Kirjoittaja Aihe: Kutsumattomia vieraita koneella?[Ratkaistu]  (Luettu 4412 kertaa)

Mummeli

  • Käyttäjä
  • Viestejä: 230
    • Profiili
Kutsumattomia vieraita koneella?[Ratkaistu]
« : 08.12.09 - klo:17.33 »
Lienenkö onnistunut saamaan sekä viruksen että rootkitin koneelleni? Tsekkasin koneeni rkhunterilla ja clamavilla ja tulokset tuossa:

System checks summary
=====================

File properties checks...
    Files checked: 128
    Suspect files: 2

Rootkit checks...
    Rootkits checked : 111
    Possible rootkits: 0

Applications checks...
    Applications checked: 3
    Suspect applications: 0

The system checks took: 1 minute and 29 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)


Ja tuossa /var/log/rkhunter.log:n sisältö osittain:

[16:51:53] Info: Starting test name 'local_host'
[16:51:53]
[16:51:53] Performing system boot checks
[16:51:53] Info: Starting test name 'startup_files'
[16:51:53]   Checking for local host name                    [ Found ]
[16:51:53] Info: Starting test name 'startup_malware'
[16:51:53]   Checking for system startup files               [ Found ]
[16:51:55]   Checking system startup files for malware       [ None found ]
[16:51:55]
[16:51:55] Performing group and account checks
[16:51:55] Info: Starting test name 'group_accounts'
[16:51:55]   Checking for passwd file                        [ Found ]
[16:51:55] Info: Found password file: /etc/passwd
[16:51:55]   Checking for root equivalent (UID 0) accounts   [ None found ]
[16:51:55] Info: Found shadow file: /etc/shadow
[16:51:55]   Checking for passwordless accounts              [ None found ]
[16:51:55] Info: Starting test name 'passwd_changes'
[16:51:55]   Checking for passwd file changes                [ None found ]
[16:51:55] Info: Starting test name 'group_changes'
[16:51:55]   Checking for group file changes                 [ None found ]
[16:51:55]   Checking root account shell history files       [ None found ]
[16:51:55]
[16:51:55] Performing system configuration file checks
[16:51:55] Info: Starting test name 'system_configs'
[16:51:55]   Checking for SSH configuration file             [ Not found ]
[16:51:56]   Checking for running syslog daemon              [ Found ]
[16:51:56]   Checking for syslog configuration file          [ Found ]
[16:51:56] Info: Found syslog configuration file: /etc/syslog.conf
[16:51:56]   Checking if syslog remote logging is allowed    [ Not allowed ]
[16:51:56]
[16:51:56] Performing filesystem checks
[16:51:56] Info: Starting test name 'filesystem'
[16:51:56] Info: SCAN_MODE_DEV set to 'THOROUGH'
[16:51:56]   Checking /dev for suspicious file types         [ Warning ]
[16:51:56] Warning: Suspicious file types found in /dev:
[16:51:56]          /dev/shm/pulse-shm-3410201272: data
[16:51:56]          /dev/shm/pulse-shm-2706919036: data
[16:51:56]          /dev/shm/pulse-shm-3617038566: data
[16:51:56]          /dev/shm/pulse-shm-1985328142: data
[16:51:57]   Checking for hidden files and directories       [ Warning ]
[16:51:57] Warning: Hidden directory found: /etc/.java
[16:51:57] Warning: Hidden directory found: /dev/.udev
[16:51:57] Warning: Hidden directory found: /dev/.initramfs
[16:52:02]


[16:52:03] Info: Application 'openssl' version '0.9.8g' found.
[16:52:03] Info: Application 'php' not found.
[16:52:03] Info: Application 'procmail' not found.
[16:52:04] Info: Application 'proftpd' not found.
[16:52:04] Info: Application 'sshd' not found.
[16:52:04] Info: Applications checked: 3 out of 9
[16:52:04]
[16:52:04] System checks summary
[16:52:04] =====================
[16:52:04]
[16:52:04] File properties checks...
[16:52:04] Files checked: 128
[16:52:04] Suspect files: 2
[16:52:04]
[16:52:04] Rootkit checks...
[16:52:04] Rootkits checked : 111
[16:52:04] Possible rootkits: 0
[16:52:04]
[16:52:04] Applications checks...
[16:52:04] Applications checked: 3
[16:52:04] Suspect applications: 0

Ja tuossa virustarkistuksen tulos:

/home/...../.mozilla-thunderbird/q2b1cbqu.default/Mail/Local Folders/Inbox: HTML.Phishing.Bank-474 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 664778
Engine version: 0.95.3
Scanned directories: 705
Scanned files: 2749
Infected files: 1


Jos rootkittejä on, niin miten pääsen niistä eroon? Tarvitsisin simppelit ohjeet, jos jotain vaativampaa täytyy tehdä.

Pääsenkö viruksesta eroon sillä, että poistan thunderbirdin kokonaan käytöstä? Ja otanko riskin siirtää virus toisaanne, jos siirrän tärkeimmät viestit toiseen sähköpostiini?

Minulle on tullut kukkurapäin roskapostia, jotka olen poistanut avaamatta ihan jokaikisen, joten hiukan ihmettelen saastunut sähköpostia.

Kiitos, jos joku vastaa.

« Viimeksi muokattu: 09.12.09 - klo:19.44 kirjoittanut Mummeli »

~unknown

  • Vieras
Vs: Kutsumattomia vieraita koneella?
« Vastaus #1 : 08.12.09 - klo:19.51 »
Tuo Thunderbirdin "virus" ainakin vaikuttaa siltä että se on jossain viestissä mukana.

juyli

  • Vieras
Vs: Kutsumattomia vieraita koneella?
« Vastaus #2 : 08.12.09 - klo:20.59 »
Jos rootkittejä on, niin miten pääsen niistä eroon? Tarvitsisin simppelit ohjeet, jos jotain vaativampaa täytyy tehdä.

Jos koneelle on oikeasti tunkeuduttu, ja rootkittejä päästy asentelemaan, on ainoa varma ja nopein tapa asentaa järjestelmä uudelleen. Varmuuskopiot omista datatiedoista on kultaa.
AppArmorit ja SELinux -systeemit ovat siksi, etteivät ko. rootkitit pääsisi toimimaan :(
« Viimeksi muokattu: 08.12.09 - klo:21.02 kirjoittanut juyli »

syväpaahto

  • Käyttäjä
  • Viestejä: 137
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #3 : 08.12.09 - klo:21.22 »
Rootkittejä näyttäisi olevan nolla.
Thunderbird-kansioissa on jotain, mutta veikaisin sen olevan roskapostin mukana tullutta windows-pöpöä, joka on roikkumassa jossain väliaikaisroinassa
Hävitä nyt ensin se virusscannerin ilmoittama tiedosto ja scannaa uudelleen, samantien voisit tyhjentää Thunderbirdin roskakori ja roskapostit.

Mummeli

  • Käyttäjä
  • Viestejä: 230
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #4 : 08.12.09 - klo:23.04 »
Rootkittejä näyttäisi olevan nolla.
Thunderbird-kansioissa on jotain, mutta veikaisin sen olevan roskapostin mukana tullutta windows-pöpöä, joka on roikkumassa jossain väliaikaisroinassa
Hävitä nyt ensin se virusscannerin ilmoittama tiedosto ja scannaa uudelleen, samantien voisit tyhjentää Thunderbirdin roskakori ja roskapostit.

Kiitos vastauksista.

Thunderbirdistä olen aina siirtänyt avaamatta heti roskakoriin roskapostit ja tyhjentänyt myös oitis roskakorin. Olen siis ollut suorastaan ylivarovainen ja saapuneiden kansiossa  sähköpostissani ei pitäisi olla mitään sellaisia viestejä, jotka voisivat sisältää minkäänlaista pöpöä. En siis tiedä, missä ihmeessä se virusscannerin ilmoittama tiedosto voisi piillä. Liittykö clamaviin mitään virusten poistajaa?
« Viimeksi muokattu: 08.12.09 - klo:23.06 kirjoittanut Mummeli »

olle

  • Käyttäjä
  • Viestejä: 120
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #5 : 09.12.09 - klo:13.52 »
Tuo skannerin antama tiedosto on koko Inbox / Saapuneet. Ennen sen tuhoamista tarkista haluatko säilyttää jotain saapuneista viesteistä.

Haravoi vielä Saapuneet ja deletoi kaikki mitä et tarvitse. Niiden mukana menee myös tuo pankkitilin numeron uteluvirus. Tyhjennä mahdolliset olemassaolevat Junk /Roskapostit /Deleted / etc kansiot.

Aja virusskannaus uudestaan...

Ja sitten:

Säädä Thunderbirdisi siirtämään / tuhoamaan saapuneet roskaviestit automaattisesti:
1.
Muokkaa -> Tilien asetukset -> Roskapostiasetukset. Jätä toistaiseksi kruksaamatta automaattinen deletointi, voit tarkkailla miten TB oppii (ja voit korjata / opettaa )

2.
Muokkaa -> Asetukset -> Tietosuoja. Merkkaa kaikki muut paitsi "Poista se".

Jos ja kun sitten tulee roskapostia, jota TB ei tunnista, opeta sitä merkkaamalla ko. postiotsake "Roskapostiksi"-liekkipainikkeella.


Mummeli

  • Käyttäjä
  • Viestejä: 230
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #6 : 09.12.09 - klo:16.12 »
Tuo skannerin antama tiedosto on koko Inbox / Saapuneet. Ennen sen tuhoamista tarkista haluatko säilyttää jotain saapuneista viesteistä.

Haravoi vielä Saapuneet ja deletoi kaikki mitä et tarvitse. Niiden mukana menee myös tuo pankkitilin numeron uteluvirus. Tyhjennä mahdolliset olemassaolevat Junk /Roskapostit /Deleted / etc kansiot.

Aja virusskannaus uudestaan...

Ja sitten:

Säädä Thunderbirdisi siirtämään / tuhoamaan saapuneet roskaviestit automaattisesti:
1.
Muokkaa -> Tilien asetukset -> Roskapostiasetukset. Jätä toistaiseksi kruksaamatta automaattinen deletointi, voit tarkkailla miten TB oppii (ja voit korjata / opettaa )

2.
Muokkaa -> Asetukset -> Tietosuoja. Merkkaa kaikki muut paitsi "Poista se".

Jos ja kun sitten tulee roskapostia, jota TB ei tunnista, opeta sitä merkkaamalla ko. postiotsake "Roskapostiksi"-liekkipainikkeella.



Kiitos vastauksesta. Täytyy alkaa hommiin.

Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle? Minähän en tiedä, milloin olen viruksen koneelleni saanut.

Pankkien sivuthan ovat suojattuja. Pystyykö tuo virus mahdollisesti siitä huolimatta selvittämään pankkitilini numerot?

Taidan asentaa koko järjestelmän uusiksi. Varma kun on aina varmaa.

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: Kutsumattomia vieraita koneella?
« Vastaus #7 : 09.12.09 - klo:16.36 »
Tuo skannerin antama tiedosto on koko Inbox / Saapuneet. Ennen sen tuhoamista tarkista haluatko säilyttää jotain saapuneista viesteistä.

Haravoi vielä Saapuneet ja deletoi kaikki mitä et tarvitse. Niiden mukana menee myös tuo pankkitilin numeron uteluvirus. Tyhjennä mahdolliset olemassaolevat Junk /Roskapostit /Deleted / etc kansiot.

Aja virusskannaus uudestaan...

Ja sitten:

Säädä Thunderbirdisi siirtämään / tuhoamaan saapuneet roskaviestit automaattisesti:
1.
Muokkaa -> Tilien asetukset -> Roskapostiasetukset. Jätä toistaiseksi kruksaamatta automaattinen deletointi, voit tarkkailla miten TB oppii (ja voit korjata / opettaa )

2.
Muokkaa -> Asetukset -> Tietosuoja. Merkkaa kaikki muut paitsi "Poista se".

Jos ja kun sitten tulee roskapostia, jota TB ei tunnista, opeta sitä merkkaamalla ko. postiotsake "Roskapostiksi"-liekkipainikkeella.



Kiitos vastauksesta. Täytyy alkaa hommiin.

Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle? Minähän en tiedä, milloin olen viruksen koneelleni saanut.

Pankkien sivuthan ovat suojattuja. Pystyykö tuo virus mahdollisesti siitä huolimatta selvittämään pankkitilini numerot?

Taidan asentaa koko järjestelmän uusiksi. Varma kun on aina varmaa.

Enpä oikein jaksa uskoa, että tuo pystyisi kiinnittymään Ubuntussa mihinkään toisin kuin virkaveljessään. Varsinkaan, kun et omien sanojesi mukaan ole noille mitään tehnyt. Eli eiköhän uudelleenasennus ole vähän tykillä kärpäsen ampumista. Mutta oma päätös  ;)

Jallu59

  • Käyttäjä
  • Viestejä: 3430
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #8 : 09.12.09 - klo:16.40 »
En myöskään suosittele uudelleenasennusta. siellä se pöpö on Thunderbirdin roskiksessa, eikä sieltä pysty aiheuttamaan mitään harmia kenellekään, ellei sitä aukaise ja klikkaa sen sisältämiä linkkejä.
Sen saa poistettua edellä esitetyin ohjein häiritsemästä mielenrauhaa.

T:jallu59
Jari J. Lehtinen, Wanhempi (iki?)tietoteekkari & tietotekniikkakonsultti Turust, P4-HT / 3,0 GHz, Intel945 IGP 226MB & 4GBram & UbuntuStudio 14.04. Toshiba Satellie 50-C, i5 dual-core 2,3GHz, ubuntu-mate 16.04 LTS

Mummeli

  • Käyttäjä
  • Viestejä: 230
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #9 : 09.12.09 - klo:16.57 »
Lainaus
Enpä oikein jaksa uskoa, että tuo pystyisi kiinnittymään Ubuntussa mihinkään toisin kuin virkaveljessään. Varsinkaan, kun et omien sanojesi mukaan ole noille mitään tehnyt. Eli eiköhän uudelleenasennus ole vähän tykillä kärpäsen ampumista. Mutta oma päätös  ;)

Lainaus
En myöskään suosittele uudelleenasennusta. siellä se pöpö on Thunderbirdin roskiksessa, eikä sieltä pysty aiheuttamaan mitään harmia kenellekään, ellei sitä aukaise ja klikkaa sen sisältämiä linkkejä.
Sen saa poistettua edellä esitetyin ohjein häiritsemästä mielenrauhaa.

Kiitos!

Minulla taitaa olla vähän taipumusta ampuilla tykillä hyttystä, vaan uskotaan ja jätetään homma tekemättä tällä kertaa, kun olisi niin suuritöinen juttukin. Ihmettelen vain, että miten tuo virus on koneelle päässyt, kun olen suorastaan ylivarovainen enkä taatusti ole yhtään roskapostia availlut. Ilmeisesti tehokas virus kyseessä.

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #10 : 09.12.09 - klo:17.38 »
Tuon viruksen päätyminen koneellesi asti ei ole mitenkään poikkeuksellista, vaan johtuu lähinnä sähköpostin hakutyylistä joka luultavasti on tapauksessasi pop3 tyyppinen, eikä imap jossa haetaan lähinnä vain sähköpostien otsikkonimet ja sähköpostit pysyvät palvelimella. Ensin mainitussa tavassa, joka on yleensä oletuksena ja ilmeisesti koskee myös sinua, sähköpostit ladataan koneelle, vaikka et niitä avaisi lainkaan. Se ei kuitenkaan aiheuta mitään toimenpiteitä jos et erikseen avaa viruksen sisältävän sähköpostin linkkejä, kuvia tai muita tiedostoja.

Käytännössä aina nuo pääsevät toteuttamaan tuhojaan tosiaan vasta kun itse menet sellaisen avaamaan, pois lukien tietyt käyttöjärjestelmien tietoturva-aukot joihin et voi oikein itse vaikuttaa, muuten kuin pitämällä ohjelmat päivitettyinä.

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #11 : 09.12.09 - klo:17.50 »
Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle?
Kyllä on. Google löytää ne pian. ;)

Mummeli

  • Käyttäjä
  • Viestejä: 230
    • Profiili
Vs: Kutsumattomia vieraita koneella?
« Vastaus #12 : 10.12.09 - klo:10.06 »
Pankkitilin uteluvirusko kyseessä? Huh, onko pelkoa, että pankkieni tilinumerot (3) ovat nyt lähteneet maailmalle?
Kyllä on. Google löytää ne pian. ;)

Oi, joi, täytyypä ryhtyä googlailemaan.  ;D

Laplinux

  • Käyttäjä
  • Viestejä: 148
    • Profiili
Vs: Kutsumattomia vieraita koneella?[Ratkaistu]
« Vastaus #13 : 10.12.09 - klo:11.15 »

jos roskapostit vaivaa ja on työlästä laittaa sääntöjä ja sit kohta ei tule ne oikat postit perille.

aikoinaan kun oli luukku.com käytössä siellä oli aika työläs operaatio (ilmainen verio)

Nykyään olen Gmail sähköpostin käyttäjä.

tilin teko ilmaista. Roskaposti ilmoitus vain rastin laitto ja se on historiaa. hintaansa nähden huipputuote. (ilmainen)

Ja pelittää thunderbirdin kans yhteen. ohjeet löytyy kyllä.  thunderbird gmail tili googleen. gmailin tiliin tekee tarvittavat muutokset.

toivottavasti murheet on kuiteskin jo poissa.  :)

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Vs: Kutsumattomia vieraita koneella?[Ratkaistu]
« Vastaus #14 : 10.12.09 - klo:13.30 »
piilokansiot näkyviin niin löydät tuon kansion missä mokoma lurjus piileskelee. poistat sen ja avot.

/home/...../.mozilla-thunderbird/q2b1cbqu.default/Mail/Local Folders/Inbox: HTML.Phishing.Bank-474

poista halutessasi kaikki jos et halua pankki tietojesi vuotavan mihinkään
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB