Forum Debian Users Gang

ich · 2010-12-08 08:52:05

Witam,

wczoraj około 13-16 miałem włamanie na konto pocztowe na gmail`a.
Z tego co widzę to włamywacz wysłał tylko jednego maila do ludzi z mojej książki adresowej.
Włam miał miejsce z: Chiny (ny.adsl:115.49.89.115) , Chiny (ny.adsl:115.59.74.131).

Dziwi minie jedna włamywacz zdobył hasło, ponieważ było ono dosyć trudne do zgadnięcia (miało ono formę aaw124JAU), litery i cyfry były przypadkowe nie tworzyły żadnego słowa.
Dodam że dzień wcześniej uruchomiłem na swoim kompie thunderbird v3.6.1 (linux) oraz firefox v3.6.12 (linux) z dodatkami.
Czy ktoś z was miał podobną sytuację? Czy wiecie jak sprawdzić czy na linuxie niema jakiegoś wirusa (jakiś skaner systemu jak w windzie)??

Pozdrawiam.

qluk · 2010-12-08 14:11:35

Podaj dodatki i skad je masz.

Logowanie ruchu wychodzacego ale to w trzy dupy miejsca zajmie jesli sie zle zrobi wiec odrazu jakis IDS najlepiej.

Jacekalex · 2010-12-08 16:58:49

Widział taką sytuację w Windowsach, w Linuxie jeszcze nie, o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.
Radziłbym do Firefoxa dorzucić dodatek noscript, a poczty nie sprawdzać w firefoxie, lecz w thunderbirdzie ustawionym na imap.

Ponadto bezwzględnie dostęp do poczty szyfrowany.
W sieci lokalnej da się wyłapać hasła przesyłane otwartym tekstem, zwłaszcza, gdy te komputery mają neta konfigurowanego przez dhcp, lub podłączenie przez nieszyfrowane wifi.

I wtedy trojan może być nie w twoim komputerze, tylko - z wbudowanym snifferem, gdzieś w "sąsiedztwie"

To by było na tyle
;-)

ich · 2010-12-08 17:52:14

repoz.

Kod:

# deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main

# deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main

deb http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main
deb-src http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main

deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main

deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main


deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
#deb http://deb.opera.com/opera/ stable non-free
#deb http://dl.google.com/linux/deb/ stable non-free main
#deb http://www.debian-multimedia.org lenny main non-free
#deb-src http://www.debian-multimedia.org lenny main non-free
#deb http://download.skype.com/linux/repos/debian/ stable non-free

Jeśli chodzi o dodatki do firefox nie powiem teraz dokładnie jakie one były.
Ale nie było tam niczego specjalnego: addblock, plus 4 dodatki do tworzenia stron www.
W każdym bądź razie wywaliłem całego firefoxa, thunderbirda i ściągnąłem nowe czyste wersje.

Pozdr.

Jacekalex · 2010-12-08 18:01:03

To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa noscripta - to diabelnie skuteczny drobiazg.

Sznurek:
http://noscript.net/

Ostatnio edytowany przez Jacekalex (2010-12-08 18:02:24)

mareq · 2010-12-08 19:21:40

.

Ostatnio edytowany przez mareq (2013-11-14 06:00:27)

qluk · 2010-12-09 01:18:09

Jacekalex napisał(-a):
To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa noscripta - to diabelnie skuteczny drobiazg.

Sznurek:
http://noscript.net/

Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku? Mało to syfu w dodatkach było (mówiła, gnome-look, itd.).
Po drugie co ma do tego noscript? Swego czasu to właśnie on był zainfekowany.

bercik · 2010-12-09 01:35:18

qluk napisał(-a):
Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?

a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?

Jacekalex · 2010-12-09 01:36:06

Przechwycenie hasła to jedna z możliwości, i nie zakładam, że za nat, zakładam raczej, że: jeśli laptop (hotspot?), jeśli blaszak, to snifer jest bardzo prawdopodobny.
Sam nie jestem za żadnym natem, ale charakterystyka sieci jest taka, ze gdybym zastosował dość prosty trik z serwerem dhcp lub arpspoofingiem, to w ciągu tygodnia miałbym całkiem sporo haseł, i danych od sąsiadów.
Już pomijając, co się dzieje u mnie na firewallu, i to często ataki i skany z tej samej sieci (maska /24).
Dziwnym trafem zawsze przychodzą z kompów z Windą.

Jakiś syf z gnome-look też jest możliwy, ale bardziej w Ubuntu aniżeli Debianie.
Jak ktoś bierze Debiana, to nie dlatego, ze to łatwy system dla każdego, gdzie każdy syf z netu można instalować.

Poza tym wcześniej napisałem po polsku:

Kod:

o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.

A noscript bardzo skutecznie zabezpiecza firefoxa przed różnymi niespodziankami, których w internecie nie brakuje.
Poza tym dobry firewall też nie zaszkodzi, wręcz przeciwnie.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2010-12-09 01:45:01)

qluk · 2010-12-09 14:49:56

bercik napisał(-a):
qluk napisał(-a):
Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?
a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?

Sprawdzales siec z jakiej pisze autor? Zrob nasluch w takiej sieci bez fizycznego dostepu do centrali isp'a.

ich · 2010-12-09 15:06:20

Podejrzewam że było to spowodowane jakimś dodatkiem z FF. Problem powstał w sieci domowej wlan szyfrowany, a połączenie z pocztą po ssl.

Zaraz sprawdzę noscript co to jest i co potrafi.

Dzięki za pomoc.

Jacekalex · 2010-12-09 21:08:25

A którą wersję FF miałeś w momencie tego włamania?
Czy nie przypadkiem 3.6.9? Bo miał dziury jak ser szwajcarski.
A i aktualna wersja 3.6.12 też bezbłędna nie jest.
Do dziurawego FF wystarczy odpowiednio spreparowana strona www z exploitem.

Ostatnio edytowany przez Jacekalex (2010-12-09 21:15:58)

Forum Debian Users Gang

Ogłoszenie

#1 2010-12-08 08:52:05

ich - Użytkownik

włamanie na konto pocztowe [gmail].

#2 2010-12-08 14:11:35

qluk - Pan inż. Cyc

Re: włamanie na konto pocztowe [gmail].

#3 2010-12-08 16:58:49

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

#4 2010-12-08 17:52:14

ich - Użytkownik

Re: włamanie na konto pocztowe [gmail].

Kod:

#5 2010-12-08 18:01:03

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

#6 2010-12-08 19:21:40

mareq - Członek DUG

Re: włamanie na konto pocztowe [gmail].

#7 2010-12-09 01:18:09

qluk - Pan inż. Cyc

Re: włamanie na konto pocztowe [gmail].

Jacekalex napisał(-a):

#8 2010-12-09 01:35:18

bercik - Moderator Mamut

Re: włamanie na konto pocztowe [gmail].

qluk napisał(-a):

#9 2010-12-09 01:36:06

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

Kod:

#10 2010-12-09 14:49:56

qluk - Pan inż. Cyc

Re: włamanie na konto pocztowe [gmail].

bercik napisał(-a):

qluk napisał(-a):

#11 2010-12-09 15:06:20

ich - Użytkownik

Re: włamanie na konto pocztowe [gmail].

#12 2010-12-09 21:08:25

Jacekalex - Podobno człowiek...;)

Re: włamanie na konto pocztowe [gmail].

Stopka forum