Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Mummeli - 08.12.09 - klo:17.33
-
Lienenkö onnistunut saamaan sekä viruksen että rootkitin koneelleni? Tsekkasin koneeni rkhunterilla ja clamavilla ja tulokset tuossa:
System checks summary
=====================
File properties checks...
Files checked: 128
Suspect files: 2
Rootkit checks...
Rootkits checked : 111
Possible rootkits: 0
Applications checks...
Applications checked: 3
Suspect applications: 0
The system checks took: 1 minute and 29 seconds
All results have been written to the logfile (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Ja tuossa /var/log/rkhunter.log:n sisältö osittain:
[16:51:53] Info: Starting test name 'local_host'
[16:51:53]
[16:51:53] Performing system boot checks
[16:51:53] Info: Starting test name 'startup_files'
[16:51:53] Checking for local host name [ Found ]
[16:51:53] Info: Starting test name 'startup_malware'
[16:51:53] Checking for system startup files [ Found ]
[16:51:55] Checking system startup files for malware [ None found ]
[16:51:55]
[16:51:55] Performing group and account checks
[16:51:55] Info: Starting test name 'group_accounts'
[16:51:55] Checking for passwd file [ Found ]
[16:51:55] Info: Found password file: /etc/passwd
[16:51:55] Checking for root equivalent (UID 0) accounts [ None found ]
[16:51:55] Info: Found shadow file: /etc/shadow
[16:51:55] Checking for passwordless accounts [ None found ]
[16:51:55] Info: Starting test name 'passwd_changes'
[16:51:55] Checking for passwd file changes [ None found ]
[16:51:55] Info: Starting test name 'group_changes'
[16:51:55] Checking for group file changes [ None found ]
[16:51:55] Checking root account shell history files [ None found ]
[16:51:55]
[16:51:55] Performing system configuration file checks
[16:51:55] Info: Starting test name 'system_configs'
[16:51:55] Checking for SSH configuration file [ Not found ]
[16:51:56] Checking for running syslog daemon [ Found ]
[16:51:56] Checking for syslog configuration file [ Found ]
[16:51:56] Info: Found syslog configuration file: /etc/syslog.conf
[16:51:56] Checking if syslog remote logging is allowed [ Not allowed ]
[16:51:56]
[16:51:56] Performing filesystem checks
[16:51:56] Info: Starting test name 'filesystem'
[16:51:56] Info: SCAN_MODE_DEV set to 'THOROUGH'
[16:51:56] Checking /dev for suspicious file types [ Warning ]
[16:51:56] Warning: Suspicious file types found in /dev:
[16:51:56] /dev/shm/pulse-shm-3410201272: data
[16:51:56] /dev/shm/pulse-shm-2706919036: data
[16:51:56] /dev/shm/pulse-shm-3617038566: data
[16:51:56] /dev/shm/pulse-shm-1985328142: data
[16:51:57] Checking for hidden files and directories [ Warning ]
[16:51:57] Warning: Hidden directory found: /etc/.java
[16:51:57] Warning: Hidden directory found: /dev/.udev
[16:51:57] Warning: Hidden directory found: /dev/.initramfs
[16:52:02]
[16:52:03] Info: Application 'openssl' version '0.9.8g' found.
[16:52:03] Info: Application 'php' not found.
[16:52:03] Info: Application 'procmail' not found.
[16:52:04] Info: Application 'proftpd' not found.
[16:52:04] Info: Application 'sshd' not found.
[16:52:04] Info: Applications checked: 3 out of 9
[16:52:04]
[16:52:04] System checks summary
[16:52:04] =====================
[16:52:04]
[16:52:04] File properties checks...
[16:52:04] Files checked: 128
[16:52:04] Suspect files: 2
[16:52:04]
[16:52:04] Rootkit checks...
[16:52:04] Rootkits checked : 111
[16:52:04] Possible rootkits: 0
[16:52:04]
[16:52:04] Applications checks...
[16:52:04] Applications checked: 3
[16:52:04] Suspect applications: 0
Ja tuossa virustarkistuksen tulos:
/home/...../.mozilla-thunderbird/q2b1cbqu.default/Mail/Local Folders/Inbox: HTML.Phishing.Bank-474 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 664778
Engine version: 0.95.3
Scanned directories: 705
Scanned files: 2749
Infected files: 1
Jos rootkittejä on, niin miten pääsen niistä eroon? Tarvitsisin simppelit ohjeet, jos jotain vaativampaa täytyy tehdä.
Pääsenkö viruksesta eroon sillä, että poistan thunderbirdin kokonaan käytöstä? Ja otanko riskin siirtää virus toisaanne, jos siirrän tärkeimmät viestit toiseen sähköpostiini?
Minulle on tullut kukkurapäin roskapostia, jotka olen poistanut avaamatta ihan jokaikisen, joten hiukan ihmettelen saastunut sähköpostia.
Kiitos, jos joku vastaa.
-
Tuo Thunderbirdin "virus" ainakin vaikuttaa siltä että se on jossain viestissä mukana.
-
Jos rootkittejä on, niin miten pääsen niistä eroon? Tarvitsisin simppelit ohjeet, jos jotain vaativampaa täytyy tehdä.
Jos koneelle on oikeasti tunkeuduttu, ja rootkittejä päästy asentelemaan, on ainoa varma ja nopein tapa asentaa järjestelmä uudelleen. Varmuuskopiot omista datatiedoista on kultaa.
AppArmorit ja SELinux -systeemit ovat siksi, etteivät ko. rootkitit pääsisi toimimaan :(
-
Rootkittejä näyttäisi olevan nolla.
Thunderbird-kansioissa on jotain, mutta veikaisin sen olevan roskapostin mukana tullutta windows-pöpöä, joka on roikkumassa jossain väliaikaisroinassa
Hävitä nyt ensin se virusscannerin ilmoittama tiedosto ja scannaa uudelleen, samantien voisit tyhjentää Thunderbirdin roskakori ja roskapostit.
-
Rootkittejä näyttäisi olevan nolla.
Thunderbird-kansioissa on jotain, mutta veikaisin sen olevan roskapostin mukana tullutta windows-pöpöä, joka on roikkumassa jossain väliaikaisroinassa
Hävitä nyt ensin se virusscannerin ilmoittama tiedosto ja scannaa uudelleen, samantien voisit tyhjentää Thunderbirdin roskakori ja roskapostit.
Kiitos vastauksista.
Thunderbirdistä olen aina siirtänyt avaamatta heti roskakoriin roskapostit ja tyhjentänyt myös oitis roskakorin. Olen siis ollut suorastaan ylivarovainen ja saapuneiden kansiossa sähköpostissani ei pitäisi olla mitään sellaisia viestejä, jotka voisivat sisältää minkäänlaista pöpöä. En siis tiedä, missä ihmeessä se virusscannerin ilmoittama tiedosto voisi piillä. Liittykö clamaviin mitään virusten poistajaa?
-
Tuo skannerin antama tiedosto on koko Inbox / Saapuneet. Ennen sen tuhoamista tarkista haluatko säilyttää jotain saapuneista viesteistä.
Haravoi vielä Saapuneet ja deletoi kaikki mitä et tarvitse. Niiden mukana menee myös tuo pankkitilin numeron uteluvirus. Tyhjennä mahdolliset olemassaolevat Junk /Roskapostit /Deleted / etc kansiot.
Aja virusskannaus uudestaan...
Ja sitten:
Säädä Thunderbirdisi siirtämään / tuhoamaan saapuneet roskaviestit automaattisesti:
1.
Muokkaa -> Tilien asetukset -> Roskapostiasetukset. Jätä toistaiseksi kruksaamatta automaattinen deletointi, voit tarkkailla miten TB oppii (ja voit korjata / opettaa )
2.
Muokkaa -> Asetukset -> Tietosuoja. Merkkaa kaikki muut paitsi "Poista se".
Jos ja kun sitten tulee roskapostia, jota TB ei tunnista, opeta sitä merkkaamalla ko. postiotsake "Roskapostiksi"-liekkipainikkeella.
-
Tuo skannerin antama tiedosto on koko Inbox / Saapuneet. Ennen sen tuhoamista tarkista haluatko säilyttää jotain saapuneista viesteistä.
Haravoi vielä Saapuneet ja deletoi kaikki mitä et tarvitse. Niiden mukana menee myös tuo pankkitilin numeron uteluvirus. Tyhjennä mahdolliset olemassaolevat Junk /Roskapostit /Deleted / etc kansiot.
Aja virusskannaus uudestaan...
Ja sitten:
Säädä Thunderbirdisi siirtämään / tuhoamaan saapuneet roskaviestit automaattisesti:
1.
Muokkaa -> Tilien asetukset -> Roskapostiasetukset. Jätä toistaiseksi kruksaamatta automaattinen deletointi, voit tarkkailla miten TB oppii (ja voit korjata / opettaa )
2.
Muokkaa -> Asetukset -> Tietosuoja. Merkkaa kaikki muut paitsi "Poista se".
Jos ja kun sitten tulee roskapostia, jota TB ei tunnista, opeta sitä merkkaamalla ko. postiotsake "Roskapostiksi"-liekkipainikkeella.
Kiitos vastauksesta. Täytyy alkaa hommiin.
Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle? Minähän en tiedä, milloin olen viruksen koneelleni saanut.
Pankkien sivuthan ovat suojattuja. Pystyykö tuo virus mahdollisesti siitä huolimatta selvittämään pankkitilini numerot?
Taidan asentaa koko järjestelmän uusiksi. Varma kun on aina varmaa.
-
Tuo skannerin antama tiedosto on koko Inbox / Saapuneet. Ennen sen tuhoamista tarkista haluatko säilyttää jotain saapuneista viesteistä.
Haravoi vielä Saapuneet ja deletoi kaikki mitä et tarvitse. Niiden mukana menee myös tuo pankkitilin numeron uteluvirus. Tyhjennä mahdolliset olemassaolevat Junk /Roskapostit /Deleted / etc kansiot.
Aja virusskannaus uudestaan...
Ja sitten:
Säädä Thunderbirdisi siirtämään / tuhoamaan saapuneet roskaviestit automaattisesti:
1.
Muokkaa -> Tilien asetukset -> Roskapostiasetukset. Jätä toistaiseksi kruksaamatta automaattinen deletointi, voit tarkkailla miten TB oppii (ja voit korjata / opettaa )
2.
Muokkaa -> Asetukset -> Tietosuoja. Merkkaa kaikki muut paitsi "Poista se".
Jos ja kun sitten tulee roskapostia, jota TB ei tunnista, opeta sitä merkkaamalla ko. postiotsake "Roskapostiksi"-liekkipainikkeella.
Kiitos vastauksesta. Täytyy alkaa hommiin.
Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle? Minähän en tiedä, milloin olen viruksen koneelleni saanut.
Pankkien sivuthan ovat suojattuja. Pystyykö tuo virus mahdollisesti siitä huolimatta selvittämään pankkitilini numerot?
Taidan asentaa koko järjestelmän uusiksi. Varma kun on aina varmaa.
Enpä oikein jaksa uskoa, että tuo pystyisi kiinnittymään Ubuntussa mihinkään toisin kuin virkaveljessään. Varsinkaan, kun et omien sanojesi mukaan ole noille mitään tehnyt. Eli eiköhän uudelleenasennus ole vähän tykillä kärpäsen ampumista. Mutta oma päätös ;)
-
En myöskään suosittele uudelleenasennusta. siellä se pöpö on Thunderbirdin roskiksessa, eikä sieltä pysty aiheuttamaan mitään harmia kenellekään, ellei sitä aukaise ja klikkaa sen sisältämiä linkkejä.
Sen saa poistettua edellä esitetyin ohjein häiritsemästä mielenrauhaa.
T:jallu59
-
Enpä oikein jaksa uskoa, että tuo pystyisi kiinnittymään Ubuntussa mihinkään toisin kuin virkaveljessään. Varsinkaan, kun et omien sanojesi mukaan ole noille mitään tehnyt. Eli eiköhän uudelleenasennus ole vähän tykillä kärpäsen ampumista. Mutta oma päätös ;)
En myöskään suosittele uudelleenasennusta. siellä se pöpö on Thunderbirdin roskiksessa, eikä sieltä pysty aiheuttamaan mitään harmia kenellekään, ellei sitä aukaise ja klikkaa sen sisältämiä linkkejä.
Sen saa poistettua edellä esitetyin ohjein häiritsemästä mielenrauhaa.
Kiitos!
Minulla taitaa olla vähän taipumusta ampuilla tykillä hyttystä, vaan uskotaan ja jätetään homma tekemättä tällä kertaa, kun olisi niin suuritöinen juttukin. Ihmettelen vain, että miten tuo virus on koneelle päässyt, kun olen suorastaan ylivarovainen enkä taatusti ole yhtään roskapostia availlut. Ilmeisesti tehokas virus kyseessä.
-
Tuon viruksen päätyminen koneellesi asti ei ole mitenkään poikkeuksellista, vaan johtuu lähinnä sähköpostin hakutyylistä joka luultavasti on tapauksessasi pop3 tyyppinen, eikä imap jossa haetaan lähinnä vain sähköpostien otsikkonimet ja sähköpostit pysyvät palvelimella. Ensin mainitussa tavassa, joka on yleensä oletuksena ja ilmeisesti koskee myös sinua, sähköpostit ladataan koneelle, vaikka et niitä avaisi lainkaan. Se ei kuitenkaan aiheuta mitään toimenpiteitä jos et erikseen avaa viruksen sisältävän sähköpostin linkkejä, kuvia tai muita tiedostoja.
Käytännössä aina nuo pääsevät toteuttamaan tuhojaan tosiaan vasta kun itse menet sellaisen avaamaan, pois lukien tietyt käyttöjärjestelmien tietoturva-aukot joihin et voi oikein itse vaikuttaa, muuten kuin pitämällä ohjelmat päivitettyinä.
-
Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle?
Kyllä on. Google löytää ne pian. ;)
-
Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle?
Kyllä on. Google löytää ne pian. ;)
Oi, joi, täytyypä ryhtyä googlailemaan. ;D
-
jos roskapostit vaivaa ja on työlästä laittaa sääntöjä ja sit kohta ei tule ne oikat postit perille.
aikoinaan kun oli luukku.com käytössä siellä oli aika työläs operaatio (ilmainen verio)
Nykyään olen Gmail sähköpostin käyttäjä.
tilin teko ilmaista. Roskaposti ilmoitus vain rastin laitto ja se on historiaa. hintaansa nähden huipputuote. (ilmainen)
Ja pelittää thunderbirdin kans yhteen. ohjeet löytyy kyllä. thunderbird gmail tili googleen. gmailin tiliin tekee tarvittavat muutokset.
toivottavasti murheet on kuiteskin jo poissa. :)
-
piilokansiot näkyviin niin löydät tuon kansion missä mokoma lurjus piileskelee. poistat sen ja avot.
/home/...../.mozilla-thunderbird/q2b1cbqu.default/Mail/Local Folders/Inbox: HTML.Phishing.Bank-474
poista halutessasi kaikki jos et halua pankki tietojesi vuotavan mihinkään