Onderwerp : Virus, rootkit ????

Auteur : Haico van Roeden
E-mail : brainball op gmail.com
Datum : Do Jul 9 17:51:53 BST 2009


Beste herman,

Ik denk dat je verschillende dingen door elkaar haalt.

Het downloaden van een bestand zonder deze uit te voeren betekent niet  
meteen dat je een rootkit/virus aan je broek hebt hangen.

Om root te worden gebruik je het commando "sudo su" en niet "sudo  
root". Root als applicatie bestaat niet. Wat sudo doet is het gene wat  
erachter komt uitvoeren als de super user.
Over het algemeen is het dan ook veiliger om niet zelf als de root  
gebruiker in te loggen of te werken, maar alleen specifieke commandos  
als root uit te voeren met sudo.

Het wel of niet veilig zijn van ubuntu heeft alles te maken met de  
component tussen toetsenbord en stoel. Over het algemeen zit dat bij  
linux gebruikers beter dan bij de gemiddelde windows gebruiker maar  
dat betekent nog niet dat je niet na moet denken bij wat je aan het  
uitspoken bent.

Het feit dat een website je een php bestand ter download aanbied kan  
meerdere dingen betekenen maar meestal betekent dat de webserver niet  
goed geconfigureerd is en php niet ondersteunt.

Met vriendelijke groet,
Haico van Roeden

On Jul 9, 2009, at 2:45 PM, herman.hart wrote:

> Beste allemaal,
>
> Ik kreeg op een gegeven moment steeds een schermpje om
> een php file te downloaden van http://ads.vrx.adbrite.com
> dit was in het scherm niet te anuleren, ik had 2 keuzes
> openen of opslaan.
> de 1e keer heb ik het opgeslagen het had 0 bytes
> en elke keer kwam het schermpje weer terug met de melding
> dat ik had verzocht om een download, wat dus niet zo was.
> --------------------------------------------------------------------
> In Security Quick-Start HOWTO for Linux, hoofdstuk 6 staat ondermeer;
>
> Files that cannot be deleted or moved. Some rootkits use chattr to  
> make
> files "immutable", or not changable. This kind of change will not show
> up with ls, or rpm -V, so the files look normal at first glance. See  
> the
> man pages for chattr and lsattr on how to reverse this. Then see the
> next section below on restoring your system as the jig is up at this
> point.
>
> This is becoming a more and more common script kiddie trick. In fact,
> one quick test to run on a suspected system (as root):
>
> /usr/bin/lsattr `echo $PATH | tr ':' ' '` | grep i--
>
> Bovenstaande lukt dus niet, ik kom niet in root.
> -----------------------------------------------------------------------
> chkrootkit eropgezet en geprobeerd te draaien, maar deze heeft ook
> root privileges nodig, dus ik een sudo root gedaan maar dan krijg ik
> sudo: root: command not found
> en daarna kan ik sudo niet meer uitvoeren
>
> Wat denken jullie, ben ik gehackt
> Ik dacht dat Ubuntu goed dicht zat
>
> Groet Herman
>
>
>
> -- 
> Ubuntu-NL mailing list
> Ubuntu-NL op lists.ubuntu.com
> Info/Uitschrijven: https://lists.ubuntu.com/mailman/listinfo/ubuntu-nl