راهنمایی در تشخیص هک شدن یا نشدن من

[1inux]

سلام به دوستان عزیز
مثل اینکه پلاگین فلش پلیر حفره داره.اسمش CVE-2016-1019 هست
این حفره ای که گفتم روی همه سیستم هایی که فلش پلیر دارن هستش.پس چیز همه گیر هست و حتما خودتون هم باهاش درگیر هستید.پس اگه شما چیزی روی
سیستم خودتون چک کردید برای این حفره به منم بگید
دو تا برنامه زیر رو نصب کردم
chkrootkit و maldetect
نتیجه chkrootkit رو دیدم ولی یه سری جاهاش که وارنینگ داده بود رو مشکوکم و یه سری جاها که کلا معلوم نبود چی گفته
درهرحال من خروجی ضمیمه کردم خواهشا بررسیش کنید

کد: [انتخاب]

ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not infected
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not infected
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not found
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not infected
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          not infected
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not found
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/3.16.0-43-generic/vdso/.build-id /lib/modules/3.16.0-23-generic/vdso/.build-id
/lib/modules/3.16.0-43-generic/vdso/.build-id /lib/modules/3.16.0-23-generic/vdso/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           Warning: `//home/linux3/.python_history' file size is zero
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[2235], /sbin/dhclient[9283])
Checking `w55808'...                                        not infected
Checking `wted'...                                          8 deletion(s) between Sat Apr  2 03:00:13 2016 and Sat Apr  2 13:26:44 2016
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            user linux3 deleted or never logged from lastlog!
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         2898 tty7   /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not infected

ادامه در پست بعدی بخاطر اینکه همه چیزایی که نوشتم رو توی یه پست نشون نداد

[1inux]

نرم افزار بعدی هم باهاش سیستم رو چک کردم چیزی پیدا نکرد
یه نرم افزار هم از دوستام شنیدم به اسم rkhunter
نتیجه اسکنش رو هم دیدم.یه سری جاهاش وارنینگ داده و بعضی جاهاش نامفهومه واسم
خروجی این رو هم ضمیمه کردم توی فایل چون باز پست باید ۳ تا میشد بخاطر حجم زیاد پست

ضمنا روی سیستمم clamav رو دوستم قبلنا نصب کرده بود.با اون هم چک کردم چیزی پیدا نشد.البته نشد اینو آپدیت کنم و اسکن کنم
ولی همینطوری که کل پوشه روت رو باهاش اسکن کردم چیزی پیدا نکرد

من توی مسیر /usr/lib64/kde4 یه فایل که مربوط به فلش پلیر بود رو باز کردم و چند جا از فایلش حروف های چینی یا ژاپنی بود.دلیلش چیه؟اگه میشه واسه سیستم خودتون ر و هم ببینید که اینطور هست یا نه.چیز مشکوکیه این حروف
ضمنا من دستور زیر رو زدم و سه تا آی پی بهم نشون داد که چک کردم فهمیدم واسه آمریکا هستن.این آی پی ها دقیقا چی هستن؟مجازن یا به هک ربط داره؟

کد: [انتخاب]

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 |
sort | uniq -c | sort -nr | head
من این هارو چک کردم برای اینکه تشخیص بدم هک شدم یا نه.دقت کنید من میخوام بدونم هک شدم یا نه.همین.اطلاعات شخصی دارم روی سیستم و میخوام از نگرانی دربیام.وگرنه بعد تشخیص میخوام اوبونتو رو مجدد نصب کنم.
اگه چیز دیگه ای به نظرتون باید چک کنم یا نرم افزار خاصی واسه چک نصب کنم بگید
خیلی ممنون

[Geek]

من تخصصی در این زمینه ندارم، اما چیزی که به ذهن میرسه اینه که ترافیکتو با برنامه‌ای مثل wireshark بررسی کنی ببینی دیتای مشکوکی رد و بدل میشه یا نه!
من که چند وقت پیش فلش رو کاملا حذف کردم و رفت، راحت!

[1inux]

من تخصصی در این زمینه ندارم، اما چیزی که به ذهن میرسه اینه که ترافیکتو با برنامه‌ای مثل wireshark بررسی کنی ببینی دیتای مشکوکی رد و بدل میشه یا نه!
من که چند وقت پیش فلش رو کاملا حذف کردم و رفت، راحت!

من چیزی که قبلا اتفاق افتاده رو میخوام بررسی کنم یعنی این هک اگه اتفاق افتاده باشه پیش از این ها روی سیستمم اتفاق افتاده و تازه این حفره رو پیدا کردن
ممکنه هک شده باشم ولی در زمان چک کردن با wireshark اصلا ترافیک مشکوکی اتفاق نیفته و منم نتونم چک کنم اونوقت این روش جواب نمیده.من یه روش صد در صدی میخوام.ضمنا کار با wireshark هم سخته برای کاربر مبتدی ای مثل من
دوستان دیگه هم باتوجه به دو پست اول من راهنمایی کنند ممنون میشم

[سلمان م.]

من تخصصی ندارم ولی warning ها رو که دیدم بنظر من چیز خاصی نبود. می‌تونید توی فایلی که پیوست کردید، بزنید warning براتون می‌یاره.

فکر کنم قدم اول این باشه که فلش رو پاک کنید و دیگه هیچ وقت نصب کنید. مثل من، مثل خیلی‌های دیگه. دیگه فلش تموم شد، مُرد. نه برای دیدن یوتیوب فلش نیاز هست و نه آپارات.

[1inux]

من تخصصی ندارم ولی warning ها رو که دیدم بنظر من چیز خاصی نبود. می‌تونید توی فایلی که پیوست کردید، بزنید warning براتون می‌یاره.

فکر کنم قدم اول این باشه که فلش رو پاک کنید و دیگه هیچ وقت نصب کنید. مثل من، مثل خیلی‌های دیگه. دیگه فلش تموم شد، مُرد. نه برای دیدن یوتیوب فلش نیاز هست و نه آپارات.

قدم اول رو که انجام دادم و پاک کردم.بله هیچوقت نصب نخواهم کرد.فعلا مشکلم بررسی هک شدن یا نشدنم هست و اینکه یکی بیاد جواب دو پست اول من رو بده.دوستان دقت کنید من راه حل تشخیص هک شدن یا نشدن رو میخوام فقط که بدونم واسه اطلاعات شخصیم مشکل پیش نیومده وگرنه بعد از فهمیدن این مورد اوبونتو رو مجدد نصب می کنم
بقیه دوستان عزیز هم راهنمایی کنند بی زحمت

[nixoeen]

نیازی به نصب مجدد نیست. کافیه که یک کاربر جدید بسازید، اطلاعات کاربرتون رو اونجا کپی کنید (بدون فایل‌های تنظیمات) و کاربر قبلی رو پاک کنید.

[1inux]

نیازی به نصب مجدد نیست. کافیه که یک کاربر جدید بسازید، اطلاعات کاربرتون رو اونجا کپی کنید (بدون فایل‌های تنظیمات) و کاربر قبلی رو پاک کنید.

تشکر از راهنماییتون nixoeen جان
ولی مشکل من این چیزا نیست.توی پست های قبلی هم گفتم.فقط میخوام بفهمم هک شدم یا نه.همین.و جواب سوالای پست اول و دومم رو بدونم

[nixoeen]

نمی‌تونید به سادگی متوجه بشید و البته اهمیتی هم نداره، چون ساخت یک کاربر جدید می‌تونه اگر چیزی هم باشه برطرف بکنه.

[VAHIDN]

با سلام
نظر من : هک نشدید بر مبنای اطلاعاتی که گذاشتید
نتیجه این تست که گذاشتید فقط یک مورد رو گفته مشکل داره و اونم
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED

که False Positive هست به نظر من و مشکلی نداره.ولی اگر می خواید مطمئن بشید این رو مطالعه کنید :
http://askubuntu.com/questions/25176/chkrootkit-says-sbin-init-is-infected-what-does-that-mean/25179#25179
موفق باشید

[Geek]

از همهٔ این‌ها گذشته چرا فکر می‌کنید کسی باید اطلاعات شخصی شما رو دزدیده باشه؟
یعنی کسی رو سراغ دارید که این سطح از توانایی رو داشته باشه (در عین حال با شما خصومت شخصی داشته باشه، یا بدونه که شما خیلی خیلی پول دارید یا...) که بیاد و اطلاعات شما رو بدزده و بعد به‌فرض از شما اخاذی کنه؟
من احتمال همچین چیزی رو خیلی ضعیف می‌دونم... بهتره زیاد خودتو درگیر نکنی

[1inux]

nixoeen جان چطور میشه اطلاعات شخصی آدم اهمیت نداشته باشه؟!!! میدونم به سادگی نمیشه چنین چیزهایی رو فهمید بخاطر همین اومدم اینجا که از دوستان کاربلد راهنمایی بگیرم

VAHIDN جان ممنون از راهنماییت.اینطور که از اون لینکی که دادی فهمیدم اون وارنینگ فقط بخاطر باگ نرم افزاره.میشه درمورد بقیه مواردی که توی دو پست اول صحبت کردم توضیحاتی بدی و بگی به چه دلیلی اونا رو مشکوک نمیدونی؟مثلا من با یه دستور netstat که بالا کاملش رو گفتم سه تا آی پی مشکوک پیدا کردم.اینا عادین یعنی؟ اگه میشه اون چیزایی رو که من بررسی کردم و توی دو پست اول توضیح دادم رو درخصوصشون یه توضیحی بدید که دلیل مشکوک نبودنتون به اون موارد چیه.تشکر

Geek جان حریم و اطلاعات شخصی واسه هرکس مهمه.من اگه از چیزی خبر داشتم نمی اومدم اینجا سوال کنم.از قدیم گفتن کار از محکم کاری عیب نمیکنه.فکر نکنم اگه خدای نکرده این اتفاق واسه افرادی که میگن چنین چیزی اهمین نداره و یا راحت از این قضیه میگذرن اتفاق بیفته انقدر ریلکس درموردش حرف بزنن و حتما مثل من پیگیر میشدن.از طرفی داخل لینوکس هرکاری قابل انجامه.من که مبتدیم واسه همین اومدم ببینم که چطور اون کاری که قصدش رو دارم نحوه انجامش رو ببینم و انجام بدم تا مطمئن بشم.امیدوارم بحث به حاشیه نره فقط و مشکل من رو دوستان حل کنند

[دانیال بهزادی]

حریم شخصی خیلی مهمه، ولی فقط پیشگیری داره، نه درمان. الآن فرض کن هک شدی و یه نفر که نمی‌دونی کیه تمام اطّلاعاتت رو داره، می‌خوای چه‌کار کنی؟

[1inux]

حریم شخصی خیلی مهمه، ولی فقط پیشگیری داره، نه درمان. الآن فرض کن هک شدی و یه نفر که نمی‌دونی کیه تمام اطّلاعاتت رو داره، می‌خوای چه‌کار کنی؟

اومدم اینجا بلکه راهنمایی فنی کنید نه اینکه من به سوال شما جواب بدم و بحثو به حاشیه بکشونید.اگه خیلی بلدید خب با کمی راهنمایی شک من رو برطرف کنید و اگه بلد نیستید بذارید کسانی که بلدند راهنمایی کنند.از شما که ناظمی بعیده واقعا.انتظارم بیشتر از اینا بود از انجمن
لطفا فقط کسانی که بلندند راهنمایی کنند

[nixoeen]

اگه خیلی بلدید خب با کمی راهنمایی شک من رو برطرف کنید

من خیلی بلد نیستیم، ولی اطلاعات کافی دارم. همینطور که گفتم کار ساده‌ای نیست و برنامه‌ای هم برای اون وجود نداره. باید بشینید دستی تمامی تنظیمات و فایل‌های داخل Home خودتون رو چک کنید. این که دنبال چی بگردید هم نامشخصه! در نتیجه کار درست در این مواقع همونیه که گفتم

لطفا فقط کسانی که بلندند راهنمایی کنند

اینجا اگر کسی سعی به راهنمایی درست شما داره (بجای اینکه دقیقا چیزی که شما می‌خواید و احتمالا اشتباهه رو بهتون بگه)، داره به شما لطف می‌کنه. شما هزینه‌ای براش نپرداختید و مسلما نمی‌تونید هر کسی اینجا می‌تونه بهتون پاسخ بده و شما نمی‌تونید کسی رو محدود کنید.