¿Troyano?

9 replies [Last post]
unfree
Offline
Joined: 06/30/2017

Intenté entrar en una página web. Empecé a oír sonidos de alarma, salió un cartel avisando de que la web tenía un troyano, y salió una barra pidiéndome la contraseña (no lo hice).

Cerré la página, e imagino que no he sido infectado. ¿Pero hay alguna manera de estar seguro? He usado ClamAV, pero no ha detectado nada.

unfree
Offline
Joined: 06/30/2017

Creo que la página que se me abrió fue una de estas dos:

http:// computehserv78.club/USA/ff/?

http:// play.tojsiab.com/search?q=bitconnect-info

Heckyel (not verified)
Heckyel

Hola unfree, al parecer es una web maliciosa recolectora de datos, hiciste bien en no rellenar el formulario.

Estate tranquilo, este tipo de ataque no afecta a GNU/Linux.

Postdata: Yo no escuché el sonido (Instalé NoScript). Por cierto si te interesa el sonido escuchado, descargué una copia en .oga.

AttachmentSize
td.tar.xz 150.38 KB
Blackcisne2

I am a member!

Offline
Joined: 08/06/2016

Hola, las páginas se pueden descargar sin problemas usando el comando "wget" y obteniendo copias del código html y estudiándolo se sabe exactamente "qué ataca y cómo ataca"...

Segundo, si el sistema le pidió el "root" es obvio que SI afecta a gnu/linux.

Tercero, para saber si hay o no troyano, hay que ver los servicios activos y los servicios que se cargan por defecto al arrancar Trisquel. Saber exactamente cual es cada uno y si son "correctos" o "no".

Desafortunadamente nos creemos "invulnerables" por usar sistemas gnu/linux pero la realidad es que cada día se inventa un timo nuevo.

Saludos...

unfree
Offline
Joined: 06/30/2017

Gracias a los dos.

¿Hay alguna manera de saber sin lugar a dudas que no estoy infectado por un troyano? ClamAV no detectó nada.

Blackcisne2

I am a member!

Offline
Joined: 08/06/2016

Hay que entrar en Configuracion del Sistema/Aplicaciones al Inicio y mirar una a una las aplicaciones que se "cargan" al inicio y verificar que todas son las "lógicas" en un sistema Trisquel.

También lo puedes hacer con líneas de comando, pero lo desconozco hacerlo así.

Si ClamAV no detecta nada es un buen síntoma, pero la única forma 100% efectiva es estudiar las App cargadas en memoria y al inicio.

De todas formas "piensa lo siguiente"... si no escribiste el "root" y en Trisquel no se pueden instalar por defecto "software privativo"... luego no se debería haber instalado un troyano, que no es otra cosa que "privativo"... ;-)))

Saludos, Feliz Navidad, y perdona que no sepa ayudarte mejor...

Tal vez otro usuario te explique como hacer la linea de comandos y las App estándar que debes tener solo cargadas...

unfree
Offline
Joined: 06/30/2017

Hola, estas son las aplicaciones que se cargan al inicio:

- Agente de claves SSH
- Agente de contraseñas GPG
- Evolution
- Indicator Application
- Indicator Messages
- Screenlets Daemon
- xpad

deshecho humano
Offline
Joined: 10/15/2016

No veo nada malicioso ahí, de todas formas como ha dicho el compañero. En trisquel no se puede instalar un virus si no das tu clave de administrador.

Yo no me preocuparía más, pero considera usar NoScript en el navegador. Te evitará este tipo de sustos.

Saludos

CitoplasmaX
Offline
Joined: 11/24/2016

Hace tiempo comenté un caso por el grupo de Trisquel en xmpp en el suponía que podia afectar a tu usuario local y es que si el virus se ejecuta en el mismo tiene acceso a todos los ficheros a los que tu usuario tenga permisos y por tanto puede hacerte una mala jugada eliminando cosas, etc.

SuperTramp83

I am a translator!

Offline
Joined: 10/31/2014

>Hace tiempo comenté un caso por el grupo de Trisquel en xmpp en el suponía que podia afectar a tu usuario local y es que si el virus se ejecuta en el mismo tiene acceso a todos los ficheros a los que tu usuario tenga permisos y por tanto puede hacerte una mala jugada eliminando cosas, etc.

Por fin!! Muy bien, senor citoplasmax.

Los files importantes se encuentran en /home. Proteger /home es crucial. Por esto recomiendo mucho firejail, una sandbox muy buena y muy facil de usar que junto con apparmor (con el cual es completamente compatible) puede prevenir muchos problemas en casos como ese que nos describiò el amigo.
De verdad, es muy dificil que un usuario que tenga un minimo de cuidado tome un virus usando GNU/linux, pero si hay ataques que son cross-platform y usan los bugs del software, como por ejemplo Firefox, para ejecutar codigo malicioso y llegar a tener root, es muy dificil pero es posible.. Habia tambien recien un caso de ransomware (que si no pagas no te doy la clave para descifrar tus datos..), un ejemplo muy bueno en que firejail puede ayudar mucho.

Instalar el software desde el repositorio, compilar el software del codigo fuente en los casos en que no encontramos lo que nos hace falta en nuestro repositorio, no instalar nunca .deb files, nunca PPA, nada de externo y sin verificacion, fortalecer un poquito el browser (yo digo desactivar javascript :P). Apuesto a que si uno sigue estas simples reglas, un malware... ni siquiera en 200 anos (tilde).
Un buen programa es 'rkhunter'.

rkhunter --update
rkhunter -c -sk

otro es 'lynis'

lynis audit system

Tiene razon el chico que escribiò que hay que conocer su sistema y los procesos que normalmente vienen ejecutados.
Puedes usar top o htop para ver los procesos. Puedes tambien guardar el output de top en un file y guardarlo en una llave usb segura cuando instalas el SO y todo el software fresco (nueva instalacion..)

Dejo esto para los anglohablantes.. :)

The administrator needs to have a good look at the machine and carefully scrutinize what misbehaves.
This is usually the time when they discover an unusual process, for instance one named apache instead
of the standard /usr/sbin/apache2. If we follow that example, the thing to do is to note its process
identifier, and check /proc/pid/exe to see what program this process is currently running:

# ls -al /proc/3719/exe
lrwxrwxrwx 1 www-data www-data 0 2007-04-20 16:19 /proc/3719/exe -> /var/tmp/.
-> bash_httpd/psybnc

A program installed under /var/tmp/ and running as the web server? No doubt, the machine is compromised.

This is only one example, but many other hints can ring the administrator’s bell:
• an option to a command that no longer works; the version of the software that the command claims to be
doesn’t match the version that is supposed to be installed according to dpkg;
• a command prompt or a session greeting indicating that the last connection came from an unknown server
on another continent;
• errors caused by the /tmp/ partition being full, which turned out to be full of illegal copies of movies;

sds