I virus non sono ancora un problema per linux?

[linux_menta]

Non so se questa è la sezione adatta, nel caso qualche moderatore può sempre spostare la discussione. Piccola parentesi prima di iniziare con l'esposizione dell'argomento, bisognerebbe segnalare agli amministratori del forum di migliorare la ricerca della username e password per accedere in caso di smarrimento dati personali, non ricordandomi la user inizialmente ci stavo rinunciando e poi per la disperazione ho mandato una mail e dopo 2 giorni facendo altri tentativi alla fine è riuscito fuori il nome utente giusto.
Chiusa parentesi e veniamo al dunque che l'intervento è lungo. Qualche anno fa ormai pur sapendo che i virus sotto linux non hanno nessun effetto ho voluto provare a fare una scansione con clamav, ovviamente all'epoca il risultato della scansione è stato totalmente negativo.
Circa un mese fa sono iniziati dei problemi seri. Prima di aprire questo topic http://forum.ubuntu-it.org/viewtopic.php?f=97&t=613358 ero alla ricerca di una soluzione in rete per far funzionare il traduttore; trovai dei comandi da eseguire nel terminale e li ho voluti provare. Inizialmente ho notato la disinstallazione di alcuni pacchetti che poi non ne volevano sentire di reinstallarsi, successivamente la partizione /home è tornata totalmente pulita come se avessi appena fatto la prima installazione del sistema operativo. A questo punto ne ho approfittato per fare un'upgrade di versione, quindi partendo dalla 17, ne ho provate diverse per altre problematiche (ma teniamoci su questo argomento senza divagare) optando quindi per Linux Mint Mate 17.3 a 64 bit. Dopo aver installato e configurato tutto, nei miei utilizzi quotidiani sono ricominciate le disinstallazioni sempre di alcuni software, che come in precedenza non permetteva più di reinstallarli, dicendo che le dipendenze non potevano essere soddisfatte; oltre a questo navigando di tanto in tanto mi si aprivano delle nuove schede di Firefox con opportunità di guadagno stratosferiche, quindi tipici comportamenti virali sotto il famoso marchio che conosce anche il netturbino che passa sotto casa mia.
A questo punto il dubbio mi è sembrato più che lecito, ho riaperto clamtk e gli ho fatto fare la prima scansione completa, alla quale poi ne sono seguite altre sia per assicurarmi di essermene liberato, e sia per cercare di capire da dove provenissero, (ho avanzato delle buone ipotesi ma vediamo più avanti).
Ecco il risultato della triste sorpresa, ho mandato a capo il tipo di infezione per facilitare la lettura.

Codice: Seleziona tutto

ClamTk, v4.45
Wed Sep 21 04:35:20 2016
Firme virus ClamAV: 4833544

Trovato/i 107 possibile/i minacce (209440 file analizzata/e).

/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/22BFC1189C5A944B37CAE4AFCB1DC1B49C0FD5FF
PUA.Win.Tool.Packed-177
/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/40E97BDA9925A89BA8759F2392EC5F416DD83055
PUA.Html.Trojan.Agent-37075
/home/carlo/.config/chromium/Default/File System/001/t/00/00000000
Win.Trojan.Agent-1428650
/usr/lib/libreoffice/presets/basic/Standard/Module1.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/mono/4.0/mscorlib.dll
PUA.Win.Packer.PrivateExeProte-8
/usr/lib/mono/4.5/mscorlib.dll
PUA.Win.Packer.PrivateExeProte-8
/usr/lib/ruby/1.9.1/rdoc/generator/template/darkfish/js/thickbox-compressed.js
PUA.Win.Tool.Packed-177
/usr/lib/linuxmint/mintWifi/drivers/i386/WUSB54Gv4/rt2500usb.sys
PUA.Win.Packer.NspackDotnetNor-2
/usr/lib/linuxmint/mintWifi/drivers/i386/Broadcom4318_Dell1390/bcmwl5.sys
PUA.Win.Packer.PrivateExeProte-8
/usr/lib/linuxmint/mintWifi/drivers/i386/Dell_bcmwl5/bcmwl5.sys
PUA.Win.Packer.PrivateExeProte-8
/home/carlo/.config/slimjet/Default/File System/000/t/00/00000000
PUA.Win.Tool.InstallBrain-1
/home/carlo/.config/libreoffice/4/user/extensions/tmp/extensions/lu4492c2fwxk.tmp_/oracle-pdfimport.oxt/basic/Module1.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.config/libreoffice/4/user/basic/Standard/Module1.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/My Skype Received Files/ReMouseStandard-Setup.exe
PUA.Win.Spyware.XPCSpyPro-1
/usr/share/mime/mime.cache
PUA.Win.Exploit.CVE_2012_0110-1
/usr/lib/libreoffice/share/basic/Tools/Debug.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tools/Strings.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tools/Misc.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tools/UCB.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/197AEDDA4FBFBC4A8C369765460F61203E3A079D
PUA.Html.Exploit.CVE_2014_0322-1
/usr/lib/libreoffice/share/basic/Tools/Listbox.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tools/ModuleControls.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/FormWizard/Language.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/FormWizard/develop.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/FormWizard/Layouter.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/FormWizard/FormWizard.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/FormWizard/DBMeta.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/FormWizard/tools.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Template/ModuleAgenda.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Template/Samples.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/94E1272E2FC3F063C9E05DE8806E98F1D836E507
PUA.Html.Trojan.Agent-37075
/usr/lib/libreoffice/share/basic/Template/Correspondence.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Template/Autotext.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_it.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_zh.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_en.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Depot.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_ko.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_ja.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_de.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_fr.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/CB20C6A0020B65FFE36B1AAFA026A1A1DFA50A93
PUA.Html.Trojan.Agent-37075
/usr/lib/libreoffice/share/basic/Depot/Lang_es.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Currency.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Internet.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/CommonLang.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_tw.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/tools.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Depot/Lang_sv.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/Common.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/Protect.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/Soft.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/Scaricati/oracle-pdfimport.oxt
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/Hard.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/ConvertRun.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/Writer.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/AutoPilotRun.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Euro/Init.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tutorials/TutorialOpen.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tutorials/TutorialClose.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tutorials/ShowInfoDialog.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tutorials/Functions.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Tutorials/RoadMap.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.config/chromium/Default/File System/000/t/00/00000001
PUA.Win.Trojan.Casino-141
/usr/lib/libreoffice/share/basic/Tutorials/TutorialCreator.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Gimmicks/ReadDir.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Gimmicks/GetTexts.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Gimmicks/ChangeAllChars.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Gimmicks/Userfields.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Gimmicks/AutoText.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/ImportWizard/Language.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/ImportWizard/FilesModul.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/ImportWizard/Main.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/ImportWizard/API.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.config/chromium/Default/File System/000/t/00/00000003
PUA.Win.Trojan.Casino-141
/usr/lib/libreoffice/share/basic/ImportWizard/DialogModul.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Form.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Compatible.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/CommandBarControl.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Control.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/OptionGroup.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Property.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/L10N.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Recordset.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/CommandBar.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.config/chromium/Default/File System/000/t/00/00000000
PUA.Win.Trojan.Casino-141
/usr/lib/libreoffice/share/basic/Access2Base/Utils.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/acConstants.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Application.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Event.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Field.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Methods.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Dialog.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Database.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/_License.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/SubForm.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/home/carlo/.config/chromium/Default/File System/000/t/00/00000002
PUA.Win.Trojan.Casino-141
/usr/lib/libreoffice/share/basic/Access2Base/TempVar.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Collect.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/DataDef.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/PropertiesSet.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Test.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/DoCmd.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Trace.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/Root_.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/PropertiesGet.xba
PUA.Doc.Tool.LibreOfficeMacro-1
/usr/lib/libreoffice/share/basic/Access2Base/UtilProperty.xba
PUA.Doc.Tool.LibreOfficeMacro-1
---------------------------------------------------------------------------------------------------------------------------------------------------------------

Ho rimosso i file infetti della partizione /home, ho disinstallato LibreOffice e Mono da Synaptic facendo click su "rimuovi completamente", riguardo i driver del Wifi non so come disinstallarli, se disinstallo mime e l'amica "dell'ex cavaliere" mi portano via una valanga di pacchetti oltre all'ambiente grafico; quindi sono rimasto con 5 file infetti.
In ultimo, ipotesi di provenienza, ovviamente posso benissimo sbagliarmi in quanto in questo caso non dovrei essere l'unica vittima, ma per questo dovreste darmi conferma voi. Avendo disinstallato completamente LibreOffice, ho provato ad installarlo nuovamente, immagino che venga scaricato ed installato dai repository di Ubuntu, nuova scansione e sono nuovamente a 90 minacce.
Qualcuno sa come uscirne fuori?
Grazie anticipatamente.

[ivantu]

i file Pua sono falsi positivi

[jackynet92]

sposto in sicurezza, inoltre modifica gli SPOILER con i CODE

[linux_menta]

i file Pua sono falsi positivi

Ok ma come si spiegano le disinstallazioni e le aperture delle schede in Firefox con guadagni stratosferici, per esempio con il Brexit, che ad un certo punto stavano diventando anche assillanti?

[thece]

e le aperture delle schede in Firefox con guadagni stratosferici, per esempio con il Brexit, che ad in certo punto stavano diventando anche assillanti?

Un sito Web ti può far apparire tutte le schede e le informazioni sballate che vuole. Ci sono dei plugin appositi di Firefox e Chrome che servono appunto a mitigare questi comportamenti.
Più o meno consciamente avrai dato l'assenso ad installare una qualche porcheria nel tuo profilo del browser. Probabilmente bastava cancellare e ricreare il tuo profilo

Un sito Web malevolo potrebbe sfruttare una qualche vulnerabilità del tuo browser o di qualche suo plugin installato (tipo Flash Player) per attaccarti. Ti ricordo però che il tuo browser gira con i diritti del tuo utente, quindi non può liberamente corromperti tutto il sistema (*). Può fare danni solo all'interno della tua home. Certo che se poi lo fai girare come root ...

Circa un mese fa sono iniziati dei problemi seri. Prima di aprire questo topic ... ero alla ricerca di una soluzione in rete per far funzionare il traduttore; trovai dei comandi da eseguire nel terminale e li ho voluti provare. Inizialmente ho notato la disinstallazione di alcuni pacchetti che poi non ne volevano sentire di reinstallarsi, successivamente la partizione /home è tornata totalmente pulita come se avessi appena fatto la prima installazione del sistema operativo. A questo punto ne ho approfittato per fare un'upgrade di versione ... Dopo aver installato e configurato tutto, nei miei utilizzi quotidiani sono ricominciate le disinstallazioni sempre di alcuni software, che come in precedenza non permetteva più di reinstallarli, dicendo che le dipendenze non potevano essere soddisfatte ...

Ho rimosso i file infetti della partizione /home, ho disinstallato LibreOffice e Mono da Synaptic facendo click su "rimuovi completamente", riguardo i driver del Wifi non so come disinstallarli, se disinstallo mime e l'amica "dell'ex cavaliere" mi portano via una valanga di pacchetti oltre all'ambiente grafico; quindi sono rimasto con 5 file infetti.
... Avendo disinstallato completamente LibreOffice, ho provato ad installarlo nuovamente, immagino che venga scaricato ed installato dai repository di Ubuntu ...

(le azioni elencate qui sopra sono tutte volontarie)

Ok ma come si spiegano le disinstallazioni

A meno che il tuo sistema non sia stato violato ... tutto da dimostrare ... solo tu puoi decidere cosa installare o disinstallare. Secondo me hai disinstallato qualcosa di troppo



Con un'analisi grossolana, tenendo conto che nessuna applicazione senza i diritti di root può andare a scrivere in queste directory

Codice: Seleziona tutto

/usr/lib/libreoffice
/usr/lib/mono
/usr/lib/ruby
/usr/lib/linuxmint

e quindi ipotizzando che il loro contenuto sia legittimo poichè installato da pacchetti di repository legittimi, il "malware" presente sul tuo PC si ridurrebbe potenzialmente a questo

Codice: Seleziona tutto

/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/22BFC1189C5A944B37CAE4AFCB1DC1B49C0FD5FF
PUA.Win.Tool.Packed-177

/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/40E97BDA9925A89BA8759F2392EC5F416DD83055
PUA.Html.Trojan.Agent-37075

/home/carlo/.config/chromium/Default/File System/001/t/00/00000000
Win.Trojan.Agent-1428650

/home/carlo/.config/slimjet/Default/File System/000/t/00/00000000
PUA.Win.Tool.InstallBrain-1

/home/carlo/.config/libreoffice/4/user/extensions/tmp/extensions/lu4492c2fwxk.tmp_/oracle-pdfimport.oxt/basic/Module1.xba

/home/carlo/.config/libreoffice/4/user/basic/Standard/Module1.xba

/home/carlo/My Skype Received Files/ReMouseStandard-Setup.exe
PUA.Win.Spyware.XPCSpyPro-1

/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/197AEDDA4FBFBC4A8C369765460F61203E3A079D
PUA.Html.Exploit.CVE_2014_0322-1

/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/94E1272E2FC3F063C9E05DE8806E98F1D836E507
PUA.Html.Trojan.Agent-37075

/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/CB20C6A0020B65FFE36B1AAFA026A1A1DFA50A93
PUA.Html.Trojan.Agent-37075

/home/carlo/Scaricati/oracle-pdfimport.oxt

/home/carlo/.config/chromium/Default/File System/000/t/00/00000001
PUA.Win.Trojan.Casino-141

/home/carlo/.config/chromium/Default/File System/000/t/00/00000003
PUA.Win.Trojan.Casino-141

/home/carlo/.config/chromium/Default/File System/000/t/00/00000000
PUA.Win.Trojan.Casino-141

/home/carlo/.config/chromium/Default/File System/000/t/00/00000002
PUA.Win.Trojan.Casino-141

tutto materiale che si può spazzare via in un attimo



La mia risposta alla tua domanda è quindi: si, i virus il malware (meglio) per Linux è un problema, ma in misura molto molto molto molto molto molto molto molto molto molto inferiore rispetto ad un qualsiasi Windows.
Installo Linux e mi dimentico del malware: no! Installo Linux e mi sento più protetto. Ma non per questo devo essere meno vigile.



(*) però in teoria però è possibile.

[Mdfalcubo]

Un modo elegante per dire che se non sai ciò che fai, il virus* sei tu. Su qualsiasi s.o.

*Ormai tutto finisce sotto questa voce, anche se non lo è...

[linux_menta]

Perdonatemi devo fare il mio intervento con più risposte in quanto il forum non mi permette di aggiungere più di 3 allegati.

Ci sono dei plugin appositi di Firefox e Chrome che servono appunto a mitigare questi comportamenti.

Queste sono le estensioni di Firefox installate

Questi sono i plugin di Firefox installati

Queste sono le estensioni di Chromium installate

[linux_menta]

Adesso mi riferisco sempre a questa citazione per aggiungere l'allegato mancante.

Ci sono dei plugin appositi di Firefox e Chrome che servono appunto a mitigare questi comportamenti.

Riguardo Slimjet che si installa da .deb (quindi aprendolo con gdebi) facendo click su "Installa pacchetto" prima non appariva nessun avviso, o almeno non appare sempre, mi spiego meglio, aprendo il file con gdebi più volte per ripetere il salvataggio dell'immagine .png per poterla postare senza procedere con l'installazione, prima mi appariva questo avviso, adesso non appare più, ma ovviamente prima di formattare l'ultima volta eseguivo l'installazione una sola volta senza annullare niente, quindi le volte precedenti credo che non sia apparso.

Immagino mi stai dicendo che bisogna dare la dovuta importanza a questi avvisi, almeno quando appaiono.

Più o meno consciamente avrai dato l'assenso ad installare una qualche porcheria nel tuo profilo del browser. Probabilmente bastava cancellare e ricreare il tuo profilo

Uso il plurale perchè ovviamente è rivolto a chiunque voglia intervenire, cortesemente potreste spiegarmi bene come salvare almeno i segnalibri e le schede aperte (riguardo le estensioni e i plugin poco male, li posso riaggiungere anche manualmente), in Firefox e Chromium, non so come mai ma non sempre l'operazione di ripristino va a buon fine.

Un sito Web malevolo potrebbe sfruttare una qualche vulnerabilità del tuo browser o di qualche suo plugin installato (tipo Flash Player) per attaccarti.

Flash Player un periodo anche piuttosto lungo è stato bloccato da tutti i principali Browser indipendentemente dai plugin installati, non potendo visualizzare dei video per me importanti in alcune pagine web che usano ancora player in Flash ecco che l'unica soluzione al momento era Slimjet. Immagino che il blocco da parte dei browser principali era dovuto a dei motivi di sicurezza; domanda, se adesso i Browser principali hanno rimosso questo blocco, immagino che Flash player non sia più un'insidia per il sistema, oppure mi sbaglio anche in questo caso? E se mi sbaglio, c'è un modo per visualizzare o scaricare questi video anche senza plugin istallati per poterli visualizzare e se necessario editarli o convertirli in altri formati? (Ovviamente utilizzo già i pacchetti necessari per tali operazioni che le permettono per i file in locale.)

Certo che se poi lo fai girare come root ...

Tranquillo root lo uso solo nel caso in cui devo fare operazioni che non mi permette di fare l'utente normale, come installare i driver per la stampante Samsung Laserjet, oppure cambiare i permessi ad alcuni file o cartelle che solitamente dovrebbero essere di proprietà dell'utente normale ma a volte capita che non è così, e conoscendo poco i comandi da terminale (anche se ultimamente oltre al comando sudo sto imparando ad usare i comandi su e gksudo se non ricordo male), e altre cose simili.

solo tu puoi decidere cosa installare o disinstallare. Secondo me hai disinstallato qualcosa di troppo

Non escludo nulla, può anche darsi che sia capitata una cosa del genere, è qualche anno ormai che utilizzo solo ed esclusivamente Linux, certo non posso imparare tutto di questo sistema perchè è molto complesso, ma ho imparato a mie spese molte reazioni dello stesso.

tutto materiale che si può spazzare via in un attimo

Prontamente fatto, anche se è materiale rimasto ancora in un backup, quindi se continuo a formattare anche la partizione /home (per via di altre anomalie cioè l'applet pannello "Hardware sensor monitor" che dalla versione 17.3 lagga terribilmente ma lo fa anche su Ubuntu Mate, altre distro e ambienti grafici non lo so, e non so come fare marcia indietro, visto che mi era venuto il dubbio dei virus ho pensato "vuoi vedere che lagga a causa di qualche virus?", per sostituirlo sto rimediando con uno script conky) inevitabilmente con il ripristino dei dati questo materiale torna a galla. Certo, una volta che scopro tutte le cause degli inconvenienti riscontrati posso benissimo eliminare anche il backup e ricrearlo "pulito".
Fine Risposta.

Altra curiosità, Clamav ha anche un demone che si chiama clamav-daemon, se non erro come nome Processo in Monitor di Sistema viene riconosciuto come clamd, la domanda è la seguente, questo demone funziona come residente in memoria? O meglio gli antivirus dell'S.O. che utilizza anche il netturbino che passa sotto casa, mentre si naviga o si apre qualche file infetto e incontra qualche minaccia, avverte che è stato bloccato; clamav-daemon in caso di riscontro positivo farebbe la stessa identica cosa?

Nel frattempo ho fatto un'altra scansione soltanto della partizione /home, questa volta non ci sono soltanto i PUA, e gli ultimi 2 file infetti non sono nuovi download ma erano già presenti, l'antivirus me li ha segnalati soltanto questa volta.

Codice: Seleziona tutto

ClamTk, v4.45
Thu Sep 22 05:57:23 2016
Firme virus ClamAV: 4837418

Trovato/i 3 possibile/i minacce (72517 file analizzata/e).

/home/carlo/.cache/mozilla/firefox/mwad0hks.default/cache2/entries/94E1272E2FC3F063C9E05DE8806E98F1D836E507
PUA.Html.Trojan.Agent-37075
/home/carlo/Documenti/Windows 7 Ultimate Italiano Completo.pdf
Win.Trojan.Agent-1696805
/home/carlo/Scaricati/Programmi 32 bit/Temi/StanAngeloff-AmbianceOneiric-db578b7.zip
Win.Trojan.Agent-1698354
-----------------------------------------------------------------------------------------------------------

A proposito ivantu, cosa significa esattamente che i PUA sono falsi positivi?

[OMBRA_Linux]

1° Linux Mint se ricordo bene fu attaccato il loro Sito manomettendo i download del SO quindi, hai controllato che il SO fosse Sicuro?
2° Come ti hanno già detto alcuni file sono dei Falsi Positivi e su questo quasi tutti gli Antivirus ne patiscono le conseguenze.
3° Per le pagine che si aprono da sole ( in alcuni casi ) basta eliminare i cookies oppure controllare se vi siano ( Estensioni obsolete,) anche qui basta semplicemente Disattivarle/Rimuoverle e hai risolto.

[linux_menta]

1° Linux Mint se ricordo bene fu attaccato il loro Sito manomettendo i download del SO quindi, hai controllato che il SO fosse Sicuro?

Ho fatto la scansione del Dvd di installazione, stranamente il contenuto per essere di 1,7 Gb ci ha messo solo pochi secondi a completare.

2° Come ti hanno già detto alcuni file sono dei Falsi Positivi e su questo quasi tutti gli Antivirus ne patiscono le conseguenze.

Quindi verrebbero segnalati come virus quando in realtà non lo sono? Sarebbe questo il concetto esattamente?

3° Per le pagine che si aprono da sole ( in alcuni casi ) basta eliminare i cookies oppure controllare se vi siano ( Estensioni obsolete,) anche qui basta semplicemente Disattivarle/Rimuoverle e hai risolto.

Sotto Firefox l'aggiornamento più vecchio è questo, considerando che sotto Chromium c'è solo AdBlock immagino che venga aggiornato periodicamente.

[thece]

Inizio a scrivere qualche osservazione. Il discorso è piuttosto lungo e non riesco a scrivere tutto insieme. Piano piano aggiungerò ...


Iniziamo da qui: credi di avere il sistema compromesso? Fai il backup dei (soli) dati e reinstalla tutto il sistema da zero. Installa l'ultima versione di Linux Mint, quella che hai tu è obsoleta.


Il DVD di installazione non si verifica come hai fatto tu. E da quello che hai fatto direi che non hai capito nemmeno come si usa un antivirus, cosa controlla e come va impostato. Ne riparleremo ...
Devi scaricare il file ISO dal sito ufficiale di Linux Mint. Una volta scaricato ne controlli l'hash e se questo valore corrisponde con quanto è riportato sul sito ufficiale allora il file ISO (al 99,99% (*)) è pulito ... è già stato verificato da chi l'ha preparato. Quindi puoi procedere alla sua masterizzazione e successiva installazione.

(*) come è stato accennato, si sono verificati casi di hackeraggio in cui hanno caricato ISO manomesse sui siti ufficiali


Per stare tranquilli, si installa il software solamente dai repository ufficiali.
Se decidi di affiancare ai repository ufficiali dei PPA esterni, verificane prima l'attendibilità. Questo comunque vale per qualsiasi applicazione tu decida di scaricare ed installare.


Flash Player continua ad essere un problema di sicurezza. Personalmente continuo ad usarlo, con le dovute precauzioni, e non ho mai avuto alcun problema. Dipenderà dai siti su cui navigo?


Questo punto è del tutto personale: per la sicurezza, sia su Firefox sia su Chrome uso solamente queste estensioni

- HTTPS Everywhere
- uBlock Origin, che va a sostituire AdBlock ... il perchè lo puoi leggere in giro per il Web
- NoScript
- Il Sale In Zucca ... questa è l'estensione più importante


Sia Firefox sia Chrome posseggono efficaci gestori dei segnalibri. Da tali gestori poi esportare in un file HTML i segnalibri salvati sul browser, per poterli reimportare successivamente.


Per sapere come si ricreano (o resettano) i profili del browser rifatti alla documentazione ufficiale sui siti dei rispettivi produttori. Questa dovrebbe essere sempre la strada preferibile: leggere la documentazione ufficiale!


PUA sta per Potentially Unwanted Applications, quindi un'applicazione potenzialmente pericolosa. Esattamente come un bisturi è una potenziale arma: un'applicazione è pericolosa secondo il modo in cui la si usa (ed è stata scritta). Tradotto: bisogna valutare caso per caso. Se il file che ti viene indicato come sospetto è un file lecito perchè proviene da una fonte lecita (di cui ti fidi) allora la segnalazione è un falso positivo. Se il file che ti viene indicato è di dubbia provenienza allora occorre approfondire le indagini su di esso. Esistono diversi siti in giro per il Web che aiutano in questo tipo di approfondimenti ... su due piedi mi viene in mente VirusTotal ...

Prontamente fatto, anche se è materiale rimasto ancora in un backup, quindi se continuo a formattare anche la partizione /home ... inevitabilmente con il ripristino dei dati questo materiale torna a galla. Certo, una volta che scopro tutte le cause degli inconvenienti riscontrati posso benissimo eliminare anche il backup e ricrearlo "pulito".

Se con il backup salvi anche il malware va da sè che quando ripristini da backup, ripristini anche il malware

Mi sfugge perchè continui a riformattare /home. Questa directory (o nel caso, partizione separata) non dovrebbe contenere mai alcuna applicazione, solamente dati "inerti".

Solo i file eseguibili (applicazioni, script, librerie) possono (potenzialmente) fare danni. I file dati no.


Le mie conoscenze su ClamAV sono un pò datate, non lo uso spesso. So che di default il demone di scansione automatica non viene installato, almeno su Debian / Ubuntu, di conseguenza tutte le scansioni sono a carico dell'utente.
Ricordo che tempo addietro la sua installazione e configurazione era piuttosto elaborata, sicuramente le cose saranno cambiate ... leggi la documentazione.
A meno di ambiti particolari, diversamente dal mondo Windows, su Linux tenere un demone di scansione antivirus attivo è considerato un'inutile spreco di risorse, proprio per la sicurezza intrinseca (by design) del sistema operativo Linux. Vedi un pò tu se effettivamente ne hai la necessità


Gli antivirus (tutti) di default non scandiscono tutti i file. E' per questo che alcune scansioni sembrano particolarmente veloci ed altre particolarmente lente. Di default vengono esaminati solamente i file potenzialmente pericolosi.
Per sapere quali file l'antivirus ritiene (di default) potenzialmente pericolosi guarda le sue impostazioni. In generale è tutto ciò che può essere messo in esecuzione: applicazioni, librerie, qualsiasi cosa contenga script ...
Puoi sempre decidere di far esaminare all'antivirus tutti i file, ma devi agire sulle sue impostazioni

[linux_menta]

quella che hai tu è obsoleta

Quella che ho io certo è la penultima versione corrispondente alla 14.04 di Ubuntu ma pur sempre una LTS (con aggiornamenti disponibili fino al 2019) e l'ultima versione è la 18, la quale oltre all'inconveniente dell'applet "Hardware Sensor Monitor" di cui ti parlavo rimediato con uno script conky, c'era anche qualcos'altro che non andava che ora non ricordo, oltre a questo avevo letto da qualche parte che aveva dei bug. Potrei anche riprovare ad installarla ma non so se alla fine mi ci troverei bene.

ne controlli l'hash e se questo valore corrisponde con quanto è riportato sul sito ufficiale ...

Non mi è del tutto nuova questa procedura, ma ammetto che quando l'ho trovata non gli ho dato l'importanza dovuta, e adesso noto che su Mint è meno automatizzata. Ecco il risultato, almeno qui non ho toppato nello scaricare la iso corretta.

Codice: Seleziona tutto

~/Scaricati $ md5sum linuxmint-17.3-mate-64bit.iso
d3c0ef9d0c0c93ab7109fa2ef1db0c28  linuxmint-17.3-mate-64bit.iso

Se decidi di affiancare ai repository ufficiali dei PPA esterni, verificane prima l'attendibilità.

Se hai voglia magari mi darai maggiori indicazioni su come verificare questa attendibilità.

Flash Player continua ad essere un problema di sicurezza. Personalmente continuo ad usarlo, con le dovute precauzioni ...

Potrei aver bisogno di tanto in tanto di visionare e/o scaricare video come questi Mind control, possono essere un problema? Ho suggerito al titolare del sito come convertire tutti i video contenuti in HTML5, e a quanto pare alla fine ha trovato una soluzione adatta alle sue esigenze, ma i video sono molto numerosi e ha pochissimo tempo a disposizione.

per la sicurezza, sia su Firefox sia su Chrome uso solamente queste estensioni ...

Potresti farmi una breve descrizione della prima e dell'ultima gentilmente?

Mi sfugge perchè continui a riformattare /home. Questa directory (o nel caso, partizione separata) non dovrebbe contenere mai alcuna applicazione, solamente dati "inerti".

I profili dei Browser vengono salvati su /home, la cartella Scaricati fa parte di /home. A proposito i seguenti software: Java versione proprietaria 8, le applicazioni in java, gli .exe aperti da Mono e Clipgrab; possono compromettere il sistema?

Puoi sempre decidere di far esaminare all'antivirus tutti i file, ma devi agire sulle sue impostazioni

So che gli antivirus per default non controllano tutti i file, quando mi vengono segnalate delle minacce inizialmente la mia intenzione è quella di fare in modo che controlli tutto. ClamAv sotto Linux mi ha dato l'impressione di essere più affidabile degli altri, anche confrontato con quelli a pagamento, certo non capisco ancora esattamente come funziona, ma ho visto su Avanzate -> Preferenze nella scheda "Analisi in corso" (non ricordo se l'ho fatto io o per default) è tutto spuntato, e per la scansione ho utilizzato Analizza -> Analisi ricorsiva, se poi devo agire su altro non lo so.

Grazie per la tua disponibilità, mi rendo conto che ti sto chiedendo molte informazioni, e che tanti inconvenienti che ho sono provocati dalla mia illusione di stare dentro una fortezza inaccessibile.

[ivantu]

A proposito ivantu, cosa significa esattamente che i PUA sono falsi positivi?

per darti un'idea qui c'è una breve spiegazione di cosa siano i PUA https://www.clamav.net/documents/potent ... ations-pua
se si pensi che i file segnalati nella tua scansione sia tra queste tipologie

La scansione dei file PUA è disattivata di default, esplicitamente per dei motivi

Poi devo aggiungere, le scansioni in linux dovrebbero essere consigliati quando si utilizzano file nella stessa via, in dualboot con altri sistemi operativi

[axilot]

Se ti vuoi togliere il dubbio di eventuali trojan prova ad usare "iftop" o "nethogs" da terminale e vedi se cè qualche applicazione che consuma banda in modo anomalo.

[thece]

... e che tanti inconvenienti che ho sono provocati dalla mia illusione di stare dentro una fortezza inaccessibile.

Come dice il vecchio adagio: l'unico computer sicuro è quello spento.

Penso di non essere riuscito a trasmetterti i concetti fondamentali. Riproviamo ...
Senza farsi prendere da una insana paranoia, tutto è una potenziale minaccia alla sicurezza. Come faccio a distinguere? Cerco tante informazioni, possibilmente da fonti diverse, e poi decido da me di chi fidarmi e di chi no.

Se decidi di affiancare ai repository ufficiali dei PPA esterni, verificane prima l'attendibilità.

Se hai voglia magari mi darai maggiori indicazioni su come verificare questa attendibilità.

Cerchi informazioni in Rete sull'attendibilità dei PPA

Flash Player continua ad essere un problema di sicurezza. Personalmente continuo ad usarlo, con le dovute precauzioni ...

Potrei aver bisogno di tanto in tanto di visionare e/o scaricare video come questi Mind control, possono essere un problema?

Il problema non è usare Flash Player di per sè. Il problema è su quale sito lo vado ad usare.
Mi fido di visualizzare i contenuti multimediali (per Flash Player ovviamente) su YouTube? E su http://www.donninepocovestiste.com? E su http://www.scaricaquituttoilsoftwarepiratatochevuoi.org?

per la sicurezza, sia su Firefox sia su Chrome uso solamente queste estensioni ...

Potresti farmi una breve descrizione della prima e dell'ultima gentilmente?

Molto in sintesi: HTTPS Everywhere forza il browser ad usare la connessione HTTPS (cifrata) invece della connessione HTTP quando disponibile. NoScript disabilita il contenuto "attivo" delle pagine Web: JavaScript, Java, Flash ...

Mi sfugge perchè continui a riformattare /home. Questa directory (o nel caso, partizione separata) non dovrebbe contenere mai alcuna applicazione, solamente dati "inerti".

I profili dei Browser vengono salvati su /home, la cartella Scaricati fa parte di /home. A proposito i seguenti software: Java versione proprietaria 8, le applicazioni in java, gli .exe aperti da Mono e Clipgrab; possono compromettere il sistema?

Vale lo stesso discorso fatto per i PPA: ti fidi del software che hai scaricato?

[Mdfalcubo]

Sposto in altri s.o.

[linux_menta]

per darti un'idea qui c'è una breve spiegazione di cosa siano i PUA https://www.clamav.net/documents/potent ... ations-pua

Grazie ivantu adesso ho le idee un pò più chiare.

Se ti vuoi togliere il dubbio di eventuali trojan prova ad usare "iftop" o "nethogs" da terminale e vedi se cè qualche applicazione che consuma banda in modo anomalo.

Grazie anche a te axilot, ho preso appunti e provato i pacchetti, sperando che sia sufficiente aprirli senza parametri aggiuntivi, anche se il secondo l'ho capito un pò meno.

Come dice il vecchio adagio: l'unico computer sicuro è quello spento.

Ammetto che con il pc non mi piace limitarmi nell'utilizzo ed è maggiormente per questo che dall'S.O. del netturbino sono voluto passare a linux nel momento in cui ho notato che l'utilizzo era più facilitato e iniziavano ad esserci molte applicazioni corrispondenti e/o sostituibili, e se proprio devo raggiungere dei compromessi vorrei che questi siano meno traumatici possibili. Ti faccio un esempio anche se è da qualche anno ormai che non mi piace più guardare la tv; un giorno venne il tecnico a cambiare l'antenna (all'epoca non esisteva ancora il digitale) e quando finì disse che rai3 quando si sarebbe visto il segnale in ogni caso sarebbe stato debole; e mio padre rispose <<ma io voglio vedere tutti i canali (frainteso visto che pago il canone)>>.

Cerchi informazioni in Rete sull'attendibilità dei PPA

Non chiderti se ci faccio o ci sono, ma queste 2 parole non soddisfano la mia ricerca https://www.google.it/#q=ppa:maarten-baert%2Fsimplescreenrecorder+attendibilit%C3%A0 e nemmeno queste 2 https://www.google.it/#q=ppa+webcamstudio+attendibilit%C3%A0, in genere riesco a trovare cose che altri non ci arrivano neanche chiamando il sapientone per telefono, ma a volte ci sono limiti anche per me, quindi ci sono casi in cui nemmeno se gli punto la lampada da 1000W riesco ad avere le risposte che mi interessano.

Mi fido di visualizzare i contenuti multimediali (per Flash Player ovviamente) su YouTube?

Forse non potevi trovare un esempio migliore, ma hai fatto quello del censore per eccellenza anche degli argomenti ustionanti. Per quanto anche Youtube è passato da un bel pezzo da Flash player all'HTML5, e quando il player è cambiato graficamente, ancora non me ne rendevo conto come mai.

- uBlock Origin, che va a sostituire AdBlock ... il perchè lo puoi leggere in giro per il Web

L'ho provato da poco, senza denigrare le altre 2 che hai elencato, ottima direi non solo per quello che dicono in rete, ma anche per la ormai speculazione di AdBlock, ecco l'esempio di un paio di link, se io uso Adblock e vado sulle pagine di questi siti http://www.aranzulla.it/installare-ubuntu-su-windows-6613.html
http://www.esigblog.com/, mi permettono solo di leggere il rimprovero che il loro sito campa grazie alla pubblicità, quindi se voglio visionare tali pagine sono costretto a disattivarlo e assorbirmi anche la loro pubblicità tra immagini e video; se uso invece uBlock Origin posso consultare i contenuti senza alcun tipo di stress.