Resolvido - Erros do Nod32 no meu Ubuntu 64

Iniciado por abestado, 09 de Março de 2012, 13:27

tópico anterior - próximo tópico

alarcon

Citação de: abestado online 09 de Março de 2012, 16:27
um pc com 1 hd, low level format, ubuntu do zero, hash verificado no download, nome de user e senhas novos e complexos. Sem ter instalado nada, nem falado em prog de bate-papo, nem baixado nada fora da central de programas, nem skype nem coisa alguma.

E fora o icmp flood?

o ubuntu é vulnerável a ARP flood etc?
Q mais tenho de arrumar no firewall?

Vou fazer conforme sua video-aula.


Ainda sobre o firewall dá uma lida aqui:

http://www.hardware.com.br/dicas/basico-compartilhamento-ufw.html

Você pode testar seu firewall em:

https://www.grc.com/x/ne.dll?bh0bkyd2

faz o teste de todas as portas. Isso após ativar o ufw com já falei antes ok.

abestado

os caras são soda, tavam vendo a página em que eu estava e disseram pra eu mandar uma msn pro filipe.

alarcon

Se você é atacado usando serviços através no navegador. Usa o chromium ou até mesmo o Chrome ao invés do firefox pelo Ubuntu e veja se muda alguma coisa também. Dizem que o chrome/chromium é mais seguro, se é verdade...

Usa o java OpenJDK e seu respectivo plugin para navegadores, o da Oracle parece que tinha falhas de segurança.

alarcon

Citação de: abestado online 09 de Março de 2012, 16:43
os caras são soda, tavam vendo a página em que eu estava e disseram pra eu mandar uma msn pro filipe.


Se esse seu sistema já está "bichado" não adianta nada, pois as brecha já estão aí instaladas e ocultas. Agora com um sistema limpo seria melhor até para sabermos as falhas do sistema.

abestado

Sim, já faz 1 mês q estou tentando... Sempre com sistema limpo e hash da iso verificado.
Será q o prob é conectar direto no modem sem roteador?

Olha, hj eu tava só postando o negócio do nod32, pra ter uma segurança extra lol pra menos pra saber e ter aviso quando operações de root ocorrem... Q ao menos isso meu colega disse q dá pra fazer.

Pq já invadiram o ubuntu do meu pc, o do meu lap, e este que instalei ontem limpinho foi no meu pc antigo, que eu não ligava há 1 ano, e, lembrando, nome e senha novos, fortes, hd limpinho e com low level format.

e escaneei rootkits, nada.

Só com os programas padrão e uns joguinhos do kenta cho da central do ubuntu, mais nada.

lol achei que vindo pro linux seguraria estes meus colegas mas n tem jeito mesmo.

alarcon

Citação de: abestado online 09 de Março de 2012, 16:56
Sim, já faz 1 mês q estou tentando... Sempre com sistema limpo e hash da iso verificado.
Será q o prob é conectar direto no modem sem roteador?

Olha, hj eu tava só postando o negócio do nod32, pra ter uma segurança extra lol pra menos pra saber e ter aviso quando operações de root ocorrem... Q ao menos isso meu colega disse q dá pra fazer.

Pq já invadiram o ubuntu do meu pc, o do meu lap, e este que instalei ontem limpinho foi no meu pc antigo, que eu não ligava há 1 ano, e, lembrando, nome e senha novos, fortes, hd limpinho e com low level format.

e escaneei rootkits, nada.

Só com os programas padrão e uns joguinhos do kenta cho da central do ubuntu, mais nada.

lol achei que vindo pro linux seguraria estes meus colegas mas n tem jeito mesmo.


mas não basta ele estar instalado do zero, tem que está atualizado para resolver possíveis vulnerabilidades dos pacotes já instalados e com o firewall ativado com as regras indicadas.

Os links sobre rootkits que postei tem lá algo falando em ser avisado até por email sobre as vulnerabilidades encontradas.


Ioca100

"Será q o prob é conectar direto no modem sem roteador?"
Pelo modem deve dar para invadir, sim.Bota uma senha forte nele.
Usuário Linux- 449417

abestado

#37
ops resolvi tava postando uma noobice

alarcon

#38
tecle TAB para selecionar o Ok, depois tecle ENTER

PS: como recomendado no artigo se você já suspeita que seu sistema está com problemas é recomendável usar o programa por um livecd, por exemplo. Agora se você acabou de instalar o sistema é possível usar o comando pelo próprio SO.

abestado

Bom, o rkhunter deu uns warnings aki:

Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/bin/unhide.rb                                       [ Warning ]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ Warning ]
    Checking for group file changes                          [ Warning ]
    Checking root account shell history files                [ None found ]

  Performing system configuration file checks
    Checking for SSH configuration file                      [ Not found ]
    Checking for running syslog daemon                       [ Found ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ None found ]
    Checking for hidden files and directories                [ Warning ]


[17:16:32] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: a /usr/bin/ruby -w script text executable

[17:16:33] Info: Found file '/usr/bin/lwp-request': it is whitelisted for the 'script replacement' check.

[17:16:38] Info: Found file '/bin/egrep': it is whitelisted for the 'script replacement' check.
                           
[17:16:38] Info: Found file '/bin/fgrep': it is whitelisted for the 'script replacement' check.

[17:16:42] Info: Found file '/bin/which': it is whitelisted for the 'script replacement' check.

[17:17:55] Warning: User 'postfix' has been added to the passwd file.
[17:17:55]
[17:17:55] Info: Starting test name 'group_changes'
[17:17:55]   Checking for group file changes                 [ Warning ]
[17:17:55] Warning: Group 'postfix' has been added to the group file.
[17:17:56] Warning: Group 'postdrop' has been added to the group file.

[17:17:56]   Checking for hidden files and directories       [ Warning ]
[17:17:56] Warning: Hidden directory found: /etc/.java
[17:17:56] Warning: Hidden directory found: /dev/.udev
[17:17:56] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[17:18:02]

[17:18:02] System checks summary
[17:18:02] =====================
[17:18:02]
[17:18:02] File properties checks...
[17:18:02] Files checked: 136
[17:18:02] Suspect files: 1
[17:18:02]
[17:18:02] Rootkit checks...
[17:18:02] Rootkits checked : 242
[17:18:02] Possible rootkits: 0
[17:18:03]
[17:18:03] Applications checks...
[17:18:03] All checks skipped
[17:18:03]
[17:18:03] The system checks took: 1 minute and 53 seconds
[17:18:03]
[17:18:03] Info: End date is Sex Mar  9 17:18:03 BRT 2012

abestado

Eu nao mudei password depois de instalar... que será isso?

phillipehugo

ainda desafio os camaradas a zoarem as maquinas, pode mandar o desafio para eles. Lammers.

garfo

Li todo o tópico. Difícil acreditar que um "hacker" possa invadir um PC só usando o ip. E pior: invadir o Ubuntu.  ::)

Um artigo interessante sobre isso: http://www.tecmundo.com.br/4287-mito-ou-verdade-se-descobrirem-meu-ip-posso-ser-hackeado-.htm

Garfo -  linux
"Pra quê complicar? Facilidade e simplicidade é tudo!"

alarcon

#43
Faz assim:

sudo rkhunter --propupd

sudo rkhunter --update


e depois tenta isso:

sudo rkhunter --check --pkgmgr dpkg


Aparentemente não vi nada muito estranho no seu resultado, mas não deixe de ler essa parte:

http://www.vivaolinux.com.br/artigo/Procurando-rootkits-no-seu-sistema/?pagina=3

phillipehugo

Citação de: garfo online 09 de Março de 2012, 17:57
Li todo o tópico. Difícil acreditar que um "hacker" possa invadir um PC só usando o ip. E pior: invadir o Ubuntu.  ::)

Um artigo interessante sobre isso: http://www.tecmundo.com.br/4287-mito-ou-verdade-se-descobrirem-meu-ip-posso-ser-hackeado-.htm



Pior já tirei a prova dos nove quando os caras simplesmente googlaram meus dados no GOOGLE SEARCH e me mandaram por PM, deu vontade de rir aqui. Lammers, pior ainda desafiei a ele entrar na mina máquina e trocar o papel parede, ainda desafio mais deixo formatar a máquina.

Ri litros cara.

Ainda dou 2 opções Windows 7 sob minha configuração ou ubuntu 11.10, se ele quiser crio uma partição com windows 98 pra facilitar o trabalho deles. Que baboseira hein.

Tenho pena de jovens adolescentes estudando pra ser "hacker", no minimo num passam de Searchers.