Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.

Autor Téma: virus?  (Přečteno 12707 krát)

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« kdy: 27 Září 2007, 21:58:21 »
Ahoj,
stala se mi divna vec. Delal jsem neco v terminalu, na chvili jsem odesel a najednou vidim, jak se objevuje jedno hlaseni za druhym, ze soubor xx nemuze byt smazan. Rychle jsem to stopnul, nechal si zobrazit posledni prikaz a bylo tam rm -fr * . Nevim, kde se tam vzal, ja jsem ho nezadaval a nikdo jiny to udelat nemohl. Jedine vysvetleni je bud virus nebo by to musel nekdo provest pres internet. Umite si to vysvetlit?
Take se divim, ze prikaz nevymazal uplne vse, ackoli by mel. Prisel jsem ale o obsah domovskeho adresare. Nastesti jsem si vytvoril ucet root, jinak bych se do systemu nedostal. Ale stejne budu muset system zrejme preinstalovat.

Jan Nekvasil

  • Stálý člen
  • ***
  • Příspěvků: 620
  • Karma: +61/-0
    • Zobrazit profil
virus?
« Odpověď #1 kdy: 27 Září 2007, 22:24:19 »
No, a nemohl to třeba někdo udělat fyzicky v době tvojí krátké nepřítomnosti, jako hloupý pokus o vtip?

EDIT: Co se to vlastně ptám, vždyť přece píšeš, že ne :( Ale i tak, co kdyby?

Jiří :Kačer: Voseček

  • Stálý člen
  • ***
  • Příspěvků: 667
  • Karma: +54/-2
  • občasný návštěvník
    • Zobrazit profil
    • Můj weblog
virus?
« Odpověď #2 kdy: 27 Září 2007, 22:35:34 »
A nekecáš tak trochu náhodou?
"Nastesti jsem si vytvoril ucet root," účet roota je vytvořen automaticky a kdyby sis smazal obsah home, tak se do systému stejně dostaneš.

Editováno: No, vlastně by ses k sobě asi nedostal, ale s tím rootem to platí stejně.
« Poslední změna: 27 Říjen 2007, 14:14:17 od Anna Taliánová »
Všechno co k životu skutečně potřebujeme, můžeme vcelku levně koupit, jen zbytečnosti jsou drahé. Hrajte frisbee - www.frisbee.cz

Pavel Půlpán

  • Závislák
  • ****
  • Příspěvků: 4757
  • Karma: +324/-47
    • Zobrazit profil
    • EIX.cz
virus?
« Odpověď #3 kdy: 27 Září 2007, 22:47:13 »
Wtf? :D No se mi nejako nezda...

Edit: Na root uctu je postaveny patrne kazdy *nixovy system, jen do nej neni ve vychozi instalaci Ubuntu pristup.

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« Odpověď #4 kdy: 27 Září 2007, 23:52:47 »
No dobre, nevyjadril jsem se presne, nastavil jsem heslo pro roota, Ubuntu se dokaze obejit i bez neho. Kazdopadne jediny zpusob jak se nyni dostat do systemu, je prihlasit se jako root. Pridani uzivatele nepomuze.
V dobe, kdy se mi stala ta vec, nebyl v celem dome nikdo, kdo by to mohl provest.

Pavelp

  • Host
virus?
« Odpověď #5 kdy: 28 Září 2007, 08:18:45 »
Vypada to na pekny FUD.  Mame prilis malo informaci, vypisy logu a dalsi testy, takze muzem konstatovat jen, ze je autor zrejme nepozornej, nebo prekourenej. O moznem napadeni nemuzem uvazovat ani vterinu, protoze nemame dostatek informaci. Jen jedna za vsechny. Kdyby byl nekdo na masine pripojeny v terminalu (a vsechno mazal) tak by ten terminal nikdo jiny nevidel, akorat by mu masina pod rukama klekla.

Czario

  • Stálý člen
  • ***
  • Příspěvků: 639
  • Karma: +28/-6
  • skill :: passive-llama
    • Zobrazit profil
virus?
« Odpověď #6 kdy: 28 Září 2007, 12:19:35 »
Mno virus je sám osobě ten příkaz ne. :-)
Dej víc info.. dej logy... dej všechno... A hlavně nám pověz, co za program si naposledy kompiloval a odkud si ho stahoval.. nebo si spouštěl nějaký hezký shell program? :-)
Nebo sis otevřel backdoors v systému?

Podle mě pravděpodobně uživatelská chyba, to je asi tak jedinej virus, jinak by jsme to totiž měli všichni, kdyby to bylo něco závažnějšího. :-D

Jiří :Kačer: Voseček

  • Stálý člen
  • ***
  • Příspěvků: 667
  • Karma: +54/-2
  • občasný návštěvník
    • Zobrazit profil
    • Můj weblog
virus?
« Odpověď #7 kdy: 28 Září 2007, 12:47:28 »
Pokud do 24 hodin neprokáže logy a další informace, tak navrhuji smazání vlákna a ban za FUD, jak psal Pavelp.
« Poslední změna: 27 Říjen 2007, 14:16:13 od Anna Taliánová »
Všechno co k životu skutečně potřebujeme, můžeme vcelku levně koupit, jen zbytečnosti jsou drahé. Hrajte frisbee - www.frisbee.cz

Jiří :Kačer: Voseček

  • Stálý člen
  • ***
  • Příspěvků: 667
  • Karma: +54/-2
  • občasný návštěvník
    • Zobrazit profil
    • Můj weblog
virus?
« Odpověď #8 kdy: 28 Září 2007, 12:53:21 »
Citace: messner
Pridani uzivatele nepomuze.
Tak to je nesmysl, pokud se smazal tvůj /home/adresar, tak nový uživatel musí pomoct.
Všechno co k životu skutečně potřebujeme, můžeme vcelku levně koupit, jen zbytečnosti jsou drahé. Hrajte frisbee - www.frisbee.cz

Jony

  • Stálý člen
  • ***
  • Příspěvků: 500
  • Karma: +4/-1
    • Zobrazit profil
virus?
« Odpověď #9 kdy: 28 Září 2007, 12:54:40 »
... hmm, že by virus mezi kbd a židlí?
Nenainstaloval sis nějakého démona, který v hh:mm spustí v terminálu rm -fr * nebo to udělá v případě nečinnosti x minut? Jinak to opravdu zavání FUD-em =)

Pavel Půlpán

  • Závislák
  • ****
  • Příspěvků: 4757
  • Karma: +324/-47
    • Zobrazit profil
    • EIX.cz
virus?
« Odpověď #10 kdy: 28 Září 2007, 13:28:06 »
Citace: Jony
Nenainstaloval sis nějakého démona, který v hh:mm spustí v terminálu rm -fr * nebo to udělá v případě nečinnosti x minut?
Takovyho deamona sem si dycky pral mit v initu. :D

Martin

  • Člen
  • **
  • Příspěvků: 480
  • Karma: +22/-19
    • Zobrazit profil
virus?
« Odpověď #11 kdy: 28 Září 2007, 14:23:07 »
fake
-[ AMD Athlon 1GHz, 512 MB RAM, ATI Radeon 7000 32MB, WD 200GB, WD 30GB - Xubuntu 8.04 Hardy Heron ]-

Jiří :Kačer: Voseček

  • Stálý člen
  • ***
  • Příspěvků: 667
  • Karma: +54/-2
  • občasný návštěvník
    • Zobrazit profil
    • Můj weblog
virus?
« Odpověď #12 kdy: 28 Září 2007, 17:17:45 »
Citace: diwoczaak
Citace: Jony
Nenainstaloval sis nějakého démona, který v hh:mm spustí v terminálu rm -fr * nebo to udělá v případě nečinnosti x minut?
Takovyho deamona sem si dycky pral mit v initu. :D
:)) ať je trochu adrenalin
« Poslední změna: 27 Říjen 2007, 14:16:45 od Anna Taliánová »
Všechno co k životu skutečně potřebujeme, můžeme vcelku levně koupit, jen zbytečnosti jsou drahé. Hrajte frisbee - www.frisbee.cz

Pavel Půlpán

  • Závislák
  • ****
  • Příspěvků: 4757
  • Karma: +324/-47
    • Zobrazit profil
    • EIX.cz
virus?
« Odpověď #13 kdy: 28 Září 2007, 18:51:03 »
Citace: Kačer
Citace: diwoczaak
Citace: Jony
Nenainstaloval sis nějakého démona, který v hh:mm spustí v terminálu rm -fr * nebo to udělá v případě nečinnosti x minut?
Takovyho deamona sem si dycky pral mit v initu. :D
:)) ať je trochu adrenalin
Nebo by se rovnou moh Linusovi poslat do upstremu nakej luxusni patch podobnyho raazu! :D
Uz vidim novej vyvojovej strom linux-2.6.24 --destroyland! :D (sem realista 2.6.23 nestihnem! :D)

Marcel 'Maky' Šuška

  • Závislák
  • ****
  • Příspěvků: 1425
  • Karma: +65/-8
  • Kdo si hraje s Ubuntu, nezlobí.
    • Zobrazit profil
virus?
« Odpověď #14 kdy: 28 Září 2007, 19:16:38 »
Ježiši marjá, vždyť je mesener nováček (2 příspěvky) a sám neví co udělal. Berte trochu ohled.

Virusy vesměs pro Linuxy nejsou a je tedy mizivá možnost ho chytnout.
« Poslední změna: 27 Říjen 2007, 14:17:25 od Anna Taliánová »

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« Odpověď #15 kdy: 28 Září 2007, 19:46:38 »
Rozhodne nemam v umyslu nejak Linuxu skodit, nejsem agent Microsoftu.
Naposledy jsem stahoval hru FlightGear (www.flightgear.org) a souvisejici soubory z packages.debian.org. Ale neni to na 100%, stahoval jsem do domovskeho adresare a ten je ted prazdny. (Cely adresar home je uplne prazdny.)
Posledni veci, ktere jsem provadel byly pripojovani a odpojovani DVD mechaniky (comba) a pokus o rozchozeni tiskarny. (Nejde mi nastavit port.)

Ted se pokusim vlozit ty logy, snad se to podari, jeste jsem to nedelal.

file:///var/log
« Poslední změna: 27 Říjen 2007, 14:43:39 od Anna Taliánová »

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« Odpověď #16 kdy: 28 Září 2007, 19:50:01 »
To asi neni ono, ze?

/var/log
« Poslední změna: 27 Říjen 2007, 14:43:48 od Anna Taliánová »

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« Odpověď #17 kdy: 28 Září 2007, 19:56:30 »
Rozhodne nemam v umyslu nejak Linuxu skodit, nejsem agent Microsoftu.
Naposledy jsem stahoval hru FlightGear (www.flightgear.org) a souvisejici soubory z packages.debian.org. Ale neni to na 100%, stahoval jsem do domovskeho adresare a ten je ted prazdny. (Cely adresar home je uplne prazdny.)
Posledni veci, ktere jsem provadel byly pripojovani a odpojovani DVD mechaniky (comba) a pokus o rozchozeni tiskarny. (Nejde mi nastavit port.)

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« Odpověď #18 kdy: 28 Září 2007, 19:57:29 »
/var/log.tar.gz

jiri-j

  • Člen
  • **
  • Příspěvků: 489
  • Karma: +18/-1
  • skill: Lama
    • Zobrazit profil
virus?
« Odpověď #19 kdy: 28 Září 2007, 19:59:23 »
otevři ten soubor v textovém editoru a jeho obsah vlož sem
Acer Aspire 3023WLMi, Sempron 3000+, ATI Mobility Radeon X700, 512MB RAM, Archlinux

kubišta

  • Návštěvník
  • *
  • Příspěvků: 28
  • Karma: +2/-0
    • Zobrazit profil
virus?
« Odpověď #20 kdy: 28 Září 2007, 20:07:58 »
Flightgear ti nic neudělal, packages.debian.org je slušná stránka :-)
/var/log není soubor ale adresář obsahující logovací soubory ;-)

Napiš do terminálu "history" a vlož sem posledních třeba padesát příkazů.
« Poslední změna: 27 Říjen 2007, 14:44:37 od Anna Taliánová »

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« Odpověď #21 kdy: 28 Září 2007, 22:36:40 »
Problem je v tom, ze se muzu prihlasit pouze jako root, kdezto kdyz se prihodila ta vec, byl jsem prihlasen jako uzivatel. Takze ty prikazy v historii roota nejsou.

Jake soubory mam tedy poslat?

Jakub Lucký

  • Závislák
  • ****
  • Příspěvků: 3433
  • Karma: +58/-10
    • Zobrazit profil
    • Jakub Lucký
virus?
« Odpověď #22 kdy: 28 Září 2007, 22:56:22 »
Jak se tak koukám na to, co se vám stalo, na vině může být několik věcí

1) Nějaká vaše nepozornost
Tuto variantu nelze vyloučit

2) Prolomení hesla přes SSH démona
Je možné, že se k vám někdo dostal přes SSH démona a smazal váš /home
Určitě se dostal jen do uživatele, nikoliv do roota, protože rm -rf / začíná poctivě u složky /boot a to už by vám systém nenaběhl
Pokud se dostal do vašeho uživatelského účtu, je to pravděpodobně chyba vaše nebo vašeho správce, že máte nezabezpečené sshd či uhodnutelné heslo

dejte sem prosím tyto výpisy:
Kód: [Vybrat]
tail -n30 /var/log/auth.log
ls /etc/rc2.d/
Neboť z těch se dá něco dozvědět

Edit2: Teď jsme si přečetl poznámku PavlaP a musím uznat, že má pravdu... nikdo vám nemohl spustit rm -rf vzdáleně, protože byste neviděl ty hlášky...

Edit: Na takové věci jako viry bych v Linuxu příliš nepomýšlel, to není realita...
FAQ-Často kladené otázky   Návody(wiki)     
Jakub@Life:~$ Ubuntu změnilo váš život, přejete si změny uložit?(Y/N)?
Děkujeme, že nekrmíte trolly Blogísek  :wq

messner

  • Návštěvník
  • *
  • Příspěvků: 79
  • Karma: +1/-3
    • Zobrazit profil
virus?
« Odpověď #23 kdy: 28 Září 2007, 23:27:25 »
Uhodnutelne heslo je mozne, volil jsem jednoduche, jsem jediny uzivatel tohoto pocitace a utok zvenci jsem nepredpokladal.

Sep 28 13:17:02 kopkopr CRON[9226]: (pam_unix) session opened for user root by (
uid=0)
Sep 28 13:17:02 kopkopr CRON[9226]: (pam_unix) session closed for user root
Sep 28 14:17:02 kopkopr CRON[11260]: (pam_unix) session opened for user root by
(uid=0)
Sep 28 14:17:02 kopkopr CRON[11260]: (pam_unix) session closed for user root
Sep 28 15:17:01 kopkopr CRON[13166]: (pam_unix) session opened for user root by
(uid=0)
Sep 28 15:17:02 kopkopr CRON[13166]: (pam_unix) session closed for user root
Sep 28 16:17:01 kopkopr CRON[15250]: (pam_unix) session opened for user root by
(uid=0)
Sep 28 16:17:01 kopkopr CRON[15250]: (pam_unix) session closed for user root
Sep 28 17:17:01 kopkopr CRON[17365]: (pam_unix) session opened for user root by
(uid=0)
Sep 28 17:17:01 kopkopr CRON[17365]: (pam_unix) session closed for user root
Sep 28 18:17:01 kopkopr CRON[19449]: (pam_unix) session opened for user root by
(uid=0)
Sep 28 18:17:01 kopkopr CRON[19449]: (pam_unix) session closed for user root
Sep 28 19:17:01 kopkopr CRON[21639]: (pam_unix) session opened for user root by
(uid=0)
Sep 28 19:17:01 kopkopr CRON[21639]: (pam_unix) session closed for user root
Sep 28 20:17:01 kopkopr CRON[23911]: (pam_unix) session opened for user root by
(uid=0)
Sep 28 20:17:02 kopkopr CRON[23911]: (pam_unix) session closed for user root
Sep 28 21:17:01 kopkopr CRON[25901]: (pam_unix) session opened for user root by                                         (uid=0)
Sep 28 21:17:01 kopkopr CRON[25901]: (pam_unix) session closed for user root
Sep 28 22:17:01 kopkopr CRON[27909]: (pam_unix) session opened for user root by                                         (uid=0)
Sep 28 22:17:01 kopkopr CRON[27909]: (pam_unix) session closed for user root
Sep 28 22:50:36 kopkopr gdm[3494]: (pam_unix) session closed for user root
Sep 28 22:51:19 kopkopr gdm[29158]: (pam_unix) session opened for user rak2 by (                                        uid=0)
Sep 28 22:52:02 kopkopr gdm[29158]: (pam_unix) session closed for user rak2
Sep 28 22:52:16 kopkopr gdm[29158]: (pam_unix) session opened for user root by (                                        uid=0)
Sep 28 22:54:00 kopkopr gdm[29158]: (pam_unix) session closed for user root
Sep 28 22:54:32 kopkopr gdm[29446]: (pam_unix) session opened for user rak1 by (                                        uid=0)
Sep 28 23:11:21 kopkopr gdm[29446]: (pam_unix) session closed for user rak1
Sep 28 23:11:52 kopkopr gdm[29574]: (pam_unix) session opened for user rak2 by (                                        uid=0)
Sep 28 23:12:29 kopkopr gdm[29574]: (pam_unix) session closed for user rak2
Sep 28 23:12:59 kopkopr gdm[29698]: (pam_unix) session opened for user root by (                                        uid=0)


11anacron     S10powernowd.early  S14ppp      S20festival           S20samba        S89cron       S99rmnologin
K11atd         S10sysklogd         S18portmap  S20makedev            S20x11-common   S98usplash    S99stop-readahead
K77ntp-server  S12dbus             S19cupsys   S20nfs-kernel-server  S21nfs-common   S99fetchmail
K89klogd       S12pbbuttonsd       S19hplip    S20powernowd          S25bluez-utils  S99kdm
README         S13gdm              S20dirmngr  S20rsync              S25mdadm        S99rc.local
« Poslední změna: 27 Říjen 2007, 14:47:02 od Anna Taliánová »

Jakub Lucký

  • Závislák
  • ****
  • Příspěvků: 3433
  • Karma: +58/-10
    • Zobrazit profil
    • Jakub Lucký
virus?
« Odpověď #24 kdy: 28 Září 2007, 23:36:09 »
Takže co se týče napadení zvenku, určitě to může vyloučit...

Doporučuji přemýšlet nad napadením od nějaké fyzicky přítomné osoby u počítače
FAQ-Často kladené otázky   Návody(wiki)     
Jakub@Life:~$ Ubuntu změnilo váš život, přejete si změny uložit?(Y/N)?
Děkujeme, že nekrmíte trolly Blogísek  :wq