ugrás a tartalomhoz

Na ezzel mit csináljak (feltörték a hálózatomat?) ?

mind1 valami név · Nov. 18. (V), 14.13
Pár napja történt valami fura dolog a routeremmel, mert jó néhány percen át nem küldte a logját a log szerverre, a wifi is akadozott, aztán anélkül, hogy bármihez hozzányúltam volna, rendbe jött.
A logokban persze semmit sem találtam, elkönyveltem, hogy pillanatnyi elmezavar volt részéről, bár az már akkor furcsa volt, hogy etherneten miért nem tudta elküldeni a kernel log bejegyzéseit, de mindegy...

Egy vagy két nappal később a laptopomon a saját könyvtáramban kerestem valamit és egy ls -ltra kimenetében feltűnt, hogy valaki aznap piszkálta a .wget-hsts fájlt, holott már napok, hetek óta nem használtam wget-et. Keresgélek, de semmi érdemi dolog.

Ma belépek az indamail-es postafiókomba és egyetlen spam üzenetet leszámítva üres az egész.

Plusz érdekesség, hogy úgy négy-öt napja a linuxos opera vpn sem akar működni. Ez úgy néz ki, hogy bontom a kapcsolatot az ISP-vel, újrakapcsolódok, akkor pár másodpercen belül indítva az operát, kapcsolódik a szerverhez és működik. De ezt követően amint becsukom a böngészőt, többé nem indul el a vpn-je, csak "connecting..." állapotban marad. Kipróbáltam router nélkül is, úgy is ezt csinálja.

Biztosan én vagyok paranoiás, de ezek így együtt, egyszerre... ugyanakkor az össz "nyom" amit találtam, hogy a telepített csomagokat ellenőrizve (dpkg -V) a /etc/default/chromium-browser és a /etc/init.d/keyboard-setup fájlok hiányoznak...


Fingom sincs, mit tehetnék azon túl, hogy lenullázom az összes gépet és nulláról újraépítem mindet. (hiába van backup, ha tényleg feltörték, fogalmam sincs, mikor)
 
1

Passz, de egy chkrootkitet

BlaZe · Nov. 18. (V), 16.27
Passz, de egy chkrootkitet azért megnéznék a helyedben.
2

Nekem csak rkhunter, clamav

mind1 valami név · Nov. 18. (V), 17.36
Nekem csak rkhunter, clamav van, egyik sem talál semmit...
chkrootkitet anno dobtam, mert rengeteg fals pozitív találata volt, meg valami rémlik, hogy abba is hagyták a fejlesztését, bár ebben tévedhetek.

Azért most megnéztem: a hidden fájlok egy része miatt pampog, meg az ssh-ra mondja, hogy _talán_ Linux/Ebury installed... csak az a gáz, hogy a frissen telepített ubuntura is ezt mondja, szóval ez inkább fals pozitívnak tűnik.
3

Nem tudom, nekem ez nem tűnik

inf3rno · Nov. 18. (V), 18.09
Nem tudom, nekem ez nem tűnik annyira egyértelmű bizonyítéknak. Azért talán nem olyan egyszerű átmenni egy router tűzfalán, de lehet, hogy én tévedek.
4

Hát ez az, hogy egyáltalán

mind1 valami név · Nov. 18. (V), 20.38
Hát ez az, hogy egyáltalán nem egyértelmű és nem is találok semmi konkrétumot. Ezt utálom ebben az egészben a legjobban.
Viszont az, hogy valaki/valami lenullázta a postafiókomat, az minimum érdekes, mert csak az én IP-mről vannak logolt belépések... elvileg... (van köztük nem kevés lokális cím is, a'la 192.168.x.x - amit nem tudom, hogy sikerült összehoznia az indamailnek)

Routereknek is vannak hibái, előfordulhat köztük olyan, ami kihasználható, akár böngészővel is letölthettem valamit, amiről nem tudok, de azt sem zárnám ki, hogy a wifi protokollban van valami olyan, számomra ismeretlen hiba, amit ki tud használni valaki. (pontosabban azt tudom, hogy van, csak emlékeim szerint megfelelő hosszúságú PSK használatával ez kivédhető)
5

Ismerősnek eltűnt a céges

inf3rno · Nov. 18. (V), 22.34
Ismerősnek eltűnt a céges citromail postafiókja pár éve. Simán lehet, hogy a szolgáltató hibája, és nem tőled törölték. Szerintem kisebb arra az esély, hogy tényleg megtörték, aztán eltakarított maga után az illető, bár nyilván nem lehetetlen az sem.
6

Nem is állítom, hogy valóban

mind1 valami név · Nov. 19. (H), 09.06
Nem is állítom, hogy valóban történt valami, lehet mindez véletlen is. Csak máskor évek alatt gyűlik össze ennyi furcsaság, mint most pár napon belül.

A router megkergülését magyarázhatom azzal, hogy a szokott mennyiség tízszerese jött rajta befelé (az IP előző használója torrentezett és túl nagy forgalma volt, én meg logolom az eldobott packeteket)

A .wget-hsts módosítása már cifrább, mert nem tudom reprodukálni, a .bash_history meg több napnyi anyagot tárol és első dolgom volt ott megnézni.

Az indamail ürítése simán lehet szolgáltatói gond, volt már ilyen a blogjuk szerint.

Hogy az opera VPN-nek csúfolt proxy-ja nem megy, csak a wan-ra kapcsolódást követő pár másodpercben... ha egyáltalán nem működne, az érthető lenne, de így... mintha az ő tűzfaluk tiltana valamiért. Illetve még ez sem ketek: kapcsolódni nem tud később. Ha elkapom az első pár másodpercet, akkor amíg fut az opera, addig megy a proxy is. (Routerrel, router nélkül, régi telepítés, vadonatúj vm egyforma)

Szóval teljesen tanácstalan vagyok...
7

Hát azt hiszem itt a vége

mind1 valami név · Nov. 19. (H), 22.26
Részletek részben itt: http://linuxkalandor.blogspot.com/2018/11/forumok.html?m=1

Miután az operával nem jutottam dűlőre, fogtam egy 16.04-es live rendszer és ezt bootoltam be három különböző gépen. Ha a gép router nélkül csatlakozik a netre, akkor rengeteg oldal elérhetetlen, a TLS handshake-nél áll a végtelenségig.
Ha a gépet routerre kötöm, akkor az elérhetetlen lapok is bejönnek (pár példa: indamail, protonmail, opera.com stb)
Az egyetlen kivétely ha az ősrégi desktopom ubuntu 14.04-ét kötöm a digi kábelére közvetlenül, az működőképes marad, a fenti lapok is bejönnek rajta.
Bármilyen tippet szívesen fogadnék, mert már kezdek ott tartani, hogy valakinek nem tetszett, hogy a fórumokon nem túl kulturáltan szidom a kormányt és a feltámadó III/3 ténykedik hihetetlen dilettáns módon a hátterben :D
8

Ez alapján valamilyen

inf3rno · Nov. 19. (H), 23.03
Ez alapján valamilyen beállítási hibának tűnik, de lövésem sincs. Nem értek igazán a hálózatozáshoz. Sajna.
9

Bootolok egy egyébként read

mind1 valami név · Nov. 20. (K), 05.40
Bootolok egy egyébként read only adathordozóról, ami adott esetben egy pendrive. Ha pppoe-n kapcsolódok közvetlenül a netre, akkor működget a hálózat, de sok oldal elérhetetlen és mindegyiknél a TLS handshake-nél áll meg a kommunikáció, de mellette sok egyéb oldal vidáman működik ( pl. gmail is)?
Ugyanezt átrakom úgy, hogy a router építi fel a pppoe kapcsolatot és rajta keresztül használom a netet, akkor hibátlan. De van még sok érdekesség. Például, ha a router indítja a ppp-t akkor sok "támadást" blokkol a tűzfal, ha a gép közvetlenűl, akkor alig jön ilyen. Támadás idézőjelben, mert a 90%-a olyan, mintha az ip előző gazdája torrentezett volna, ezért érkezik óránként néhány száztól többezerig olyan csomag, amin nálam nem létező portokra hivatkozik. Router nélkül óránkén max néhány tíz, esetleg 100-200...
Csomó olyan, amit az ISP segítségével meg lehetne nézni, de részükről a segítőkészség nulla.
Egy potenciálisan fertőzött hálót meg inkább nem használok.
Pláne így, hogy már az is felmerült, hogy az EFI is fertőzött lehet, ha tényleg bejutott valami hozzám és nem csak a tudatlanságom áldozata vagyok.
Milyen konfigurációs hiba, ami engedi működni az index.hu, blog.hu, forum.index.hu oldalakat, de az indamailt nem?
Engedi a protinvpn-t, de a protonmailt nem.
Nincs hibaüzenet, csak a handshake vár a végtelensègig...
Ha meg bekapcsolom a protonvpn-t akkor minden jó.
Mondhatnám szolgáltatói hibának, de ha így lenne, akkor tömegesen jönnének a panaszok, szóval ezt kizárnám...
10

Abból gondolom, hogy a

inf3rno · Nov. 20. (K), 16.11
Abból gondolom, hogy a beállításokkal van valami, hogy a router-ről mind megy a PC-ről közvetlenül meg nem. Ha gondolod rakj újra mindent, aztán cseréld a jelszavakat, hátha. :-)
11

Hát vannak tippjeim, csak túl

mind1 valami név · Nov. 20. (K), 16.34
Hát vannak tippjeim, csak túl paranoid mind...
Mindenesetre érdekes, hogy ha közvetlenül csatlakozom, majd bekapcsolom a protonvpn-t, akkor hirtelen működni kezd a dolog.
Máshol kaptam pár konkrét tippet, eddig háromból egy nem jött be.
Viszont ha nem 16.04, hanem 18.04 ubuntu live-ot bootolok, akkor ezek a gondok megszűnnek. Kérdés, hogy a 16.04-ben van bug vagy ... ???
12

No, egy dologra született

mind1 valami név · Nov. 21. (Sze), 22.10
No, egy dologra született érdemi válasz: a magyarázatot nem értem, amit a neten találtam, annak alapján mintha a szolgáltatóm sara lenne részben. A lényeg, hogy router nélkül a ppp0 interface mtu-ja 1500, holott a max. 1496 ha jól rémlik. Mindenesetre 1500-nál kisebb. Ha ezt a kapcsolat felépítése után lejjebb veszem, akkor már elérhetővé válnak az addig döglött oldalak is.
A szolgáltató meg ott jön képbe, hogy a csomagok fragmentálódását nem kezelik tisztességesen és ahelyett, hogy újracsomagolnák őket, inkább eldobják. (valószínűleg kapitális marhaságot írtam ezzel, de kb. ennyi maradt meg - live rendszer volt bootolva, mikor ezt olvastam, írásos nyoma semmi sem maradt :( )

De az opera vpn-t továbbra sem tudom működésre bírni és arra sincs magyarázat még mindig, hogy hogy tűnhetett el minden a postafiókomból. A szolgáltatótól kapott válasszal meg kitörölhetném, ha papíron lenne ;)
13

Érdekes.

inf3rno · Nov. 22. (Cs), 02.46
Érdekes.
15

Inkább bosszantó.

mind1 valami név · Nov. 22. (Cs), 08.01
Inkább bosszantó.
14

-

mind1 valami név · Nov. 22. (Cs), 08.01
Nem ide akartam
16

Újabb megfejtett rejtély,

mind1 valami név · Nov. 25. (V), 00.02
Újabb megfejtett rejtély, hogy az a $@&!#****!!!!!

No, az opera VPN azért nem működött, mert a jelek szerint a routeremen futó AiProtection nevű khm... biztonsági szoftver (by Trend Micro + Asus) valamit bekavar.
Pontosabb infóm nincs, de ezt a ****t kikapcsolva működik az opera vpn.
Furcsának azért furcsa maradt, mert ez az izé már hónapok óta be volt kapcsolva és csak most hülyült meg ennyire.
17

Ilyen ez a pop szakma. Azért

inf3rno · Nov. 25. (V), 06.38
Ilyen ez a pop szakma. Azért valami vírusirtót végig lehetne tolni a gépeken, hátha talál valamit.

Elvileg secure boot-al és hasonlóan a böngészéshez ilyen trust chain-el ki lehet nyírni a rootkiteket, de az csak UEFI-ben van. Alá tudod írni saját kulccsal is a bootloader-t, pl a GRUB-ot. Ami már macerásabb, hogy amit a bootloader betölt, azt is alá kellene írni és ellenőrizni. Nem tudom, hogy ezt hogyan szokták megoldani, de nélküle nem sokat ér az egész.
18

Linuxra nem nagyon van

mind1 valami név · Nov. 25. (V), 07.18
Linuxra nem nagyon van vírusirtó, ami a linuxos kártevőket megtalálja, nem csak placebo. Ami van, az az rkhunter és a chkrootkit, de ezek is viszonylag korlátozott felismeréssel dolgoznak.

A secure boot meg ahol egyátalán használható, csak az EFI-t, illetve a boot folyamatot piszkálni képes elemeket lenne hivatott védeni, hát a hatékonysága linuxon... khm...
Ubuntu alatt még elmegy, nekem kell betölteni egy MOK-t (Machine Owner's Key), hogy saját fordítású kernel modult tudjak használni (pl. Virtualbox csinál ilyet). De ehhez a kernelnek kell biztosítani az önvédelmet. A 16.04 alapú Mint kernele pl szó nélkül hagyta betölteni az aláíratlan modult is.
19

Elvileg úgy kéne lennie, hogy

inf3rno · Nov. 25. (V), 18.22
Elvileg úgy kéne lennie, hogy a hardver biztosítja, hogy az EFI biztonságos, az EFI biztosítja, hogy a bootloader biztonságos, a bootloader meg hogy a kernel az, a kernel meg hogy a betöltött modulok azok. Szóval ilyen láncban van az egész. Ha csak a bootloader-t írod alá, végülis már az is ér valamit, de nem sokmindent találtam arról, hogy a bootloader utáni részt hogyan kellene kezelni.