Linux-Workstation: Woher wissen, ob sie gerootet wurde?

Ich habe an meiner Linux "Workstation" gearbeitet (sie hat keinen Ton und ich spiele weder darauf noch schaue ich einen Film: Sie ist eine reine Arbeitsmaschine, daher nenne ich sie meine "Workstation") und plötzlich passierte etwas sehr Seltsames.

Ich habe mit einem temporären Benutzerkonto (das ich nur zum Browsen verwende) und dem Iceweasel-Browser gebrowst. Ich bin auf eine Website gestoßen, die offensichtlich versucht hat, Malware zu installieren (Popups mit gefälschten Fenstern, die angeben, dass Ihr Computer infiziert ist usw.). Beim Schließen dieser Webseiten sind einige Probleme aufgetreten und ich habe den Browser beendet.

Dann begann die 4. Dimension: Die IP änderte sich automatisch in eine 169.xxx.xxx.xxx (ich erinnere mich nicht genau) IP. Dies hätte jedoch niemals passieren dürfen, da diese Workstation eine statische IP-Adresse war, die, wie ich dachte, in Stein gemeißelt war.

Ich habe sofort das Ethernet-Kabel abgezogen (und es gibt kein WiFi auf dieser Workstation) und laufende Prozesse mit "ps auxf" abgefragt

Ich fand einige wirklich komische Prozesse ablaufend: "uml network switch" sowas. Beim Neustart (immer noch Kabel abgezogen) sah ich eine Servicemeldung "Starting User Mode Networking Switch" . Ich habe das nie installiert und ich bin mir fast sicher, dass dieses Zeug vorher nicht da war.

Ich habe auch eine "freie Desktop" -Aufgabe gefunden. Das habe ich auch noch nie installiert.

Ich habe angefangen, das Paket zu entfernen, das mit dem UML-Ding zusammenhängt, und habe neu gestartet (immer noch das Kabel abgezogen) und ... Der "/ usr / bin / uml_switch" (so ähnlich) ist wieder aufgetaucht (auch wenn ich es nicht überprüft habe) mehr nach dem Löschen des Pakets).

Was ist los?

Handelt es sich um eine Art Mega-SNAFU, in der ein automatisiertes Debian-Software-Update begann, Pakete automatisch zu installieren, die ich nicht für dieses Chaos angefragt habe, oder wurde ich einfach gehackt?

Hat jemand von euch eine Vorstellung davon, was ich gerade erlebt habe?

Der nächste Schritt ist, für alle Fälle, eine Neuinstallation von einer bekanntermaßen guten CD / DVD-ROM eines neuen Systems auf einer leeren Festplatte, oder?

Aus Sicherheitsgründen können Sie immer versuchen, nach Rootkits zu suchen. Lesen Sie die Antworten auf diese Frage in ServerFault, um Ihren Computer nach Rootkits und schädlicher Software zu durchsuchen. Schauen Sie sich Tools wie chkrootkit oder Rootkit Hunter scannen für Standard - Dateien , die von Rootkits verwendet, falsche Dateiberechtigungen für Binärdateien, vermutete Strings in LKM und KLD - Module, versteckte Dateien, etc.

Übrigens: Nur zu Ihrer Information, wenn der Computer keinen DHCP-Server erreichen kann und die Netzwerkkarte nicht manuell konfiguriert wurde, kann er eine verbindungslokale Adresse verwenden. Das Netzwerk 169.254 / 16 ist für diesen Zweck reserviert. Aus Wikipedia :

Bei einem anderen privaten Netzwerktyp wird der in RFC 5735 und RFC 3927 codierte verbindungslokale Adressbereich verwendet. Die Verwendung dieser Adressen erfolgt in der automatischen Konfiguration durch Netzwerkgeräte, wenn keine DHCP-Dienste (Dynamic Host Configuration Protocol) verfügbar sind, und die manuelle Konfiguration durch a Netzwerkadministrator ist nicht wünschenswert.

In IPv4 ist der Block 169.254 / 16 mit Ausnahme des ersten und des letzten / 24-Subnetzes im Bereich für diesen Zweck reserviert. Wenn ein Host in einem IEEE 802 (Ethernet) -Netzwerk keine Netzwerkadresse über DHCP erhalten kann, kann eine Adresse von 169.254.1.0 bis 169.254.254.255 pseudozufällig zugewiesen werden. Der Standard schreibt vor, dass Adressenkollisionen angemessen behandelt werden müssen. Die IPv6-Adressierungsarchitektur sieht den Block fe80 :: / 10 für die automatische Konfiguration von IP-Adressen vor.