Denuncie   Favoritos   Indicar  

01 02 03 04

Meu linux está infectado? '-' [RESOLVIDO]

13. Re: Meu linux está infectado? '-' [RESOLVIDO]

João Paulo
princknoby
(usa Arch Linux)

Enviado em 27/11/2018 - 17:21h

Mauriciodez escreveu:

princknoby escreveu:
Olá, muito obrigado pela resposta, rodei o comando e retornou "System Clean".
Está tudo certo então com o meu sistema?
Obrigado



Uai jovem .. no 1º post vc disse que deu infectado, agora deu limpo ?!?!?!? entendi essa não.

EDIT: A tá ... vi agora ... o teste foi alterado !!! foi mal ... porém fiquei perdido na diferença entre os dois testes... qual é o válido ???

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------

Pse kkkk também fiquei perdido em qual teste está dizendo a verdade, o comando que inciei o post continua dando infectado, já o comando que nosso colega postou aqui pra eu testar, deu que tá limpo kkkkkk

Fiquei pertido também. Não entendo muito esses códigos, mas eles possuem algumas coisas diferentes, símbolos, não sei se são símbolos que são diferentes mas que querem dizer a mesma coisa kkkkk mas só sei que estão dando uma saída diferente.

Até tirei um print ai pra você ver: https://i.imgur.com/dVl47wK.jpg


0 0
  • Quote

    •   


    14. Re: Meu linux está infectado? '-' [RESOLVIDO]

    skjdeecedcnfncvnrfcnrncjvnjrnfvjcnjrjvcjrvcj
    Londreslondres
    (usa Parabola)

    Enviado em 27/11/2018 - 17:51h

    O comando disponibilizado pelo Canaltech deve estar errado. Não precisa se preocupar.

    0 0
  • Quote

    • 15. Re: Meu linux está infectado? '-' [RESOLVIDO]

    Mauriciodez
    Mauriciodez
    (usa Debian)

    Enviado em 27/11/2018 - 18:16h

    princknoby escreveu:
    Fiquei pertido também.


    Pra ficar mais perdido ainda ...

    "This technique is ineffective if your distribution applied the patches for X.509 certificate support in OpenSSH. Gentoo with the X509 USE flag is one such distribution. Use the shared memory inspection technique in that case.

    Warning
    This technique only works with OpenSSH 6.7 or earlier. OpenSSH 6.8 adds a legitimate usage for the -G flag. Use the shared memory inspection technique if you have OpenSSH 6.8 or later.

    The command ssh -G has a different behavior on a system with Linux/Ebury on OpenSSH version 6.7 or earlier. A clean server will print    "


    font >>> https://github.com/eset/malware-ioc/tree/master/windigo


    ------------------------------------------| Linux User #621728 |-----------------------------------------

    " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

    ------------------------------------------| Linux User #621728 |-----------------------------------------


    0 0
  • Quote

    • 16. Re: Meu linux está infectado? '-' [RESOLVIDO]

    Stanislaus K
    StanislausK
    (usa FreeBSD)

    Enviado em 27/11/2018 - 18:38h

    Ola,

    "It should be noted that people using an OpenSSH version released after October 2014 will get a false positive with the ESET test, since there is now a legitimate -G switch in the SSH binary."

    https://stackoverflow.com/questions/22526214/ssh-g-21-grep-e-ille-gal-e-un-known-dev-null-echo-sys-t...

    A noticia do Canaltech é de 03/2014... Fim.



    1 0
  • Quote

    • 17. Re: Meu linux está infectado? '-'

    Henrique
    Henrique-RJ
    (usa Outra)

    Enviado em 27/11/2018 - 18:40h

    zezaocapoeira escreveu:

    Salve mano.

    Tenta aí :


    
ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"


    https://askubuntu.com/questions/709545/chkrootkit-says-searching-for-linux-ebury-operation-windigo-s...

    Obrigado pela atenção, salve!!!


    Agora deu: System clean

    Nooosssaaaa, ralei umas duas horas nisso e quase mandei antiX pró espaço.

    Rodei até o chkrootkit e o rkhunter e não encontrou nada.

    Em outra distro deu clean com a primeira linha de comando da abertura do tópico. Os dois modos são válidos só que o primeiro é para sistemas mais antigos e o segundo para mais recentes pelo que eu li ( alguma coisa foi atualizada ).

    " O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

    1 0
  • Quote

    • 18. Re: Meu linux está infectado? '-' [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 27/11/2018 - 19:23h

    Isso tá bem confuso...

    0 0
  • Quote

    • 19. Re: Meu linux está infectado? '-' [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 27/11/2018 - 19:43h

    meianoite escreveu:
    # rkhunter --propupd && rkhunter --update

    # rkhunter -c

    # rkhunter -c --rwo

    # chkrootkit


    Até eu fiquei preocupado e instalei o rkhunter e rodei também... só por precaução.

    [ariel@Ariel-PC ~]$ sudo rkhunter -c
    Performing file properties checks
    /usr/bin/egrep [ Warning ]
    /usr/bin/fgrep [ Warning ]
    /usr/bin/ldd [ Warning ]

    Performing additional rootkit checks
    Checking for suspicious (large) shared memory segments [ Warning ]

    Performing system boot checks
    Checking for local host name [ Found ]
    Checking for system startup files [ Found ]

    Performing group and account checks
    Checking for passwd file [ Found ]

    Performing system configuration file checks
    Checking for an SSH configuration file [ Found ]
    Checking if SSH root access is allowed [ Warning ]
    Checking if SSH protocol v1 is allowed [ Warning ]
    Checking for a running system logging daemon [ Found ]
    Checking for a system logging configuration file [ Found ]

    Performing filesystem checks
    Checking for hidden files and directories [ Warning ]

    System checks summary
    =====================

    File properties checks...
    Files checked: 127
    Suspect files: 3

    Rootkit checks...
    Rootkits checked : 501
    Possible rootkits: 3

    Applications checks...
    All checks skipped

    The system checks took: 5 minutes and 22 seconds

    All results have been written to the log file: /var/log/rkhunter.log

    One or more warnings have been found while checking the system.
    Please check the log file (/var/log/rkhunter.log)

    --

    sudo rkhunter -c --rwo
    [sudo] senha para ariel:
    Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
    Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
    Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
    Warning: The following suspicious (large) shared memory segments have been found:
    Process: /usr/lib/firefox/firefox PID: 1912 Owner: ariel Size: 7,2MB (configured size allowed: 1,0MB)
    Process: /usr/lib/firefox/firefox PID: 1912 Owner: ariel Size: 7,2MB (configured size allowed: 1,0MB)
    Process: /usr/bin/pamac-manager PID: 2441 Owner: ariel Size: 4,0MB (configured size allowed: 1,0MB)
    Warning: The SSH configuration option 'PermitRootLogin' has not been set.
    The default value may be 'yes', to allow root access.
    Warning: The SSH configuration option 'Protocol' has not been set.
    The default value may be '2,1', to allow the use of protocol version 1.
    Warning: Hidden file found: /etc/.updated: ASCII text
    Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, max compression, from Unix, original size 22
    Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, max compression, from Unix, original size 19

    --

    [ariel@Ariel-PC ~]$ chkrootkit
    bash: chkrootkit: comando não encontrado

    0 0
  • Quote

    • 20. Re: Meu linux está infectado? '-' [RESOLVIDO]

    João
    Mastruz
    (usa Manjaro Linux)

    Enviado em 27/11/2018 - 22:27h

    Falso-positivo.
    ---
    Às vezes os loucos tem a razão, mas os sãos não conseguem perceber.

    0 0
  • Quote

    • 21. Re: Meu linux está infectado? '-' [RESOLVIDO]

    João Paulo
    princknoby
    (usa Arch Linux)

    Enviado em 27/11/2018 - 23:14h

    zezaocapoeira escreveu:

    princknoby escreveu:

    Olá a todos, encontrei uma matéria aqui na internet de 4 anos atrás falando sobre servidores linux infectados rsrs
    O link é esse: https://canaltech.com.br/seguranca/Servidores-Linux-sao-infectados-com-malware-que-envia-spam-e-redi...

    Ao final do post é deixado o seguinte comando para o usuário verificar se seu computador está infectado: ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

    Rodei ele aqui no terminal e recebi a mensagem "System infected".

    E ai, o que me dizem? Meu sistema está infectado?! Devo me preocupar com algo?

    Obrigado


    Salve mano.

    Tenta aí :


    
ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"


    https://askubuntu.com/questions/709545/chkrootkit-says-searching-for-linux-ebury-operation-windigo-s...

    Obrigado pela atenção, salve!!!


    Já que descobrimos que o erro era a matéria antiga... Vou marcar o tópico como resolvido.
    Obrigado a todos que ajudaram, fiquem a vontade para continuar a falar sobre o assunto :D

    1 0
  • Quote

    • 22. Re: Meu linux está infectado? '-' [RESOLVIDO]

    Henrique
    Henrique-RJ
    (usa Outra)

    Enviado em 28/11/2018 - 17:25h

    @Ariel

    O rkhunter encontrei contaminação conhecida no teu sistema. Que distro está usando ? Instalou algo fora dos repositórios oficiais ?

    Alguma coisa você instalou como root que infectou.

    " O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

    0 0
  • Quote

    • 23. Re: Meu linux está infectado? '-' [RESOLVIDO]

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 29/11/2018 - 11:57h

    Henrique-RJ escreveu:

    @Ariel

    O rkhunter encontrei contaminação conhecida no teu sistema. Que distro está usando ? Instalou algo fora dos repositórios oficiais ?

    Alguma coisa você instalou como root que infectou.

    " O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

    Manjaro.
    Não pode ser, a única coisa que tenho da AUR é o pacote ttf-ms-fonts para ter acesso a algumas fontes da Microsoft.
    O que você achou de contaminação?
    Tenho duas máquinas com Manjaro. Passei o rkhunter na máquina nova que instalei não faz nem 1 semana.


    0 0
  • Quote

    • 24. Re: Meu linux está infectado? '-' [RESOLVIDO]

    Henrique
    Henrique-RJ
    (usa Outra)

    Enviado em 29/11/2018 - 12:20h

    Ariiel escreveu:

    Manjaro.
    Não pode ser, a única coisa que tenho da AUR é o pacote ttf-ms-fonts para ter acesso a algumas fontes da Microsoft.
    O que você achou de contaminação?
    Tenho duas máquinas com Manjaro. Passei o rkhunter na máquina nova que instalei não faz nem 1 semana.


    Rootkit checks...
    Rootkits checked : 501
    Possible rootkits: 3


    Deu o mesmo resultado na outra máquina ?

    " O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

    0 0
  • Quote


    • 01 02 03 04



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (2)

    Erro de cache (1)

    Preciso resolver um erro de DPKG (0)

    Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

    Excluir banco de dados no xampp (1)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: