ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not found
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not found
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for rootkit HiDrootkit's default files... nothing found
Searching for rootkit t0rn's default files... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for rootkit Lion's default files... nothing found
Searching for rootkit RSHA's default files... nothing found
Searching for rootkit RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/3.16.0-43-generic/vdso/.build-id /lib/modules/3.16.0-23-generic/vdso/.build-id
/lib/modules/3.16.0-43-generic/vdso/.build-id /lib/modules/3.16.0-23-generic/vdso/.build-id
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... Warning: `//home/linux3/.python_history' file size is zero
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[2235], /sbin/dhclient[9283])
Checking `w55808'... not infected
Checking `wted'... 8 deletion(s) between Sat Apr 2 03:00:13 2016 and Sat Apr 2 13:26:44 2016
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user linux3 deleted or never logged from lastlog!
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 2898 tty7 /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 |
sort | uniq -c | sort -nr | head
من این هارو چک کردم برای اینکه تشخیص بدم هک شدم یا نه.دقت کنید من میخوام بدونم هک شدم یا نه.همین.اطلاعات شخصی دارم روی سیستم و میخوام از نگرانی دربیام.وگرنه بعد تشخیص میخوام اوبونتو رو مجدد نصب کنم.من تخصصی در این زمینه ندارم، اما چیزی که به ذهن میرسه اینه که ترافیکتو با برنامهای مثل wireshark بررسی کنی ببینی دیتای مشکوکی رد و بدل میشه یا نه!من چیزی که قبلا اتفاق افتاده رو میخوام بررسی کنم یعنی این هک اگه اتفاق افتاده باشه پیش از این ها روی سیستمم اتفاق افتاده و تازه این حفره رو پیدا کردن
من که چند وقت پیش فلش رو کاملا حذف کردم و رفت، راحت! :)
من تخصصی ندارم ولی warning ها رو که دیدم بنظر من چیز خاصی نبود. میتونید توی فایلی که پیوست کردید، بزنید warning براتون مییاره.قدم اول رو که انجام دادم و پاک کردم.بله هیچوقت نصب نخواهم کرد.فعلا مشکلم بررسی هک شدن یا نشدنم هست و اینکه یکی بیاد جواب دو پست اول من رو بده.دوستان دقت کنید من راه حل تشخیص هک شدن یا نشدن رو میخوام فقط که بدونم واسه اطلاعات شخصیم مشکل پیش نیومده وگرنه بعد از فهمیدن این مورد اوبونتو رو مجدد نصب می کنم
فکر کنم قدم اول این باشه که فلش رو پاک کنید و دیگه هیچ وقت نصب کنید. مثل من، مثل خیلیهای دیگه. دیگه فلش تموم شد، مُرد. نه برای دیدن یوتیوب فلش نیاز هست و نه آپارات.
نیازی به نصب مجدد نیست. کافیه که یک کاربر جدید بسازید، اطلاعات کاربرتون رو اونجا کپی کنید (بدون فایلهای تنظیمات) و کاربر قبلی رو پاک کنید.تشکر از راهنماییتون nixoeen جان
حریم شخصی خیلی مهمه، ولی فقط پیشگیری داره، نه درمان. الآن فرض کن هک شدی و یه نفر که نمیدونی کیه تمام اطّلاعاتت رو داره، میخوای چهکار کنی؟اومدم اینجا بلکه راهنمایی فنی کنید نه اینکه من به سوال شما جواب بدم و بحثو به حاشیه بکشونید.اگه خیلی بلدید خب با کمی راهنمایی شک من رو برطرف کنید و اگه بلد نیستید بذارید کسانی که بلدند راهنمایی کنند.از شما که ناظمی بعیده واقعا.انتظارم بیشتر از اینا بود از انجمن
اگه خیلی بلدید خب با کمی راهنمایی شک من رو برطرف کنیدمن خیلی بلد نیستیم، ولی اطلاعات کافی دارم. همینطور که گفتم کار سادهای نیست و برنامهای هم برای اون وجود نداره. باید بشینید دستی تمامی تنظیمات و فایلهای داخل Home خودتون رو چک کنید. این که دنبال چی بگردید هم نامشخصه! در نتیجه کار درست در این مواقع همونیه که گفتم :)
لطفا فقط کسانی که بلندند راهنمایی کننداینجا اگر کسی سعی به راهنمایی درست شما داره (بجای اینکه دقیقا چیزی که شما میخواید و احتمالا اشتباهه رو بهتون بگه)، داره به شما لطف میکنه. شما هزینهای براش نپرداختید :) و مسلما نمیتونید هر کسی اینجا میتونه بهتون پاسخ بده و شما نمیتونید کسی رو محدود کنید.
کسی که توی این موارد کار کرده میتونه بگه چه مواردی باید بررسی بشه.تمام فایلهای توی Home رو باید دونه دونه بررسی کنید و ببینید چیز مشکوکی پیدا میکنید یا نه.
ميتونی از چیزی مثل rkhunter استفاده کنی. ولی اون هم دقیق نیست. یعنی اگه جواب مثبت بده، یعنی روی رایانه rootkit داری، ولی اگه جواب مثبت نده به این معنی نیست که نداری!ازش استفاده کردم و داخل پست دوم من رو اگه ببینید نوشتم ازش استفاده کردم و یه جاهاییش از خروجی رو متوجه نشدم که از دوستان کمک خواستم درموردش ولی کسی جوابی درموردش نداد
ازش استفاده کردم و داخل پست دوم من رو اگه ببینید نوشتم ازش استفاده کردم و یه جاهاییش از خروجی رو متوجه نشدم که از دوستان کمک خواستم درموردش ولی کسی جوابی درموردش ندادخب دیدمش و تنها چیز عجیب وجود شاخههای مخفی در زیر شاخهٔ /dev/ است. زیرشاخههایی که با . شروع میشن رو پاک کن.
VAHIDN جان ممنون از راهنماییت.اینطور که از اون لینکی که دادی فهمیدم اون وارنینگ فقط بخاطر باگ نرم افزاره.میشه درمورد بقیه مواردی که توی دو پست اول صحبت کردم توضیحاتی بدی و بگی به چه دلیلی اونا رو مشکوک نمیدونی؟مثلا من با یه دستور netstat که بالا کاملش رو گفتم سه تا آی پی مشکوک پیدا کردم.اینا عادین یعنی؟ اگه میشه اون چیزایی رو که من بررسی کردم و توی دو پست اول توضیح دادم رو درخصوصشون یه توضیحی بدید که دلیل مشکوک نبودنتون به اون موارد چیه.تشکردر مورد عرایض شما :
سلام مجددعالی +۱VAHIDN جان ممنون از راهنماییت.اینطور که از اون لینکی که دادی فهمیدم اون وارنینگ فقط بخاطر باگ نرم افزاره.میشه درمورد بقیه مواردی که توی دو پست اول صحبت کردم توضیحاتی بدی و بگی به چه دلیلی اونا رو مشکوک نمیدونی؟مثلا من با یه دستور netstat که بالا کاملش رو گفتم سه تا آی پی مشکوک پیدا کردم.اینا عادین یعنی؟ اگه میشه اون چیزایی رو که من بررسی کردم و توی دو پست اول توضیح دادم رو درخصوصشون یه توضیحی بدید که دلیل مشکوک نبودنتون به اون موارد چیه.تشکردر مورد عرایض شما :
یک : در مورد آسیب پذیری CVE-2016-1019 پخش کننده فلش باید عرض کنم که 0day هست و هنوز هیچ Exploit پابلیکی برای اون نیومده البته در Black Market بفروش می رسه ولی با توجه به اینکه شما سیستم خانگی دارید و اکسپلویت کردن از این باگ نیاز به زمان داره هیچ هکری نمیاد این زمان رو برای یک سیستم شخصی صرف کنه حتی اگر بخواد به صورت Zombie از سیستم شما استفاده کنه.
دو : خروجی که قرار دارید همه چیز عادی بود و مشکلی نداره.
سه : در مورد خروجی netstat با توجه به برنامه های نصبی شما می شه تصمیم گرفت ولی به نظرمن چیز مشکوکی نیست.
گاهی اوقات توی حمله های پیچیده (sophisticated) حتی با وایرشارک هم نمی شه ترافیک غیر مجاز رو تشخیص داد چرا که توی حمله به به یکی از شرکت های بزرگ آمریکایی شاهد این بودیم که ترافیک از طریق فایل های JPG منتقل می شد که امکان تشخیص نبوده در وهله اول !
توصیه من به شما :
با استفاده از نرم افزار زیر سیستم تون رو چک کنید و به توصیه های امنیتی اون عمل کنید.
https://cisofy.com/lynis/ (https://cisofy.com/lynis/)
اینکه بفهمید آیا سیستم تون compromise شده یا نه کار آسونی نیست ولی این راهنما برای شروع مناسبه :
https://sites.google.com/site/zenarstudio/home/kb/linux---howto---investigate-a-linux-compromise (https://sites.google.com/site/zenarstudio/home/kb/linux---howto---investigate-a-linux-compromise)
موفق باشید
در مورد آسیب پذیری CVE-2016-1019 پخش کننده فلش باید عرض کنم که 0day هستیک آسیبپذیری تا وقتی که اعلام عمومی نشده zero-day بحساب میاد، نه بعد از اون :)
منظور از 0day بودن در جمله بالا خود آسیب پذیری نبود بلکه Exploit اون بود به خاطر همین جمله رو ویرایش کردم که اشتباه برداشت نشه و ایراد بنی اسراییلی نشه گرفت.در مورد آسیب پذیری CVE-2016-1019 پخش کننده فلش باید عرض کنم که 0day هستیک آسیبپذیری تا وقتی که اعلام عمومی نشده zero-day بحساب میاد، نه بعد از اون :)
سلام مجددمیشه منظورتون رو واضح تر بگید درمورد اینکه اکسپلویت کردن از این باگ نیاز به زمان داره و هیچ هکری نمیاد این زمان رو برای یک سیستم شخصی صرف کنه حتی به عنوان Zombie ؟ پس هکر این حفره به چه دردش میخوره؟VAHIDN جان ممنون از راهنماییت.اینطور که از اون لینکی که دادی فهمیدم اون وارنینگ فقط بخاطر باگ نرم افزاره.میشه درمورد بقیه مواردی که توی دو پست اول صحبت کردم توضیحاتی بدی و بگی به چه دلیلی اونا رو مشکوک نمیدونی؟مثلا من با یه دستور netstat که بالا کاملش رو گفتم سه تا آی پی مشکوک پیدا کردم.اینا عادین یعنی؟ اگه میشه اون چیزایی رو که من بررسی کردم و توی دو پست اول توضیح دادم رو درخصوصشون یه توضیحی بدید که دلیل مشکوک نبودنتون به اون موارد چیه.تشکردر مورد عرایض شما :
یک : در مورد آسیب پذیری CVE-2016-1019 پخش کننده فلش باید عرض کنم که هنوز هیچ Exploit پابلیکی برای اون نیومده البته در Black Market بفروش می رسه ولی با توجه به اینکه شما سیستم خانگی دارید و اکسپلویت کردن از این باگ نیاز به زمان داره هیچ هکری نمیاد این زمان رو برای یک سیستم شخصی صرف کنه حتی اگر بخواد به صورت Zombie از سیستم شما استفاده کنه.
دو : خروجی که قرار دارید همه چیز عادی بود و مشکلی نداره.ممنون از بررسی تون.برنامه که زیاد دارم امکانش هست بشه مستقیم فهمید به کدوم برنامه ربط داره؟
سه : در مورد خروجی netstat با توجه به برنامه های نصبی شما می شه تصمیم گرفت ولی به نظرمن چیز مشکوکی نیست.
گاهی اوقات توی حمله های پیچیده (sophisticated) حتی با وایرشارک هم نمی شه ترافیک غیر مجاز رو تشخیص داد چرا که توی حمله به به یکی از شرکت های بزرگ آمریکایی شاهد این بودیم که ترافیک از طریق فایل های JPG منتقل می شد که امکان تشخیص نبوده در وهله اول !
توصیه من به شما :
با استفاده از نرم افزار زیر سیستم تون رو چک کنید و به توصیه های امنیتی اون عمل کنید.
https://cisofy.com/lynis/
اینکه بفهمید آیا سیستم تون compromise شده یا نه کار آسونی نیست ولی این راهنما برای شروع مناسبه :لینک مفیدی بود واقعا ولی من انگلیسیم قوی نیست.جاهایی که دستور زده بود رو فهمیدم ولی.من خروجی اونا رو هم میذارم اگه میشه یه نگاهی بهشون بندازید
https://sites.google.com/site/zenarstudio/home/kb/linux---howto---investigate-a-linux-compromise
موفق باشید
15:20:39 up 4:06, 3 users, load average: 0.10, 0.16, 0.24
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
secsec :0 :0 11:15 ?xdm? 13:03 0.52s upstart --user
secsec pts/1 :0 15:19 7.00s 0.17s 0.73s gnome-terminal
secsec pts/10 :0 13:56 1:09m 0.19s 0.04s /bin/bash
دستور netstat -nalp |grep ":22" خروجی نداشت اصلاStarting Nmap 6.40 ( http://nmap.org ) at 2016-04-22 16:09 IRDT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000012s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
631/tcp open ipp
9050/tcp open tor-socks
Nmap done: 1 IP address (1 host up) scanned in 2.49 seconds
خروجی ls /tmp -lab total 32
drwxrwxrwt 6 root root 4096 آوریل 22 16:17 .
drwxr-xr-x 24 root root 4096 آوریل 22 13:58 ..
-rw------- 1 secsec secsec 0 آوریل 22 11:15 config-err-mByz3h
drwxrwxrwt 2 root root 4096 آوریل 22 11:15 .ICE-unix
drwx------ 2 secsec secsec 4096 آوریل 22 13:57 kde-secsec
drwx------ 2 secsec secsec 4096 آوریل 22 13:57 ksocket-secsec
-rw-rw-r-- 1 secsec secsec 3047 آوریل 22 11:15 starcal2-indicator-1000.png
-rw-rw-r-- 1 secsec secsec 0 آوریل 22 11:15 unity_support_test.0
-r--r--r-- 1 root root 11 آوریل 22 11:15 .X0-lock
drwxrwxrwt 2 root root 4096 آوریل 22 15:11 .X11-unix
خروجی ls /var/tmp -lab total 12
drwxrwxrwt 3 root root 4096 آوریل 22 14:18 .
drwxr-xr-x 14 root root 4096 نوامب 22 22:05 ..
drwx------ 3 secsec secsec 4096 آوریل 18 18:06 kdecache-secsec
lrwxrwxrwx 1 root root 8 آوریل 22 11:14 /dev/shm -> /run/shm
ادامه توضیحات توی پست بعدی/:
total 108
drwxr-xr-x 24 root root 4096 آوریل 22 13:58 .
drwxr-xr-x 24 root root 4096 آوریل 22 13:58 ..
drwxr-xr-x 2 root root 4096 دسامب 25 22:47 bin
drwxr-xr-x 3 root root 4096 نوامب 24 16:31 boot
drwxrwxr-x 2 root root 4096 ژوئیه 7 2015 cdrom
drwxr-xr-x 17 root root 4220 آوریل 22 16:13 dev
drwxr-xr-x 166 root root 12288 آوریل 22 16:13 etc
drwxr-xr-x 3 root root 4096 ژوئیه 7 2015 home
lrwxrwxrwx 1 root root 33 ژوئیه 7 2015 initrd.img -> boot/initrd.img-3.16.0-43-generic
lrwxrwxrwx 1 root root 33 ژوئیه 7 2015 initrd.img.old -> boot/initrd.img-3.16.0-23-generic
drwxr-xr-x 27 root root 4096 نوامب 24 16:31 lib
drwxr-xr-x 2 root root 4096 ژوئیه 8 2015 lib32
drwxr-xr-x 2 root root 4096 ژوئیه 7 2015 lib64
drwx------ 2 root root 16384 ژوئیه 7 2015 lost+found
drwxr-xr-x 3 root root 4096 ژوئیه 7 2015 media
drwxr-xr-x 3 root root 4096 اوت 8 2015 mnt
drwxr-xr-x 6 root root 4096 فوریه 27 15:10 opt
dr-xr-xr-x 288 root root 0 آوریل 22 11:14 proc
drwx------ 10 root root 4096 ژانوی 27 18:55 root
drwxr-xr-x 33 root root 1100 آوریل 22 15:17 run
drwxr-xr-x 2 root root 12288 نوامب 24 16:31 sbin
drwxr-xr-x 2 root root 4096 اكتبر 22 2014 srv
dr-xr-xr-x 13 root root 0 آوریل 22 13:58 sys
drwxrwxrwt 6 root root 4096 آوریل 22 16:30 tmp
drwxr-xr-x 12 root root 4096 نوامب 6 14:47 usr
drwxr-xr-x 14 root root 4096 نوامب 22 22:05 var
lrwxrwxrwx 1 root root 30 ژوئیه 7 2015 vmlinuz -> boot/vmlinuz-3.16.0-43-generic
lrwxrwxrwx 1 root root 30 ژوئیه 7 2015 vmlinuz.old -> boot/vmlinuz-3.16.0-23-generic
..:
total 12
drwxr-xr-x 3 root root 4096 ژوئیه 7 2015 .
drwxr-xr-x 24 root root 4096 آوریل 22 13:58 ..
drwxr-xr-x 40 secsec secsec 4096 آوریل 22 15:23 secsec
Ubuntu 14.10 \n \l
Linux linuxsys 3.16.0-43-generic #58-Ubuntu SMP Fri Jun 19 11:04:02 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
Linux version 3.16.0-43-generic (buildd@comet) (gcc version 4.9.1 (Ubuntu 4.9.1-16ubuntu6) ) #58-Ubuntu SMP Fri Jun 19 11:04:02 UTC 2015
خروجی ls -la --author و ls -l --time=access رو ضمیمه کردم[1] 5722
خروجی for i in `locate access_log` ; do echo $i ; egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' $i ; done/usr/share/cups/doc-root/help/ref-access_log.html
grep: Unmatched ( or \(
/var/log/cups/access_log
grep: Unmatched ( or \(
/var/log/cups/access_log.1
grep: Unmatched ( or \(
/var/log/cups/access_log.2.gz
grep: Unmatched ( or \(
/var/log/cups/access_log.3.gz
grep: Unmatched ( or \(
/var/log/cups/access_log.4.gz
grep: Unmatched ( or \(
/var/log/cups/access_log.5.gz
grep: Unmatched ( or \(
/var/log/cups/access_log.6.gz
grep: Unmatched ( or \(
/var/log/cups/access_log.7.gz
grep: Unmatched ( or \(
خروجی egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' /path/to/log/files/* grep: Unmatched ( or \(
grep: Unmatched ( or \(
grep: Unmatched ( or \(
خروجی egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' /home/httpd/vhosts/*/statistics/logs/* grep: Unmatched ( or \(
خروجی egrep -i '(chr(|system()|(curl|wget|chmod|gcc|perl)%20' /var/log/httpd/* grep: Unmatched ( or \(
دستوری برای پیدا کردن Shell Code بود cat /path/to/access/logs/* |grep "/x90/" که باید بهش مسیر بدیم.چه مسیری رو به دستور بدم؟/home/secsec/.bash_history
/root/.bash_history
خروجی locate access_log درخصوص اینکه باید خروجی های این دستور رو چه بررسی ای کنیم هم توضیحی بدید/usr/share/cups/doc-root/help/ref-access_log.html
/var/log/cups/access_log
/var/log/cups/access_log.1
/var/log/cups/access_log.2.gz
/var/log/cups/access_log.3.gz
/var/log/cups/access_log.4.gz
/var/log/cups/access_log.5.gz
/var/log/cups/access_log.6.gz
/var/log/cups/access_log.7.gz
خروجی locate "..." /home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.config/ubuntu-tweak/scripts/Copy to ...
/home/secsec/.config/ubuntu-tweak/scripts/Create Launcher ...
/home/secsec/.config/ubuntu-tweak/scripts/Create hardlink to ...
/home/secsec/.config/ubuntu-tweak/scripts/Link to ...
/home/secsec/.config/ubuntu-tweak/scripts/Move to ...
خروجی locate ".. " /home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org .pdf
خروجی locate " .." /home/secsec/.config/ubuntu-tweak/scripts/Copy to ...
/home/secsec/.config/ubuntu-tweak/scripts/Create Launcher ...
/home/secsec/.config/ubuntu-tweak/scripts/Create hardlink to ...
/home/secsec/.config/ubuntu-tweak/scripts/Link to ...
/home/secsec/.config/ubuntu-tweak/scripts/Move to ...
خروجی locate ". " /home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-7Hiu5G/sadegh/03. siavash [128].mp3
/home/secsec/.cache/.fr-E9Feha/sadegh/02. siavash [128].mp3
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-OV0EsY/sadegh/02. siavash [128].mp3
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-OoMHO5/sadegh/01. siavash [128].mp3
/home/secsec/.cache/.fr-cfxbPx/sadegh/01. siavash [128].mp3
/home/secsec/.cache/.fr-kLraY6/sadegh/03. siavash [128].mp3
/home/secsec/.cache/.fr-m759Fl/sadegh/01. siavash [128].mp3
/home/secsec/.cache/.fr-pt7NRQ/sadegh/03. siavash [128].mp3
/home/secsec/.cache/.fr-vCC2U8/sadegh/02. siavash [128].mp3
خروجی locate " ." /home/secsec/.cache/.fr-07nw2T/Yas - album/02 - 1 .mp3
/home/secsec/.cache/.fr-59KE7S/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-5KnMio/Yas - album/05 - 2 .mp3
/home/secsec/.cache/.fr-AOSuRK/Yas - album/08 - 3 .mp3
/home/secsec/.cache/.fr-AaIMEI/Yas - album/10 - 4 .mp3
/home/secsec/.cache/.fr-L5V9AB/Yas - album/07 - 5 .mp3
/home/secsec/.cache/.fr-LFX9AY/Yas - album/06 - 6 .mp3
/home/secsec/.cache/.fr-MKo7sK/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-Omq2pz/Amozesh_haye python... - www.python.org .pdf
/home/secsec/.cache/.fr-QHr3jP/Yas - album/07 - 7 .mp3
/home/secsec/.cache/.fr-chOz3l/Yas - album/03 - 8 .mp3
/home/secsec/.cache/.fr-eloovI/Yas - album/09 - 9 .mp3
/home/secsec/.cache/.fr-jgS3MQ/Yas - album/04 - 10 .mp3
/home/secsec/.cache/.fr-jngoUP/Yas - album/10 - 11 .mp3
/home/secsec/.cache/.fr-uoUZ4K/Yas - album/11 - 12 .mp3
/home/secsec/.cache/.fr-x2NyCh/Yas - album/08 - 13 .mp3
/home/secsec/.cache/.fr-y2UfN0/Yas - album/09 - 14 .mp3
/home/secsec/.config/ubuntu-tweak/scripts/Copy to ...
/home/secsec/.config/ubuntu-tweak/scripts/Create Launcher ...
/home/secsec/.config/ubuntu-tweak/scripts/Create hardlink to ...
/home/secsec/.config/ubuntu-tweak/scripts/Link to ...
/home/secsec/.config/ubuntu-tweak/scripts/Move to ...
دو دستور آخر یعنی whois 12.34.56.78 و egrep "12.34.56.78 /var/log/* رو هم بگید دقیقا واسه چه آیپی ای استفاده کنم و چطور اون آیپی رو بدست بیارم تا با این دستور اضافه کنمپس هکر این حفره به چه دردش میخوره؟بگذارید ساده تر بگم. بدرد هکر می خوره ولی شما بدرد هکر نمی خورید. از نظر هکر ها سیستم شما ارزشی برای هک شدن نداره چرا که اطلاعاتی نداره که بخوان ازش استفاده کنن و زمانی رو صرف هک کردن سیستم شخصی شما بکنن!
ممنون از راهنماییتوننقلقولپس هکر این حفره به چه دردش میخوره؟بگذارید ساده تر بگم. بدرد هکر می خوره ولی شما بدرد هکر نمی خورید. از نظر هکر ها سیستم شما ارزشی برای هک شدن نداره چرا که اطلاعاتی نداره که بخوان ازش استفاده کنن و زمانی رو صرف هک کردن سیستم شخصی شما بکنن!
هکر(در اصل کرکر) میاد سیستمی رو هک کنه که بهش یه سودی برسه!
من به صورت اجمالی به خروجی هایی که درست بود نگاه کردم چیز خاصی مشاهده نمی شه! فکر می کنم الان دارید خیلی پارانوید فکر می کنید.
موفق باشید
اول بگم دوست من بهترین نحوه نصب دانلود از خود سایتهدرسته ولی نت من ضعیف هست واسه همین مجبور شدم بجای دانلودش بخرم
دوم اگه میخوای جواب بگیری طبق قوانین انجمن سوال جدید = تاپیک جدید
پیروز باشی
-p dir1:dir2:dirNlynis کارش شناسایی بد افزار نیست شناسایی بخش های ضعیف امنیتی هست.
از maldetect اطلاعی ندارم متاسفانه.
من همونطور که گفتید پیش رفتم و chkrootkit -p /media/secsec/secsec رو زدم و مسیر هم مسیر هارد اسکترنالم هست ولی ارور chkrootkit: can't find `awk'. رو میدهتا اونجایی که یادم میاد این یک باگ هست که برای ssh هم نمایش داده می شد .
راهی نداره که بشه برطرفش کرد؟من همونطور که گفتید پیش رفتم و chkrootkit -p /media/secsec/secsec رو زدم و مسیر هم مسیر هارد اسکترنالم هست ولی ارور chkrootkit: can't find `awk'. رو میدهتا اونجایی که یادم میاد این یک باگ هست که برای ssh هم نمایش داده می شد .
نیازی به نگرانی نیست. اوبونتو هرگز به صورت خودکار آلوده نمیشه!بله به صورت خودکار آلوده نمیشه ولی منظور من این بود که اگه هارد دیسکم رو وصل کنم و بخوام فایلی رو اجرا کنم اگه فایل آلوده ای باشه سیستمم دوباره آلوده میشه
اگه هارد دیسکم رو وصل کنم و بخوام فایلی رو اجرا کنم اگه فایل آلوده ای باشه سیستمم دوباره آلوده میشهسیستم شما آلوده نبود ! چه جوری این تصمیم رو گرفتید که آلوده هست ؟! با هم مگر نه اینکه شواهد رو بررسی کردیم و چیزی نبود ؟!
متاسفانه اطلاع ندارم که اون باگ رو رفع کردن یا خیر !!سیستمم که با بررسی هایی که کردید مشخص شد آلوده نیست
1linux عزیز اگر یادتون باشه با همدیگه احتمال اینکه سیستم شما آلوده باشه رو رد کردیم.
اما الان شما می گید می ترسید یک فایلی اجرا کنید که آلوده باشه!
اولا که ویروس های ویندوز روی لینوکس عمل نمی کنند مگر اینکه wine داشته باشید و یکسری شرایط که بسته به نوع بد افزار داره!
دوم اینکه در مورد این جمله :نقلقولاگه هارد دیسکم رو وصل کنم و بخوام فایلی رو اجرا کنم اگه فایل آلوده ای باشه سیستمم دوباره آلوده میشهسیستم شما آلوده نبود ! چه جوری این تصمیم رو گرفتید که آلوده هست ؟! با هم مگر نه اینکه شواهد رو بررسی کردیم و چیزی نبود ؟!
حالا اگر هم اجرا کنید با دسترسی عادی اجرا می کنید و اوبونتو به خاطر همین فایل های اجرایی رو با دسترسی root اجرا نمی کنه!
سوم اینکه دقیقا چه چیزی رو از روی هاردتون اجرا می کنید ؟ چه فایل های اجرایی دارید ؟!
سیستمم که با بررسی هایی که کردید مشخص شد آلوده نیستخواهش می کنم
اگه یادتون باشه هارد خود سیستمم رو اسکن کرده بودم و با اون ابزارها نشد که هارد اکسترنال رو اسکن کنم.الان منظورم از پست قبل،فقط اسکن هارد دیسک اکسترنال هست که تشخیص بدم یه وقت آلوده نباشه که توی اوبونتو جدید دوباره آلوده نشه سیستم با وصل کردن و اجرای فایلی از هارد اکسترنال
من نمیدونستم که با دسترسی روت اجرا نمی کنه.یعنی نیاز نیست حق دسترسی همه فایل های هارد اکسترنالم رو محدود کنم( برای احتیاط)؟ اگه دستورش رو بگید ممنون میشم
درمورد اینکه چی روی هاردم اجرا میکنم باید بگم یه سری فایل های deb دارم ولی بعدا حذفشون میکنم چون آپدیت نیستند.معمولا فیلم و آهنگ و PDF باز می کنم از روی هارد اکسترنال
شرمنده خیلی بهتون زحمت دادم VAHIDN جان
خواهش می کنم
در مورد ویروس و قضایای مربوط این صفحه راهنما رو مطالعه کنید :
https://help.ubuntu.com/community/Antivirus
در جواب نگرانی این دوست عزیز مون این صفحه رو معرفی کردم چون با توجه به نگرانی ایشون که به بیش از ۴ صفحه کشیده شده بهترین منبع هست. برداشت و تصمیم گیری به عهده مخاطب هست. چیزی که من نمی فهمم اینه که این خب شما یعنی چی ؟ حداقل دو کلمه بیشتر بنوسید که با اسپم فرق کنه.خواهش می کنم
در مورد ویروس و قضایای مربوط این صفحه راهنما رو مطالعه کنید :
https://help.ubuntu.com/community/Antivirus (https://help.ubuntu.com/community/Antivirus)
خب ؟
خواهش می کنمفکر نمیکنم ارتباطی با این بحث داشته باشه.
در مورد ویروس و قضایای مربوط این صفحه راهنما رو مطالعه کنید :
https://help.ubuntu.com/community/Antivirus
فکر نمیکنم ارتباطی با این بحث داشته باشه.الان پایین خدمت تون عرض می کنم :).
چه نتیجه ای میخواین بگیرید از اون صفحه ؟اون نتیجه ای که شما این طوری براش گارد گرفتین نیست. شما الان انتظار دارید که من بگم که لینوکس هم مثل ویندوز نا امن هست و به همون وضعیت خراب ... خیر!
Linux virus infections are theoretically possible
از کسپرسکی می تونید استفاده کنید :من آخرین ورژن رو از لینکی که دادید نصب کردم.بعدش ریستارت کردم طبق گفته خود نرم افزار.بعد نه توی دش و نه توی ترمینال پیدا نشد کسپراسکای.
http://www.kaspersky.com/product-updates/linux-file-server-antivirus
هر چند که به نظر من شما کلا موضوع رو اشتباه گرفتید و دارید روند اشتباهی رو پیش می گیرید.
موفق باشید
dpkg -i kav4fs_8.0.3-297_i386.deb --install
(Reading database ... 323930 files and directories currently installed.)
Preparing to unpack kav4fs_8.0.3-297_i386.deb ...
* Shutting down Kaspersky Lab Framework Supervisor kav4fs-supervisor [ OK ]
insserv: warning: script 'K01maldet' missing LSB tags and overrides
insserv: warning: script 'maldet' missing LSB tags and overrides
insserv: warning: script 'K01maldet' missing LSB tags and overrides
insserv: warning: script 'maldet' missing LSB tags and overrides
Error: Upgrade is not supported, you should uninstall the kav4fs package before installing this package!
dpkg: error processing archive kav4fs_8.0.3-297_i386.deb (--install):
subprocess new pre-installation script returned error exit status 1
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
insserv: warning: script 'K01maldet' missing LSB tags and overrides
insserv: warning: script 'maldet' missing LSB tags and overrides
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
insserv: warning: script 'K01maldet' missing LSB tags and overrides
insserv: warning: script 'maldet' missing LSB tags and overrides
* Starting Kaspersky Lab Framework Supervisor kav4fs-supervisor [ OK ]
dpkg: error processing archive --install (--install):
cannot access archive: No such file or directory
Errors were encountered while processing:
kav4fs_8.0.3-297_i386.deb
--install
چطور موضوع رو اشتباه گرفتم؟ اگه میشه یه کم توضیح بدید
VAHIDN جان اون لینک که دادید برام گنگ بود که باید باهاش چیکار کنم.یه سری آنتی ویروس توش معرفی شده بود که رفتم سراغشون تا نصب کنم و باهاشون هارد اکسترنالم رو اسکن کنم که هرکدوم یه جوری ناز میکردن و خیلی هاشون دیگه واسه لینوکس نسخه مخصوص نمیدادن.میشه بگید من چطور یکیشون رو نصب کنم؟ البته بجز comodo چون شنیدم مال اسرائیلهطراحی سیپییوهای اینتل در اسراییل انجام میشه. کافیه یه سرچ کوچولو توی اینترنت انجام بدی. یا تکنولوژی مجازی سازی KVM یا زبون PHP یا ... بهتره از اونها هم دوری کنی. اصلا همین فورم بر پایهی پیاچپی هست.