Infezione da malware (adware?) su linux

Naviga le tue risposte
4

Recentemente mi sono bloccato con un malware (adware / virus?) che non riesco a rimuovere. ecco la condizione:

  • Sto usando Linux ( Archlinux ), è aggiornato e non installo alcun pacchetto al di fuori dei repository standard PLUS alcuni pacchetti AUR piuttosto noti. Verificherò ulteriormente se questo è il caso.

  • Visualizzo pop-up, ( annunci di DNS Unlocker ) su Chromium , FF (standard repo) e Google-Chrome-Stabile (installato da AUR).

  • Ho una finestra di Windows e Android che si sincronizzano tutti su un account

  • Uso Tor (il più delle volte) con i bridge che sono stati forniti tramite email ufficiale

  • Elenco delle mie installazioni e componenti aggiuntivi recenti sono elencati di seguito:

    sudo cat /var/log/pacman.log | grep -i installed :      link

    sudo pacman -Qm :      link

    Componenti aggiuntivi del browser:
        Gestore di segnalibri (ID: gmlllbghnfkpflemihljekbapjopfjik),
        Evernote Clipper (ID: pioclpoplcdbaefihamjohnefbikjilc),
        Pulsante Google Scholar (ID: ldipcbpaocekfooobnbcddclnhejkcpn),
        LastPass (ID: hdokiejnpimakedhajhdlcegeplioahd),
        Proxy SwitchyOmega (ID: padekgcemlokbadohgkifijomclgjgif),
        Salva in tasca (ID: niloccemoadcdkdjlinkgdfekeahmflj),
        ScriptSafe (ID: oiigbmnaadbkfbmpbfijlflahbdbdgdf),
        Connettore Zotero (ID: ekhagklcjbdpajgpjgmbionohlpdbjgc)

  • $ cat /etc/hosts

    127.0.0.1 localhost.localdomain localhost
    ::1 localhost.localdomain localhost

    Ho controllato le impostazioni di rete e il mio ip è impostato su DHCP.

  • in qualche modo un caso simile è stato segnalato di recente, ma c'è una chiara differenza tra ciò che vedo.
    link

  • i blocchi a comparsa se disattivo questo script da Script safe, scriptsafe mostra il javascript come:
    m51.dnsqa.me (1)
    cdn.scarabresearch.com (1)
    Sono sicuro del primo, ma il secondo potrebbe essere sicuro.

  • Non sono sicuro, ma sembra in modalità provvisoria (in incognito) il pop-up non viene mostrato. per quanto riguarda l'estensione ho provato il browser appena installato e viene infettato nuovamente.

  • il dirottamento dell'URL è stato provocato nelle ricerche su google (facendo clic con una nuova scheda sui collegamenti). e i popup sono visibili su Amazon e sulla maggior parte dei siti di e-shopping. Inoltre l'ho visto su TED.org che mi impedisce di scaricare il video.

Dopo un po 'di giorni alle prese con il problema, non sono riuscito a trovare il percorso.

Ho disinstallato ( pacman -Rs chromium ) e rimuovo le cartelle dei browser manualmente ( rm -rf .chromium, .config/chromium, /local/share/chromium ). Con e senza abilitare la sincronizzazione (anche resettare i dati di sincronizzazione sul server) vedo i popup dopo un po '. Questo succede anche su FF e Google-Chrome. Opera potrebbe essere esclusa Non ho ancora provato.

Ci sono due opzioni di cui sospetto:

  • DNS, ho controllato resolve.conf e /etc/hosts e Network Settings ma non ho visto alcuna configurazione diversa da localhost o DHCP e sono una specie di principiante e non sono a conoscenza di alcuna altra vulnerabilità riguardante il DNS.
  • Ho un malware installato localmente che non riesco a trovare.
  • i ponti ufficiali di Tor con I non credo che siano i casi (li ho cambiati ma non ho cambiato il risultato, a volte uso tor con i bridge di scramblesuit, tutti da ufficiale eamil).

Aggiornamento:

  • Non uso tor browser bundle (sto usando tor come servizio e impostazione proxy)

  • Altri dispositivi sono collegati al router e quelli non sono influenzati dal malware

posta Neper 10.09.2015 - 08:19
fonte

2 risposte

1

Quando dici che stai usando tor, stai usando il pacchetto tor browser? o la versione stand-alone dove lo hai impostato come server proxy e ti connetti a tor usando il tuo normale browser?

Chiedo perché dai tuoi dati sospetto che si tratti di un problema DNS, ma il bund browser browser non usa le tue impostazioni DNS (almeno non per impostazione predefinita), quindi se stai utilizzando il bundle del browser e ottieni ancora il problema, allora è qualcos'altro.

Quello che sospetto possa essere accaduto è che le impostazioni DNS sul router potrebbero essere state compromesse, quindi ciò che dovrebbe accadere è che una query DNS vada:

  1. Prima guarda sul tuo computer locale (cioè /etc/hosts )
  2. Il tuo DNS upstream da resolve.conf è tipicamente il tuo router locale e impostato da DHCP (tipicamente altri computer sulla tua rete e record DNS nella cache)
  3. Il tuo router controlla il suo DNS upstream, tipicamente il tuo ISP

Tuttavia, sospetto che il tuo router sia stato configurato per utilizzare un server DNS upstream dannoso che sta reindirizzando il tuo traffico verso server / proxy Web dannosi che stanno iniettando contenuti nella tua navigazione.

Come esperimento prova ad avviare un CD live e verifica se il problema persiste, se lo facessi, ripristinerei il tuo router 1 (o meglio ancora lo ricaricherò con il firmware più recente) imposta le impostazioni DNS upstream del tuo router su 8.8.8.8 (DNS pubblico di google) e assicurati di inserire una buona password sul router.

  1. Si applicano le normali avvertenze, il ripristino delle impostazioni di fabbrica del router probabilmente ucciderà la connessione Internet, quindi assicurati di sapere come ripristinarlo, se hai bisogno di un nome utente e una password per collegarti al tuo ISP (la maggior parte delle connessioni lo farà) assicurati sai di cosa si tratta.
risposta data 10.09.2015 - 08:54
fonte
0

Sospetto anche che si tratti di un problema DNS in quanto le informazioni sugli annunci pop-up di DNS Unlocker sono l'avviso di un problema adware. Dopo una ricerca ho scoperto che DNS Unlocker è segnalato come PUP, adware e uno dei metodi di distribuzione è il raggruppamento.

La buona notizia è che potrebbe essere completamente rimossa e puoi anche ripristinare il tuo DNS. Ulteriori informazioni su questo caso di sicurezza puoi leggere qui . Questi ragazzi mi aiutano davvero a risolvere i miei problemi relativi alla sicurezza del PC. Spero di trovare la soluzione di questo fastidioso virus.

    
risposta data 18.09.2015 - 16:12
fonte

Leggi altre domande sui tag

Semina in modo sicuro un generatore di numeri casuali C # Esiste un firewall interno?