ygvlai.exe l'eseguibile venuto dal nulla

[Maurizio.M]

Salve a tutti,
scrivo perchè sul mio desktop da un po' di tempo (diciamo qualche settimana) ogni tanto improvvisamente compaiono 2 strani file uno è un eseguibile (.exe) con un nome probabilmente creato random l'ultimo è stato ygvlai.exe e l'altro è un file senza estenzione vuoto con nome khs

Ogni volta li cancello ma dopo un po' di tempo riescono fuori il .exe con un nome diverso e il khs sempre vuoto.

Dalle proprietà dei file mi da proprietario nobody e gruppo nogroup quindi non posso cancellarli direttamente ma devo cancellarli da root...

Qualcuno sa di che si tratta??? Grazie!!!

[kiroken_]

installato qualcosa di strano proveniente da repository esterni o avviato wine con privilegi da superutente?

[Preda]

controlla le chiavette usb. hai per caso scambiato file con utenti win?

[Maurizio.M]

Ho installato (o meglio ho cercato di farlo ma nn funge) Microsoft Reader con Wine, ma l'ho preso direttamente dal sito di microsoft e ho avviato l'eseguibile con wine

per il resto a parte wicd per cui ho aggiunto la stringa in /etc/apt/source.list non ho niente di strano installato

Per quanto riguarda le penne USB un paio di volte mi è capitato di trovare quei file che si replicano ma nn credevo potessero copiarsi anche in linux

[Maurizio.M]

Niente?

??? ??? ???

Ho paura...

[fortran77]

Era uno scherzo che facevo a mio fratello quando scarivava troppo porno. Accedevo via ssh e gli salvavo un file con scritto "Dio ti vede" e mi godevo la faccia stravolta quando veniva da me a dire che era stato attaccato dagli hacker  (rotfl)

Restiamo seri.
Due cose:
1) il comando file (file nomefile) dovrebbe darti informazioni su che file sia davvero. Postacele.
2) posta il contenuto di /etc/passwd.

[Maurizio.M]

risultato di file :

Codice: Seleziona tutto

ygvlai.exe: MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit, UPX compressed

Codice: Seleziona tutto

khs: empty

Mentre questo è passwd:

Codice: Seleziona tutto

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:102::/home/syslog:/bin/false
klog:x:102:103::/home/klog:/bin/false
hplip:x:103:7:HPLIP system user,,,:/var/run/hplip:/bin/false
avahi-autoipd:x:104:112:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
gdm:x:105:113:Gnome Display Manager:/var/lib/gdm:/bin/false
pulse:x:106:115:PulseAudio daemon,,,:/var/run/pulse:/bin/false
saned:x:107:118::/home/saned:/bin/false
messagebus:x:108:119::/var/run/dbus:/bin/false
polkituser:x:109:120:PolicyKit,,,:/var/run/PolicyKit:/bin/false
avahi:x:110:121:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
haldaemon:x:111:122:Hardware abstraction layer,,,:/var/run/hald:/bin/false
maurizio:x:1000:1000:Maurizio,,,:/home/maurizio:/bin/bash
proftpd:x:112:65534::/var/run/proftpd:/bin/false
ftp:x:113:65534::/home/ftp:/bin/false
guest:x:114:125:Guest,,,:/tmp/guest-home.ay3681:/bin/bash

e se può servire sono figlio unico... :P

[fortran77]

Ah già dimenticavo... in ubuntu un sacco di utenti hanno una shell valida di login...
Mi serve che mi posti anche /etc/shadow, magari purga la linea del tuo utente (dove viene conservata la tua password, crittata, ma pur sempre la tua password).

[Maurizio.M]

/etc/shadow:

Codice: Seleziona tutto

root:!:14214:0:99999:7:::
daemon:*:14181:0:99999:7:::
bin:*:14181:0:99999:7:::
sys:*:14181:0:99999:7:::
sync:*:14181:0:99999:7:::
games:*:14181:0:99999:7:::
man:*:14181:0:99999:7:::
lp:*:14181:0:99999:7:::
mail:*:14181:0:99999:7:::
news:*:14181:0:99999:7:::
uucp:*:14181:0:99999:7:::
proxy:*:14181:0:99999:7:::
www-data:*:14181:0:99999:7:::
backup:*:14181:0:99999:7:::
list:*:14181:0:99999:7:::
irc:*:14181:0:99999:7:::
gnats:*:14181:0:99999:7:::
nobody:*:14181:0:99999:7:::
libuuid:!:14181:0:99999:7:::
syslog:*:14181:0:99999:7:::
klog:*:14181:0:99999:7:::
hplip:*:14181:0:99999:7:::
avahi-autoipd:*:14181:0:99999:7:::
gdm:*:14181:0:99999:7:::
pulse:*:14181:0:99999:7:::
saned:*:14181:0:99999:7:::
messagebus:*:14181:0:99999:7:::
polkituser:*:14181:0:99999:7:::
avahi:*:14181:0:99999:7:::
haldaemon:*:14181:0:99999:7:::
maurizio:XXXXXXX
proftpd:!:14217:0:99999:7:::
ftp:*:14217:0:99999:7:::
guest:*:14221:0:99999:7:::

[fortran77]

Quindi l'unico utente con una password sei tu. Prova a vedere se in /var/log/auth.log c'è qualche accesso di troppo, inoltre prova a guardare in ~/.bash_history per vedere se c'è loggato qualche comando che non hai mai dato.
Se è un programma interno che scrive questi file bisognerebbe capire chi li ha scritti.
Prova, con apparmor, a far girare i tuoi programmi in un ambiente di apprendimento in modo da vedere a quali file accedono.

[Maurizio.M]

Grazie per l'aiuto

allora sia /var/log/auth.log che ~/.bash_history non hanno nulla di strano.

In /var/log/auth.log ho trovato pam_unix ogni tanto, ma cercando in rete ho visto che è l'applicazione che permette le autenticazioni (o qualcosa del genere), quindi fin qui tutto ok a parte i due file che se la ridono sul desktop...

per quanto riguarda apparmor non lo conoscevo, ho provato a dare sudo apparmor_status e mi ha restituito

Codice: Seleziona tutto

apparmor module is loaded.
3 profiles are loaded.
0 profiles are in enforce mode.
3 profiles are in complain mode.
   /usr/share/gdm/guest-session/Xsession
   /usr/sbin/cupsd
   /usr/lib/cups/backend/cups-pdf
1 processes have profiles defined.
0 processes are in enforce mode :
1 processes are in complain mode.
   /usr/sbin/cupsd (5083) 
0 processes are unconfined but have a profile defined.

Poi cercando nel wiki (http://wiki.ubuntu-it.org/Sicurezza/AppArmor) ho trovato sudo aa-complain /etc/apparmor.d/* per mettere tutti i profili in modalità apprendimento, mi ha dato

Codice: Seleziona tutto

Setting /etc/apparmor.d/gdm-guest-session to complain mode.
Setting /etc/apparmor.d/usr.sbin.cupsd to complain mode.

Ma non penso fosse quello che intendevi, puoi dirmi qualcosina in più?

[fortran77]

In quel modo controlli con apparmor solo i programmi definiti in /etc/apparmor.d/
Dovresti poter lanciare allo stesso modo tutti i programmi (tipo firefox) che potrebbero essere candidati a scrivere su quei file. Direi che sono programmi che lanci da utente, visto che agiscono sulla tua home.

Non so di preciso come funziona apparmor perché non l'ho mai usato in prima persona. Ti tocca documentarti o aspettare uno che ne conosca meglio il funzionamento.

[Maurizio.M]

Ok, grazie mille. Un'ultima info (anche un po' off topic...) se è possibile:

vorrei disinstallare Wine tanto lo usavo solo per MS Reader e visto che nn funziona giacchè faccio sta prova.

Ora la domanda è se disinstallo Wine da Aggungi/Rimuovi applicazioni disinstallo anche tutto ciò che ho installato tramite Wine e quindi l'eventuale .exe che fa il casino???

[fortran77]

penso basti rimuovere la directory .wine nella tua home

[Maurizio.M]

Ok per ora ho rimosso Wine da Aggiungi/Rimuovi applicazioni, dopodichè ho rimosso la cartella .wine dalla mia home.

I due file li conservo in un tar.gz metti mai potessero servire a capire da dove vengono...

Mo vediamo se ricompaiono nuovamente tra qualche tempo.

Se qualcuno ha qualche idea...

[Maurizio.M]

Ragazzi qua è grave la cosa...

Sono ricomparsi di nuovo i file khs sempre vuoto e l'eseguibile ora si chiama wezdph.exe

Non so veramente più che fare, ho disinstallato wine e al momento in cui sono ricomparsi usavo solo firefox (nessun sito strano...) ed emesene non ho programmi strani installati... >:(

Datemi una mano please!!!!!!!!!

[badìl]

Su che sito eri?
Non è che li scarichi cliccando da qualche parte?

[Maurizio.M]

google facebook e il forum di ubuntu...

tranquillo sono certo che nn li scarico io, a volte mi compaiono anche se sto offline

[Guiodic]

be'... sembra che sia una caso davvero complicato...

ma compaiono del tutto casualmente? oppure dopo che hai usato determinati programmi?

[Maurizio.M]

questa volta stavo usando firefox, ma nn c'è qualcosa di preciso....quando gli gira compaiono

il .exe ha sempre nomi strani e sempre diversi (sembrano creati random...sembrano...) l'altro è sempre un file vuoto ed ha sempre lo stesso nome