|
soniclight
|
 |
« inserita:: Novembre 03, 2006, 08:05:12 pm » |
|
Ho installato da qualche tempo Firefox 2.0, ma da ieri succedono strani fenomeni...
Quando faccio per entrare in alcuni siti, vengo sistematicamente reindirizzato ad altre pagine web! Mi è addirittura capitato di essere reindirizzato a Paypal nel tentativo di aprire Google :blink: ! A quanto pare le associazioni pagina_reale -> pagina_non_desiderata sono fisse.
Credo proprio che si tratti dell\'opera di un trojan, anche se non capisco come posso averlo preso (fino a ieri nn consideravo l\'esistenza di trojan su linux)!! Ho letto in giro che ci sono trojan che si installano come estensioni di firefox,ma pare riguardi solo winzozz. Per scrupolo cmq ho anche cancellato la cartella .mozilla, ma nn è cambiato nulla.
Come posso fare ad accertare la situazione e bonificarla?
|
|
|
|
|
Registrato
|
|
|
|
|
soniclight
|
|
« Risposta #1 inserita:: Novembre 05, 2006, 12:19:37 am » |
|
Ho notato che a volte succede anche con Konqueror. Ho installato AVG Antivirus (rpm convertito in deb) e la scansione non ha rivelato nessun virus, trojan, o cose del genere...:unsure: !
A questo punto non so quale possa essere il problema, cos\'è che fa si che venga reindirizzato..
Vi prego qualcuno se ha qualche idea mi aiuti!
|
|
|
|
|
Registrato
|
|
|
|
|
paolofly
Utente non iscritto
|
|
« Risposta #2 inserita:: Novembre 05, 2006, 12:51:31 am » |
|
al limite visualizza i file nascosti nella cartella home ed elimina quello contrassegnato da .mozilla cosi\' riparte tutto da zero solo che perdi impostazioni e plugins..
|
|
|
|
|
Registrato
|
|
|
|
|
soniclight
|
|
« Risposta #3 inserita:: Novembre 05, 2006, 08:25:43 pm » |
|
Ho già provato più di una volta, ma anche eliminando la cartella .mozilla, dopo poco la situazione torna quella di prima! Temo che si possa trattare di rootkit, backdoors, o qualcosa del genere...:blink:
|
|
|
|
|
Registrato
|
|
|
|
|
soniclight
|
|
« Risposta #4 inserita:: Novembre 05, 2006, 08:41:32 pm » |
|
Ho appena fatto una scansione con Chkrootkit e Rkhunter e non ho trovato nulla. L\'unica cosa ke mi insospettisce è questo messaggio di Rkhunter:
* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ Warning! ]
---------------
/etc/.pwd.lock
/etc/.java /dev/.udev
/dev/.static
---------------
Please inspect: /etc/.java (directory) /dev/.udev (directory) /dev/.static (directory)
Come posso controllare che lì sia tutto a posto?
P.S.: ho letto su alcuni forum che rkhunter dà questo messaggio su tutti i sistemi debian e kubuntu,e quindi sarebbe tutto nella norma...
ma allora perchè firefox continua a farmi sti scherzetti?
Post modificato da: soniclight, alle: 05/11/2006 13:47
|
|
|
|
|
Registrato
|
|
|
|
|
Finn
|
|
« Risposta #5 inserita:: Novembre 06, 2006, 05:41:06 am » |
|
Sicuro che sia un rootkit e non un problema di DNS? Hai controllato che /etc/resolv.conf non contenga informazioni strane?
Ultimamente i DNS di alcuni ISP italiani hanno dato problemi.
|
|
|
|
|
Registrato
|
|
|
|
|
soniclight
|
|
« Risposta #6 inserita:: Novembre 06, 2006, 03:34:59 pm » |
|
Il mio file resolv.conf contiene solo queste due laconiche righe:
search home
nameserver 192.168.1.1
Direi che è tutto ok, 192.168.1.1 è l\'indirizzo del router che mi funge da gateway di accesso a internet.
Proprio stamattina mi è capitato che volendo accedere a debianizzati venivo reindirizzato su google...ma riavviando il computer sn riuscito ad entrare.
Ah,mi sono dimenticato di dire che il problema sembra coinvolgere non solo firefox,ma anche konqueror.
Post modificato da: soniclight, alle: 06/11/2006 08:37
|
|
|
|
|
Registrato
|
|
|
|
|
soniclight
|
|
« Risposta #7 inserita:: Novembre 06, 2006, 05:14:10 pm » |
|
Ho installato FireStarter, e osservando un pò la finestra degli eventi ho capito che il mio pc è infetto da Stacheldraht, uno spyware che lancia attacchi di tipo DDoS, UDP flood, ICMP flood..
Inoltre sempre vedendo i pacchetti filtrati mi sono accorto di essere affetto da un trojan di nome Hack\'a\'tack...:unsure:, che usa le porte 31785,31787,31789,31790,31791.
Se chiudessi le porte bloccherei questo trojano penso, ma per stacheldraht non so come fare...
La cosa strana è che AVG non mi rileva nessuno dei due! Come posso fare a sbarazzarmene? Conoscete antispyware x linux?
|
|
|
|
|
Registrato
|
|
|
|
|
Finn
|
|
« Risposta #8 inserita:: Novembre 06, 2006, 06:08:49 pm » |
|
La vera domanda è: come diavolo hai fatto ad essere infettato?
|
|
|
|
|
Registrato
|
|
|
|
|
soniclight
|
|
« Risposta #9 inserita:: Novembre 06, 2006, 06:32:36 pm » |
|
Non ne ho la più pallida idea! Probabilmente rientro in una casistica ridottissima... non riesco a trovare una spiegazione! Da quello che ho letto in giro, almeno Hack\'a\'tack potrei averlo preso via IRC, ma per l\'altro non saprei proprio... A parte la causa, qualcuno è in grado di scorgere in lontananza la soluzione?  A quanto pare firestarter ha trovato anche un pacchetto del trojan DeepTroath...:S Post modificato da: soniclight, alle: 06/11/2006 12:22 |
|
|
|
|
Registrato
|
|
|
|
|
MaXeR
|
|
« Risposta #10 inserita:: Novembre 07, 2006, 05:51:33 pm » |
|
ma non sono programmi per windows?
sicuro di non aver eseguito applicazioni non sicure tramite wine?
|
|
|
|
|
Registrato
|
|
|
|
|
Luglio 13, 2005, 11:18:36 am
