Comparsa di filesystem non voluto durante navigazione

[angelo77]

Salve.

Innanzitutto non so se questo sia la sezione giusta per pubblicare questo post.
Io uso Ubuntu versione 20.04 LTS.
Mi succede a volte che durante la navigazione senta l'hard disk che inizia ad aumentare il numero di giri per qualche minuto e vedo comparire sul desktop dei filesystem montati non so da chi.
Premetto che durante navigazione uso sempre UFW in configurazione standard.
Grazie in anticipo a chi potrà darmi dei suggerimenti.

Angelo

[angelo77]

Come aggiunta , oggi mi è successo di nuovo.
Premetto che per navigare uso una key usb.
Di solito la connetto e navigo , oggi , ed alcune altre volte , dopo un po' che navigavo , è apparso un "volume" filesystem sul desktop relativo alla chiavetta. Non so se c'è qualche user che da remoto può fare un mount di un filesystem.Io sono l'unica persona che usa il pc.
Credo di avere dei problemi di sicurezza durante la connessione ma non riesco a venirne a capo.

[thece]

Mi succede a volte che durante la navigazione senta l'hard disk che inizia ad aumentare il numero di giri per qualche minuto ...

Questo fenomeno potrebbe essere assolutamente "normale", dipende da cosa sta facendo il tuo PC in quel momento. Non è necessariamente un sintomo di attacco da remoto.
Per inquadrare meglio la situazione occorre capire chi - quale applicazione - sta utilizzando intensivamente il disco in quel momento.
Dovresti installare un'applicazione di monitoraggio per l'uso del disco (esempio: iotop) e controllare. Potrebbe non essere un controllo intuitivo.

... e vedo comparire sul desktop dei filesystem montati non so da chi.

Vediamoli questi filesystem montati. Output del comando

Codice: Seleziona tutto

mount

Premetto che per navigare uso una key usb.

Le "chiavette Internet" solitamente ospitano uno spazio di storage che contiene i driver del dispositivo e che non dovrebbe essere montato nel momento in cui il dispositivo è riconosciuto come modem 3G/4G. Non è che quello che viene montato è proprio questo spazio di storage?

Premetto che durante navigazione uso sempre UFW in configurazione standard.

Di default Ubuntu non necessita di alcun firewall attivo - è un inutile spreco di risorse - questo perchè non ha alcun servizio contattabile da remoto.
Il tuo PC èspone dei servizi in LAN? Espone dei servizi su Internet? Si potrebbe partire dall'output del comando

Codice: Seleziona tutto

sudo ss -tulnp

Non basta installare il firewall per proteggere il PC! Potrebbe dare un falso senso di sicurezza.
I firewall non sono tutti uguali. Occorre capirne il funzionamento e - se si ritengono necessari - configurarli a dovere.

[angelo77]

Ciao thece.

Grazie dell'intervento.
Purtroppo il firewall non sono in grado di configurarlo da solo , non ne sono capace.
Premetto che tutte le volte che mi compaiono questi filesystem , cercando di selezionarne le proprietà , non
riesco mai ad avere alcuna info.
Per quanto riguarda quello che hai chiesto , ti metto di seguito il risultato di mount (abbastanza corposo) :

Codice: Seleziona tutto

sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
udev on /dev type devtmpfs (rw,nosuid,noexec,relatime,size=841376k,nr_inodes=210344,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
tmpfs on /run type tmpfs (rw,nosuid,nodev,noexec,relatime,size=177480k,mode=755)
/dev/mapper/ubuntu--vg-root on / type ext4 (rw,relatime,errors=remount-ro)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup2 on /sys/fs/cgroup/unified type cgroup2 (rw,nosuid,nodev,noexec,relatime,nsdelegate)
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,name=systemd)
pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
none on /sys/fs/bpf type bpf (rw,nosuid,nodev,noexec,relatime,mode=700)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,pids)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb)
cgroup on /sys/fs/cgroup/rdma type cgroup (rw,nosuid,nodev,noexec,relatime,rdma)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=28,pgrp=1,timeout=0,minproto=5,maxproto=5,direct,pipe_ino=15370)
mqueue on /dev/mqueue type mqueue (rw,nosuid,nodev,noexec,relatime)
hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime,pagesize=2M)
debugfs on /sys/kernel/debug type debugfs (rw,nosuid,nodev,noexec,relatime)
tracefs on /sys/kernel/tracing type tracefs (rw,nosuid,nodev,noexec,relatime)
fusectl on /sys/fs/fuse/connections type fusectl (rw,nosuid,nodev,noexec,relatime)
configfs on /sys/kernel/config type configfs (rw,nosuid,nodev,noexec,relatime)
/var/lib/snapd/snaps/core18_1944.snap on /snap/core18/1944 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/core18_1988.snap on /snap/core18/1988 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/core_10823.snap on /snap/core/10823 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-3-28-1804_145.snap on /snap/gnome-3-28-1804/145 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/core_10859.snap on /snap/core/10859 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-3-28-1804_128.snap on /snap/gnome-3-28-1804/128 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-3-34-1804_60.snap on /snap/gnome-3-34-1804/60 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-3-34-1804_66.snap on /snap/gnome-3-34-1804/66 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-calculator_884.snap on /snap/gnome-calculator/884 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-calculator_826.snap on /snap/gnome-calculator/826 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-characters_550.snap on /snap/gnome-characters/550 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-characters_570.snap on /snap/gnome-characters/570 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-logs_100.snap on /snap/gnome-logs/100 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-logs_103.snap on /snap/gnome-logs/103 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-system-monitor_148.snap on /snap/gnome-system-monitor/148 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gnome-system-monitor_157.snap on /snap/gnome-system-monitor/157 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gtk-common-themes_1506.snap on /snap/gtk-common-themes/1506 type squashfs (ro,nodev,relatime,x-gdu.hide)
/var/lib/snapd/snaps/gtk-common-themes_1514.snap on /snap/gtk-common-themes/1514 type squashfs (ro,nodev,relatime,x-gdu.hide)
/dev/sda1 on /boot type ext4 (rw,relatime)
tmpfs on /run/user/121 type tmpfs (rw,nosuid,nodev,relatime,size=177476k,mode=700,uid=121,gid=125)
tmpfs on /run/user/1000 type tmpfs (rw,nosuid,nodev,relatime,size=177476k,mode=700,uid=1000,gid=1000)
gvfsd-fuse on /run/user/1000/gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=1000,group_id=1000)

E dopo ti metto il risultato del comando sudo ss -tulnp :

Codice: Seleziona tutto

Netid   State    Recv-Q   Send-Q     Local Address:Port     Peer Address:Port   Process                                                                         
udp     UNCONN   0        0          127.0.0.53%lo:53            0.0.0.0:*       users:(("systemd-resolve",pid=710,fd=12))                                      
tcp     LISTEN   0        4096       127.0.0.53%lo:53            0.0.0.0:*       users:(("systemd-resolve",pid=710,fd=13)) 

Grazie 1000 !

[thece]

Frase di rito: come avrai sicuramente già visto in giro per il Forum, per rendere più comprensibile la discussione, dovresti formattare correttamente sia i comandi sia i relativi output racchiudendoli tra i tag [ code ] ... [ /code ] (scritti senza spazi) in modo da ottenere un qualcosa del genere

Codice: Seleziona tutto

COMANDO
...
OUTPUT
...

Puoi applicare i tag automaticamente selezionando il testo che vuoi racchiudere tra di essi e poi premendo il bottone </> (Codice) nella pulsantiera posta sopra il riquadro di scrittura.
Sei invitato a modificare il tuo precedente post.

[corradoventu]

Quali sono i filesystem montati non so da chi? puoi listarli?

[thece]

Partiamo dall'output del comando

Codice: Seleziona tutto

sudo ss -tulnp

al momento l'unico servizio in ascolto sul tuo PC è il proxy DNS (systemd-resolve) in esecuzione sul tuo PC ed è contattabile unicamente dai processi locali al tuo PC. Ciò significa che:

- NESSUNO può collegarsi direttamente al tuo PC ne dalla LAN, ne da Internet. Collegarsi indirettamente è un altro discorso ...
- puoi disattivare / disinstallare tranquillamente il firewall UFW

Per quanto riguarda il comando mount al momento non noto nulla di strano. Cosa hai di "montato" sul Desktop? Puoi postare uno screenshot?
Postare l'output di questi due comandi

Codice: Seleziona tutto

cat /etc/passwd | grep 121
cat /etc/group | grep 125

[angelo77]

Come desktop ho Xfce perchè come pc ho un macinino un po' datato.
Spegnendo e riaccendendo , il filesystem "volume" è sparito dal desktop.
Comunque sul desktop avevo alcune directory , dei file pdf e questo "volume" che risultava un filesystem non montato.
Come icona era uguale a quella del "File System" di Xfce.
Per i comandi che mi hai consigliato , questi sono i risultati :

Codice: Seleziona tutto

cat /etc/passwd | grep 121
gdm:x:121:125:Gnome Display Manager:/var/lib/gdm3:/bin/false

e :

Codice: Seleziona tutto

cat /etc/group | grep 125
gdm:x:125:

[angelo77]

Quali sono i filesystem montati non so da chi? puoi listarli?

Quando ho spento il pc , sono spariti.
Mi compaiono a volte sul pc , mentre navigo (anche dopo ore) sul desktop e hanno un icona come "File System".

[thece]

Mi spiace ma al momento non riesco a vedere nulla che mi faccia pensare ad un'intrusione sul tuo PC.

[angelo77]

Grazie ugualmente.