27/03/2013 г.
Сегодня после обновления нашел в логах такую запись: Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session по этому поводу есть пост kernel.org status: hints on how to check your machine for intrusion
Сейчас перевожу переводчиком эту писанину. Честно говоря перевод не радует.
В директории /tmp есть следы работы ssh последнее время/дата 18:04 27.03.2013 г. Как раз ssh обновлялось при последнем обновлении, последняя активность, если верить оставшейся директории в домашней папке в 18:04 27.03.2013 г.
Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.31, object path /org/gnome/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8) (disconnected from bus)
И так, предположительно налицо взлом с начала этого (27.03.2013 г.) дня после обновления системы, при обновлении менеджер обновления не ругался на неавторизованные пакеты. Отсюда вывод: такая ситуация могла возникнуть и ранее, но более скрыто, а не так явно с багами иксов. Надо искать Live-CD для проверки.
18:52 пришла куча обновлений. На мой взгляд в среде разработчиков дистрибутивов Linux или завелись грызуны или у разработчиков дистрибутивов Linux грызуны завелись дома или еще пара вариантов. Но доверия к дистрибутивам Linux уже не испытываю.
После обновления пакетной базы и нескольких глюков иксов, при запущенном tor-e, время каталога ssh в домашней директории изменилось на 14:18 27.03.2013 г., дата неправильна???!, согласно другого скриншота дата 27.01.2013 г. Вот это да!!!
У меня вопрос к «шутникам»: «Ну, что? Что-то нашли? Чего искали?» Эх, люди, люди! Что же вам спокойно не живется, все пакости какие-то, зачем пакостить и к чему? Нужно просто жить, жить без всяких подлостей и дрязг, мирно, без злобы, без зависти. Эх, вы. Зря.
Посмотрел еще один скриншот, дата-время в каталоге /tmp уже 27.03.2013 г. 17:44, а не 18:04. Н-да, чудеса. При этом не пью, ничего дурного не курю и ничего дурного не употребляю. Ну и шуточки. Удалил в каталоге /tmp каталог с временным файлами ssh, глюки системы сразу прекратились. До запуска браузера, в браузере отключил пару расширений («фирменных»), пока ssh каталог в темпе не появлялся, значит не руткит (rootkit?), изучаю ситуацию дальше. Скриншоты выложу позже, они интересные. Там как раз наглядно показаны даты/время и файл сокета, каталогов и подкаталогов.
В домашней директории:
В Темпе:
Снова в домашней директории:
Днями ранее обновлялись и пакеты, отвечающие за аутенификацию в системе, нужно менять пароли. И много чего еще, сегодня вечером около 22.00 тоже пришли обновления — обновил.
23:15 снова перезагрузились иксы, все-таки руткит (rootkit), наверное.
31.03.2013 г. Удалил еще один пакет (xsel), связанный с иксами, крахи иксов прекратились. Надолго ли? До этого, несколькими днями ранее удалили еще один программный пакет, предназначенный для дубликации конфигурации между двумя компьютерами. Странное поведение у домашнего вай-фай маршрутизатора, проверил только файл выгружаемой конфигурации, ничего странного нет. Все так же до этого наблюдал появление в темпе директории с ssh. Шутки надо мною продолжаются. Мамуля нашла флэш-карту в упаковке, SD формата, рассмотрел мельком, возможно и адаптер для микро-СД, показала мне, но у меня таких никогда не было, может сестренка оставила или еще кто? Вот пораньше бы нашла, когда нужна была флэш-карточка микро-сд для мобильного. Разбираться с коммутатором нет желания, пока нет, т. к. свежей прошивки для него нет. Если только попробовать сваять самому из SDK-D-Link для данного девайса? Неплохая идея, можно попробовать. Найду ли я свежие пакеты для моего электронного чуда — не известно. Иксы снова слетели, изучаю систему дальше. Данные глюки подвигли меня на дальнейшее, но уже более глубокое изучение конфигурационных параметров Икс-сервера. Мои старания оказались ненапрасными, нашел в xsession.options параметр, отвечающий за запуск ssh агента при старте системы. Даты файла конфигурации и опций сессии от 25 августа. Сравнить не с чем, но данный момент я выясню непременно. Отключил агента ssh в файле конфигурации Иксов. Далее в логах системы отписано, что есть проблемы с GTK, которые привязаны к Иксам, поэтому необходиомо разобраться и с ними, а уже потом делать дальнейшие выводы. Все, пошел в ребут. До ребута не успел, почему-то начал самопроизвольно перезагружаться домашний маршрутизатор. Но все равно, сначала перезагрузочка. Она покажет, есть ли дрянь в системе. А пока читаю байки про И. В. Сталина: https://nikitushkinandrey.wordpress.com/2013/03/13/%D1%81%D1%81%D1%81%D1%80-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B0-%D1%81%D0%BE%D0%B2%D0%B5%D1%82%D0%BE%D0%B2-%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F-%D1%81%D0%BE%D0%B2%D0%B5%D1%82%D1%81%D0%BA%D0%B8-15/
После перезагрузки ssh клиент уже не запускается. Радует. Маршрутизатор перезагружался несколько раз, как я уже говорил, последний раз точно из-за света, почему в предыдущие — не успел снять с роутера логи, как раз выключился свет. Жаль.
Прогнал тест системы chkrootkit, получил такие результаты:
1. Suckit rootkit… Warning: /sbin/init INFECTED (Перевод гласит — скачайте всё, высосите его, вариаций множество). Сосать вы научились, а я научу вас обсасывать, точнее уже научил…
2. Checking `chkutmp’… The tty of the following user process(es) were not found in /var/run/utmp !
! RUID PID TTY CMD
! root xxx pts/1 bash -rcfile .bashrc
! root xxx pts/1 /bin/sh /usr/sbin/chkrootkit
! root xxxx pts/1 ./chkutmp
! root xxxx pts/1 ps axk tty,ruser,args -o tty,pid,ruser,args
! root xxxx pts/1 sh -c ps axk «tty,ruser,args» -o «tty,pid,ruser,args»
Надеюсь, что часть записей вполне говорит сама за себя.
3. В каталоге /sbin файлы с одной и той же датой и временем последней модификации, что и /sbin/init:
02.04.2013 г.
3. Выгрузка заразы: /sbin/init u
4. Для излечения, по всей видимости, необходимо довнгрэйдить пакеты до предыдущей версии, пока не пробовал, хочу разобраться с другими зависимостями тех пакетов, которые выявил.
04/04/2013 г.
5. Сохранил зараженные файлы для дальнейшего тестирования вчера, также сохранил доступные логи (журналы). Сегодня установил систему, проверил, вирусни нет. Разбираюсь почти сутки с домашним роутером, тоже ведет себя странным образом. Выставил настройки безопасности на максимум, роутер пока жив. Вчера не мог зайти на консоль роутера по ххтп, пришлось настройки сбрасывать и настраивать заново. Отпишу поподробнее чуть попозже.
05/04/2013 г. Вчера зафиксировал свою точку выхода в интернет напрямую не из моей подсети 93-124-хх-хх, а из подести 95.152.0.0/19.!!!! Наблюдаю далее.
21/04/2013 г. Эпопея с руткитами продолжается, сегодня снова зафиксировал появление .ssh каталога в домашней директории. chkrootkit ругается на питон, браузер, расширения офисного пакета, есть подозрение да драйвер сетевой карты, есть еще кое-что. Разбираюсь с данной проблемой… Буду исключать все варианты шаг за шагом. 😀 😀 😀 😀 😀
Запись в логах, соответствующая времени создания сокета ssh такая: pam_unix(gdm-welcome:session): session opened for user Debian-gdm by, надеюсь, что все понятно… Хотя, сначала подозрения были на один из компонентов freedesktop. Наблюдаю дальше… 😀 😀 😀 😀 😀 В Ubuntu Debian-gdm нет, есть lightdm, поэтому, возможен вариант либо дряни в ядре, либо в одном из подгружаемых модулей. Сравню завтра с логами Ubuntu.
22/04/2013 г. В убунту с лайтманагером была похожая картинка. Вчера приметил, что наутилус и еще один процесс, завязанный с полисикайт, работали от рута. Интересно, будет ли еще что новое?
✭✭✭✭✭ ☭ Сайт Никитушкина Андрея ;-) ☭ ✭✭✭✭✭ 