Il forum della comunità italiana di Ubuntu.
https://forum.ubuntu-it.org/
Una veloce query sul database di clamav mostra:marlboro [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787385#p4787385][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Scusate l'ignoranzama clam av lo rileva ?
ma clam av rileva un pacco di falsi positivi anche. se quello fosse li in mezzo quasi non ci fai caso.marlboro [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787385#p4787385][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Scusate l'ignoranza
potrebbe creare uno script che faccia tutto quello elencato sopra ?L'altra cartella è /etc/init.dubuntumate [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787425#p4787425][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Soluzioni trovate negli articolo linkati da steff:
-Disattivare l'utente robot sul server SSH
-restringere l'accesso a /lib e un'altra cartella che non ricordo
-al posto di killare il processo, bisogna metterlo in pausa e poi killarlo.Questo rootkit non intercetta il segnale SIGSTOP,ma solo SIGKILL.
Direttamente da questa pagina.marlboro ha scritto:Non è che qualcuno molto più bravo di me
Codice: Seleziona tutto
for f in zyjuzaaame lcmowpgenr belmyowxlc aqewcdyppt
do
mv /etc/init.d/$f /tmp/ddos/
rm -f /etc/cron.hourly/udev.sh
rm -f /var/run/udev.pid
mv /lib/libgcc4.so /tmp/ddos/libgcc4.so.$f
chattr -R +i /lib
chattr -R +i /etc/init.d
kill -9 19897 19890 19888 19891
doneInfatti chiunque abbia un server ssh dovrebbesbalgio senpre [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787440#p4787440][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Ricordiamo comunque che il problema riguarda solo chi ha un server ssh
Per questo è meglio usare rkhunter.Jhack [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787398#p4787398][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:ma clam av rileva un pacco di falsi positivi anche. se quello fosse li in mezzo quasi non ci fai caso.marlboro [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787385#p4787385][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Scusate l'ignoranza
Codice: Seleziona tutto
[13:13:07] Warning: Hidden directory found: '/dev/.udev: directory 'Codice: Seleziona tutto
sudo chkrootkit -q
/usr/lib/pymodules/python2.7/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/3.19.0-23-generic/vdso/.build-id /lib/modules/3.19.0-25-generic/vdso/.build-id
/lib/modules/3.19.0-23-generic/vdso/.build-id /lib/modules/3.19.0-25-generic/vdso/.build-id
Warning: /sbin/init INFECTED
The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 1234 tty7 /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
è normale infatti.ubuntumate [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787465#p4787465][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Anche a me segnala unhide.rb e /dev/non so cosa su Kubuntu fresco di installazione.
No, solo di alcuni accorgimenti. In questo caso su come si configura un server ssh.marlboro [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787472#p4787472][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Non so se ho capito male,ma d'ora in avanti ..avrà bisogno di un antivirus o altro ? Perché sembra proprio la fine di un mito come da titolo
Ti ho risposto sull'altro topic.ubuntumate [url=http://forum.ubuntu-it.org/viewtopic.php?p=4787465#p4787465][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Anche a me segnala unhide.rb e /dev/non so cosa su Kubuntu fresco di installazione.
al contrario però non vorrei mai che il mio pc ne fosse esposto..che fare in questo caso ?