Рабочая станция Linux: как знать, было ли это базировано?
Я работал над своим Linux "рабочая станция" (это не имеет никакого звука, и я не играю на нем, ни смотрю любое кино: это - просто машина работы, следовательно я называю это моей "рабочей станцией"), и внезапно что-то очень странное произошло.
Я просматривал, с помощью учетной записи временного пользователя (один, я использую только для просмотра), и браузер Iceweasel. Я приехал в веб-сайт, который, очевидно, пытался установить вредоносное программное обеспечение (всплывающие окна с поддельными окнами, говоря, что Ваш компьютер заражен, и т.д.). Я получил некоторые проблемы, закрывающие эти веб-страницы, и закончил, уничтожают-9'ing браузер.
Затем 4-й запущенный размер: IP изменился автоматически на некоторых 169.xxx.xxx.xxx (я не помню точно), IP. Но этого никогда не должно было происходить как та рабочая станция как статический IP, который, я думал, был вырезан в камне.
Я сразу отключил кабель Ethernet (и нет никакого WiFi на той рабочей станции), и запросил рабочие процессы с помощью "PS auxf"
Я нашел некоторое действительно странное выполнение процессов: "сетевой коммутатор uml" что-то. На перезагрузку (все еще отключенный кабель) я видел, что "Стартовый непривилегированный режим объединил переключатель в сеть" сервисное сообщение. Я никогда не устанавливал это, и я почти уверен, что этот материал не был там заранее.
Я также нашел некоторый "бесплатный рабочий стол" чем-то выполнение задачи. Никогда не устанавливал это также.
Я начал удалять пакет, связанный с UML-thinggy, и перезагрузил (все еще отключенный кабель) и... "/usr/bin/uml_switch" (что-то как этот) начал вновь появляться (даже жесткий, я проверил, что он там больше после не удалял пакет).
Что продолжается?
Эта своего рода мегапутаница то, где некоторые автоматизировали обновление программного обеспечения Debian, запущенное идти баллистические, и автоволшебно установить пакеты я не попросил это, повредил опустошение, или я просто становился взломанным?
У какого-либо из Вас есть какая-либо идея о том, каково то, что я просто испытал, могло быть?
Следующий шаг является, на всякий случай, чистой установкой с известного хорошего CD/DVD rom новой системы на пустом праве HD?
1 ответ
Для сейфа можно всегда пытаться сканировать для руткитов, видеть ответы на этот вопрос на ServerFault относительно сканирования компьютера для руткитов и вредоносного программного обеспечения. Инструменты выезда, такие как chkrootkit или Охотник за Руткитом для сканирования для файлов по умолчанию, используемых руткитами, неправильными полномочиями файла для двоичных файлов, подозревали строки в LKM и модулях KLD, скрытых файлах, и т.д.
Между прочим, только для Вашей информации, когда компьютер не может для достижения сервера DHCP и сетевой платы, не настроен вручную, это может использовать локальный для ссылки адрес. 169.254/16 сеть резервируется с этой целью. Из Википедии:
Другой тип частного сетевого использования локальный для ссылки диапазон адресов, шифруемый в RFC 5735 и RFC 3927. Утилита этих адресов находится в самоавтоматической конфигурации сетевыми устройствами, когда сервисы Протокола динамического конфигурирования узлов (DHCP) не являются доступной и ручной конфигурацией администратора сети, не желательно.
В IPv4 блок 169.254/16 резервируется с этой целью, за исключением первого и последней/24 подсети в диапазоне. Если хост на IEEE 802 (Ethernet), сеть не может получить сетевой адрес через DHCP, адрес от 169.254.1.0 до 169.254.254.255, может быть присвоен псевдослучайным образом. Стандарт предписывает, чтобы коллизии адреса были обработаны корректно. Архитектура обращения IPv6 откладывает блок fe80::/10 для автоматической конфигурации IP-адреса.