без этого IcedTea половина сайтов не пашет

без java плагина? не помню, когда последний раз видел его требование

Насчёт консольного браузера - elinks.

Я очень давно не видел сайта, который бы просил Java. Это должно быть что-то очень специфичное. Flash тоже уходит - всякие вконтакте и ютуб уже умеют без него нормально работать. Разве что какие-нибудь порносайты... Но либо безопасность, либо они...

А вообще я очень не уверен, что кто-либо занимается заражением Linux-десктопов, все ориентируются на винду. Другое дело Linux-сервер... Впрочем, там обычно этим занимаются боты. Скажем, пробуют пароли для SSH вида root:root. Чтобы была целевая атака с индивидуальным подходом надо быть очень кому-то нужным.

без java плагина? не помню, когда последний раз видел его требование

Есть 2, на которых нужен. Ещё на одном билеты заказать кнопка не работала, включил - запахала. Он же сволочь не запрашивает на каждом, Запретить, или Разрешить... Кстати, это шляпа ещё та, в Мидори например в настройках можно выбрать, чтобы как IE или Firefox о себе сообщала. И всё вроде хорошо и везде проверки проходит, только если список включенных плагинов посмотреть для браузера внимательно, там есть строка IcedTea .... (Linux), так что ось всёравно будет идентифицирована правильно и нифига не прячет он. Ну мне это не настолько важно, просто к слову.

Чтобы была целевая атака с индивидуальным подходом надо быть очень кому-то нужным.

Ну у меня 1 раз была.

И ещё 1 раз был установлен TeamViewer (c оригинального сайта, он походу под вайном), нужен был. У него демон вместе с системой стартует, даже если он сам не запущен, я потом на это внимание обратил. Оказалось, есть какая-то дыра, я никому доступа не давал, а подключение входящее в фоне было. Я случайно узнал, снёс его и ось переставил, больше не поставлю никогда.

Вопрос, какие логи, на что и как нужно периодически проверять? Возможно, ещё подскажете утилиты какие? Ещё какой-то кстати антивир видел консольный, название забыл, он ругается, если логи были удалены.

Насчёт консольного браузера - elinks.

Видел в википедии. Ещё брат у него какой-то. Ставил. Посмотрел. Решил просто для проверки зайти на мобильную версию m.vk.vom, которую даже на устаревших непонятных браузеров старых мобильников тянет. Залогиниться не смог почему-то.

Другое дело Linux-сервер...

Ну а вдруг решу несколько машинок по сети соединить и ssh включить. Или фигню какую поднять на дедике, интересует общий подход - за чем я должен следить. ЛАМПы я всякие конечно ставить не буду себе для доступа извне, для теста локального хватает, а что серьёзное лучше доверю нормальному хостеру. Но подход ведь должен быть к проверке.

Я, должно быть, что-то пропустил.

Сегодня Dr.Web выдал:

Infected archive
Isolated: 06:22 13/07/2015
Quarantine type: User quarantine

Object name: 7A96186AFE8D51E282FB941BF16ABB92CCE25A09
Owner: liveuser
Modified: 03:51 13/07/2015
Size: 3.61 KB

Origin path: 
/home/liveuser/.cache/mozilla/firefox/dwl69zqq.default/cache2/entries/7A96186AFE8D51E282FB941BF16ABB92CCE25A09

Detected threats:  - archive:
[/quote]
Что теперь следует предпринять???

ЛивСиДи у тебя, чот не понял?

ЛивСиДи у тебя, чот не понял?

нет, просто так учётку назвал

Dr.Web говорит голактеко опасноте!!!!!

Необходимо переустановить Вин^W FC21 на LXDE!

Dr.Web говорит голактеко опасноте!!!!! Необходимо переустановить Вин^W FC21 на LXDE!

Слышь, флудер, критикуя, предлагай что-то дельное, ок?
Ты может внимание не обратил, что создав топик, я изначально спросил, какими утилитами кто пользуется и что проверять, не?
Ты такой махагуру великий, так неспошли на меня свет своего знания может?

Удали DrWeb. Серьезно. Ты не умеешь им пользоваться и от него тебе только вред.

— Вы частенько здесь бываете?
— Да, каждый день хожу.
— С какой целью? Здесь всё нормально работает.
— Смотрю, что бы вирусы не попали на компьютер.
— На что именно вы смотрите?
— Ну я кабель вытаскиваю, чтобы вирусы не попадали.

нет сети — нет вирусов, а антивирусы — для слабаков

Если так интересует безопасность, то тебе сюда.

вижу второй тред неуловимого джо.

не задумался таки зачем входящее подключение в тимвьювере? даю подсказку - там есть список контактов и состояние «оффлайн/онлайн»

все «утилиты» уже в дистре.

изучи федорку - раз. профили атак - два. man ip и man iptables

вижу второй тред неуловимого джо.

-????
Хотя видел вроде топик, там чел про хром ещё спрашивал картинки какие-то расплывчатые.
Не мой!

не задумался таки зачем входящее подключение в тимвьювере? даю подсказку - там есть список контактов и состояние «оффлайн/онлайн»

Только адрес не меняется, пин 4 цифры всего всегда. Да я разбираться не стал, логи чекнул - подключения были, когда их быть не должно, снёс. А почему, разбираться не стал. Если юзаешь его - отруби демон и стартуй вручную, хотя дело твоё это баговайновое творение оставлять.

Если так интересует безопасность, то тебе сюда.

Спасибо, слышал про него. Апач если ставить - сразу нужно настраивать. Тут читал, можно песочницу для приложений делать, довольно сложно. Нужно для браузера сделать похоже.

все «утилиты» уже в дистре.

звучит просто здорово

изучи федорку - раз. профили атак - два.

Ну я не такой-то и нуб, но и сисадмином для сервака под федорой сейчас не стал бы.
Статьи может есть, где доступно описано, как за своей системой следить нормально?

нууу

это же неуловимый джо. вбей в гугель. я так всех чудаков, которые вместо манов, книжек и best-practices по безопасности идут на лор с порывом «накрутить чё-нить эдакое-крутое, чтобы зловред не пролез»

Удали DrWeb. Серьезно. Ты не умеешь им пользоваться и от него тебе только вред.

Он в реалтайме следит за угрозами, которые могут поступить из браузера. И выкидывает предупреждение, сразу узнаешь, а не когда чекнуть чёт решишь. Альтернатива? Не советуй только поставить непонятный браузер, который зависает, тупит, выкидывает и коверкает внешний вид страниц.

Дитятя, твои вопросы крайне неуместны.

Гуру великий говорит что виндовз софт не нужен. Если у тебя приступ паранои используй нативные средства которые работают в отличии от этого говна.

И да Dr.Web только создаёт эту атмосферу опасности, где бы не устанавливался...

угроза системе - пользователь. ну следит докторвеб, ну семафорит. а ты чё? на лор - «что делать?».

если его снести - драма произойдет? федорку поломает зловред?

man man

Бугага....
Я думал, в федоре firewalld решает задачу iptables, не? Я его первым делом настроил!

man journalctl

Это понятно. Какие события я должен отлавливать, которые могут сигнализировать об опасности?

ты неправильный вопрос задаёшь. ты должен понимать ВСЁ, что там пишется и головой решать, что есть опасность.

Большинство на этом форуме сидит в линуксе без антивируса и брат жив. Если заботишься о безопасности, то просто не включай флеш и жаву на сомнительных сайтах. Некоторые на этом форуме включают жаваскрипт только на сайтах, внушающих доверие. Но антивирус, мне кажется, перебор, к тому же меня давят сомнения насчет качества DrWeb.

И выкидывает предупреждение, сразу узнаешь

Он тебе выдал не предупреждение, он уже изолировал этот файл, а ты еще паришься.

ВОЗМОЖНО ТЫ ПИШЕШЬ КАПСОМ

ты неправильный вопрос задаёшь. ты должен понимать ВСЁ, что там пишется и головой решать, что есть опасность.

Ну не листать же всю эту простыню перед сном вместо хорошей книжки.

ВОЗМОЖНО ТЫ ПИШЕШЬ КАПСОМ

Спасибо, заметил. Хотел отредактировать, но уже никак...

И проверяться-то надо. Я линков просил на статьи с актуальной инфой вообщето. Про chkrootkit, вот про него никто не упомянул почему-то в довесок к ркхантеру. А я ведь именно про него сразу спросил.

Если у тебя паранойя и ты хочешь безопасную ОС и софт, то рекомендую по-возможности использовать ПО с открытым исходным кодом.

Твой Dr.Web, TeamViewer и флеш - проприетарные блобы, исходный код которых не известен никому кроме разработчиков (и некоторых аудиторов возможно).
IcedTea - открытое ПО.

Чтобы браузер и другие программы не поломали - то самое главное это вовремя устанавливать обновления из дистрибутива.
Так же подпишись на рассылку новостей об угрозах безопасности своего дистрибутива.

Ну и конечно не запускай вслепую скачанные скрипты, бинарники, пакеты (не из дистра) и не выполняй неизвестные тебе команды.

Твой Dr.Web, TeamViewer и флеш - проприетарные блобы

ТВ нет у меня после инцидента. Флеш вообще очень редко включаю по запросу. Что сказать про Dr.Web? Они денег хотят по итогу за свой продукт, хотя через сайт можно лицензию на 3 месяца размутить. Наврядли антивирусная кампания будет похищать критическую информацию, зачем им портить себе имя? Тем более не распостранённая практика выкладывать сорцы АВ, чтобы не упрощать работу по их обходу создателям зловредов, это же очевидно...

Ну а если бы ты решил проверить свою систему на наличие проникновения через браузер - какие бы действия выполнил?

ТВ нет у меня после инцидента

еще разок - это не инцидент, это приступ паранойи у пациента.

дрвеб ничо похищать не будет. суть в том, что он в принципе не нужен. и как я живу с включенным флешем..

Тем более не распостранённая практика выкладывать сорцы АВ, чтобы не упрощать работу по их обходу создателям зловредов, это же очевидно...

Ну так разуй глаза разработчикам ClamAV и компаниям, у которых везде на серверах (почтовых, к примеру) он стоит.

Наврядли антивирусная компания будет похищать критическую информацию, зачем им портить себе имя?

Так ты и не заметишь, как вся твоя порнушка утечет в лапы ФСБшников через заботливо оставленную разработчиками др.веба дырку.

Загрузился бы с livecd и сверил данные с бекапом/снапшотом, который был сделан ДО предполагаемого взлома.

Если бекапа нет, то всё сложнее:

Если уязвимость в прикладном ПО, то скорее всего «заражены» оказались только данные текущего пользователя.
Я бы переименовал домашний каталог и создал новый (предполагаю что все личные файлы в домашнем каталоге) .
Потихоньку перетащил бы нужные мне данные в новый каталог ручками, а старый бы снёс.

Опционально, поковырялся бы в каталоге ручками - наверняка «вирус» это скрипт, бинарный исполняемый файл, или модификация одного из стартовых скриптов/конфигов.

Если подозрение на взлом рута, то выяснение причины это очень долгая работа. Обычно в этом случае всё сносят и разворачивают с нуля.

еще разок - это не инцидент, это приступ паранойи у пациента.

Да я не буду с тобой спорить. Всю инфу я выложил в прошлом сообщении на этот счёт. Не хочешь - не верь. Но в ту систиему это единственный возможный вектор проникновения был. Т.к. там браузером посещались только несколько довренных сайтов (моих блин),на которые я сам пхп-скрипты и писал. Я сразу оперативно сменил пароли с другой системы и проверил, что даты изменения файлов на хостинге в порядке. Крутился джаббер-клиент. И был этот грёбаный ТВ. И ВСЁ. Но ведь система была скомпрометирована - некоторые файлы были отредактированы, поведение некоторых процессов было очень странным. Чекнул логи - было подключение по ТВ. А по факту не было у меня соединений.

Ну так разуй глаза разработчикам ClamAV и компаниям, у которых везде на серверах (почтовых, к примеру) он стоит.

Мне нечего сказать. Интересное замечание.

Так ты и не заметишь, как вся твоя порнушка утечет в лапы ФСБшников через заботливо оставленную разработчиками др.веба дырку.

А потом громкий скандал и никто их защиту не берёт. Они же не камикадзе...
Да и хорошо хоть не в АНБ.

Ну это по факту уже, если подтвердилось всё.

Видимо, надо пакеты посниффать и посмотреть, нет ли странных для начала. И логи чекнуть. Какие строки в этом случае будут подозрительными?

Удали антивирус, настрой ежедневные обновления и не морочь себе голову.

Что теперь следует предпринять???

удалить файрфокс и начать пользоваться линуксом а не браузером

если нужен браузер-наймите себе сисадмина который будет вам чистить браузер от вирусов

у меня лично-собраный вебкит пропатченый и с выключенными функциями-чтоб было похоже на нормальный браузер,поэтмоу «быложавоскрипт» и все что «облегчает блондинкам пользоваться интернетом» выпелено-и джаваскрипт никуда не лезет и не имеет ненужных функций

тоетсь либо учись пользоваться ПК либо плати тому кто за тебя будет все делать

Давай сюда этот файлик. Скорей всего там запакованный вирус под WIndows какой-нибудь. Плагины можешь включать времено, только для нужных веб-сайтов. Dr.Web удаляй, тем более он наверняка работает под root, а возможно и имеет свой модуль для ядра. Паранойю отключай.

у меня лично-собраный вебкит пропатченый и с выключенными функциями

У меня времени итак на всё мало, проекты не доделаны, от компа не отхожу сутками. Вот чем ещё в свободное время не занимался - браузер не собирал.

тоетсь либо учись пользоваться ПК либо плати тому кто за тебя будет все делать

Да у меня вообще-то Pentium 120Mhz ещё был, взял не 133, т.к. там математический сопроцессор был (технология MMX называлась тогда PRO), разогнал его джамперами всёравно до 133. И вообще-то мне платили, чтобы я компы (под виндой правда) настраивал софт, ав итд, правда это очень давно было (годы прошли) и с частными клиентами и небольшими офисами. И когда только сети в крупных городах начали появляться - ни у кого ещё не было, я на самой первой волне клиентов подключал.

В этом линуксе пока теряюсь ещё просто.

удалить файрфокс и начать пользоваться линуксом а не браузером

Мне надо видимо профили сделать для браузера. На своих проектах я использую интерактивные приложения на пхп и они без яваскрипта не работают, отключить не смогу, нужно для теста. На остальных сайтах не нужен на многих. Я итак использую полностью. Ещё проект на малине делаю.

Давай сюда этот файлик.

Раз и Два.

Dr.Web удаляй, тем более он наверняка работает под root, а возможно и имеет свой модуль для ядра.

Своего пользователя создаёт с правами рута, правит SELinux при установке. Но эту-то угрозу он заметил... Хотя в браузерах точно отключить всё надо нафиг.

А ты в текстовом редакторе открой, там ведь просто кусок iframe, без браузера этот файл бесполезен. ClearClick noscript'а скорей всего поможет в таких случаях. Но по-моему это false positive просто из-за наличия paypal в iframe вместе с рекламой.

А ты в текстовом редакторе открой, там ведь просто кусок iframe, без браузера этот файл бесполезен. ClearClick noscript'а скорей всего поможет в таких случаях. Но по-моему это false positive просто из-за наличия paypal в iframe вместе с рекламой.

Вот спасибо, отлегло!
Я его из карантина восстановил, но не распаковать чёт было, ошибку выдавал, вот сам ине посмотрел.