Kirjoittaja Aihe: Murtautuiko joku koneelleni? (Luettu 4840 kertaa)

Minna S · « : 27.07.09 - klo:21.35 »

Elikkä sattui tälläinen tapaus vartti sitte, katselin sängyllä elokuvaa, tietokone auki ja FF auki. Yhtä äkkiä alkaa kone piipittämään pirusti. Ihmettelen ensin hetken, mitä tapahtuu sitten huomasin, että FF:n alareunaan oli ilmestynyt se kenttä, mihin kirjoitetaan, jos haetaan sivulta jotain tiettyä tekstiä, jotain tekstiä kentässä vilisi mutta olin niin kaukana koneesta, että en nähnyt mitä siinä luki. Piiipitys loppui ja hakukenttä hävisi.
Toisilla meidän koneilla ei ollut ketään kuka olisi tuon pystynyt tekemään, eivätkä kyllä osaisikaan.
Toinen tapaus sattui eilen, olin koneella, kun näyttöön tuli ilmoitus "joku muu käyttää työpöytääsi" tai jotain tuonne päin. Eli siis se ilmoitus, mikä tulee käytettäessä etätyöpöytää. Katkaisin yhteyden sama toistui pari kolme kertaa. Toisella koneella oli samaan aikaan poika mutta kielsi käyttäneensä etätyöpöytää, ei tiedä miten se tapahtuu.

Aika huolissaan ja ihmeissään ollaan. Tälläistä ei ole ikinä ennen tapahtunut. Mitä ihmettä tuo oli ja miten tuollaisen pystyy estämään

Tämä tuli varmaankin väärälle aluelle mutta modet varmaan siirtää tämän.

Lasse. · « **Vastaus #1 :** 27.07.09 - klo:22.02 »

Lienee mahdollista, että nämä liittyvät toisiinsa, jos joku on yhteydessä koneeseesi. Suosittelen kytkemään tuollaiset etätyöpöydät pois päältä kokonaan, ne ovat aina yhteyksiä vastaanottaessaan riski, oli alusta mikä tahansa. Tietoturva-aukkoja syntyy aina ihmisen kirjoittamassa koodissa, kuten myös bugeja. Sama se ollaanko Windowsissa vai Linuxissa, toki Linux on pääsääntöisesti huomattavasti turvallisempi rakenteensa ansiosta.

Minna S · « **Vastaus #2 :** 27.07.09 - klo:22.06 »

Etätyöpöydät on nyt pois käytöstä. Harmittaa, kun en nähnyt sitä testiä mikä hakukentässä oli, ainoastaan sen verran näin että php. vilahti kentässä.

gdm · « **Vastaus #3 :** 27.07.09 - klo:22.07 »

Nuo kaikki vaatii sen että etätyöpöytä oli käytössä.

Tiedostosta "/var/log/auth.log" löytyy tietoa jos joku on koneelle kirjautunut ja mistä.
Sen tarkistaisin ensimmäiseksi.

Toiseksi, jos etätyöpöydällä ei ole käyttöä, niin ne kiinni.
Voit myös tarkistaa niiltä toisilta koneilta mikä on ollut viimeinen yhteys ohjelmalla "etätyöpöytäkatselin"
Lassehan tuon jo kirjoitti, mutta konsensus

Tarkista "nmap" työkalulla mitä portteja on auki.

Koodia: [Valitse]

nmap -PN localhost(pitää asentaa ensiksi "sudo aptitude install nmap")

Minna S · « **Vastaus #4 :** 27.07.09 - klo:22.21 »

Tältä näyttää

Koodia: [Valitse]

nmap -PN localhost

Starting Nmap 4.76 ( http://nmap.org ) at 2009-07-27 22:09 EEST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
Not shown: 999 closed ports
PORT    STATE SERVICE
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds

Minna S · « **Vastaus #5 :** 27.07.09 - klo:22.23 »

Auth.logista pätkä. Enpä tuosta juurikaan ymmärrä.

Koodia: [Valitse]

Jul 27 20:30:01 serula-desktop CRON[13757]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 20:30:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.47" (uid=1000 pid=3661 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.131" (uid=0 pid=13757 comm="/USR/SBIN/CRON "))
Jul 27 20:30:01 serula-desktop CRON[13757]: pam_unix(cron:session): session closed for user root
Jul 27 20:40:01 serula-desktop CRON[13922]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 20:40:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.47" (uid=1000 pid=3661 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.132" (uid=0 pid=13922 comm="/USR/SBIN/CRON "))
Jul 27 20:40:01 serula-desktop CRON[13922]: pam_unix(cron:session): session closed for user root
Jul 27 20:49:36 serula-desktop gdm[2956]: pam_unix(gdm-autologin:session): session closed for user serula
Jul 27 20:49:51 serula-desktop gdm[14107]: pam_nologin(gdm:auth): cannot determine username
Jul 27 20:49:52 serula-desktop gdm[14107]: pam_unix(gdm-autologin:session): session opened for user serula by (uid=0)
Jul 27 20:49:52 serula-desktop gdm[14107]: pam_ck_connector(gdm-autologin:session): nox11 mode, ignoring PAM_TTY :0
Jul 27 20:49:57 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.6" (uid=0 pid=2897 comm="/usr/lib/hal/hald-addon-storage "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.138" (uid=1000 pid=14226 comm="/usr/bin/pulseaudio --start "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.5" (uid=0 pid=2895 comm="/usr/lib/hal/hald-addon-storage "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.137" (uid=1000 pid=14229 comm="/usr/lib/libgconf2-4/gconfd-2 "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.136" (uid=1000 pid=14223 comm="/usr/bin/pulseaudio --start "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.49" (uid=1000 pid=3558 comm="gnome-keyring-daemon --start "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.135" (uid=0 pid=14107 comm="/usr/sbin/gdm "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a"))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.26" (uid=112 pid=3022 comm="/usr/bin/mpd /etc/mpd.conf "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.145" (uid=1000 pid=14353 comm="/usr/lib/fast-user-switch-applet/fast-user-switch-"))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 2 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.1" (uid=0 pid=2727 comm="/usr/sbin/console-kit-daemon "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.144" (uid=1000 pid=14258 comm="gnome-keyring-daemon --start "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.143" (uid=1000 pid=14324 comm="gnome-panel "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.142" (uid=1000 pid=14348 comm="gnome-power-manager "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.11" (uid=0 pid=2902 comm="/usr/lib/hal/hald-addon-cpufreq "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.141" (uid=1000 pid=14332 comm="update-notifier --startup-delay=60 "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.140" (uid=1000 pid=14327 comm="nm-applet --sm-disable "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 2 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.31" (uid=0 pid=3048 comm="/sbin/wpa_supplicant -u -f /var/log/wpa_supplicant"))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.9" (uid=0 pid=2900 comm="/usr/lib/hal/hald-addon-storage "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.8" (uid=0 pid=2899 comm="/usr/lib/hal/hald-addon-storage "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.60" (uid=0 pid=3095 comm="/usr/sbin/cupsd "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.7" (uid=0 pid=2898 comm="/usr/lib/hal/hald-addon-storage "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.139" (uid=1000 pid=14162 comm="x-session-manager "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.147" (uid=1000 pid=14377 comm="/usr/lib/gvfs/gvfs-hal-volume-monitor "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.148" (uid=1000 pid=14380 comm="/usr/lib/gvfs/gvfs-gphoto2-volume-monitor "))
Jul 27 20:49:58 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.149" (uid=1000 pid=14325 comm="nautilus "))
Jul 27 20:49:59 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.150" (uid=1000 pid=14341 comm="/usr/lib/vino/vino-server "))
Jul 27 20:50:01 serula-desktop CRON[14389]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 20:50:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.151" (uid=0 pid=14389 comm="/USR/SBIN/CRON "))
Jul 27 20:50:02 serula-desktop CRON[14389]: pam_unix(cron:session): session closed for user root
Jul 27 20:50:24 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.152" (uid=1000 pid=14564 comm="gnome-screensaver "))
Jul 27 20:50:26 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.153" (uid=1000 pid=14328 comm="python /usr/share/system-config-printer/applet.py "))
Jul 27 20:54:00 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.154" (uid=1000 pid=14570 comm="/usr/lib/firefox-3.0.12/firefox "))
Jul 27 20:59:07 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.155" (uid=1000 pid=14595 comm="/usr/lib/vino/vino-server "))
Jul 27 20:59:33 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.156" (uid=1000 pid=14597 comm="/usr/lib/vino/vino-server "))

Minna S · « **Vastaus #6 :** 27.07.09 - klo:22.24 »

Koodia: [Valitse]

Jul 27 21:00:01 serula-desktop CRON[14598]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:00:01 serula-desktop CRON[14599]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:00:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.157" (uid=0 pid=14599 comm="/USR/SBIN/CRON "))
Jul 27 21:00:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.158" (uid=0 pid=14598 comm="/USR/SBIN/CRON "))
Jul 27 21:00:01 serula-desktop CRON[14598]: pam_unix(cron:session): session closed for user root
Jul 27 21:00:01 serula-desktop CRON[14599]: pam_unix(cron:session): session closed for user root
Jul 27 21:09:30 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.159" (uid=1000 pid=14789 comm="epiphany-browser "))
Jul 27 21:09:31 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.160" (uid=1000 pid=14789 comm="epiphany-browser "))
Jul 27 21:10:01 serula-desktop CRON[14798]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:10:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.161" (uid=0 pid=14798 comm="/USR/SBIN/CRON "))
Jul 27 21:10:01 serula-desktop CRON[14798]: pam_unix(cron:session): session closed for user root
Jul 27 21:11:02 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.162" (uid=1000 pid=14959 comm="nm-connection-editor "))
Jul 27 21:17:01 serula-desktop CRON[14992]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:17:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.163" (uid=0 pid=14992 comm="/USR/SBIN/CRON "))
Jul 27 21:17:01 serula-desktop CRON[14992]: pam_unix(cron:session): session closed for user root
Jul 27 21:20:01 serula-desktop CRON[15007]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:20:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.164" (uid=0 pid=15007 comm="/USR/SBIN/CRON "))
Jul 27 21:20:02 serula-desktop CRON[15007]: pam_unix(cron:session): session closed for user root
Jul 27 21:30:01 serula-desktop CRON[15171]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:30:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.165" (uid=0 pid=15171 comm="/USR/SBIN/CRON "))
Jul 27 21:30:01 serula-desktop CRON[15171]: pam_unix(cron:session): session closed for user root
Jul 27 21:35:57 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.166" (uid=1000 pid=15340 comm="evolution --component=mail "))
Jul 27 21:36:02 serula-desktop gnome-keyring-ask: could not grab keyboard: 3
Jul 27 21:36:02 serula-desktop gnome-keyring-ask: could not grab keyboard: 3
Jul 27 21:37:06 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.167" (uid=1000 pid=15656 comm="epiphany-browser --new-tab http://www.getdeb.net/r"))
Jul 27 21:37:06 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.168" (uid=1000 pid=15656 comm="epiphany-browser --new-tab http://www.getdeb.net/r"))
Jul 27 21:40:01 serula-desktop CRON[15728]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:40:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.169" (uid=0 pid=15728 comm="/USR/SBIN/CRON "))
Jul 27 21:40:01 serula-desktop CRON[15728]: pam_unix(cron:session): session closed for user root
Jul 27 21:50:01 serula-desktop CRON[16137]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 21:50:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.170" (uid=0 pid=16137 comm="/USR/SBIN/CRON "))
Jul 27 21:50:01 serula-desktop CRON[16137]: pam_unix(cron:session): session closed for user root
Jul 27 21:52:42 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.171" (uid=1000 pid=16380 comm="epiphany-browser "))
Jul 27 21:52:45 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.172" (uid=1000 pid=16380 comm="epiphany-browser "))
Jul 27 21:55:21 serula-desktop sudo:   serula : TTY=unknown ; PWD=/home/serula ; USER=root ; COMMAND=/usr/bin/gdebi-gtk --non-interactive /home/serula/Työpöytä/fotoxx_7.7-1~getdeb1_i386.deb
Jul 27 21:56:12 serula-desktop sudo:   serula : TTY=pts/0 ; PWD=/home/serula ; USER=root ; COMMAND=/usr/bin/nano /etc/apt/sources.list
Jul 27 22:00:01 serula-desktop CRON[16633]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 22:00:01 serula-desktop CRON[16632]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 22:00:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.173" (uid=0 pid=16633 comm="/USR/SBIN/CRON "))
Jul 27 22:00:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.174" (uid=0 pid=16632 comm="/USR/SBIN/CRON "))
Jul 27 22:00:01 serula-desktop CRON[16632]: pam_unix(cron:session): session closed for user root
Jul 27 22:00:02 serula-desktop CRON[16633]: pam_unix(cron:session): session closed for user root
Jul 27 22:09:10 serula-desktop sudo:   serula : TTY=pts/0 ; PWD=/home/serula ; USER=root ; COMMAND=/usr/bin/aptitude install nmap
Jul 27 22:10:01 serula-desktop CRON[17015]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 27 22:10:01 serula-desktop dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.146" (uid=1000 pid=14361 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.175" (uid=0 pid=17015 comm="/USR/SBIN/CRON "))
Jul 27 22:10:01 serula-desktop CRON[17015]: pam_unix(cron:session): session closed for user root

Timo Virtanen · « **Vastaus #7 :** 27.07.09 - klo:22.32 »

Ei haittaa, vaikka ajaisit rkhunterilla järjestelmän läpi. Oliko kone lanka- vai langattomassa (WLAN) verkossa? terveisin Timo

Minna S · « **Vastaus #8 :** 27.07.09 - klo:22.33 »

Lankaverkossa. Mikä on rkhunter

Tomin · « **Vastaus #9 :** 27.07.09 - klo:22.48 »

Lainaus käyttäjältä: Isis - 27.07.09 - klo:22.33

Lankaverkossa. Mikä on rkhunter

Rootkittien etsimiseen tarkoitettu ohjelma.
http://fi.wikipedia.org/wiki/Tietokonevirus#Rootkit
http://en.wikipedia.org/wiki/Rootkit

Smaragdi52 · « **Vastaus #10 :** 28.07.09 - klo:06.38 »

Minäkin epäilen, että joku on saattanut joskus ottaa yhteyttä koneelleni.
Tiedostoista "auth.log" löytyi mm. seuraavaa tietoa:
Jul 5 12:57:19 hp6510b su[5591]: pam_unix(su:session): session opened for user clamav by (uid=0)
Jul 5 12:57:20 hp6510b su[5591]: pam_unix(su:session): session closed for user clamav

Jul 5 18:18:01 hp6510b CRON[20551]: pam_unix(cron:session): session opened for user amavis by (uid=0)
Jul 5 18:18:01 hp6510b CRON[20551]: pam_unix(cron:session): session closed for user amavis

Jul 14 18:18:01 hp6510b CRON[4238]: pam_unix(cron:session): session opened for user amavis by (uid=0)
Jul 14 18:18:01 hp6510b CRON[4238]: pam_unix(cron:session): session closed for user amavis

Jul 16 09:51:36 hp6510b su[5509]: pam_unix(su:session): session opened for user clamav by (uid=0)
Jul 16 09:51:37 hp6510b su[5509]: pam_unix(su:session): session closed for user clamav

Koska ei ole kyseessä oma käyttäjänimeni eikä "root", vaan nämä käyttäjät "clamav" ja "amavis",
heidän täytyy olla joitain ulkopuolisia eikö niin? Ihmetyttää vain, että avauksen ja sulkemisen
välillä on vain sekuntti. Mitä tämmöinen toiminta oikein on? Samalla lailla logissa on myös vain
sekunnin ero, silloin kuin "closed for" on omalla käyttäjänimelläni tai "root"in toimesta.

Pystynkö estämään tällaisen tunkeutumisen vain sulkemalla etätyöpöytien käyttömahdollisuuden
(en ole kyllä tehnyt mitään asetusta, että se olisi käyttettävissä) ja miten se tehdään?

Timo Virtanen · « **Vastaus #11 :** 28.07.09 - klo:07.17 »

Clamav ja Amavis taitavat olla virustorjuntaohjelmia, jos muistan oikein. Terveisin Timo

ilnux · « **Vastaus #12 :** 28.07.09 - klo:07.59 »

1. Tarkempi aika milloin tuo tapahtui, sekä se milloin itse olit viimeksi koneella ennen sitä ja tapahtuman jälkeen?

2. Myös /var/log/daemon.log tiedoston sisältö tänne.

3. Logitiedostojen oikeudet (auth.log, daemon.log)?

Koodia: [Valitse]

ls -l /var/log/daemon.log
-rw-r----- 1 syslog adm 138229 2009-07-28 07:29 /var/log/daemon.log

Tha-Fox · « **Vastaus #13 :** 28.07.09 - klo:08.28 »

Lainaus käyttäjältä: Smaragdi52 - 28.07.09 - klo:06.38

Minäkin epäilen, että joku on saattanut joskus ottaa yhteyttä koneelleni.
Tiedostoista "auth.log" löytyi mm. seuraavaa tietoa:
Jul 5 12:57:19 hp6510b su[5591]: pam_unix(su:session): session opened for user clamav by (uid=0)
Jul 5 12:57:20 hp6510b su[5591]: pam_unix(su:session): session closed for user clamav

Jul 5 18:18:01 hp6510b CRON[20551]: pam_unix(cron:session): session opened for user amavis by (uid=0)
Jul 5 18:18:01 hp6510b CRON[20551]: pam_unix(cron:session): session closed for user amavis

Jul 14 18:18:01 hp6510b CRON[4238]: pam_unix(cron:session): session opened for user amavis by (uid=0)
Jul 14 18:18:01 hp6510b CRON[4238]: pam_unix(cron:session): session closed for user amavis

Jul 16 09:51:36 hp6510b su[5509]: pam_unix(su:session): session opened for user clamav by (uid=0)
Jul 16 09:51:37 hp6510b su[5509]: pam_unix(su:session): session closed for user clamav

Koska ei ole kyseessä oma käyttäjänimeni eikä "root", vaan nämä käyttäjät "clamav" ja "amavis",
heidän täytyy olla joitain ulkopuolisia eikö niin? Ihmetyttää vain, että avauksen ja sulkemisen
välillä on vain sekuntti. Mitä tämmöinen toiminta oikein on? Samalla lailla logissa on myös vain
sekunnin ero, silloin kuin "closed for" on omalla käyttäjänimelläni tai "root"in toimesta.

Pystynkö estämään tällaisen tunkeutumisen vain sulkemalla etätyöpöytien käyttömahdollisuuden
(en ole kyllä tehnyt mitään asetusta, että se olisi käyttettävissä) ja miten se tehdään?

Eipä nuo mitään tunkeutumisia ole, vaan sinulla on luultavasti ollut clamav ja/tai amavis asennettuna ja nuo ilmoitukset liittyvät sen toimintaan.

Smaragdi52 · « **Vastaus #14 :** 28.07.09 - klo:10.06 »

Sepä mukava tietää.

Kerran asensin Synaptic -paketinhallintaohjelmalla jonkun / joitain virustorjuntaohjelman/-ia, mutta ihmettelen, että minne ne ovat menneet, kun niitä ei näy sovellus- eikä ylläpito-valikoissa. Jos tosiaan olen onnistunut asentamaan koneelle virustorjuntaohjelman, haluaisin oppia käyttämään sitä niin, että voisin tarkistaa sillä tiettyjä tiedostoja.

Tässä eräänä päivänä yllätyin, kun eräs asiakirjan, jonka olen tallentanut .doc-muodossa ja jonka aloittanut kirjoittaa windowsilla, tekstiin tuli häiriöitä. Häiriöt eli merkin muuttumiset koskivat eräitä vokaaleita, joiden päällä on aksenttiviiva. Tämä teksti on siis kirjoitettu Times New Roman -fontilla, vaikkei sitä Ubuntussa olekaan. Siihen päivään asti teksti näkyi normaalina. Silloin ajattelin, että jokin virus on iskenyt ko. asiakirjaan.

gdm · « **Vastaus #15 :** 28.07.09 - klo:12.19 »

Lainaus käyttäjältä: Tomppeli - 27.07.09 - klo:22.48

Lainaus käyttäjältä: Isis - 27.07.09 - klo:22.33
Lankaverkossa. Mikä on rkhunter
Rootkittien etsimiseen tarkoitettu ohjelma.
http://fi.wikipedia.org/wiki/Tietokonevirus#Rootkit
http://en.wikipedia.org/wiki/Rootkit

Jolla tarkistaminen on melko turhaa. ellei ole epämääräisiä skriptejä ajellut tai asennellut epämääräisiä paketteja netin syövereistä.

auth.log näytti viattomalta Isiksellä. Kukaan ei ole ottanut yhteyttä koneeseen.
Ellei aikaisemmin löydy mitään merkintää.

Sitten "nmap" tulosteesta, siellä on 1 portti auki, 631 eli tulostimelle varattu (menee kiinni jos CUPSin sulkee)

Ubuntu Suomen keskustelualueet

Uutiset:

Kirjoittaja Aihe: Murtautuiko joku koneelleni? (Luettu 4840 kertaa)

Minna S

Murtautuiko joku koneelleni?

Lasse.

Vs: Murtautuiko joku koneelleni?

Minna S

Vs: Murtautuiko joku koneelleni?

gdm

Vs: Murtautuiko joku koneelleni?

Minna S

Vs: Murtautuiko joku koneelleni?

Minna S

Vs: Murtautuiko joku koneelleni?

Minna S

Vs: Murtautuiko joku koneelleni?

Timo Virtanen

Vs: Murtautuiko joku koneelleni?

Minna S

Vs: Murtautuiko joku koneelleni?

Tomin

Vs: Murtautuiko joku koneelleni?

Smaragdi52

Vs: Murtautuiko joku koneelleni?

Timo Virtanen

Vs: Murtautuiko joku koneelleni?

ilnux

Vs: Murtautuiko joku koneelleni?

Tha-Fox

Vs: Murtautuiko joku koneelleni?

Smaragdi52

Vs: Murtautuiko joku koneelleni?

gdm

Vs: Murtautuiko joku koneelleni?