Backdoor e/ou virus no Linux Mint

Patrick03
(usa Ubuntu)

Enviado em 12/11/2016 - 20:47h

Obs: Teclado desconfigurado.
Como um paranoico, usei os comandos chkrootkit e rkhunter -c para verificar a integridade da minha distro e me deparei com isto:

 /usr/bin/lwp-request                                     [ Warning ] 

Checking `bindshell'...                                     INFECTED (PORTS:  1524 6667 31337)

 

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

 

https://i.imgur.com/DyWwLlP.png


Ah, e a minha partiçao raiz subitamente ocupou 42 GB de 60 e atualmente esta ocupando 9GB.

Consideraçoes:
(1)Nao, eu nao fiz nenhum download de arquivos suspeitos, todos os downloads que fiz foram escaneados
(2) Nao uso o wine
(3) Estou usando o firewall

Alguem que teve o mesmo problema que o meu, mas o detalhou de uma melhor forma:

https://ubuntuforums.org/showthread.php?t=1273168

GustavoValerio
(usa Debian)

Enviado em 12/11/2016 - 23:59h

Certo, vamos lá:

1. Quando você baixou a iso, foi do site oficial?
2. Você checou o md5 da iso baixada? se sim, era igual o md5 do site?
3. Você instalou algum programa manualmente?
4. Instalou ou adicionou repositórios /ppa de terceiros?
5. Deu sua senha de root ou deu acesso a alguém?
------------------------------------------------------------------------------------------------------------------------
"Esta é a filosofia Unix:
Escreva programas que façam apenas uma coisa mas que façam bem feito.
Escreva programas que trabalhem juntos.
Escreva programas que manipulem streams de texto, pois esta é uma interface universal."
Ou, de maneira simples: "faça apenas uma coisa e faça bem".
------------------------------------------------------------------------------------------------------------------------
Visite: https://blog.gustavovalerio.com
Visite: http://goo.gl/NJlxXy

Patrick03
(usa Ubuntu)

Enviado em 13/11/2016 - 00:18h

1- Sim
2- Sim, eram as mesmas
3- Acho que esse deve ter sido o meu problema, não gosto de ppas por isso sempre compilo os programas que desejo instalar. O último foi o RPG Boss, mas não acho que tenha sido ele o problema, talvez sim.
4- Todos os repósitorios que adicionei eram oficiais.
5- Não

Acabei de formatar o notebook. Eu estava pensando em adicionar algumas rules para o Gufw, poderia me dizer onde eu encontro algumas? Eu procurei mas não achei o que eu queria.


---------------------------------------
Corrija-me quando necessário!

https://bartoi.blogspot.com.br/
---------------------------------------

GustavoValerio
(usa Debian)

Enviado em 13/11/2016 - 01:53h

Aqui no VOL tem uma sessão só de scripts.
Deve ter vários aqui sobre Iptables/Netfilter.
------------------------------------------------------------------------------------------------------------------------
"Esta é a filosofia Unix:
Escreva programas que façam apenas uma coisa mas que façam bem feito.
Escreva programas que trabalhem juntos.
Escreva programas que manipulem streams de texto, pois esta é uma interface universal."
Ou, de maneira simples: "faça apenas uma coisa e faça bem".
------------------------------------------------------------------------------------------------------------------------
Visite: https://blog.gustavovalerio.com
Visite: http://goo.gl/NJlxXy

removido
(usa Nenhuma)

Enviado em 13/11/2016 - 03:36h

Você fez exame com sistema externo para verificar rootkits?

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

clodoaldops
(usa Linux Mint)

Enviado em 13/11/2016 - 08:47h

-uso PPA no Ubuntu e Mint há anos e nunca tive problemas exceto qdo PPA estava "desativado"
-quando tive problemas com teclado com Ubuntu resolvi com a dica abaixo
https://www.vivaolinux.com.br/dica/Ubuntu-1404-Teclado-que-perde-configuracao-Resolvido

***********************************************
Meu Blog: Linux Mint Dicas
http://dicaslinuxmint.blogspot.com.br/

Patrick03
(usa Ubuntu)

Enviado em 13/11/2016 - 09:37h

Ah sim, a desconfiança acaba prejudicando. Meu teclado ficou desconfigurado porque eu estava trocando o idioma. Obrigado!



Exame com sistema externo?

Atualização:
Eu usei o Rkhunter num live-cd do Linux mint e apenas a alteração no diretório /dev se manteve!
Mas agora instalei o Fedora.

Mesmo assim obrigado à todos!
---------------------------------------
Corrija-me quando necessário!

https://bartoi.blogspot.com.br/
---------------------------------------