Ich habe an meiner Linux "Workstation" gearbeitet (sie hat keinen Ton und ich spiele weder darauf noch schaue ich einen Film: Sie ist eine reine Arbeitsmaschine, daher nenne ich sie meine "Workstation") und plötzlich passierte etwas sehr Seltsames.
Ich habe mit einem temporären Benutzerkonto (das ich nur zum Browsen verwende) und dem Iceweasel-Browser gebrowst. Ich bin auf eine Website gestoßen, die offensichtlich versucht hat, Malware zu installieren (Popups mit gefälschten Fenstern, die angeben, dass Ihr Computer infiziert ist usw.). Beim Schließen dieser Webseiten sind einige Probleme aufgetreten und ich habe den Browser beendet.
Dann begann die 4. Dimension: Die IP änderte sich automatisch in eine 169.xxx.xxx.xxx (ich erinnere mich nicht genau) IP. Dies hätte jedoch niemals passieren dürfen, da diese Workstation eine statische IP-Adresse war, die, wie ich dachte, in Stein gemeißelt war.
Ich habe sofort das Ethernet-Kabel abgezogen (und es gibt kein WiFi auf dieser Workstation) und laufende Prozesse mit "ps auxf" abgefragt
Ich fand einige wirklich komische Prozesse ablaufend: "uml network switch" sowas. Beim Neustart (immer noch Kabel abgezogen) sah ich eine Servicemeldung "Starting User Mode Networking Switch" . Ich habe das nie installiert und ich bin mir fast sicher, dass dieses Zeug vorher nicht da war.
Ich habe auch eine "freie Desktop" -Aufgabe gefunden. Das habe ich auch noch nie installiert.
Ich habe angefangen, das Paket zu entfernen, das mit dem UML-Ding zusammenhängt, und habe neu gestartet (immer noch das Kabel abgezogen) und ... Der "/ usr / bin / uml_switch" (so ähnlich) ist wieder aufgetaucht (auch wenn ich es nicht überprüft habe) mehr nach dem Löschen des Pakets).
Was ist los?
Handelt es sich um eine Art Mega-SNAFU, in der ein automatisiertes Debian-Software-Update begann, Pakete automatisch zu installieren, die ich nicht für dieses Chaos angefragt habe, oder wurde ich einfach gehackt?
Hat jemand von euch eine Vorstellung davon, was ich gerade erlebt habe?
Der nächste Schritt ist, für alle Fälle, eine Neuinstallation von einer bekanntermaßen guten CD / DVD-ROM eines neuen Systems auf einer leeren Festplatte, oder?
quelle
Antworten:
Aus Sicherheitsgründen können Sie immer versuchen, nach Rootkits zu suchen. Lesen Sie die Antworten auf diese Frage in ServerFault, um Ihren Computer nach Rootkits und schädlicher Software zu durchsuchen. Schauen Sie sich Tools wie chkrootkit oder Rootkit Hunter scannen für Standard - Dateien , die von Rootkits verwendet, falsche Dateiberechtigungen für Binärdateien, vermutete Strings in LKM und KLD - Module, versteckte Dateien, etc.
Übrigens: Nur zu Ihrer Information, wenn der Computer keinen DHCP-Server erreichen kann und die Netzwerkkarte nicht manuell konfiguriert wurde, kann er eine verbindungslokale Adresse verwenden. Das Netzwerk 169.254 / 16 ist für diesen Zweck reserviert. Aus Wikipedia :
quelle