Zjištění původu napadení systému

had

Re:Zjištění původu napadení systému
« Odpověď #45 kdy: 25. 01. 2019, 00:38:22 »
nehledal bych příčinu u jednorázově nakaženého domácího PC. osobně bych si pro začátek vystačil s konstatováním, že k nakažení pravděpodobně došlo bootem přes díru v prohlížeči...
- zkontrolovat/nastavit firewall a wifi na routeru + poslední update.
- vytvořit poslední on-line boot usb z MS (je tam většina posledních aktualizací). hned provést update po instalaci.
- nasadit rozumný antivir + firewall
- do prohlížeče nasadit pár ochranných pluginů (zde na rootu je dost tipů), třeba ublock; privacy badger; noscript...
- instalovat jen ověřený SW a vyvarovat se jasně nebezpečných webů (tam lézt jen jednorázově z virtuálky třeba...)
- zkontrolovat data několika antiviry
- a třeba zkusit jiný OS...
v domácích podmínkách nic moc víc nesvedeš bez znalostí/investic



MTK

Re:Zjištění původu napadení systému
« Odpověď #46 kdy: 25. 01. 2019, 10:33:57 »
Tak buď je tohle povídka od Kinga nebo realnej horror. Každopádně by mě tuze zajímaly ty logy a třeba i screenshoty. Prosím o upload, můžeme se v tom prohrabat a uvidíme...

Karmelos

  • *****
  • 1 124
    • Zobrazit profil
    • E-mail
Re:Zjištění původu napadení systému
« Odpověď #47 kdy: 25. 01. 2019, 11:47:14 »
Tak buď je tohle povídka od Kinga nebo realnej horror. Každopádně by mě tuze zajímaly ty logy a třeba i screenshoty. Prosím o upload, můžeme se v tom prohrabat a uvidíme...

Njn, mě to spíš přijde jako nešťastná kombinace amatérského nastavení, domácí síť mixnutá s veřejnou hospodskou wifi a nějakého vykutálence co si hraje na velkého hackera... 
Gréta je nejlepší.

Re:Zjištění původu napadení systému
« Odpověď #48 kdy: 26. 02. 2019, 00:45:49 »
Asi tak jak to půjde. No po koupil sem esset, nechápali co se to děje,  při reinstalu hned první log a přes 1600 problémů s soft. odkázali mne na výrobce pc,r iadne Win.(upozornění že vše je legální, prosím o trochu chovivavosti) přitom aspoň uznal že mam rootnutej systém, ale nejsou přej od toho aby to resili, no comondo mněl lepší přístup. Aspoň že esset vrátil peníze. Acer mi to rád potvrdili s alzou, bohužel je to zásah třetí strany a oni nejsou od toho že by reinstal. Systémy a tak mne odkázali na antivir, nebo na Microsoft. :-) asi je vám jasné co řekl Microsoft i když mám cva 9-12 mnou koupenich licenci. Ze sice ano mám malware, ale oni prý nemají techniky kteří to řeší, pokud to nenajde firewall ani ten jejich ...... tak si mám koupit vlastní ant. Nebo se obrátit na výrobce pc :-) tak to už sem úplně tekl. No znamwj dělá spravuje servery a tak jsme na to koukli, vše promazali, instalace nové, nevěřil, díra první byla router, bude novej, mám doma firwal velkej síťovéj, ještě před routrem. Během hodiny, celej ntb byl zhroucenej systém i s comondo. Nakonec sem to našel, připojují se ke mně protokolem tcpip, případně com, teor. vším přes co se dá ovládat tiskárna. A to že se toho nezbavim sem našel tedka, je to i když disky jsou total čisté a zformátováne na x: což je boot sektor všude kde byl Win. Bohužel nevím kde se k němu dostat. Vidím ho jen v dosu, a krom install cd je cca 2gb navíc ve složce root a dalších. Divné mi je že disky jsou s původní velikosti ale na každých hned nainst. Win mám skrytý ovladac- ce stínové kopie bit svazku. PRi prohledání system32 tam vmvv.exe ( omlouvám se ale presne sicely soubor nepamatuj isystém klekl při hledani) roste není, ale zato ho najdu cca 8x všude možně. Což je hodně špatně,protože jinde být nemá.  Jde o to že nové usb, komplet jinde stažené uzamknute, při reinstalu na všem tvaricim se čistě má v sobě několik složek zmnenu přesně v den kdy sem koupil pc, případně někdy kolem. Ať dám jaké chci Win, je to stejné. Spoustu programu, a ulit sem zkusil, ale samo to opravuje a prepisuje dá se říct vše čeho si jen ten systém lízne. Ten vnější firewall sice blokuje vse, ale určitě neblokuje základ kteréj odešle všechny informace ze systému na jeho serwer. Jinak ten router sem ani nezapnul. Koupím jiného poskytovatele netu ale budu pořád tam kde jsem, všechen přístup bude mít. Na osmijadru povoleno jen jedno jádro, rám běží na 5% a grafika ani Nemluvím. Comondo sem instaloval a aktualizoval jinde , po příchodu domů, a cca nicnedělání přes vnější firewall koukam, tolik povolenych věci úloh a serwru, i přes admin režim, že to je jak ementál. Nekomunikuje přes internet ale jak říkám com, nebo něco podobného. Bluetooth, radiodevice, a jiné. Vytváří si tím způsobem to mne skryté WiFi visilace, když zákazu, smazu ovladače, jsou hned z5. Dal psát nemá smysl, kdo nevěří, není sám, jde to ruku v ruce s telefonama. Tovar sice dám všude, i po šifrování, ale nikdy se vše nesmaže a android šest má cca 7gb:-) což je hodně směšný. Mallvarebytes a jiné i online, nic najít nemůžou, jsou to úlohy a registry, navíc veškeré licence jsou prekopane. MICROSOFT psané jen velkým písmem, drtivá většina datumu je prodala několik let atd atd. Ale základ je v tom obrazu disku, ten se mi nepovedlo ničím odstranit. Ubuntu nejde na tohle dostat, ani z ničeho spustit ale na stolnim pc po prohledání disku tyto oddílu nevidi. Děkuji všem ochotným. Rád dodám co bude třeba.

Re:re zjisteni puvod napadeni systemu,
« Odpověď #49 kdy: 26. 02. 2019, 11:50:23 »
... vystaví svoje čerstvě nainstalované windowse bez updatu a antiviráku na net (aby si stáhl updaty a nainstaloval antivirák/fw) a v tu chvíli se mu nějaký botnet na jeho síti hned v PC zabydlí...
Jak moc je to pravděpodobné, netuším, ale stát se to nejspíš asi může... 
...

To, ak ma pamäť neklame, už ktosi skúšal, a čas do napadnutia bol v minútach. Škoda, že nemám link. Je to stará a zahmlená spomienka, môžem sa aj mýliť.

OMG, to se týkalo XPček před SP2 (tzn bez firewallu) = před rokem 2002. Tudíž informace stará teď už 17 let a tedy skutečně hovnotná.


Re:Zjištění původu napadení systému
« Odpověď #50 kdy: 26. 02. 2019, 12:04:10 »
BTW celý vlákno si asi vytisknu a pošlu někam do ústavu, kde vymejšlejí jak komunikovat s emzákama. Určitě se jim to bude hodit, protože mě z toho jdou oči šejdrem.

Re:Zjištění původu napadení systému
« Odpověď #51 kdy: 26. 02. 2019, 15:28:12 »
nerozumim vasim odpovedim, otázka je jasna, kde se da dohledat a nasledne smazat boot sektor na disku ntb acer. To ze se rozepisuju, spis hledam kandidáta kterej se zabiva napadenim systemu a dokazal by se pošťourat v tech krasnych kodech, třeba jak to dokaze po instalaci jakéhokoliv antivyru nasledne vytvořit zmineny upgrade problém, registry atd. jinak com pouziva skrz komunikaci přes i když ne mnou tak nainstalovane tiskarny, radio dewice, prave nevim presne co to je a to chci dohledat. v ovladacich je jasne videt co to po odstraneni nebo zakazani, samo zapne a jede to vesele dal. je videt na win, tere mam vedle offline ze se tohle opravdu nedeje, dokud se nepripoji k internetu. jako není tam ani 20% všech ovladacu…….

Re:Zjištění původu napadení systému
« Odpověď #52 kdy: 26. 02. 2019, 15:29:34 »
temner vse jsem cca před peti minutami odinstaloval, nasledne sem nechal jen wifi sitovku a lanku, ty zvukovy a radio, to jde hned prryc, bohužel je to bezvysledne.

Lojza

  • *****
  • 672
    • Zobrazit profil
    • E-mail
Re:Zjištění původu napadení systému
« Odpověď #53 kdy: 26. 02. 2019, 16:13:28 »
muze tam byt rootkit co se natahne jeste pred spustenim win, zkusil bych co rekne treba combofix (opatrne)


jinak bych to videl na reinstall windows, okamzite antivir (kaspersky) a firewall comodo v rezimu uceni kdy se bude ptat na kazde nove spojeni (pokud nevim co to je dam zakazat)





Re:Zjištění původu napadení systému
« Odpověď #54 kdy: 26. 02. 2019, 23:08:47 »
Jestli to není na dokině s externí klávesnicí, myší, a hromadou externích monitorů a ty screenshoty jsou skutečně hned po čisté instalaci windows ještě stále offline, tak to vidím na rootkit zřizující mimo jiné dálkové ovládání (fake klávesnice a myš), nejspíš keylogger, a pak bych čekal i mirror driver pro odesílání obsahu obrazovky.
Pokud to nevyřeší nový disk (což není jisté), tak je nahraný v UEFI a je to i na novou desku, protože to doma jen tak neopravíš.
Když si spočteš už vynaložený čas, skoro určitě už jsi dávno nad náklady na nový hardware. Což je to nejmenší, protože v takové síti je profesní sebevražda dělat cokoli jakkoli souvisejícího s placenou prací.

Gtor

Re:Zjištění původu napadení systému
« Odpověď #55 kdy: 03. 03. 2019, 03:10:04 »
Moc jsem nepochopil, jak se vlastne ten virus projevuje. Nebo se jedna jen o podezreni ?
Podle popisu je spoustu podivne vypadajicich veci jen soucast systemu, ktere dost lidi nerozumi (ja take ne).
Windows predpokladaji blbeho uzivatele a snazi se delat vse sami, s co nejmene uzivatelskymi zasahy.
Koncept Windows a jeho stale vetsinove rozsireni usnadnuje cestu virum. Tezko pak posoudit, co vir je, a co ne.

Zkusil bych Ubuntu. Je to verze Linuxu pro ne nutne pokrocile uzivatele. Je tam graficke rozhrani ze to zvladne vice-mene kazdy, i tam je terminal a utility pro pokrocile uzivatele. Doporucuji instalovat jen z reporitare prez terminal, Nebyt prihlasen pod rootem (na rootovskeho usera jine heslo nez user pro normalni praci).

Aktualizovana verze prohlizece - pro zaplatovani der, lepsi je chodit jen na ne moc pochybne weby. Me se osvedcil prohlizec Firefox, normalni in verze Tor Browser. Optimalni je, kdyz tam sviti zeleny zamek pri navstevovane URL (treba tady na root forum nesviti, vyprsel certifikat ?). A neukladat hesla. JS, tedy Java Skripty, kterych je web presycen, je lepsi globalne zakazat a jen vzdy docasne povolit na urcitych webech, kde jsou potreba. Javaskript muze skytat ruzne nastrahy ohledne vytezovani CPU tezbou kryptomen, nastroje pro spehovani, automaticke stahovani-prehravani a pod. Na youtube je treba JavaSkript samozrejme zapnout.

Re:Zjištění původu napadení systému
« Odpověď #56 kdy: 07. 03. 2019, 22:17:29 »
Kluci, dekuji vsem, sice je to naka doba co jsem to psal {o5 omluva za cj} ale musim vam potvrdit presne co pisou zde zminene chytre hlavy. Krom desky na velkym pc, se mi spalila deska na vedlejsim pc, a notbuka od aceru ..... ani ne dva mnesice stareho sem odeslal na reklamaci s tim ze Uefi je v zadeki uz zezacatku (po koupi sem ho doma zapnul a do hodiny sem musel reinstal win. a to jsem ani nestahnul ovladace, bohuzel sem musel misto opravy z ufei rovnou preinstalovavat vsechno, protoze ufei byl porusen) sem se dostal na stolnim- deska asus M5 A97 R2.0 ze jenom reset desky nestaci. Komplet zkratovani desky, novej upgrade a nasledne firmware mne ukazalo ze disky neni problem smazat,ale mnel sem asi 4x verze jednech win. Ubuntu jsem zkousel jako jednu z mala pomoci, z cd, paleny jinde a na asi 8mi ruznych kopiich at uz cd, nebo usb-pripadne sd kartach sem nemohl zapnout firefox, proste pokazde s erorem. Spravce site pokazde jen cerveny zamek.
Dalsi co mi pomohlo vic nez sem cekal je Zyxel firemni router (cca17k),bohuzel jen zapujcen, kterej nejene vidim co kam a kdy tece ale zastavi komplet vsechno, je to jasne videt je to ze stejne site ( zespoda ta krcma debilni ) a kdyz uz je tohle opatreny, tak sme nasli cerva v routru, novy firmwary, vse vypada pekne,ale po blizsim prohledani softwaru je videt ze vse probehlo s vysledkem 0. to same je antiviry atd.
takze obednavam od zyxelu domaci za cca 4k firewal, a nasledny nowy internet, vlastniho poskytovatele, jde mi spis o rozsireni ty sracky.
Stolni pc je jasny, tam probehne pred pripojenim- no jeste sem to ani k netu nepripojil ale stejne preventivne o5tovne resetovani a prehrani ufei, stary notbuk od hp taky, vedlejsi pc kterej shorel deska sem vytahl dalsi ze skrine, ten taky nebyl na siti, no a acer notas novej co se vrati z acer centra -uz to trva dele jak 2 tydny, prej nejsou od toho aby preinstalovavali system, ale jejich bios sice povoluje zakazat bios, bohuzel misto resetu, se 2x sam vypne, tak to na diagnostiku uznali.........................

Jde mi o jinou vec, je to tu jak na jednom pc kterej dostala mati o patro niz, ale to bude v pohode, deska je normalne funkcni a smazat bioss nebude nejmensi problem, win mame origo, ale problem budou delat telefony......
Nedokazu na dvou - cat B15 a huawei p9lite 2017 nemluvim o tech 3ech moji stary a  jednom maliho, kde nefunguje { ono funguje }tovarni nasvtaveni ale nikdy s vysledkem jakej ma bejt. Zustavaji tam zakladni informace- treba vratit posledni pouzivany email, pamatuje si to jazyk, nejdou zakladni android moznosti jako treba *#*# aby sel opravdu cisty reset, nebo treba dostat se do zakladniho boot menu kterej sem si jistej ze sel volume up + vypinani, nefunguje......
cat sel na reklamaci, vracenos  tim ze po case to pry zmizi :D :D :D tak tim mne hodne pobavili, je divny ze stara koupila novej letos, asi tejden to slo, no co si budeme povidat, je to tam taky, nejdou tyto nastaveni, telefony rusi radio na tri metry, ale stylem ze pri priblizovani krom sumneni neni slyset vubec nic a jine zvlastnosti.
Na to kaslat co to dela, spis jak tomu zamezit kdyz to samo dokaze samo odeslat informace o tom k cemu to je pripojeni a pres co kdyz uz vytworim stabilni sit kdy pujdu treba pres ten prumysl firewall do zmineneho firewalu domaciho a z nej teprve budu tezit - ne ja ale stara a malej vifi, ktere se pak jejich - nemuzu kontrolovat jejich FB A FKT veci co ja nepouzivam ale verim tomu ze to sou ty vytvorene diri v zarizenich, a ja mohl mit konecne sit kterou budu nejenze spravovat ja ale i hlidat ja. par programu na spravu site sem uz pod rukou mnel, bohuzel kdyz nekdo sedi na proxi a zere to pod o cislo jine nez google odpoved je tezky.....
Ubuntu si klidne na jednom pc udelam, mam jich tu zatim 5 nevadi ze jeden bude jen pro sledovani site. Bohuzel jsem normalni uzivatel, maximalne najit slovo co znamena, obrazek ozubeneho kola jak vypada pro 3d tisk, jinak internet maximalne na youtube vyuzivam a to je snad vsechno....... ani to fb uz nechodim po tom co mi bylo za posledni 3 mnesice nekolikrat zmeneno heslo a to z ip adresy cca 180 km odemne, radsi kamosum volam nebo pisu......
prijde mi to prehnane zabezpeceni ale radio nerusim telefonem jen kdyz mam starou 3310 a vse je najednou v poradku.
To ze sem zjistil ze CAT je uz pres rok rootnutej, ani nemluvim.
Dekuji ale lidi, uz jen to co bylo v poslednich dvou prispevcich mi dokazuje ze vite o co jde a jen ste mne potvrdili co sem nasel. Jeste malej dotaz, male usb co bluetooth prijma signal-mys, klavesniceda se najak zneuzit pro nahrani dat? pripadne pro propojeni na dalku ???
Casem bude prispevek na ucet na pivka pro vas,