Linux Mint: Я заражен руткитом
Вы можете попробовать очистить установку и немного почистить apt.
Попробуйте:
sudo apt-get remove openssh-server openssh-client --purge && sudo apt-get autoremove && sudo apt-get autoclean && sudo apt-get update
Если у вас нет причина не обновлять пакеты, тогда также попробуйте:
sudo apt-get dist-upgrade
Затем вы можете попробовать установить пакеты еще раз, чтобы увидеть, решило ли это проблему:
sudo apt-get install openssh-server openssh -client
Изменить:
Заметил, что ubuntu упоминается в ошибке: upstart : Зависит: ifupdown (>= 0.6.10ubuntu5)
Проверьте свои исходники. list и файлы каталога sources.list.d для любых ссылок на ubuntu. Если они есть, закомментируйте их и повторите приведенные выше команды.
Если установлены какие-либо пакеты ubuntu PPA или ubuntu .deb, это также может вызвать проблемы.
В общем, вам не нужно беспокоиться о распространении руткита Linux на систему Windows, но вы должны знать, что скомпрометированная сеть может открыть любую систему в ней до аналогичных проблем.
Не удаляйте / sbin / init ! Он контролирует вашу загрузку / завершение работы, поэтому его удаление оставит вам незагружаемую систему.
chkrootkit только ищет сигнатуры, он не проверяет наличие известных файлов руткитов, что делает его подверженным ложным срабатываниям. Java печально известна тем, что вызывает эти ложные срабатывания, как и многие другие инструменты программирования.
Вы захотите установить rkhunter и просканировать вашу систему, так как он ищет файлы подписей, но он также подвержен ложным срабатываниям, поэтому не спешите удалять файлы, не проверив, принадлежат ли они им. или нет.
Если в вашем дистрибутиве есть livecd, вы часто можете скопировать его / sbin / init в систему, и он должен загрузиться нормально, но без каких-либо гарантий.
Лично, если вы уверены, что ваш пароль взломан в системе, выступающей в качестве брандмауэра для сети, я бы выбрал новую установку и проделал бы более тщательную работу по защите системы.
Такие инструменты, как chkrootkit и rkhunter, как правило, более полезны для конечных систем, особенно для домашних пользователей, а не для первичных точек входа, главным образом потому, что по своей природе они всегда преследуют новые разработки в области безопасности, поэтому они никогда не блокируйте новейшие эксплойты.
После рутирования брандмауэра важно также проверить все системы в сети. Брандмауэр Linux может изменить пароль, чтобы заблокировать вас, но система Windows также является легкой мишенью.
Возможно, такая явная атака означает, что злоумышленник намеревался шантажировать вас для получения доступа к вашей заблокированной системе, поэтому проверьте свои почтовые журналы, там может быть сообщение с просьбой о деньгах, и желательно сообщить о проблеме властей в вашем районе, чтобы они могли помочь в отслеживании этих групп.
Вы можете сделать снимок зараженного диска и использовать Autopsy from sleuthkit для автономной копии образа, чтобы создать временную шкалу и найти файл система изменяется во время изменения файла / sbin / init. Perp / rootkit мог бы остановить измененные, доступные и созданные временные метки, но, по крайней мере, вы можете почувствовать, что они были после. - превращение вашего устройства в бота, программу-вымогатель или поиск проникновения в вашу сеть.
См. Http://www.sleuthkit.org/autopsy/docs/quick/
В качестве альтернативы наймите местного сертифицированного специалиста по кибернетической экспертизе, который, возможно, сообщит вам, что на самом деле произошло.
Серверы Linux mint недавно были взломаны, и кто-то разместил зараженные файлы ISO на своих серверах загрузки. Сейчас ситуация нормализовалась.
Скорее всего, вас это ударило. Крайне маловероятно, что вас взломает профи, если только вы не рассердили АНБ / мафию очень-очень сильно.
К сожалению, единственный хороший способ здесь - стереть раздел linux и переустановить.
Вредоносное ПО для Linux само по себе не может распространяться на Windows, но вредоносное ПО для Linux - это программа, поэтому, получив root-доступ, оно может делать практически все, что угодно, например загружать вредоносное ПО для Windows со своего собственного сервера загрузки.
Запустите сканирование с помощью аварийного компакт-диска, специальных дистрибутивов Linux, созданных антивирусными компаниями, чтобы вы могли сканировать окна с удобной точки (маловероятно, что антивирус, установленный в Windows, сейчас может что-то делать), отформатируйте разделы Linux mint и переустановите НОВЫЙ iso-файл, который вы загружаете сейчас, когда они заменили зараженные.
здесь сообщение в блоге команды Linux Mint http://blog.linuxmint.com/?p=2994
Очень маловероятно, что руткит, написанный для платформы Linux, сможет распространиться на раздел или хост Windows, но опять же, учитывая скорость развития вредоносных программ, никогда нельзя убедитесь, что у него есть вектор атаки для соседних экземпляров Windows.
Если говорить о том, как с этим бороться, нет лучшего решения, чем очистка и переустановка ОС. В противном случае никогда нельзя быть уверенным, поймали ли вы все или остался один отставший.
Лучший способ справиться с руткитами - это стереть диск. Тем не мение; в зависимости от того, насколько важны ваши данные. Вы можете создать другую учетную запись SU / root и отключить / лишить привилегий учетную запись, на которой запущен руткит.
Вы дважды проверяли наличие ложных срабатываний?
Небольшой поиск в Интернете показывает, что вполне может быть ложным срабатыванием.
Проверьте свой chkrootkit версия:
$ chkrootkit -V
Если версия ниже 0.50 , она может вернуть ложное срабатывание для Suckit , см. здесь для отчета об ошибке.
Также было указано, что веб-сайт Монетного двора был скомпрометирован 20 февраля 2016 года с помощью бэкдора, помещенного в образ ISO, не уверен, что это имеет какое-либо отношение к тому, что вы сообщили. Но вы все равно можете попробовать:
Как проверить, не взломан ли ваш ISO?
Если у вас все еще есть файл ISO, проверьте его подпись MD5 с помощью команды «md5sum yourfile.iso» (где yourfile.iso - это имя ISO-образа ).
Ниже приведены действительные подписи :
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Если у вас все еще есть записанный DVD или USB-накопитель, загрузите компьютер или виртуальную машину в автономном режиме (выключите маршрутизатор, если сомневаетесь ) с ним и позвольте ему загрузить живую сессию.
Если в реальном сеансе есть файл в
/var/lib/man.cy, то это зараженный ISO.
Наконец, я бы не стал доверять MD5 или SHA-1 сумм для проверки целостности файлов, так как они уже много лет нарушаются, лучше проверять их по SHA- 256 или выше.