, zobacze po instalacji.
Chcialbym jedynie maksymalnie zabezpieczyc kompa przed wlaczeniem do Sieci. Reczna instalacja z paczek .deb nadpisuje niestety pliki.

------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#10  2015-05-22 15:02:56

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Rootkit?

a pierwszy raz to był ten false positive który opisywałeś?

Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#11  2015-05-22 15:15:34

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Rootkit?

Za pierwszym razem dostalem " w prezencie"
- ukryty plik .java
- ukryta transmisje
- te same symptomy
Reinstalacja pomogla na 1 miesiac i znowu, nie mam czasu zeby sie z tym babrac, chce zabezpieczyc kompa.
Szkoda czasu na szukanie po logach, analize trafficu itpitd.
IDS (monitoring zmian ) + uniemozliwienie dokonywania zmian - to wszystko.
Jakies skuteczne narzedzia ochrony serwera ktore mozna zastosowac dla workstation.

Ostatnio edytowany przez Novi-cjusz (2015-05-22 15:20:03)

------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#12  2015-05-22 15:21:08

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Rootkit?

akurat plik .java był efektem całkiem poprawnego działania któregośtam programu (nie pamiętam którego), a jeślu chodzi o ukryte połączenia to po prostu takie, których rkhunter czy chkrootkit nie potrafi zidentyfikować. to nie są programy typu "antywirus kaszpirowski" co się autorytatywnie wypowiadają na temat zakażonych plików na windowsie - wyniki działania rkhuntera się czyta za zrozumieniem.
skuteczne narzędzie - wyjmij wtyczkę. najlepiej z zasilania, bo ethernet przez powietrze może coś zainfekować.

Ostatnio edytowany przez ethanak (2015-05-22 15:23:42)

Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#13  2015-05-22 15:37:58

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Rootkit?

Ja tam nigdy nic pod Debianem nie dostałem. Pod Ubuntu, OpenSUSE i innych dziwnych wynalazkach też nie.

Offline

 

#14  2015-05-22 15:45:33

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Rootkit?

ja dostałem raz (PLD Ra) ale to był efekt mojego olania aktualizacji.
ech... te czasy sprzed parunastu lat... człowiek był młody i głupi ;)

Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#15  2015-05-22 15:46:17

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Rootkit?

Za pomoc dziekuje, za komentarze - nie.

------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#16  2015-05-22 15:50:54

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Rootkit?

google - parainformacja (to o komentarzach). a na wymyślone problemy to proponuję cukier w kostkach - nie tylko usuwa wirusy z zasilacza, ale stanowi wspaniałe pacaneum na kaca ;)

Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#17  2015-05-22 16:33:08

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Rootkit?

[quote=Novi-cjusz]Haslo roota nie dziala - NIGDZIEEE.[/quote]
Odpal jakieś live cd / usb i zobacz logi z systemu. Potem za pomocą chroot zmień hasło.

Widzę, że tutaj mamy do czynienia raczej z paranoją niż z jakimkolwiek zagrożeniem.

[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#18  2015-05-22 17:29:21

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Rootkit?

Rootkit widocznie siedzi przed monitorem i reinstalacja nic nie da.

Offline

 

#19  2015-05-23 06:51:25

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Rootkit?

Poza tym, nawet jakby był tam jakiś rootkit, to i tak by się o nim nie dowiedział przeprowadzając skany z zarażonej maszyny -- do tego trzeba osobny i czysty system. xD

Offline

 

#20  2015-05-23 10:24:30

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Rootkit?

Tak sie szczesliwie skladalo, ze mialem 3 systemy na tym HDD. Odpalilem Ubuntu - bez zastrzezen, odpalilem CentOS - bez zastrzezen. No to hajda, reinstal (tym bardziej ze to byl swiezy system, kilkugodzinny) Po godzinie, start na nowym systemie i wszystko zabangala, ze az milo. Zyczliwie chcacym pomoc - serdecznie dziekuje, komentatorom duuzo mniej ;-)

Ps. AIDE czy Suricate zainstaluje jak bede mogl najszybciej, a moja prosba o wskazanie najskuteczniejszego w Waszej opini softu pozostaje nadal aktualna.

Ostatnio edytowany przez Novi-cjusz (2015-05-23 10:27:32)

------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#21  2015-05-23 10:36:27

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rootkit?

Ja, jak nie ufam jakiemuś programowi, to go zbroję Apparmorem, żadna magia, a diabelnie skuteczne.
Inna sprawa, że jak się takich profili nazbiera, to komputer trochę dłużej startuje, jak musi to wszystko wczytać przed uruchomieniem chronionych programów.

Do tego Cgroup jako kontrola dostępnych zasobów i wyjścia na internet,
i gotowe.

AIDE nie używam, bo i tak przy cotygodniowych aktualizacjach bym się mógł kąpać w warningach, a Snort czy Suricata, to też zabawki dosyć bezsensowne, bo po prostu stanowczo za dużo fałszywych alarmów generują,
to są dalece niedoskonałe narzędzia.

Sniffery jak Snort czy Suricata są raczej do firmowych sieci, gdzie słuchają podejrzanych transmisji w sieci LAN, w Necie jest tyle śmiecia, że samo logowanie wykrytych  anomalii jest czasami małym atakiem DOS. xD

Chyba, żeby Snorta czy Suricatę spiąć z firewallem przez ipseta, i używać dosłownie jako śrutówki, żeby w FW lądowało wszystko, co podejrzane, ale aż tak się obawiam tego, co może z netu przyleźć.

Dzisiaj, w czasach WEB 2.0, prawie każda strona jest składana z różnych bibliotek JS, jak np JQuery, i właśnie takie biblioteki linkowane z rożnych dziwnych miejsc są dzisiaj najgroźniejsze, ale do tego można uzbroić tylko samą przeglądarkę, Snort nic tu nie pomoże, proxy z antywirem też wiele nie zdziała.
Dlatego lepiej uznać przeglądarkę, i wszystko, co się z netem łączy, albo otwiera pliki z netu, za część netu,  i odgrodzić od systemu operacyjnego systemem ACL, jak np Apparmor, albo jakimś Sandboxem.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-05-23 10:49:26)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#22  2015-05-23 16:37:30

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: Rootkit?

[quote=Novi-cjusz]Reinstalacja pomogla na 1 miesiac i znowu, nie mam czasu zeby sie z tym babrac, chce zabezpieczyc kompa.
Szkoda czasu na szukanie po logach, analize trafficu itpitd.
IDS (monitoring zmian ) + uniemozliwienie dokonywania zmian - to wszystko.
Jakies skuteczne narzedzia ochrony serwera ktore mozna zastosowac dla workstation.[/quote]
Jak tobie sie nie chce sprawdzić przed czym chcesz się chronić to czego Ty oczekujesz?
IDS chroni sieć, a nie stację. To AppArmor sobie skonfiguruj.... chyba że tez się nie chce.

Offline

 

#23  2015-05-23 17:24:00

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rootkit?

IDS chroni sieć, a nie stację. To AppArmor sobie skonfiguruj.... chyba że tez się nie chce.[/quote]
Dlaczego?

Jak na moim kompie odpaliłem Snorta w roli śrutówki ślepego (wszystkie reguły dodałem, a wszystkie alarmy lądowały w FW przez Ipseta ),
i rezultaty były dosyć zabawne.

Po kilku godzinach w tablicy Ipseta było chyba ze 2 tys adresów zablokowanych, min zablokował całego Skypa, nawet adresy mBanku mu się nie podobały.
Dlatego jakieś możliwości używania w takiej roli IDS może istnieją, ale to cholernie trudna zabawa  i IMHO niezbyt sensowna.

Pozdro

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#24  2015-05-23 18:59:08

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: Rootkit?

Może spłyciłem, ale IDS pracuje w sieci i chroni sieć jako taką, jest dobrym źródłem sterowania FW. Ale nie dla ochrony stacji jako takiej.

Offline

 

#25  2015-05-23 19:20:16

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Rootkit?

Do ochrony to jest FW z kontrolą stanu pakietu (w Linuxie tablica conntrack).
IDS może w LANie ładnie pokazać jakieś anomalia, jak np jakiś komp zaczyna poszukiwać otwartych portów MSSQL skanując wszystkie kompy w LANie.
Takie próby rozłażenia się robali po sieci mozna wykrywać przez IPS czy Honeypota.

Do pilnowania, żeby przez trojany nie wykradano informacji już jest przeważnie nieaktualne, bo dzisiaj każdy backdoor pięknie udaje np IE
i z botem w sieci gada przez TLS z taką autoryzacją, że żaden IPS do tej transmisji nie zajrzy.

Snorta można też zatrudnić do banowania ataków DOS na serwer, ale to samym firewallem można zrobić łatwiej na usługach wymagających logowania, niż Snortem, a wszystkie Nginxy czy Apache potrafią już limitować pasmo i liczby połączeń od pacjentów.
Lepiej dla WWW użyć Modsecurity albo Naxsi - bo te filtrują też SSL.

Ostatnio edytowany przez Jacekalex (2015-05-23 19:22:28)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

 

Strony: 1 2 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.015 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00125 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.75.238' WHERE u.id=1
0.00081 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.75.238', 1732532343)
0.00041 SELECT * FROM punbb_online WHERE logged<1732532043
0.00048 SELECT topic_id FROM punbb_posts WHERE id=287424
0.00006 SELECT id FROM punbb_posts WHERE topic_id=27424 ORDER BY posted
0.00074 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27424 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00121 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27424 ORDER BY p.id LIMIT 0,25
0.00089 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27424
Total query time: 0.00608 s