Co se skrývá za neznámou adresou?

Re:Co se skrývá za neznámou adresou?
« Odpověď #30 kdy: 26. 01. 2015, 16:27:56 »
ty doplňky mě napadly už když jsem zakládal téma diskuse a již jsou zakázané a odinstalované


Jenda

Re:Co se skrývá za neznámou adresou?
« Odpověď #31 kdy: 26. 01. 2015, 16:34:36 »
i kdyz se mohl maskovat, zkus se podivat na datum/cas souboru a srovnat to s tim firefox doplnkem
V tom taru co mi poslal má ten soubor 2015-01-26 15:02, takže se to možná samo aktualizuje a tím si čas přepíše.

Re:Co se skrývá za neznámou adresou?
« Odpověď #32 kdy: 26. 01. 2015, 16:38:22 »
ne ten cas/datum souboru je moji zasluhou, vse jsem si kopiroval, zalohoval do jednoho adesare. Takze za to muze prikaz cp

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #33 kdy: 26. 01. 2015, 16:44:56 »
tak priste zachovej cas/atributy ;)
cp -a odkud kam

kdyz koukam dovnitr, tak zkoukni:
/etc/services
/etc/resolv.conf
/etc/passwd

a jedna z tech tor address smeruje na hiden wiki kde je mozne koupit usa pas/ridicak, uk pas, drogy, zbrane..., takze bacha na cervene svetelka na obleceni ;)

Neviditelný

Re:Co se skrývá za neznámou adresou?
« Odpověď #34 kdy: 26. 01. 2015, 16:45:52 »
Já bych asi kontaktoval UltraVPS.com, určitě by je zajímalo, co za smetí jim to běží na VPSkáćh. Podle IP to vypadá na server v jejich datacentru v Las Vegas

Kód: [Vybrat]
# geoiplookup 104.129.176.14                                                 
GeoIP Country Edition: US, United States
GeoIP ASNum Edition: AS53340 VegasNAP, LLC

Kód: [Vybrat]
# dig -x 104.129.176.14

; <<>> DiG 9.9.6-P1-RedHat-9.9.6-6.P1.fc21 <<>> -x 104.129.176.14
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55492
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;14.176.129.104.in-addr.arpa.   IN      PTR

;; AUTHORITY SECTION:
176.129.104.in-addr.arpa. 8544  IN      SOA     ns1.ultravps.com. admin.ultravps.com. 2014110858 28800 7200 604800 86400

;; Query time: 11 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Po led 26 16:43:09 CET 2015
;; MSG SIZE  rcvd: 114


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Co se skrývá za neznámou adresou?
« Odpověď #35 kdy: 26. 01. 2015, 17:05:35 »
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system

Asi bych pod rootem vymazal z domovskeho adresare vse, co lze ozelit, tedy vse, krome osobnich dat, zalozek FF a tak.

Re:Co se skrývá za neznámou adresou?
« Odpověď #36 kdy: 26. 01. 2015, 18:00:02 »
Hledám podle data a času a stejné datum mají další soubory, zajímavý je

Citace
.tar

, měl atribut pro spustění * a byl skrytý ., umístění měl v /home/tupohlav/, atribut pro spuštění jsem odstranil. Posílám  na hrach

Kde jsem to chytil, ach jo.

frnk

Re:Co se skrývá za neznámou adresou?
« Odpověď #37 kdy: 26. 01. 2015, 18:05:58 »
pro zajímavost, jaký je sha256sum toho původníko binárního souboru?

Re:Co se skrývá za neznámou adresou?
« Odpověď #38 kdy: 26. 01. 2015, 18:18:24 »
sha26sum /home/tupohlav/.config/kdeinit4

Citace
baa32583e4e041de14effbb93ad39971c358cb7ae570f2c285e16db49bc2cf4f 

výpis souborů vytvořených ve stejný čas


frnk

Re:Co se skrývá za neznámou adresou?
« Odpověď #39 kdy: 26. 01. 2015, 18:27:34 »
.. tak to jste chytil kdeinit4-backdoor aka Trojan.Linux.Bew

hovado

Re:Co se skrývá za neznámou adresou?
« Odpověď #40 kdy: 26. 01. 2015, 18:45:08 »
Jak se to tam mohlo dostat? Pres doplnek v prohlizeci?

Nebo jste mel smulu a navstivil stranku, kde bezel nejaky dobry exploit pack. Proti tomu se da poradne branit jen necim jako NoScript co zakazuje  javascript, flash, javu  takze vam web skoro nepujde :D

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #41 kdy: 26. 01. 2015, 18:53:21 »
.. tak to jste chytil kdeinit4-backdoor aka Trojan.Linux.Bew

a to vis ze si nasel scan kterej nechal delat Jenda a takto ten soubor sam prejmenoval ? ;)

randolf

Re:Co se skrývá za neznámou adresou?
« Odpověď #42 kdy: 26. 01. 2015, 19:57:23 »
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system

Asi bych pod rootem vymazal z domovskeho adresare vse, co lze ozelit, tedy vse, krome osobnich dat, zalozek FF a tak.

hmm... cely system asi neni potreba, ale ja bych asi pro jistotu smazal komplet home adresar toho uzivatele, pripadne se rucne probral obsahem a posoudil, co je a co neni legitimni.
Hesla urcite zmenit (na stroji i online, pote, co se ho zbavite), kdo vi, jestli to nema v sobe keylogger.

Randolf

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #43 kdy: 26. 01. 2015, 20:43:23 »
pokud bude menit hesla s tim ze mohl byt keyloger, je nutno predpokladat ze by system mohl byt napaden...

Jenda

Re:Co se skrývá za neznámou adresou?
« Odpověď #44 kdy: 27. 01. 2015, 00:00:50 »
A ještě ten .tar

853287b5380c414a938bd53ddd9923a5c5b12fa18809b3e8c927530391bf043e  .tar

http://jenda.hrach.eu/f/kdeinit4-backdoor-tar