Beküldte linuxmint22 -
Fórum:
Nemrég telepítettem sikeresen Linux Mint 22 Mate verzióját, hogy biztonságosan webezzek, de két hete gyanússá vált, hogy vagy feltörték a gépemet, vagy egy weboldalról valami kártevőt telepítettek, mi időnként aktív.
Keresek valakit, aki segítene a (végleges?) megoldásban.
Vírus? Milyen?
Beküldte csuhas32 -
Értékelés:
Szia!
Ha nekem vírus-gyanús lenne a rendszerem, akkor biztosan nem használnám, az adatmentés birtokában szanálnék mindent, ami a vírussal kapcsolatba kerülhetett... Amennyiben azonban tévedsz és ez nem vírus, hanem valami más áll a dolog hátterében, akkor ez nem fogja megoldani a helyzetet.
Szóval, mi a jelenség amit tapasztalsz, miből szűrted le azt hogy ez egy kártevő, honnan veszed, hogy feltörték a gépedet?
Mivel feltételezed, hogy kártevő van a rendszereden, adódik a kérdés, hogy milyen vírusirtót és milyen eredménnyel futtattál?
„vagy egy weboldalról valami kártevőt telepítettek, mi időnként aktív.”
A jelenséget egy böngészőt használva tapasztalod? Ha igen, akkor csak ebben a böngészőben vagy másikban is?
Amennyiben csak ebben, akkor nincs ezen a böngészőn valami fura kiegészítő telepítve?
Ha csak egy bizonyos böngészőben tapasztalható a jelenség, akkor én annak a böngészőnek a beállítókönyvtárát átnevezném, amennyiben így megszűnik a hiba, akkor lehet, hogy valamilyen kiegészítő települt, aminek nem kellett volna...
Bocsánat, de a legtöbb ilyen „Vírus támadta meg a Linux rendszerem” témáról eddig az derült ki, hogy a kiindulási feltételezés téves.
Ilyenkor nyáron sok gép képes furcsa dolgokat produkálni, ha nincsenek rendesen karbantartva (kitakarítva, újrapasztázva) és nem állandó hőmérsekletet biztosító helységben üzemelnek egész évben.
Egyszerűen melegük lesz.
Nekem is volt olyan gépem, ami már szinte használhatatlan volt, ki lett takarítva, újra lett pasztázva, aztán azóta megy mint a kis angyal.
A kánikulára való tekintettel ez az első, amit tisztázni kellene.
Mikor volt kitakarítva, újrapasztázva a gép?
Amikor tapasztalod a hibát, mit mond a
parancs kimenete?
Az is egy jó próba lehet, hogy egy Linux Mint telepítőről bootolsz be, az arról betöltődő live rendszert használod egy jó ideig, ha azon is jelentkezik a hiba, akkor ez is abba az irányba mutat, hogy ez bizony nem vírus...
Vakvágány - nem vírus, kártevő
Beküldte linuxmint22 -
Értékelés:
Egy szóval sem írtam vírust, mivel ez nem vírus, hanem valamit beraktak valahogy, talán a böngészőn keresztül.
A gépet csak webezésre használtam, jellemzően hírolvasás, információk keresése és letöltése volt.
Csak pár csomagot telepítettem, de még nem próbáltam használni őket.
(illetve használtam egy pendrájvot is, amit egy rendezvényen kaptam, de kétszer is formáztam a használat előtt)
Az első jeleket még nem vettem komolyan, weboldalakon megjelent egy ablak, hogy továbblépéshez jelentkezzen be kugli fiókkal, vagy egy igazolás kérése, hogy ember vagyok, nem robot.
Majd az egyik webcím letiltotta magát "too many request" üzenettel, egyetlen weboldalát se tudom azóta megnézni.
Azután véletlenül észrevettem egy furcsa villanást a képernyőn, ami a win-es hatásra emlékeztetett, amikor hirtelen frissülnek az ikonok az asztalon, de ez csak egy villanás volt.
Ettől kezdve videóra vettem a képernyőn történéseket és visszanéztem képkockánként léptetve, majd hosszas szenvedés után sikerrel jártam.
Egyetlen képkocka erejéig felvillant egy ikon a képernyőn és eltűnt, és rájöttem, hogy ezt korábban is csinálta.
Linux logokhoz nem értek, megtaláltam őket és ránéztem, de akkor, amikor az ikont észrevettem, nem találtam logokban bejegyzést, de nem néztem végig mindet.
Gondolom, azzal kellene kezdeni, hogy az ikon alapján beazonosítani, hogy milyen kártevő aktiválja magát időnként a gépemen.
Az ikon egy kis szürke négyzet és ha jól emlékszem, hasonlít a régi CD/DVD lejátszókra nyomtatott lemezkiadási ikonra, most feltöltöm.
Valamint feltöltök két képet is, ezek a linux alatt futó vagy alvó csomagok.
Laikusként eddig jutottam önerőből.
(a 2 képen az utolsó csomag a xed, az lemaradt a képernyőmentés megjelenése miatt)
Kép:
Vakvágány - nem vírus, kártevő
Beküldte csuhas32 -
Értékelés:
A „Vakvágány” az a pont, amíg egyetértünk.
„Gondolom, azzal kellene kezdeni, hogy az ikon alapján beazonosítani, hogy milyen kártevő aktiválja magát időnként a gépemen.”
Szerintem azzal kellene kezdeni, hogy beazonosítani, egyáltalán „kártevő” aktiválja-e magát a rendszereden.
(Nem a gépeden, a rendszereden, számomra a kettő között van jelentős különbség.)
„Majd az egyik webcím letiltotta magát "too many request" üzenettel, egyetlen weboldalát se tudom azóta megnézni.”
Az „egyik webcím” egy picit tág meghatározás, lehettél volna sokkal konkrétabb (persze, lehet, hogy titok).
Ennek kiváltója lehet akár „kártevő” is, de szerintem akkor se az egész rendszert, csupán egy adott böngészőt érintő, de hogy valóban ez történt-e, azt majd nálam okosabbak megtippelik...
Lehet, hogy a túl sok elérési kísérlet miatt IP alapján bannol?
Másik böngészőből se éred el?
Másik eszközről és hálózatról eléred?
Amire nem reagáltál:
Mi a helyzet a böngésző kiegészítőkkel és a böngésző szüzen indításával?
A következő megítélésem szerint viszont egészen más tészta, a kettő nem függ össze:
„Egyetlen képkocka erejéig felvillant egy ikon a képernyőn és eltűnt, és rájöttem, hogy ezt korábban is csinálta.”
„Az ikon egy kis szürke négyzet és ha jól emlékszem, hasonlít a régi CD/DVD lejátszókra nyomtatott lemezkiadási ikonra, most feltöltöm.”
Ezt korábban is csinálta. Ez történik, ha van egy hardverhiba és folyamatosan fennáll. Cserélheted a rendszereket, a hiba marad. Ez szerintem tutira nem vírus vagy kártevő, vagy nevezzük bárhogy.
Nem tudom, konkrétan hol villan fel, nyilván a képernyőn (Hol máshol?!), úgyhogy ez se valami precíz meghatározás (Asztal, fájlkezelő, panel?), de ez lehet akár egy a rendszerhez szorosan nem tartozó (működés közben) csatlakoztatott meghajtó (belső- vagy külső lemezen lévő partíció, ilyen egy pendrive is) leválasztásának/kiadásának kezdeményezését lehetővé tévő ikon is. Vagy egy DVD-íróban lévő lemez kiadását kezdeményező ikon (bár ma már sok gépben nincs is olyan eszköz, amibe DVD-t lehetne tuszkolni).
Simán lehet hardverhiba a háttérben.
Például:
Egy meghajtó bizonytalanul csatlakozik. Ezért egy pillanatra érzékeli a rendszer, meg is jelenik a leválasztásához az ikon, aztán a következő pillanatban megszűnik a kapcsolat az eszközzel, a rendszer rohan az események után és lekapja az ikont a képernyőről.
Esetleg a dmesg kimenetében nincs nyoma az eseménynek?
sudo parted -l és mount mit mondanak, egyáltalán milyen lemezek vannak a gépben, és ezeken van(nak) olyan partíció(k), mellyel ez megeshet? Nincs hozzádugva a géphez USB porton egy pendrive vagy külső meghajtó?
Vakvágány - nem vírus, kártevő
Beküldte kami911 -
Értékelés:
ez az ikon a cserélhető eszközök ikonja, nincs egy pendrive a gépbe dugva amit nem ismer fel, vagy egy mobiltelefon?
Vakvágány - nem vírus, kártevő
Beküldte T.István -
Értékelés:
Amiket leírtál valami hardveres bizonytalanságra utal. A képeken semmi gyanús nem látszik
Amikor furcsaságokat tapasztalsz, nyiss egy terminált, és gépeld be, hogy
fuss végig a sorokon amit kapsz, ami piros, az érdekes, de kijelölheted és felmásolhatod az egészet ide:
https://pastebin.com/index.php (regisztrálhatsz is, ha kéri, ez biztonságos oldal, megadhatod az e-mail címed, nem jön innen spam), aztán a linkjét osszad meg itt.
Naplókat is nézhetel, húzd szélesre a terminálablakot majd írd be:
nem kell érteni, ami piros, az érdekes, másold ki, keress rá, mint jelent (enterrel lehet lépegetni, Q-val kilépni)
Szerintem vacakol valami hardver.
Mindazonáltal, ha böngészőben történnek furcsaságok, az nem a gépen van, hanem odaát. Firefox alá tedd fel ezeket a bővítményeket: Disconnect, Ghostery, Facebook cointainer...
Vakvágány - nem vírus, kártevő
Beküldte linuxmint22 -
Értékelés:
Köszönöm, ezeket már értem.;)
dmesg eredményeként rengeteg piros sor van, szinte mind ugyanazt írja:
ACPI Error: No pointer back to namespace node ...
journalctl -nél nincs egyetlen piros sor se.
Azt nem értem, ha csak hw hiba, akkor a reddit miért tiltotta le az összes weboldalát,
és más weboldalak miért kértek ellenőrző igazolásokat, hogy nem vagyok robot,
kizárólag azalatt a fél órás böngészés alatt, amikor a hiba történt?
Azóta már megnéztem a reddit linket gond nélkül és azóta ismét ellenőrzés nélkül olvashatom a híroldalakat is.
Köszönöm mindenkinek a válaszokat, úgy tűnik, a hiba megszűnt, vagy csak rejtőzik, mert látta, hogy észrevettem és segítséget kértem ellene. ;)