LINUX.ORG.RU

Как теперь избавиться от шпиона?

 , ,


3

8

Например, последние пару дней, садясь за свой комп я понимаю, что оставил тут в прошлый раз всё не так, как тут всё лежит сейчас. Всё понятно - шпион, опущу подробности, как он туда попал.

Вопрос: каков мой дальнейший порядок действий, чтобы избавиться от этого шпиона чтобы он снова не смог залезть в мою сеть? С чего вообще начать? Как профессионалы поступают в таких случаях?

Как профессионалы поступают в таких случаях?

Ликвидируют шпиона уколом зонтика

int13h ★★★★★ ()

Никогда еще Штирлиц не был так близок к провалу.

ThePretender ()
Ответ на: комментарий от tetramin

Без шуток — в твоем посте ни шиша не понятно, ноль полезной информации. Быстро пости что-нибудь полезное, может не успеют особо засмеять.

t184256 ★★★★★ ()

что оставил тут в прошлый раз всё не так, как тут всё лежит сейчас

То есть, на столе ? Клавиатура передвинута, мышку стащили и т.п. ?

AS ★★★★★ ()

оставил тут в прошлый раз всё не так

Порнуха не в том месте на паузе?

Всё понятно - шпион

Ээээ, это точно твой компьютер?

С чего вообще начать?

С визита к психиатру.

ioway ()

Для начала уточни. «Всё не так как я оставлял» - в реальном мире (то есть стул отодвинут, мышка передвинута, клавиатура не на своём месте, бумаги на столе переворошены) или виртуальном (окошко не в том месте, видео на паузе не на той позиции, файлы на рабочем столе не в том месте)?

KivApple ★★★★★ ()

Например, последние пару дней, садясь за свой комп я понимаю, что оставил тут в прошлый раз всё не так, как тут всё лежит сейчас. Всё понятно - шпион, опущу подробности, как он туда попал.

https://www.youtube.com/watch?v=3hwSgSARNUw
По факту нужно больше технических подробностей.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от ioway

Ладно. На сервере лежит важный сайт - его нужно сохранить.

Давайте просто расскажу: есть у меня товарищ, после того, как я посижу у него, бывает, в гостях. Потом лезу в свой телефон и обнаруживаю там новые устройства, новых пользователей, да и в общем телефон как-то тормозить начинает. И действительно: на телефоне шрифт, например, выглядит «иначе», некоторые области экрана сильно изменились по сравнению с тем, как было «до того», как я достал телефон из кармана. На самом деле и все настройки, прошитого кастомной прошивкой роутера, после этих походов по гостям, выглядят совершенно по другому. Я не геймер, понятия не имею, для чего всё это: EzQoS например?

А что в итоге: я уже 4 часа пытаюсь понять, опасно ли его присутствие - он ведь так все пароли перехватит в конце концов? А там и серьёзные есть пароли: шпиону - никакой выгоды, а мне люлей от начальства, если узнают, что кто-то на сервере.

Понятно, что мне не хочется, чтобы на мой ламповый сервак мог зайти только я!

tetramin ()
Последнее исправление: tetramin (всего исправлений: 1)
Ответ на: комментарий от tetramin

теперь все стало на свои места

anonymous ()

Как профессионалы поступают в таких случаях?

Звонят агентам Малдеру и Скалли.

Опиши проблему детально, тогда и ответы будут осмысленные.

P.S. Не давай свой телефон и не пускай никого в свою квартиру. Если страшно за телефон, держи его на цепи.

gh0stwizard ★★★★★ ()
Последнее исправление: gh0stwizard (всего исправлений: 1)

Главный психоаналитик ЛОРа

Пациент, у вас диссоциати́вное расстро́йство иденти́чности

anonymous ()
Ответ на: комментарий от gh0stwizard

Детально: подозреваю выполнение в данный момент у себя на сервере руткита, кейлоггера и ничего похожего на них я в ps не наблюдаю.

Каков нужен алгоритм действий для смены пароля рута на сервере, чтобы шпиону не достались отпечатки нажатых мною кнопок. И если предположить, что работает кейлоггер, то как его вычислить? И достаточным ли для того, чтобы сменить пароль рута, будет просто его убить (если найду).

Мне важно знать: как вообще люди-то поступают в таких случаях - не допустить проще, но, допустим в этот раз не получилось.

tetramin ()
Ответ на: комментарий от tetramin

rkhunter тебе в помощь, но по-хорошему, если есть подозрения в компроментации - полная переустановка с конфигурированием по-новой

r0ck3r ★★★★★ ()
Ответ на: комментарий от tetramin

кипитят старый сервер с хлоркой и восстанавливают всё уже на свежей машине из бэкапов, но хотя есть мнение что ты случайно закинулся не теми таблетками

anonymous ()
Ответ на: комментарий от tetramin

Самым простым решением проблемы будет снос всей системы и установка с нуля. Коненчо, надо сделать бэкапы перед этим.

Что касается вычисления руткита, то это тянет на статью. Коротко, тебе нужно запустить систему с включенным SELinux и auditd, тем самым резко повысив шансы на обнаружение. Однако, настройка SELinux тянет на книгу.

Также есть возможность найти через стандартные утилиты: ls, ps, netstat, tcpdump. Прежде всего необходимо проверить размер и контрольные суммы для /sbin/sshd. Это довольно распространенный способ сделать весьма живучий троян/бэкдор. Также не забудь проверить и программы, которые ты будешь использовать для нахождения локации руткита, все теже: ls, ps, netstat, tcpdump и другие программы могут быть изменены так, чтобы ты видел как будто руткита нет.

Вобщем, тебе нужен специалист. Либо ты им сам станешь после прочтения нескольких книг. Либо придется нанимать.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от anonymous

ну так ты не ходи в гости к таким «товарищам»!

+1

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от tetramin

Каков нужен алгоритм действий для смены пароля рута на сервере, чтобы шпиону не достались отпечатки нажатых мною кнопок.

Выпиваешь две таблетки валерианы, берешь не"скомпрометированный" комп, меняешь пароль командой passwd и назначаешь визит к врачу.

t184256 ★★★★★ ()

исключить mitm

anonymous ()
Ответ на: комментарий от tetramin

И действительно: на телефоне шрифт, например, выглядит «иначе»

Почему слово иначе в кавычках? Используется переносное значение? Какое?

, некоторые области экрана сильно изменились по сравнению с тем, как было «до того», как я достал телефон из кармана.

«до того», как я достал телефон из кармана.

а что было на экране, когда телефон был в кармане?

почему «до того» в кавычках?

r0ck3r ★★★★★ ()
Последнее исправление: r0ck3r (всего исправлений: 2)

Попросить Обаму в твиттере, чтобы больше за тобой не следил, и вызвать психиатра.

cipher ★★★★★ ()

Нужно полностью переустановить ОС на сервере, данные востанаваливать из бэкапа, на телефоне восстановить прошивку от производителя.

Про шизофрению поддерживаю, есть ненулевая вероятность, что это оно. Рекомендую найти независимого специалиста по безопасности и проконсультироваться у него, имело ли место заражение в действительности.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

я читаю и плачу....

и проконсультироваться у него, имело ли место заражение в действительности

заражение шизофренией?

alexnorton ()

Я могу вам помочь, уважаемый страдалец. Но за деньги.

alexnorton ()
Ответ на: комментарий от Legioner

на телефоне восстановить прошивку от производителя

Перед этим сделав скриншоты тех мест, что кажутся измененными. Ну или взять такой же чужой телефон и сравнить попиксельно. Это должно многое прояснить.

arturpub ★★ ()
Ответ на: комментарий от t184256

И пассворд выполнят и таблетки назначат, и клизму поставят. Там написал же - «дорого».

eabi ()

Поддерживаю обращение в психиатричку

Как зовут новую инкарнацию Кащенки?

Valkeru ★★★★ ()
Ответ на: комментарий от tetramin

Вроде все понятно. Точно к психиатру. Без, обид, то что ты описываешь сильно смахивает на «уставший моск». Сходишь сейчас - позднее может и будешь сидеть на «колесах», но спасибо скажешь.

ioway ()
Ответ на: комментарий от hope13

Да, ребята, таблетки и вещества - это конечно хорошо. Но телефон скорее всего взломали. Начнём с того, что только у некоторых приложений осталась нормальная дата mtime - у остальных сбросилась в ноль. Практически у всех важных приложений появилось много пунктов «разрешения», в которых добавились: удалять/изменять содержимое карты, управлять.изменять настройки синхронизации. Делать фото-видео, без моего согласия, приложение вк вообще не проходит проверку и не запускается (говорит, что не то приложение). Среди списка приложений есть такое «блокировка SIM» - она имеет разрешения делать вообще всё!

напомнило это: https://en.wikipedia.org/wiki/Zersetzung

Похожее что-то). Да)

tetramin ()
Ответ на: комментарий от tetramin

Практически у всех важных приложений появилось много пунктов «разрешения»

Ахаха. Будешь делать вид, что при установке тебя про них не спросили?

t184256 ★★★★★ ()
Ответ на: комментарий от tetramin

вопросы на засыпку - что за дистр, версия, версии ядра, ssh, переназначены ли в нем стандартные порты, php, apache, как часто обновляешься?

anonymous ()
Ответ на: комментарий от t184256

нет конечно, ТС же говорит. Или у тебя есть основания не верить ему?

r0ck3r ★★★★★ ()
Ответ на: комментарий от tetramin

Базовая проверка не требует особых знаний, и так как так совпало, что в определенный промежуток времени мне пришлось делать зарисовку по этому поводу, я просто поделюсь с тобой материалом.
Да по поводу rkhunter у него есть несколько false-positive и он устарел, однако откровенные и распространенные (несколько лет назад) руткиты он найдет без проблем.
Собственно вот

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ладно. Просто для меня это было неожиданностью: пришёл на работу, а там роутер перепрограммирован, сервак перезагружен. Что за ерунда...

Вспоминаются все случаи, когда что-то похожее читал и думал: «Вот, штырит чувака!». А тут сам в подобной ситуации.

И, я вам скажу, мы ещё не одну, и не две сотни/тысячи раз увидим похожие проблемы. И правда: всё было хорошо до какого-то момента, а тут - все устройства, как сговорились. Сервер, роутер, телефон.

Итог:

Больше всего пострадал телефон (какие-то задачи на ночную перезагрузку, днс подменены, приложения не работают. Авторизацию не проходят). А сервер кипятится с хлоркой в автоклаве. Имел место взлом - и вот тут мне так и не удалось выяснить причину: через какую дыру его сломали! Достался он мне от прошлого админа. Вот поэтому и писалось с самого начала всё в формате: «как поступили бы профессионалы?». Надо же не просто развернуть сервер из бэкапа, а ещё и дыру закрыть! Ладно, может всплывёт ещё раз.

так как так совпало, что в определенный промежуток времени мне пришлось делать зарисовку по этому поводу, я просто поделюсь с тобой материалом

Большое спасибо. Вот побольше бы таких зарисовок)

tetramin ()
11 апреля 2016 г.

Показания к применению

Галоперидол используется для симптоматического и поддерживающего лечения шизофрении.

Острые психозы, вызванные приёмом наркотических веществ или лекарственных средств, ЛСД, псилоцибин, амфетамин, метамфетамин, декстрометорфан, кетамин, фенциклидин, бред и галлюцинации различного генеза, соматогенные психозы.

Делирий — психическое расстройство, протекающее с нарушением сознания (от помрачённого состояния до комы). Характеризуется наличием истинных преимущественно зрительных, галлюцинаций и иллюзий, и, как следствие, — вторичным бредом; наличием эмоционально аффективных нарушений, сенсопатиями, затруднённой ориентировкой в окружающем мире, дезориентацией во времени. .

Расстройства поведения в пожилом и детском возрасте (в том числе гиперреактивность у детей и детский аутизм).

Психомоторное возбуждение различной этиологии (мания, деменция, умственная отсталость, расстройства личности, алкоголизм).

Синдром отмены алкоголя и опиатов.

Лечение неврологических расстройств, тики, синдром Туретта и хорея.

Лечение тошноты и рвоты (послеоперационной, побочные эффекты лучевой терапии, химиотерапии рака)

Лечение хронического болевого синдрома (вместе с анальгетиками).

Лечении резистентной икоты.

Галоперидол — антидот циклодола.

anonymous ()

Всё понятно - шпион, опущу подробности, как он туда попал.

И не поймёшь.

С чего вообще начать? Как профессионалы поступают в таких случаях?

Позвони в ФСБ и во всём признайся.

tommy ★★★★★ ()
Ответ на: комментарий от anonymous

Тетрамин же.
Если его жрать много лет — ещё и не так вштырит.

Goury ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.