LINUX.ORG.RU

Аудит безопасности

 ,


0

3

У меня fedora 21 [KDE]. установил 3 недели назад. Просканировал с удалённой машины нмапом - открытых портов нет. Поведение странное стало. То в NetworkManager'e ковыряюсь - вылезет KWallet. То окошко выключения компика неожиданно. Я бы переставил систему, но делал это недавно. И смысл ставить, если условия будут такие же? Хочется разобраться, есть ли и как проник зловред.

То в NetworkManager'e ковыряюсь - вылезет KWallet. То окошко выключения компика неожиданно.

Клаву почисти и хватит над ней жрать.

ziemin ★★ ()
Ответ на: комментарий от ziemin

Да она чистая, я над ней не жру. Kwallet 4 раза за 15 минут вылез, исключительно когда я в NetworkManager'e ковырялся. И больше не вылезал ни до ни после. Печатал в консоли, до кнопки выключения тянуться пальцами далеко и она отдельно там находится. Но вылезло же это окошко. Вчера плеер ещё при закрытие крышки ноутбука выключался. Инет в некоторый момент тянуть очень медленно начал.

StasON777 ()

Галоперидо́л прими, должно полегчать.

b0c0813f ()
Ответ на: комментарий от b0c0813f

Большое спасибо. Не привык к такому количество глюков за короткий промежуток времени в несвязанных приложениях.

StasON777 ()
Ответ на: комментарий от StasON777

Ну и? У меня иногда бывает система по win+L не лочится, бывает весь гном виснет из-за флеша, бывают еще какие траблы с приложениями, это линукс в конце концов.

b0c0813f ()

хоспаде

когда у них каникулы уже

и мамка на дачу заберет...

anonymous ()
Ответ на: комментарий от b0c0813f
accounts-daemon.service                     enabled 
acpid.service                               enabled 
atd.service                                 enabled 
auditd.service                              enabled 
bluetooth.service                           enabled 
chronyd.service                             enabled 
crond.service                               enabled 
dbus-org.bluez.service                      enabled 
dbus-org.fedoraproject.FirewallD1.service   enabled
dbus-org.freedesktop.ModemManager1.service  enabled 
dbus-org.freedesktop.NetworkManager.service enabled 
dbus-org.freedesktop.nm-dispatcher.service  enabled 
display-manager.service                     enabled 
dmraid-activation.service                   enabled 
drweb-configd.service                       enabled 
drweb-spider-kmod.service                   enabled
firewalld.service                           enabled
getty@.service                              enabled 
gpm.service                                 enabled 
irqbalance.service                          enabled 
iscsi.service                               enabled
kdm.service                                 enabled
lvm2-monitor.service                        enabled 
mdmonitor.service                           enabled 
ModemManager.service                        enabled 
multipathd.service                          enabled 
netcf-transaction.service                   enabled 
NetworkManager-dispatcher.service           enabled 
NetworkManager.service                      enabled 
rsyslog.service                             enabled 
rtkit-daemon.service                        enabled 
serial-getty@.service                       enabled
spice-vdagentd.service                      enabled 
syslog.service                              enabled 
systemd-readahead-collect.service           enabled
systemd-readahead-drop.service              enabled 
systemd-readahead-replay.service            enabled 
systemd-readahead-drop.service              enabled 
systemd-readahead-replay.service            enabled 
dm-event.socket                             enabled 
iscsid.socket                               enabled 
iscsiuio.socket                             enabled 
lvm2-lvmetad.socket                         enabled 
rpcbind.socket                              enabled 
default.target                              enabled
graphical.target                            enabled
nfs-client.target                           enabled 
remote-fs.target                            enabled 
dnf-makecache.timer                         enabled 

это список запущенных демонов, который выдаёт systemctl list-unit-files Что-то стоит поубивать? На что ещё можно обратить внимание?

StasON777 ()
Ответ на: комментарий от StasON777

Что-то стоит поубивать?

Ничего не надо убивать, если не знаешь зачем оно нужно.

Установи rkhunter, проверь систему и успокойся.

b0c0813f ()
Ответ на: комментарий от b0c0813f

Установи rkhunter, проверь систему и успокойся.

А с какой стати оно что-то гарантирует? Это как и обычный антивирус, может выявить только известные зловреды.

У вас под прыщами даже нормальной утилиты нет чтобы в реальном времени наблюдать за сетевой активностью процессов.

anonymous ()
Ответ на: комментарий от anonymous

Я лично не школьник и не прыщав. Просто с Линем не так давно дружить начал. И есть причины быть параноиком. Посоветуйте тогда хорошую утилиту под КДЕ.

StasON777 ()

Там может у тебя пароль какой сохранённый, вот он в KWallet и лезет?

anonymous ()
Ответ на: комментарий от anonymous

Я в кваллете пароли не сохранял вообще. Открывается окошко для первоначальной настройки.

StasON777 ()
Ответ на: комментарий от b0c0813f

Проверил. Вот список предупреждений, который он мне выдал

Checking for prerequisites [ Warning ]
/usr/sbin/ifdown           [ Warning ]
/usr/sbin/ifup             [ Warning ]
/usr/bin/egrep             [ Warning ]
/usr/bin/fgrep             [ Warning ]
Checking for hidden processes        [ Skipped ]
Checking for passwd file changes     [ Warning ]
Checking for group file changes      [ Warning ]
Пока не до конца разобрался.

StasON777 ()

как проник зловред

Из того что ты описал, на зловреда не похоже. Покамест.

Deleted ()
Ответ на: комментарий от Deleted

За день до этого начала выключаться музыка при закрытии крышки ноутбука, на следующий день снова было нормально. Настройки плана электропитания я проверил - были выставлены корректно. Ещё из сети выкидывало иногда - но это роутер мой оказалось был взломан. (Там пароль сменился, ещё что-то странное было).

StasON777 ()

кому ты нахрен нужен? Кеды настрой, если клава в порядке. Ну и NM тоже. Запрос пароля, алсо, может от слабого сигнала появиться, и/или от дерьмового оборудования.

emulek ()

То окошко выключения компика неожиданно. Я бы переставил систему, но делал это недавно.

ну вот что-то ты сделал не так.

emulek ()
Ответ на: комментарий от StasON777

это список запущенных демонов, который выдаёт systemctl list-unit-files Что-то стоит поубивать?

systemd

emulek ()
Ответ на: комментарий от StasON777

А ты не мог забыть пароль роутера? А то у меня так было.

Кстати, роутеры у меня вскрывали, было дело. Причём один раз не изменил дефолтный пароль. «Потом-потом», в надежде, что ничего особенно ценного не было.

Deleted ()
Ответ на: комментарий от b0c0813f

Что-то стоит поубивать?

Ничего не надо убивать, если не знаешь зачем оно нужно.

Установи rkhunter, проверь систему и успокойся.

именно такими темами был полон рунет 15 лет назад.

emulek ()
Ответ на: комментарий от anonymous

У вас под прыщами даже нормальной утилиты нет чтобы в реальном времени наблюдать за сетевой активностью процессов.

facepalm

emulek ()
Ответ на: комментарий от StasON777

Я в кваллете пароли не сохранял вообще. Открывается окошко для первоначальной настройки.

дык или настрой, или выруби нахер.

emulek ()
Ответ на: комментарий от StasON777

Ещё из сети выкидывало иногда - но это роутер мой оказалось был взломан

как херово быть тобой. А вот мои локалхосты никому нахрен не нужны. Я в печали… ☹

emulek ()
Ответ на: комментарий от Deleted

Причём один раз не изменил дефолтный пароль.

ССЗБ

Это ты называешь «взлом», да?

emulek ()
Ответ на: комментарий от Deleted

Пароль был достаточно сложный на вёбморду. Зашёл сменить на всякий случай. Сохранил. Зашёл под новым. Потом он не заработал. Снова под старым попробовал - зашёл. Сменил повторно. Сменил на вафлю. Вафля отвалилась на пол часа. Подключился кабелем. И опять эта фигня с паролями. Прошивка самая свежая, что есть от производителя, а вот железка - старая.

StasON777 ()
Ответ на: комментарий от emulek

Нет, взломом я называю другие вещи. Знание пароля облегчило задачу. Ломали конкретно базу. Но сломали не её, а «обманку».

Потом, быть может, напишу какую-нибудь статеечку.

Deleted ()
Ответ на: комментарий от powerguy

Он там хочет сохранить пароль из NM.

C kwallet вопрос отпал. Это действительно вылезает запрос при сохранении изменений в соединении.

StasON777 ()
Ответ на: комментарий от StasON777

Зашёл под новым. Потом он не заработал.

Если это взлом, нужно искать какой-нить скрипт. А железка со встроенной вафлей?

Deleted ()
Ответ на: комментарий от Deleted

Да. Но поздно, я её перешил. А потом подумал - и отложил в сторону, пока кабель подцепил. Руки дойдут - поставлю другую прошивку. Там даунгрейд надо 2 раза делать, загрузчик менять и только потом шить через промежуточную - позже этим займусь.

StasON777 ()
Ответ на: комментарий от StasON777

Kwallet 4 раза за 15 минут вылез, исключительно когда я в NetworkManager'e ковырялся.

Это особенности работы NetworkManager'а. Наверное, хочет, чтобы ты настроил кошелёк для паролей.

Y ★★ ()
Ответ на: комментарий от Y

Это особенности работы NetworkManager'а. Наверное, хочет, чтобы ты настроил кошелёк для паролей.

Да, именно с этим я как раз разобрался уже, спасибо!

StasON777 ()
Ответ на: комментарий от Deleted

Ломали конкретно базу. Но сломали не её, а «обманку».

хм. Что-же у тебя там ТАКОЕ лежит?

emulek ()
Ответ на: комментарий от StasON777

Посоветуй удобную утилиту для мониторинга.

судя по вопросам, ты полный http://en.wikipedia.org/wiki/Newbie (в хорошем смысле).

Потому для тебя попроще: http://habrahabr.ru/post/131504/

Это если вопрос «по трафику от приложения». А вообще говоря, тема обширная.

emulek ()
Ответ на: комментарий от Y

Это особенности работы NetworkManager'а

скорее это особенность работы апплета из KDE, потому что nm-applet так не задалбывает, и просит пароль очень редко (хотя тоже бывает).

emulek ()
Ответ на: комментарий от Deleted

Из того что ты описал, на зловреда не похоже.

Параметры электропитания настроил, чтобы на закрытие крышки действия не было. Потом не менял. Вечером слушал музыку. По закрытию крышки комп начал уходить в сон. Подумал, что из-за обнов, выключил и пошёл спать. Утром включил - проверил параметры электропитания, всё в порядке. Закрываю крышку - в сон не уходит.

StasON777 ()
Ответ на: комментарий от emulek

судя по вопросам, ты полный http://en.wikipedia.org/wiki/Newbie (в хорошем смысле). Потому для тебя попроще: http://habrahabr.ru/post/131504/ Это если вопрос «по трафику от приложения». А вообще говоря, тема обширная.

Судя по твоему ответу, ты полный дебил. Да впрочем, сколько помню, ты, Батти, всегда таким был.

Спрашивали про нормальную утилиту для мониторинга сетевой активности процессов в реальном времени. Нормальная такая утилита должна группировать соединения по процессам. Iptraf по твоей ссылке не показывает ничего о процессах.

Есть под прыщи только одна утилита, у которой это заявлено — nethogs, но там группировка часто тупит, что делает эту утилиту бессмысленной. Ещё и скроллинга нет. Типичная прыщеподелка школьника.

anonymous ()
Ответ на: комментарий от anonymous

нормальную

Перепутал тег, нормальную.

anonymous ()
Ответ на: комментарий от emulek

страдай, я не против.

[root@localhost ~]#chkconfig systemd off
ошибка чтения информации о сервисе systemd: Нет такого файла или каталога
StasON777 ()
Ответ на: комментарий от emulek

Что-же у тебя там ТАКОЕ лежит?

Кто ж тебе правду скажет? =)
Да нет там ничего такого, что представляло бы какой-то долговременный интерес. Исходники проектов? Готовые проекты? Технические задания? Фильмы? Литература? Наброски статей, изобрЕтений, научных работ? Да всё это вместе стоит штук 20-40. Явно дешевле стоимости усилий по взлому.
Ломают-то для чего? В основном, для извлечения прибыли. Чтобы не тратить усилия впустую, взлому предшествует изучение объекта атаки. Поводов думать, что у меня есть НЕЧТО, не давал. Значит, ломали или заради спортивного интереса, или с целью опробации каких-то новых методов. Что для админа и практикующего специалиста по ИБ самый что ни на есть кошмар - такие хаотичные атаки. Страдаю сам от них, на всех рабочих местах, в том числе и от вирусов, достаточно часто, приходится дополнительно блюсти режим.
И, матерясь, вспоминать о бэкапе, когда уже поздно метаться.

А «обманку» запилил так, между делом. Интересуюсь, помимо всего прочего ИБ. Возжелал однажды проверить на практике работу придуманного мною же метода (или способа, или хз как ещё обозвать). Ну и соорудил. Можно считать, что в текущих условиях работает.

Deleted ()
Последнее исправление: rht (всего исправлений: 1)
Ответ на: комментарий от StasON777

Это нормально, не обращай внимание

anonymous ()
Ответ на: комментарий от anonymous

Ночью сегодня ещё не выключил комп и из колонок посреди ночи раздался кратковременный звуковой сигнал.

StasON777 ()

Ты зациклился на портах и у тебя приступ паранойи.

Выкинь федору.

anonymous ()
Ответ на: комментарий от anonymous

Ты зациклился на портах и у тебя приступ паранойи.

Насчёт паранойи - да, ты прав. Просто до этого был взлом компа, ещё и в роутере бекдор оказался - вот и загонял по полной(

Выкинь федору.

Ну она оказалась уж всяко лучше винды! Та - совсем кусок дерьма.

StasON777 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.