Linux-Workstation: Woher wissen, ob sie gerootet wurde?

3

Ich habe an meiner Linux "Workstation" gearbeitet (sie hat keinen Ton und ich spiele weder darauf noch schaue ich einen Film: Sie ist eine reine Arbeitsmaschine, daher nenne ich sie meine "Workstation") und plötzlich passierte etwas sehr Seltsames.

Ich habe mit einem temporären Benutzerkonto (das ich nur zum Browsen verwende) und dem Iceweasel-Browser gebrowst. Ich bin auf eine Website gestoßen, die offensichtlich versucht hat, Malware zu installieren (Popups mit gefälschten Fenstern, die angeben, dass Ihr Computer infiziert ist usw.). Beim Schließen dieser Webseiten sind einige Probleme aufgetreten und ich habe den Browser beendet.

Dann begann die 4. Dimension: Die IP änderte sich automatisch in eine 169.xxx.xxx.xxx (ich erinnere mich nicht genau) IP. Dies hätte jedoch niemals passieren dürfen, da diese Workstation eine statische IP-Adresse war, die, wie ich dachte, in Stein gemeißelt war.

Ich habe sofort das Ethernet-Kabel abgezogen (und es gibt kein WiFi auf dieser Workstation) und laufende Prozesse mit "ps auxf" abgefragt

Ich fand einige wirklich komische Prozesse ablaufend: "uml network switch" sowas. Beim Neustart (immer noch Kabel abgezogen) sah ich eine Servicemeldung "Starting User Mode Networking Switch" . Ich habe das nie installiert und ich bin mir fast sicher, dass dieses Zeug vorher nicht da war.

Ich habe auch eine "freie Desktop" -Aufgabe gefunden. Das habe ich auch noch nie installiert.

Ich habe angefangen, das Paket zu entfernen, das mit dem UML-Ding zusammenhängt, und habe neu gestartet (immer noch das Kabel abgezogen) und ... Der "/ usr / bin / uml_switch" (so ähnlich) ist wieder aufgetaucht (auch wenn ich es nicht überprüft habe) mehr nach dem Löschen des Pakets).

Was ist los?

Handelt es sich um eine Art Mega-SNAFU, in der ein automatisiertes Debian-Software-Update begann, Pakete automatisch zu installieren, die ich nicht für dieses Chaos angefragt habe, oder wurde ich einfach gehackt?

Hat jemand von euch eine Vorstellung davon, was ich gerade erlebt habe?

Der nächste Schritt ist, für alle Fälle, eine Neuinstallation von einer bekanntermaßen guten CD / DVD-ROM eines neuen Systems auf einer leeren Festplatte, oder?

linux  security  workstation  rootkit 
Weezy
quelle
Dies sollte in den Superuser verschoben werden. Übrigens, Sie sind nicht "gehackt"
Ich habe noch nie einen Virus oder eine Malware für Linux gesehen, obwohl ich weiß, dass es sie gibt. Das Ändern der IP-Adresse klingt mehr als alles andere komisch (169.254.xx ist der IPv4-Bereich für die automatische Konfiguration; meistens nur für MS). Wischen ist der einzige Weg, um sicherzugehen, dass es zu 100% verschwunden ist. Ich bin immer noch zweifelhaft, ob Sie gehackt wurden.
Chris S
@ Chris S: yup, es war sicher eine 169.254.xx-IP. Aber wie kommt es, dass diese Workstation plötzlich mit Netzwerk-Switches im Benutzermodus arbeitet ? Ich machte weiter mit ifconfig down / ifconfig 192.168.1.33 up und das Auto-Netzwerk-Ding (das ich nie installiert hatte und niemals hätte einschalten sollen) setzte die IP immer wieder auf 169.254.xx zurück. Was ist los?
Weezy
@Chris S: Es ist das erste Mal seit fast zehn Jahren, dass ich Linux täglich benutze :( Ich bin wirklich verwirrt über das, was gerade passiert ist: Ich habe ehrlich gesagt keine Ahnung, was gerade passiert ist. Die IP Es gibt keine Möglichkeit, auf 169.254.xx umzuschalten, ohne dass ich eine Einstellung als Root ändere. Es ist etwas passiert, ich weiß nur nicht was :(
Weezy

Antworten:

1

Aus Sicherheitsgründen können Sie immer versuchen, nach Rootkits zu suchen. Lesen Sie die Antworten auf diese Frage in ServerFault, um Ihren Computer nach Rootkits und schädlicher Software zu durchsuchen. Schauen Sie sich Tools wie chkrootkit oder Rootkit Hunter scannen für Standard - Dateien , die von Rootkits verwendet, falsche Dateiberechtigungen für Binärdateien, vermutete Strings in LKM und KLD - Module, versteckte Dateien, etc.

Übrigens: Nur zu Ihrer Information, wenn der Computer keinen DHCP-Server erreichen kann und die Netzwerkkarte nicht manuell konfiguriert wurde, kann er eine verbindungslokale Adresse verwenden. Das Netzwerk 169.254 / 16 ist für diesen Zweck reserviert. Aus Wikipedia :

Bei einem anderen privaten Netzwerktyp wird der in RFC 5735 und RFC 3927 codierte verbindungslokale Adressbereich verwendet. Die Verwendung dieser Adressen erfolgt in der automatischen Konfiguration durch Netzwerkgeräte, wenn keine DHCP-Dienste (Dynamic Host Configuration Protocol) verfügbar sind, und die manuelle Konfiguration durch a Netzwerkadministrator ist nicht wünschenswert.

In IPv4 ist der Block 169.254 / 16 mit Ausnahme des ersten und des letzten / 24-Subnetzes im Bereich für diesen Zweck reserviert. Wenn ein Host in einem IEEE 802 (Ethernet) -Netzwerk keine Netzwerkadresse über DHCP erhalten kann, kann eine Adresse von 169.254.1.0 bis 169.254.254.255 pseudozufällig zugewiesen werden. Der Standard schreibt vor, dass Adressenkollisionen angemessen behandelt werden müssen. Die IPv6-Adressierungsarchitektur sieht den Block fe80 :: / 10 für die automatische Konfiguration von IP-Adressen vor.

runlevelsix
quelle
aber wie ich schrieb, wurde die IP-Adresse immer statisch eingerichtet. Ich dachte, dies sei "in Stein gemeißelt" und irgendwie passierte nach Monaten etwas und überschrieb meine manuelle / statische IP-Konfiguration.
Weezy
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.