我认为我的 Linux 笔记本电脑被黑客攻击了,原因有以下三个:
每当我将文件保存到主文件夹中时,这些文件都不会出现 - 即使在计算机上的其他文件夹中也不会出现。
我的主文件夹中出现了一个不熟悉的 .txt 文件。我注意到了,就没有打开。我立刻怀疑我的笔记本电脑可能被黑客入侵了。
当检查我的防火墙状态时,发现它处于非活动状态。
因此,我采取了以下步骤:
我使用两个 USB 记忆棒备份了我最近的所有文件,这两个 USB 记忆棒不像我拥有的其他 USB 记忆棒那么重要 - 因此,如果这些 USB 记忆棒感染了潜在的恶意软件,它不会感染我的其他备份重要文件。
我使用 ClamTK 来扫描上述可疑文件 - 但显然,由于某种原因,它没有检测到任何威胁。
我已经使用 chkrootkit 进行了另一次扫描。这是输出(到目前为止,似乎没有任何东西被感染):
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/debug/.build-id /lib/modules/4.13.0-39-generic/vdso/.build-id /lib/modules/4.13.0-37-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id /lib/modules/4.13.0-36-generic/vdso/.build-id /lib/modules/4.13.0-32-generic/vdso/.build-id /lib/modules/4.13.0-38-generic/vdso/.build-id /usr/lib/debug/.build-id /lib/modules/4.13.0-39-generic/vdso/.build-id /lib/modules/4.13.0-37-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id /lib/modules/4.13.0-36-generic/vdso/.build-id /lib/modules/4.13.0-32-generic/vdso/.build-id /lib/modules/4.13.0-38-generic/vdso/.build-id并且:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd我曾两次尝试使用 F-PROT、fpscan、Ultimate Boot CD 扫描我的笔记本电脑。但当我尝试进入光盘的 PartedMagic 部分以使用该工具时,它不起作用。两次。所以我根本无法使用它。
当输入 时
sudo freshclam,我得到以下输出:ERROR: /var/log/clamav/freshclam.log is locked by another process ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).然后,我使用 rkhunter 扫描了计算机。这些是我收到的警告:
/usr/bin/lwp-request [ Warning ] Performing filesystem checks Checking /dev for suspicious file types [ Warning ] Checking for hidden files and directories [ Warning ]这是总结:
System checks summary ===================== File properties checks... Files checked: 143 Suspect files: 1 Rootkit checks... Rootkits checked : 365 Possible rootkits: 0 Applications checks... All checks skipped The system checks took: 1 minute and 10 seconds All results have been written to the log file: /var/log/rkhunter.log One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log)
所以,毕竟 - 我无权以 root 身份访问 rkhunter 日志文件:
n-even@neven-Lenovo-ideapad-310-14ISK ~ $ sudo su
neven-Lenovo-ideapad-310-14ISK n-even # /var/log/rkhunter.log
bash: /var/log/rkhunter.log: Permission denied
我现在应该做什么?
非常感谢帮助!多谢。
答案1
根据您问题中的详细信息,你的系统是干净的。
你正在做备份。好的。
clamav出来干净。那也很好。根据您的输出
chkrootkit,您的系统是干净的。那些列为可疑的文件是良性的。 Ebury/Windigo 检测是误报:https://github.com/Magentron/chkrootkit/issues/1您尝试过的某些 Live 光盘无法使用。没关系。
可能已经有一个更新程序作为守护进程运行。
您正在尝试执行日志文件。相反,请在寻呼机中查看它,例如
less /var/log/rkhunter.log.
从逻辑的角度来看,如果它们用于扫描它们执行的同一系统,chkrootkit则rkhunter没有多大用处,因为它们不是实时扫描器,因此任何正确打包的 rootkit 都会在扫描器运行之前对其进行破坏。此外,两者都有启发式方法,会导致大量误报。
未出现的已保存文件很少表明系统受到损害。在不知道您提到的“可疑”.txt 文件的内容的情况下,无法从中得出结论。 DEADJOE 是由 JOE 文本编辑器创建的备份文件。 Linux Mint 中的防火墙默认是禁用的。
编辑:添加了 DEADJOE 文件的信息。
答案2
neven-Lenovo-ideapad-310-14ISK n-even # /var/log/rkhunter.log
bash: /var/log/rkhunter.log: Permission denied
您正在尝试执行日志文件。当然失败了; +x 位可能没有设置。
您想要读取日志文件,而不是执行它。尝试sudo less /var/log/rkhunter.log。