Estação de trabalho Linux: como saber se foi enraizada?

Navegue suas respostas
2

Eu estava trabalhando no meu Linux "estação de trabalho" (não tem som e eu não jogo nem assisto nenhum filme: é puramente uma máquina de trabalho, daí eu chamo de minha "estação de trabalho") e de repente algo muito estranho aconteceu.

Eu estava navegando, usando uma conta de usuário temporária (uma que uso apenas para navegação) e o navegador Iceweasel. Eu vim para um site que estava obviamente tentando instalar malware (popups com janelas falsas informando que seu computador está infectado, etc.). Eu tenho alguns problemas para fechar essas páginas e acabei matando o navegador.

Então a quarta dimensão começou: o IP mudou automaticamente para um IP 169.xxx.xxx.xxx (não me lembro exatamente). Mas isso nunca deveria ter acontecido como aquela estação de trabalho como um IP estático que, eu pensava, era esculpido em pedra.

Eu imediatamente desconectei o cabo ethernet (e não há WiFi nessa estação de trabalho) e consultei os processos em execução usando "ps auxf"

Encontrei alguns processos muito estranhos em execução: "uml switch de rede" algo. Após a reinicialização (ainda cabo desconectado), vi uma mensagem de serviço "Inicializando o modo de rede do modo de usuário" . Eu nunca instalei isso e tenho quase certeza de que essas coisas não estavam lá antes.

Também encontrei alguma tarefa "desktop livre" em execução. Nunca instalou isso.

Eu comecei a remover o pacote relacionado à UML-thinggy e reiniciei (ainda o cabo desconectado) e ... O "/ usr / bin / uml_switch" (algo parecido) começou a reaparecer (mesmo eu verifiquei que não era não existe mais depois de deletar o pacote).

O que está acontecendo?

Isso é algum tipo de mega-SNAFU onde algumas atualizações automáticas de software Debian começaram a instalar balística e automagicamente pacotes que eu não pedi que estragassem tudo ou eu acabei de ser hackeado?

Algum de vocês tem alguma idéia sobre o que eu acabei de experimentar poderia ser?

O próximo passo é, por via das dúvidas, uma instalação limpa de um bom CD / DVD de um novo sistema em um HD em branco, certo?

    
por Weezy 07.08.2010 / 03:40

1 resposta

1

Por segurança, você pode sempre tentar verificar rootkits, veja as respostas para esta questão no ServerFault sobre a verificação de seu computador para rootkits e software malicioso. Confira ferramentas como chkrootkit ou Rootkit Hunter para verificar os arquivos padrão usados pelos rootkits, permissões de arquivos erradas para binários, suspeitas de strings nos módulos LKM e KLD, arquivos ocultos, etc.

A propósito, apenas para sua informação, quando o computador não consegue acessar um servidor DHCP e a placa de rede não está configurada manualmente, ele pode usar um endereço local de link. A rede 169.254 / 16 é reservada para essa finalidade. De Wikipedia :

Another type of private networking uses the link-local address range codified in RFC 5735 and RFC 3927. The utility of these addresses is in self-autoconfiguration by network devices when Dynamic Host Configuration Protocol (DHCP) services are not available and manual configuration by a network administrator is not desirable.

In IPv4, the block 169.254/16 is reserved for this purpose, with the exception of the first and the last /24 subnet in the range. If a host on an IEEE 802 (ethernet) network cannot obtain a network address via DHCP, an address from 169.254.1.0 to 169.254.254.255 may be assigned pseudorandomly. The standard prescribes that address collisions must be handled gracefully. The IPv6 addressing architecture sets aside the block fe80::/10 for IP address autoconfiguration.

    
por 07.08.2010 / 04:02

Tags

Alterar prompt para caminho curto Existe uma maneira de reverter para uma versão mais antiga do Java no Mac OS X?