Nowe posty

xx Debian 9 Stretch, linuxcnc i restart przy uruchamianiu (1)
Wczoraj o 11:09:50
xx Zakup sprzętu bez preinstalowanego windowsa (8)
2019-10-17, 16:50:51
xx Problem z pocztą Dovecot+Postfix+MySQL (3)
2019-10-16, 14:43:41
xx Instalacja Debian10 problem z instalacją GRUBa na RAID5 (5)
2019-10-15, 17:58:57
xx AMD Ryzen 5 3500U (11)
2019-10-14, 18:29:46
xx Konfiguracja directadmina (0)
2019-10-13, 03:18:36
xx Problem z instalacją sterowników TL-WN821N (4)
2019-10-11, 23:15:00
xx Sprzet z Linuxem (1)
2019-10-11, 10:06:24
xx nadpisanie partycji domowej (6)
2019-10-03, 03:27:28
xx Screen flickering Deepin (4)
2019-10-02, 20:32:56

Autor Wątek: problem z siecią... wirus? hack? spyware?  (Przeczytany 4692 razy)

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 7
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« dnia: 2008-05-25, 18:42:42 »
hej,

w piątek rejestrowałem domeny dla pewnej firmy u znanej i działającej sprawnie firmy z Krakowa, domeny nie są jeszcze opłacone bo dopiero jutro wysyłam przelew, ale...

gdy wpisuję nazwę domeny www

wyskakuje coś takiego

http://img521.imageshack.us/img521/1746/hackkr5.png

gdy zaalarmowałem support firmy u której rejestrowałem domeny to odpisali mi że po wklepaniu tej domeny u nich wyskakuje strona z info "nie można odnaleźć serwera" co jest zrozumiałe bo domena jeszcze nie opłacona i nie przekierowana na żaden serwer, ale u mnie wyświetla się niestety informacja "owned by..."

inne domeny z końcówką ".info" też wyświetlają info tej grupy hakerskiej

a może ktoś "wlazł" mi na kompa? :/
mam 7.10 a domeny sprawdzałem na FF 2.0.0.14 oraz Opera 9.25

proszę o pomoc.

Offline ultr

  • Users
  • Guru
  • *****
  • Wiadomości: 1186
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #1 dnia: 2008-05-25, 19:30:15 »
Najprawdopodobniej wlazł i pogrzebał w DNSach.

Jaki jest u ciebie wynik polecenia "uname -a"?

Sprawdź logi (choć pewnie je wyczyścili).

Jeżeli miałeś włama, to zostaje ci posprawdzać zgodność wszystkich plików zainstalowanych z pakietów czy są oryginalne, a te które nie są (zapewne configi) sprawdzić, czy to twoje edycje, czy nie.
Ostatecznie najprostszym rozwiązaniem jest reinstalacja.

Swoją droga to ciężko się włamać, więc jak udało ci się to osiągnąć? Udostępniasz komuś shella? A może logowałeś się na swoje konto z zewnątrz z niezaufanego komputera?

EDIT:

Równie dobrze mogli się włamać do twojego ISP i namieszać w DNSach dla domen .info.

Podaj jeszcze na jakie IP wskazuje (dla ciebie) wymieniona przez ciebie domena (nslookup, albo odczytaj choćby z pinga).

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 7
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #2 dnia: 2008-05-25, 19:36:55 »
jestem nowym użytkownikiem ubuntu więc nie bardzo wiem o czym do mnie piszesz :/
natomiast fakt posiadania przeze mnie stałego IP ułatwił im tylko zadanie...

gdybyś mógł łopatologicznie do mnie, to będę wdzięczny


nie, nikomu nie udostępniam shella
ale posiadam konto shell aby p2p... na prywatnych trackerach

nie logowałem się do panelu zarządzającym domenami z innego kompa poza tym domowym

Offline ultr

  • Users
  • Guru
  • *****
  • Wiadomości: 1186
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #3 dnia: 2008-05-25, 19:44:51 »
Konto domen nie ma znaczenia. Z tego co widzę taka domena nadal nie istnieje.

Poczytaj na Wikipedii czym jest DNS. Zapewne gdzieś w twojej sieci (albo u ciebie, albo u twojego Internet Service Providera) ktoś namieszał w tych ustawieniach.

Miałeś podać wyniki poleceń:

uname -a

oraz

nslookup twojadomena.info
(jeżeli nie masz tego polecenia przepisz IP z ping-a na tę domenę).
Sprawdź też IP przypisane innym, istniejącym, domenom .info.


EDIT:

Podaj jeszcze (w forumowych tagach CODE) zawartość swoich plików /etc/hosts i /etc/resolv.conf

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 7
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #4 dnia: 2008-05-25, 19:51:30 »
po komendzie uname -a


Linux ronin-desktop 2.6.22-14-generic #1 SMP Tue Feb 12 07:42:25 UTC 2008 i686 GNU/Linux



po komendzie NSLOOKUP dla MOJEJ domeny:

nslookup fabricantdalimentspourchiens.info
Server:         78.31.148.1
Address:        78.31.148.1#53

Non-authoritative answer:
Name:   fabricantdalimentspourchiens.info.wegrow.domtel.pl
Address: 80.86.84.16



teraz NSLOOKUP dla domeny ktora NIE ISTNIEJE:

nslookup sfnsfnvsvsfineifngurn.info
Server:         78.31.148.1
Address:        78.31.148.1#53

Non-authoritative answer:
Name:   sfnsfnvsvsfineifngurn.info.wegrow.domtel.pl
Address: 80.86.84.16



a teraz NSLOOKUP domeny firmy Yahoo
 
nslookup yahoo.com
Server:         78.31.148.1
Address:        78.31.148.1#53

Non-authoritative answer:
Name:   yahoo.com
Address: 66.94.234.13
Name:   yahoo.com
Address: 216.109.112.135



oraz NSLOOKUP domeny firmy NBC

nslookup nbc.com
Server:         78.31.148.1
Address:        78.31.148.1#53

Non-authoritative answer:
Name:   nbc.com
Address: 64.210.192.67



jak widać wyniki są różne...


ciekawe jest jeszcze coś, gdy wpisalem cokolwiek z rozszerzeniem ".info" również pojawia się stronka "owned by"

np. dsgbsdoifgbseoigboeisrgboerisgbeorg.info i też mam to samo co na mojej domenie, więc to chyba wina mojego ISP ???

włam był chyba u nich i tam namieszano w DNSach ???

Offline ultr

  • Users
  • Guru
  • *****
  • Wiadomości: 1186
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #5 dnia: 2008-05-25, 20:11:37 »
Sprawdź jeszcze jakie masz wpisane DNSy. Jeżeli IP należą do twojego ISP, to u nich jest włam. Jeżeli nie, to znaczy że jedynie ty odpytujesz inne DNSy.
Czyli powiedz co jest w /etc/resolv.conf

uname -a pokazuje, że to nie twoją maszyną się chwalą :) Swoją drogą nie wiem kto jeszcze może mieć jajko 2.6.17.

EDIT:

Tylko to, że shaczyli twojego ISP to także jest powód do zmartwień. Każde twoje nieszyfrowane połączenie jest narażone na przechwycenie. Logowania na stronach www, do poczty, rozmowy gg.
Jeśli upewnisz się, że to ISP, to zadzwoń do nich i grzecznie ich ochrzań. Już dawno powinni wstawić jakiś zastępczą maszynę w to miejsce, a nie narażać internautów na bycie podsłuchiwanym.
Polecam też zmianę haseł w poczcie i innych usługach - tyle, że przez jakieś zaufane łącze.

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 7
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #6 dnia: 2008-05-25, 20:16:32 »
w pliku resolv.conf mam:

search wegrow.domtel.pl
nameserver 78.31.148.1
nameserver 78.31.144.33
nameserver 10.8.10.8



a w pliku hosts mam:

127.0.0.1 localhost
127.0.1.1 ronin-desktop

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

tak jak pisałem wcześniej jestem nowy, więc sorki za głupie pytania
w folderze ETC mam pliki "hosts" oraz "resolv.conf" ale nie mam foldera "hosts" ale jest "resolvconf" to normalne?
tak powinno być?


>>>       co jest nie tak z 2.6.17 ?


WAŻNE:

do płatności w necie korzystam z Opery bo ma dobre szyfrowanie, ale czy wystarczające aby być spokojnym że płatności kartą kredytową nie zostały przechwycone ?

Offline ultr

  • Users
  • Guru
  • *****
  • Wiadomości: 1186
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #7 dnia: 2008-05-25, 20:37:19 »
Co do pliku resolv.conf - czy te DNSy dostajesz np. przez DHCP, czy są tam na stałe?


> w folderze ETC mam pliki "hosts" oraz "resolv.conf" ale nie mam foldera "hosts"
> ale jest "resolvconf" to normalne?

Tak :)


> co jest nie tak z 2.6.17 ?

Zależy jakie patche są nałożone. Ale czyste 2.6.17 - tak na prawdę do 2.6.22 - jest podatne na lokalnego exploita przez funkcję vmsplice(). Sprawdzałem osobiście i działało. Czasem się zdarza :) Choć wymaga to dostępu do shella, dlatego pytałem o to na początku.


> do płatności w necie korzystam z Opery bo mam dobre szyfrowanie, ale czy
> wystarczające aby być spokojnym że płatności kartą kredytową nie zostały
> przechwycone ?

Opera, Firefox czy nawet IE - to nie ma znaczenia. Ważne, żebyś nie akceptował teraz żadnych nowych kluczy publicznych i certyfikatów i nie lekceważył ostrzeżeń o ich zmianach. Bo może to być atak man-in-the-middle.
Na twoim miejscu powstrzymałbym się od używania tego łącza do podawania jakichkolwiek haseł. I zmienił obecnie używane u kogoś z innym ISP.

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 7
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #8 dnia: 2008-05-25, 20:41:09 »
Co do pliku resolv.conf - czy te DNSy dostajesz np. przez DHCP, czy są tam na stałe?
### jaśniej proszę :/



> co jest nie tak z 2.6.17 ?

Zależy jakie patche są nałożone. Ale czyste 2.6.17 - tak na prawdę do 2.6.22 - jest podatne na lokalnego exploita przez funkcję vmsplice(). Sprawdzałem osobiście i działało. Czasem się zdarza :) Choć wymaga to dostępu do shella, dlatego pytałem o to na początku.
### a jak temu zaradzić ???



kliknąłem System > Administracja > Monitor systemu i...

http://img357.imageshack.us/img357/7548/gnomeyl5.png

jednak 2.6.22 ???

Offline ultr

  • Users
  • Guru
  • *****
  • Wiadomości: 1186
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #9 dnia: 2008-05-25, 20:55:00 »
> a jak temu zaradzić ???

Zaktualizować system. Może Ubuntu nakłada jakieś patche, więc możesz mieć nadal 2.6.22, które jednak jest bezpieczne.

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 7
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #10 dnia: 2008-05-25, 20:58:53 »
na chwilę obecną mam wszystkie aktualizacje zainstalowane poprzez "menadżera aktualizacji", więc chyba jest w miarę bezpiecznie

a tak spytam z ciekawości, czy w 8.04 jest bezpieczniej?
i czy pod tym względem coś poprawiono w porównaniu do wersji 7.10 ?

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2052
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #11 dnia: 2008-05-25, 21:01:39 »
Jeśli chcesz mieć na prawdę bezpieczny system może zainteresuj się, np. PC-BSD lub FreeBSD.

Pozdrawiam!

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 7
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #12 dnia: 2008-05-25, 21:04:12 »
wiem, wiem... słyszałem to i owo,
podobno na Open BSD nie znaleziono dziury od kilku lat,
ale to dla mnie za wysokie progi, niedawno przesiadłem się z windy na ubuntu
więc dopiero raczkuję w linuxie

anyway, dzięki za pomoc ultr, troszkę mnie uspokoiłeś że to chyba jednak nie moja machina została shaczona ;)

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2052
    • Zobacz profil
problem z siecią... wirus? hack? spyware?
« Odpowiedź #13 dnia: 2008-05-26, 00:48:34 »
Cytat: linux999
wiem, wiem... słyszałem to i owo,
podobno na Open BSD nie znaleziono dziury od kilku lat,
ale to dla mnie za wysokie progi, niedawno przesiadłem się z windy na ubuntu
więc dopiero raczkuję w linuxie
Dlatego wymieniłem w pierwszej kolejności PC-BSD, który jest oparty na FreeBSD stworzony z myślą o początkujących, na prawdę w cale nie jest trudny, graficzny instalator, KDE, binarki i system portów.

Pozdrawiam!