Virus? attacco hacker?
-
- Prode Principiante
- Messaggi: 79
- Iscrizione: martedì 17 aprile 2007, 10:56
Virus? attacco hacker?
ciao amici. Ho da un annetto un piccolo server fatto con un raspberry su cui gira una derivata di debian (raspbian).
e' un piccolo server acceso 24h su 24 che uso come server dlna, ftp, torrent e php: ho fatto alcune paginette con cui comando i termosifoni attraverso dei relè ecc ecc (non serve entrare nel dettaglio).
a questo server accedo via ssh.
Mi succede questo: ogni tanto nella cartella home trovo dei nome utenti strani tipo sm0ke, lenin... inoltre su / oggi ho trovato dei file con nomi tipo 2203.rar 2204.rar ecc ecc più uno che si chiamava fuckyou che ovviamente ho prontamente eliminato.
che cavolo succede? come posso debellare la cosa?
il problema è che non riesco nemmeno a cambiare la password: se digito passwd, anche come utente root, mi esce sempre l' errore manipolazione Token di autenticazione.
Può esserci qualche daemon malevolo che gira in background?
Grazie a chi mi può aiutare. Ho fatto un sacco di script e mi secca doverlo "formattare"
e' un piccolo server acceso 24h su 24 che uso come server dlna, ftp, torrent e php: ho fatto alcune paginette con cui comando i termosifoni attraverso dei relè ecc ecc (non serve entrare nel dettaglio).
a questo server accedo via ssh.
Mi succede questo: ogni tanto nella cartella home trovo dei nome utenti strani tipo sm0ke, lenin... inoltre su / oggi ho trovato dei file con nomi tipo 2203.rar 2204.rar ecc ecc più uno che si chiamava fuckyou che ovviamente ho prontamente eliminato.
che cavolo succede? come posso debellare la cosa?
il problema è che non riesco nemmeno a cambiare la password: se digito passwd, anche come utente root, mi esce sempre l' errore manipolazione Token di autenticazione.
Può esserci qualche daemon malevolo che gira in background?
Grazie a chi mi può aiutare. Ho fatto un sacco di script e mi secca doverlo "formattare"
- carved top
- Entusiasta Emergente
- Messaggi: 2179
- Iscrizione: domenica 27 maggio 2012, 11:38
- Desktop: Pantheon
- Distribuzione: Elementary 0.4 Loki x86_64
Re: Virus? attacco hacker?
Ammetto di essere totalmente ignorante in materia, ma gli script inizierei a salvarli da qualche altra parte per formattare senza problemi e per non perderli in futuro.... giusto i miei due cent, buona fortuna
Come fare le domande da professionisti | Regolamento | Adoro il profumo della wiki di mattina | Comandi dannosi
"It's 106 miles to Chicago, we got a full tank of gas, half a pack of cigarettes, it's dark and we're wearing sunglasses." "Hit it!"
Ubuntu custom | Fractal Design Node 202 | AMD Ryzen 5 1600 & Cryorig C7 | Sapphire Radeon RX 580 Nitro + | Crucial Ballistix Sport 8 GB @ 3000MHz
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: Virus? attacco hacker?
Hai un modem router ? UPnP è abilitato o no ?
(Sul raspbery non so nulla, di come entrare bypassando la password per recuperarlo)
(Sul raspbery non so nulla, di come entrare bypassando la password per recuperarlo)
apt-get moo
-
- Prode Principiante
- Messaggi: 79
- Iscrizione: martedì 17 aprile 2007, 10:56
Re: Virus? attacco hacker?
router ma per poter accedere via ssh ho la porta 22 aperta sull'ip del raspberry.tunnel_net [url=http://forum.ubuntu-it.org/viewtopic.php?p=4749838#p4749838][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Hai un modem router ? UPnP è abilitato o no ?
(Sul raspbery non so nulla, di come entrare bypassando la password per recuperarlo)
beh di sicuro tolgo la scheda di memoria (sd) la metto sul pc e con chroot cambio la password. ma c'è il rischio che ci sia del malware in esecuzione?
-
- Prode Principiante
- Messaggi: 79
- Iscrizione: martedì 17 aprile 2007, 10:56
Re: Virus? attacco hacker?
si si quelli sono salvati, il problema è il dover riconfigurare tutto, cron, rimettere in piedi il server web ecc ecc ci vogliono delle ore, e dovendolo comandare via ssh (da telefonino per comodità) diventa noiosocarved top [url=http://forum.ubuntu-it.org/viewtopic.php?p=4749836#p4749836][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Ammetto di essere totalmente ignorante in materia, ma gli script inizierei a salvarli da qualche altra parte per formattare senza problemi e per non perderli in futuro.... giusto i miei due cent, buona fortuna
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: Virus? attacco hacker?
Controlla nei posti canonici da dove si possono far partire applicazioni /etc/rc.local /etc/profile, visto che ti ha lasciato dei file controlla le date e fai una ricerca del disco per file in quel giorno.
La mia domanda era se sul router avevi UPnP attivo, se poi hai la 22 aperta se usi le key invece della password è meglio.
La mia domanda era se sul router avevi UPnP attivo, se poi hai la 22 aperta se usi le key invece della password è meglio.
apt-get moo
-
- Prode Principiante
- Messaggi: 79
- Iscrizione: martedì 17 aprile 2007, 10:56
Re: Virus? attacco hacker?
mi hai dato una buona idea! adesso faccio quel tipo di ricerca!
UPnP dovrebbe essere attivo, mi conviene disattivarlo?
perdonami non so cosa sia il discorso delle key al posto delle password
UPnP dovrebbe essere attivo, mi conviene disattivarlo?
perdonami non so cosa sia il discorso delle key al posto delle password
- xavier77
- Gruppo Documentazione
- Messaggi: 7697
- Iscrizione: venerdì 21 settembre 2012, 16:37
- Desktop: GNOME, Xfce (e altri)
- Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
- Sesso: Maschile
- Contatti:
Re: Virus? attacco hacker?
Ok, UPnP, ftp, DLNA ecc. Quindi il server è solo per uso domestico? O lo usi anche per condividere file ecc. da remoto con la rete esterna?
Nel primo caso io comincerei a controllare anche i settaggi del router.
Premettendo che sono anch'io ignorante nello specifico, è sempre bene:
1. Cambiare i dns dal router stesso
2. Verificare che il firmware sia aggiornato
3. Cambiare la password (mai lasciare quelle predefinite, tipo admin/admin!)
4. Gestire le ACL in modalità LAN e non WAN, per impedire modifiche dall'esterno
5. puoi facilmente vedere se il tuo router è bucabile facendo un test da qui: http://rom-0.cz/
Magari, ci avevi già pensato e non ti dico nulla di nuovo...
Fatto sta che in pochissimi lo fanno.
Nel primo caso io comincerei a controllare anche i settaggi del router.
Premettendo che sono anch'io ignorante nello specifico, è sempre bene:
1. Cambiare i dns dal router stesso
2. Verificare che il firmware sia aggiornato
3. Cambiare la password (mai lasciare quelle predefinite, tipo admin/admin!)
4. Gestire le ACL in modalità LAN e non WAN, per impedire modifiche dall'esterno
5. puoi facilmente vedere se il tuo router è bucabile facendo un test da qui: http://rom-0.cz/
Magari, ci avevi già pensato e non ti dico nulla di nuovo...
Fatto sta che in pochissimi lo fanno.
Wiki Ubuntu-it: partecipa! | Come pubblicare i comandi del terminale | Come usare i forum su Linux | Ambienti DE | SuperGrubDisk | Installare Ubuntu | Passare a Linux | Vecchi computer | Problemi con Kali? | Guide post install per Ubuntu: 20.04 - 22.04 | Guida post install elementary OS 7 |
-
- Entusiasta Emergente
- Messaggi: 1988
- Iscrizione: venerdì 27 febbraio 2015, 15:48
- Desktop: gnome
- Distribuzione: ubuntu 10.04
- Sesso: Maschile
Re: Virus? attacco hacker?
Quando ti colleghi in ssh tu digiti una password, è possibile invece generare una coppia di chiavi crittografate, una va sul server e l'altra sul client e quando ti colleghi non metti password in quanto viene usata la chiave installata.
UPnP su un router vuol dire autorizzare qualunque programma a forwardare autonomamente le porte del router.
Considerando che entrando in ssh sul raspberry, da li andare sul router è facile, io un reset del router lo farei
UPnP su un router vuol dire autorizzare qualunque programma a forwardare autonomamente le porte del router.
Considerando che entrando in ssh sul raspberry, da li andare sul router è facile, io un reset del router lo farei
apt-get moo
- xavier77
- Gruppo Documentazione
- Messaggi: 7697
- Iscrizione: venerdì 21 settembre 2012, 16:37
- Desktop: GNOME, Xfce (e altri)
- Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
- Sesso: Maschile
- Contatti:
Re: Virus? attacco hacker?
tunnel_net [url=http://forum.ubuntu-it.org/viewtopic.php?p=4749855#p4749855][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Considerando che entrando in ssh sul raspberry, da li andare sul router è facile, io un reset del router lo farei
Giustissimo.
Scusa! Ho dimenticato di scrivere pure questo prima!
Wiki Ubuntu-it: partecipa! | Come pubblicare i comandi del terminale | Come usare i forum su Linux | Ambienti DE | SuperGrubDisk | Installare Ubuntu | Passare a Linux | Vecchi computer | Problemi con Kali? | Guide post install per Ubuntu: 20.04 - 22.04 | Guida post install elementary OS 7 |
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 17 ospiti