problema sicurezza, rilevato rootkit

[antowen]

ragazzi mi serve il vostro aiuto, ho appena riacceso il pc, ho notato aprendo il browser tentati accessi a facebook con altre mail rimaste in memoria non mie, mai viste, ho effettuato una scansione con chkrootkit e rileva molti warning mai rilevati prima

/usr/bin/runcon                                          [ Warning ]
    /usr/bin/sha1sum                                        [ Warning ]
    /usr/bin/sha224sum                                      [ Warning ]
    /usr/bin/sha256sum                                      [ Warning ]
    /usr/bin/sha384sum                                      [ Warning ]
    /usr/bin/sha512sum                                      [ Warning ]
    /usr/bin/size                                            [ Warning ]
    /usr/bin/sort                                            [ Warning ]
    /usr/bin/stat                                            [ Warning ]
    /usr/bin/strace                                          [ OK ]
    /usr/bin/strings                                        [ Warning ]
    /usr/bin/sudo                                            [ Warning ]
    /usr/bin/tail                                            [ Warning ]
    /usr/bin/test                                            [ Warning ]
    /usr/bin/top                                            [ OK ]
    /usr/bin/touch                                          [ Warning ]
    /usr/bin/tr                                              [ Warning ]
    /usr/bin/uniq                                            [ Warning ]
    /usr/bin/users                                          [ Warning ]
   

questi sono solo alcuni, cosa posso fare per ripulire il sistema?

[steff]

Sono applicazioni normalissimi quelli elencati

[il_muflone]

i log vanno letti nella loro interezza.
warning da solo non significa niente se non corredato di informazioni e sono certo che siano spiegati nel log stesso.

gli utenti che cercano i rootkit sono i soli che li trovano, anche se non ci sono.

[antowen]

lo so che sono applicazioni normali, ma ieri sera entrando su crhomium ho notato un tentato accesso mediante altra mail in fb, ho effettuato una scansione antirootkit ed è venuto fuori sto log strano, (in altre scansioni mai rilevati) lo so che umount, su, mount e cosi via sono applicazioni di sistema pero la cosa anomala e che clamav non rileva nulla chkrootkit nemmeno....vorrei solo sapere come comportarmi..

[Mobilez6600]

Forse è opportuno che posti il log completo. Oppure che utilizzi qualche opzione tipo -v o -vv (verbose) per avere dei log più dettagliati, sempre ammesso che chkrootkit la preveda... 

[nicoz]

lo so che sono applicazioni normali, ma ieri sera entrando su crhomium ho notato un tentato accesso mediante altra mail in fb, ho effettuato una scansione antirootkit ed è venuto fuori sto log strano, (in altre scansioni mai rilevati) lo so che umount, su, mount e cosi via sono applicazioni di sistema pero la cosa anomala e che clamav non rileva nulla chkrootkit nemmeno....vorrei solo sapere come comportarmi..

1. Il tentato accesso al tuo profilo facebook non è una prova che sei sotto un rootkit

2. chrootkit come dicono i colleghi sopra oltre al [Warnig:] dà delle informazioni in piu' quando il dato è anomale e lo segnala con tipo [Warnig: Rootkit Tools]...

3. come comportarsi??? La sicurezza non è mai troppa, cioè se sei proprio insicuro che il tuo ubuntu è infettato scarica un antivirus per piattaforme linux ed esegui scansioni settimanalmente ...

Aggiornaci e posta il log x esteso sul pastebin pls  (b2b)

[victor11]

Come è andata a finire con questo presunto rootkit ?  ???

[antowen]

è andata a finire che utilizzando temi scaricati da http://gnome-look.org/  ho installato un tema eseguibile che mi ha infettato alcuni file nelle directory bin, usrla colpa è mia perchè mi sono fidato, spesso all'atto del download dei pacchetti di tema ti porta altrove, il tema è stato alla fine scaricato da megaupload, non ha fatto grandi danni per fortuna, ma ho dovuto lavorarci su per eliminare i file infetti  (o presunti infetti) manualmente, disinstallando e reinstallando alcuni tool di sistema come il dhcp, al di la di qualche spiritoso che ha detto 'gli utenti che cercano i rootkit sono i soli che li trovano, anche se non ci sono' credo che la sicurezza non sia mai troppa, scansionare di tanto in tanto per rilevare eventuali anomalie non è un male, è vero che chkrootkit spesso da dei warning non reali, alla fine l'errore è stato mio nel non usare SOLO pacchetti diretti dai repo..o magari a chkrootkit non piacevano 'quei files' cmq per il resto adesso tutt'ok, grazie a tutti del supporto.

[steff]

Non è la prima volta che so gnome-look ci sono file dannosi, l'hai segnalato? Ti ricordi qual'era?

[antowen]

non l'ho segnalato purtroppo perchè l'avevo cancellato dopo l'installazione e la scansione l'ho fatta solo dopo aver notato delle anomalie sul sistema...mi ricordo che era un tema che rendeva linux molto simile a xp, compresa la barra del menu e le icone (menu e desktop) essendoci vari temi cosi non posso segnalarli tutti, un consiglio che darei a tutti dopo questa esperienza è: scaricare solo temi dai repository della propria distro, o in alternativa crearseli da se, oppure se si vuole rischiare da gnomelook assicurarsi che in fase di scaricamento non ci linki altrove, il mio è stato un 'errore da ingenuo, inoltre era la prima volta che non effettuavo la scansione dell'archivio con clamav..

[steff]

...mi ricordo che era un tema che rendeva linux molto simile a xp ....

Infatti, molto simile 

[antowen]

...mi ricordo che era un tema che rendeva linux molto simile a xp ....

Infatti, molto simile 

dopo questa devo dire che l'ha reso in tutto e per tutto simile