Forum Ubuntu-it

ragazzi mi serve il vostro aiuto, ho appena riacceso il pc, ho notato aprendo il browser tentati accessi a facebook con altre mail rimaste in memoria non mie, mai viste, ho effettuato una scansione con chkrootkit e rileva molti warning mai rilevati prima

/usr/bin/runcon                                          [ Warning ]
    /usr/bin/sha1sum                                        [ Warning ]
    /usr/bin/sha224sum                                      [ Warning ]
    /usr/bin/sha256sum                                      [ Warning ]
    /usr/bin/sha384sum                                      [ Warning ]
    /usr/bin/sha512sum                                      [ Warning ]
    /usr/bin/size                                            [ Warning ]
    /usr/bin/sort                                            [ Warning ]
    /usr/bin/stat                                            [ Warning ]
    /usr/bin/strace                                          [ OK ]
    /usr/bin/strings                                        [ Warning ]
    /usr/bin/sudo                                            [ Warning ]
    /usr/bin/tail                                            [ Warning ]
    /usr/bin/test                                            [ Warning ]
    /usr/bin/top                                            [ OK ]
    /usr/bin/touch                                          [ Warning ]
    /usr/bin/tr                                              [ Warning ]
    /usr/bin/uniq                                            [ Warning ]
    /usr/bin/users                                          [ Warning ]
   

questi sono solo alcuni, cosa posso fare per ripulire il sistema?

Sono applicazioni normalissimi quelli elencati

i log vanno letti nella loro interezza.
warning da solo non significa niente se non corredato di informazioni e sono certo che siano spiegati nel log stesso.

gli utenti che cercano i rootkit sono i soli che li trovano, anche se non ci sono.

lo so che sono applicazioni normali, ma ieri sera entrando su crhomium ho notato un tentato accesso mediante altra mail in fb, ho effettuato una scansione antirootkit ed è venuto fuori sto log strano, (in altre scansioni mai rilevati) lo so che umount, su, mount e cosi via sono applicazioni di sistema pero la cosa anomala e che clamav non rileva nulla chkrootkit nemmeno....vorrei solo sapere come comportarmi..

Forse è opportuno che posti il log completo. Oppure che utilizzi qualche opzione tipo -v o -vv (verbose) per avere dei log più dettagliati, sempre ammesso che chkrootkit la preveda... 

antowen ha scritto: lo so che sono applicazioni normali, ma ieri sera entrando su crhomium ho notato un tentato accesso mediante altra mail in fb, ho effettuato una scansione antirootkit ed è venuto fuori sto log strano, (in altre scansioni mai rilevati) lo so che umount, su, mount e cosi via sono applicazioni di sistema pero la cosa anomala e che clamav non rileva nulla chkrootkit nemmeno....vorrei solo sapere come comportarmi..

1. Il tentato accesso al tuo profilo facebook non è una prova che sei sotto un rootkit

2. chrootkit come dicono i colleghi sopra oltre al [Warnig:] dà delle informazioni in piu' quando il dato è anomale e lo segnala con tipo [Warnig: Rootkit Tools]...

3. come comportarsi??? La sicurezza non è mai troppa, cioè se sei proprio insicuro che il tuo ubuntu è infettato scarica un antivirus per piattaforme linux ed esegui scansioni settimanalmente ...

Aggiornaci e posta il log x esteso sul pastebin pls  (b2b)

Come è andata a finire con questo presunto rootkit ?  ???

è andata a finire che utilizzando temi scaricati da http://gnome-look.org/  ho installato un tema eseguibile che mi ha infettato alcuni file nelle directory bin, usrla colpa è mia perchè mi sono fidato, spesso all'atto del download dei pacchetti di tema ti porta altrove, il tema è stato alla fine scaricato da megaupload, non ha fatto grandi danni per fortuna, ma ho dovuto lavorarci su per eliminare i file infetti  (o presunti infetti) manualmente, disinstallando e reinstallando alcuni tool di sistema come il dhcp, al di la di qualche spiritoso che ha detto 'gli utenti che cercano i rootkit sono i soli che li trovano, anche se non ci sono' credo che la sicurezza non sia mai troppa, scansionare di tanto in tanto per rilevare eventuali anomalie non è un male, è vero che chkrootkit spesso da dei warning non reali, alla fine l'errore è stato mio nel non usare SOLO pacchetti diretti dai repo..o magari a chkrootkit non piacevano 'quei files' cmq per il resto adesso tutt'ok, grazie a tutti del supporto.

Non è la prima volta che so gnome-look ci sono file dannosi, l'hai segnalato? Ti ricordi qual'era?

non l'ho segnalato purtroppo perchè l'avevo cancellato dopo l'installazione e la scansione l'ho fatta solo dopo aver notato delle anomalie sul sistema...mi ricordo che era un tema che rendeva linux molto simile a xp, compresa la barra del menu e le icone (menu e desktop) essendoci vari temi cosi non posso segnalarli tutti, un consiglio che darei a tutti dopo questa esperienza è: scaricare solo temi dai repository della propria distro, o in alternativa crearseli da se, oppure se si vuole rischiare da gnomelook assicurarsi che in fase di scaricamento non ci linki altrove, il mio è stato un 'errore da ingenuo, inoltre era la prima volta che non effettuavo la scansione dell'archivio con clamav..

antowen ha scritto: ...mi ricordo che era un tema che rendeva linux molto simile a xp ....

Infatti, molto simile 

steff ha scritto:

antowen ha scritto: ...mi ricordo che era un tema che rendeva linux molto simile a xp ....

Infatti, molto simile 

dopo questa devo dire che l'ha reso in tutto e per tutto simile