Re: странные kernel ошибки в логе

[artiom]

Загрузитесь с лайва и проверьте:

- Наличие каталога /etc/ld.preload.config (и если есть, то содержимое).
- Содержимое /etc/modprobe.d
- Модули для текущего ядра в /lib (что-нибудь типа find
/lib/modules/4.9.0-3-amd64/ -exec dpkg -S {} \; | grep -v '.*:
/lib/modules')
- /etc/rc.local
- profile и profile.d (для пользователей тоже и для разных оболочек).
- Лишние службы systemd (в /lib/systemd и в /etc/systemd).

Что-нибудь ещё, думаю, стоит проверить?
Любопытно, аналог autoruns для Linux есть?


28.07.2017 11:13, Sohin Vyacheslav пишет:
> 
> 
> 27.07.2017 21:03, artiom пишет:
>> Скиньте бинарь.
> 
> 
> нагуглил только 1 ссылку по запросу vnsoxpd:
> http://forexhelper.co.uk/archive/vnso
> 
> 
> но это явно не в кассу((
> 

Re: странные kernel ошибки в логе

[artiom]

29.07.2017 07:35, Artem Chuprina пишет:
> Артём Н. -> debian-russian@lists.debian.org  @ Sat, 29 Jul 2017 06:49:44 
> +0300:
> 
>  >>> Скиньте бинарь.
>  >>
>  >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z
>  >>
>  > Действительно, это "обычный майнер"...
>  > С открытыми исходниками (см. по строкам, там даже Usage сохранился), 
> ссылку на которые дали выше.
>  > С непострипанной отладочной информацией.
>  > И даже вирустоталом он определяется, как майнер.
> 
>  > Майнинг сервер: xmr.crypto-pool.fr:
>  > Майнит он некий cryptonight (очередная криптовалюта).
>  > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2
> 
>  > Почему он криво работает, я разбираться не стал.
>  > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор 
> просто выкинул все проверки,
>  > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его 
> пытается использовать).
> 
> Так автору майнера это не надо. Автор его имел в виду честно
> использовать там, где железо подходящее.
> 
> Криворук в данном случае автор вируса, который использует этот майнер в
> качестве payload'а. Зато, возможно, дешев.
> 
И всё-таки я бы поостерёгся называть систему доставки "вирусом":
терминологически это некорректно.
Часто путают.
Вирусы, по-идее, в начале 2000-х вымерли, в чистом виде.

Re: странные kernel ошибки в логе

[artiom]

29.07.2017 07:35, Artem Chuprina пишет:
> Артём Н. -> debian-russian@lists.debian.org  @ Sat, 29 Jul 2017 06:49:44 
> +0300:
> 
>  >>> Скиньте бинарь.
>  >>
>  >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z
>  >>
>  > Действительно, это "обычный майнер"...
>  > С открытыми исходниками (см. по строкам, там даже Usage сохранился), 
> ссылку на которые дали выше.
>  > С непострипанной отладочной информацией.
>  > И даже вирустоталом он определяется, как майнер.
> 
>  > Майнинг сервер: xmr.crypto-pool.fr:
>  > Майнит он некий cryptonight (очередная криптовалюта).
>  > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2
> 
>  > Почему он криво работает, я разбираться не стал.
>  > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор 
> просто выкинул все проверки,
>  > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его 
> пытается использовать).
> 
> Так автору майнера это не надо. Автор его имел в виду честно
> использовать там, где железо подходящее.
> 
Имелся ввиду автор бинаря.
Автор оригинального майнера делает кучу проверок.
Он не криворук по определению.

> Криворук в данном случае автор вируса, который использует этот майнер в
> качестве payload'а. Зато, возможно, дешев.
> 
Это криво модифицированный майнер.
Остались вопросы по механизму загрузки на машину жертвы.

Re: Цепочка ключей

[artiom]

29.07.2017 07:58, Tim Sattarov пишет:
> On 28/07/17 11:56 PM, artiom wrote:
>> Почему у меня, при попытке открыть почтовый клиент, DE требует
>> "разблокировать цепочку ключей"?
>> Я ничего такого не использую и не заказывал.
>> Что это за помойка, и кто мне пытается навязать очередное "безопасное
>> хранилище" (что нужно удалить)?
>> Гуглил когда-то.
>> Не помогло.
>>
> Видать твой почтовый клиент хранит твои пароли, в защищенном хранилище.
> Если КДЕ - то это kwallet, непонятно, чего ты ещё ожидал, что он их
> будет держать в открытом тексте где нибудь на диске ?
> Или  ты настроил сам мастер пароль в thunderbird, судя по твоему X-Mailer.
> 
> http://com-agilebits-users.s3.amazonaws.com/tim/shots/2017-07-29-00-57-27.png
> 
> 
gnome-keyring непонятно откуда был установлен. Снёс.
Сейчас kwallet выключу.
Средствами thunderbird ничего не храню точно.

Re: Цепочка ключей

[Tim Sattarov]

On 28/07/17 11:56 PM, artiom wrote:
> Почему у меня, при попытке открыть почтовый клиент, DE требует
> "разблокировать цепочку ключей"?
> Я ничего такого не использую и не заказывал.
> Что это за помойка, и кто мне пытается навязать очередное "безопасное
> хранилище" (что нужно удалить)?
> Гуглил когда-то.
> Не помогло.
>
Видать твой почтовый клиент хранит твои пароли, в защищенном хранилище.
Если КДЕ - то это kwallet, непонятно, чего ты ещё ожидал, что он их
будет держать в открытом тексте где нибудь на диске ?
Или  ты настроил сам мастер пароль в thunderbird, судя по твоему X-Mailer.

http://com-agilebits-users.s3.amazonaws.com/tim/shots/2017-07-29-00-57-27.png

Re: systemd не поднимает интерфейс из /etc/network/interfaces

[Artem Chuprina]

Tim Sattarov -> debian-russian@lists.debian.org  @ Fri, 28 Jul 2017 18:07:13 
-0400:

 >> В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), 
 >> другой
 >> статически описан в /etc/network/interfaces и не инициализируеться при 
 >> старте.
 >>
 >> Комадной:
 >>
 >>   sudo /sbin/ifup eth1
 >>
 >> поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ?
 >>
 >> Или нужно поколдовать с systemd?
 >>
 > Нескромный вопрос: а он прописан как auto ?

Кстати, да, вот об этом я и не подумал. А, однако, это первое, что можно
забыть на ровном месте при ручном прописывании.

Re: странные kernel ошибки в логе

[Artem Chuprina]

Артём Н. -> debian-russian@lists.debian.org  @ Sat, 29 Jul 2017 06:49:44 +0300:

 >>> Скиньте бинарь.
 >>
 >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z
 >>
 > Действительно, это "обычный майнер"...
 > С открытыми исходниками (см. по строкам, там даже Usage сохранился), ссылку 
 > на которые дали выше.
 > С непострипанной отладочной информацией.
 > И даже вирустоталом он определяется, как майнер.

 > Майнинг сервер: xmr.crypto-pool.fr:
 > Майнит он некий cryptonight (очередная криптовалюта).
 > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2

 > Почему он криво работает, я разбираться не стал.
 > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор просто 
 > выкинул все проверки,
 > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его 
 > пытается использовать).

Так автору майнера это не надо. Автор его имел в виду честно
использовать там, где железо подходящее.

Криворук в данном случае автор вируса, который использует этот майнер в
качестве payload'а. Зато, возможно, дешев.

Re: Цепочка ключей

[artiom]

29.07.2017 07:32, Artem Chuprina пишет:
> artiom -> debian-russian@lists.debian.org  @ Sat, 29 Jul 2017 06:56:12 +0300:
> 
>  > Почему у меня, при попытке открыть почтовый клиент, DE требует
>  > "разблокировать цепочку ключей"?
>  > Я ничего такого не использую и не заказывал.
>  > Что это за помойка, и кто мне пытается навязать очередное "безопасное
>  > хранилище" (что нужно удалить)?
> 
> DE :) В смысле, у DE такая парадигма. Или свобода в решениях, или DE,
> где подумали за тебя.
> 
Да, подумали за меня, дав очевидно настроить то, что они додумать не
смогли, а сейчас я вижу какую-то хрень с двумя кнопками:
"Разблокировать" и "Отмена", - кнопку "Отключить эту помойку" они явно
забыли.

> gnome-keyring, скорее всего. Или что-нибудь еще со словом keyring в
> имени пакета.
> 
Самое интересное, что я пользуюсь KDE.
Откуда там gnome-keyring?

Re: Цепочка ключей

[Artem Chuprina]

artiom -> debian-russian@lists.debian.org  @ Sat, 29 Jul 2017 06:56:12 +0300:

 > Почему у меня, при попытке открыть почтовый клиент, DE требует
 > "разблокировать цепочку ключей"?
 > Я ничего такого не использую и не заказывал.
 > Что это за помойка, и кто мне пытается навязать очередное "безопасное
 > хранилище" (что нужно удалить)?

DE :) В смысле, у DE такая парадигма. Или свобода в решениях, или DE,
где подумали за тебя.

gnome-keyring, скорее всего. Или что-нибудь еще со словом keyring в
имени пакета.

Re: странные kernel ошибки в логе

[artiom]

Короче, ничего интересного.
Интереснее выяснить:

- Как вы его словили?
- Каков механизм сокрытия процесса?
- Как он запускается?


28.07.2017 11:03, Sohin Vyacheslav пишет:
> 
> 
> 27.07.2017 21:03, artiom пишет:
>> Скиньте бинарь.
> 
> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z
> 

Цепочка ключей

[artiom]

Почему у меня, при попытке открыть почтовый клиент, DE требует
"разблокировать цепочку ключей"?
Я ничего такого не использую и не заказывал.
Что это за помойка, и кто мне пытается навязать очередное "безопасное
хранилище" (что нужно удалить)?
Гуглил когда-то.
Не помогло.

Re: странные kernel ошибки в логе

[Артём Н .]

On 28.07.2017 11:03, Sohin Vyacheslav wrote:



27.07.2017 21:03, artiom пишет:

Скиньте бинарь.


Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z


Действительно, это "обычный майнер"...
С открытыми исходниками (см. по строкам, там даже Usage сохранился), ссылку на 
которые дали выше.
С непострипанной отладочной информацией.
И даже вирустоталом он определяется, как майнер.

Майнинг сервер: xmr.crypto-pool.fr:
Майнит он некий cryptonight (очередная криптовалюта).
Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2

Почему он криво работает, я разбираться не стал.
Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор просто 
выкинул все проверки,
видимо какая-то фигня при работе с XMM расширением (сразу в начале он его 
пытается использовать).

Re: systemd не поднимает интерфейс из /etc/network/interfaces

[Tim Sattarov]

On 28/07/17 04:28 PM, Oleksandr Gavenko wrote:
> В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), другой
> статически описан в /etc/network/interfaces и не инициализируеться при старте.
>
> Комадной:
>
>   sudo /sbin/ifup eth1
>
> поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ?
>
> Или нужно поколдовать с systemd?
>
Нескромный вопрос: а он прописан как auto ?

Re: systemd не поднимает интерфейс из /etc/network/interfaces

[Artem Chuprina]

Oleksandr Gavenko -> debian-russian@lists.debian.org  @ Fri, 28 Jul 2017 
23:28:41 +0300:

 > В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), другой
 > статически описан в /etc/network/interfaces и не инициализируеться при 
 > старте.

 > Комадной:

 >   sudo /sbin/ifup eth1

 > поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ?

 > Или нужно поколдовать с systemd?

В jessie - используется. Ну, с systemd не пробовал...

На той машинке, где есть systemd, /etc/network/interfaces слишком
дефолтный...

На тестовой виртуалке со stretch вот сейчас провел эксперимент с заменой
sysvinit-core на systemd-sysv, предварительно настроив вторую сетевку в
/etc/network/interfaces (вернее, первую - изначально была
вторая). Подхватил.

А вот чего ни на одной из этих машин не было, нет, и не будет, так это
Network Manager'а.

systemd не поднимает интерфейс из /etc/network/interfaces

[Oleksandr Gavenko]

В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), другой
статически описан в /etc/network/interfaces и не инициализируеться при старте.

Комадной:

  sudo /sbin/ifup eth1

поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ?

Или нужно поколдовать с systemd?

-- 
http://defun.work/

принудительный relatime

[Artem Chuprina]

Хмутро.

А скажите пожалуйста, граждане, откуда у нас в stretch берется
принудительный relatime при монтировании? Грепом по /etc не находится, а
при монтировании zfs внезапно включается, хотя в свойствах dataset'а
выключен.

Я просто почитал, какие именно тараканы у zfs'ного relatime (таракан
там, собственно, один - обновление не чаще раза в сутки, а atime на
практике чаще бывает интересно за последние несколько секунд, когда
выясняешь, кого читали, а кого нет...), и решил было выключить, ан
нет... Ну, то есть, в свойствах датасета оно выключено, но при
монтировании включается.

Причем так просто не выключишь, блин... У /, который монтируется
отдельно (средствами initrd, я так полагаю, ибо в fstab он не упомянут),
это снимается явным указанием zfs set relatime=off в процессе. А у /var
и /var/tmp, которые монтируются через fstab (соответствующий скрипт
полагает, что иначе будет слишком поздно), не снимается. Снимается
только mount -o remount,strictatime. А вовсе не norelatime...

При zfs mount -a вроде не включается... Ну, что логично, при этом mount
не используется.

Хотя, конечно, по здравом размышлении, когда мне нужен оперативный
atime, я могу и со strictatime перемонтироваться, а так-то relatime -
правильная опция...

P.S. Отдельно доставляет тот факт, что в туториалах предлагают
устраивать принудительный последовательный режим, а в дистрибутиве в
пакете zfsutils-linux поддержка только systemd... Ну, туториал, правда,
еще времен jessie-backports. Это я снес systemd и
загрузился. Загрузиться-то загрузился, а zfs mount -a не отработал, ибо
кто бы его запустил? Кстати, почитав сервисы, должен сказать, что
зависимости прописаны небезграмотно. То есть у импорта

After=systemd-udev-settle.service
After=cryptsetup.target
Before=dracut-mount.service

у zfs-mount

After=zfs-import-cache.service
After=zfs-import-scan.service
After=systemd-remount-fs.service
Before=local-fs.target

(т.е. до того, как вообще кто-то потянется за локальными файловыми
системами оно таки уже должно быть смонтировано, так что, возможно,
нынче даже не обязательно /var и /var/tmp вписывать в fstab)

У zfs-share

After=nfs-server.service nfs-kernel-server.service
After=smb.service
After=zfs-mount.service
PartOf=nfs-server.service nfs-kernel-server.service
PartOf=smb.service

Спросите, почему меня смущает идея жить с systemd? Оно не только
файловый и бэкап-сервер, оно еще и роутер. Не хватало мне, чтобы оно
падало при старте от собственного DNS-запроса...

Спросите, на кой при такой паранойе объединять роутер с файловым
сервером? Так квартира однокомнатная, а у роутера довольно
интеллектуальные задачи, я в свое время изрядно задолбался решать их на
коробках. Без нормальной ОС там тяжело. Хотя я подумаю, может, взять
какой одноплатничек без вентилятора...

Validation failed

[Debian Webmaster]

*** Errors validating
/srv/www.debian.org/www/international/l10n/po/en_CA.ru.html: ***
Line 184, character 374:  "128513" is not a character number in the
document character set
*** Errors validating
/srv/www.debian.org/www/international/l10n/po/en_GB.ru.html: ***
Line 122, character 351:  "128513" is not a character number in the
document character set
Line 316, character 337:  "128513" is not a character number in the
document character set
Line 325, character 334:  "128513" is not a character number in the
document character set
Line 1297, character 241:  "128513" is not a character number in the
document character set

--
 You received this mail for the language code ru.
 Please edit webwml/english/devel/website/validation.data if this is not 
accurate
 Please also update webwml/english/devel/website/ with the new coordinator(s) 
data

Re: странные kernel ошибки в логе

[ilya]

В Fri, 28 Jul 2017 11:30:33 +0300
"Andrey Jr. Melnikov"  пишет:

> Sohin Vyacheslav  wrote:
> 
> 
> > 27.07.2017 21:03, artiom пишет:  
> > > Скиньте бинарь.  
> 
> > Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z  
> 
> Хехе..
> Характерный 'User-Agent: cpuminer/2.3.3' как-бэ намекает, что это.

Это просто утилита, ну может чуть переделанная,у оригинала даже
исходники открыты https://github.com/pooler/cpuminer

Проблема возможно не в этом бинарнике. Тут вроде похоже:

https://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance

Re: странные kernel ошибки в логе

[Andrey Jr. Melnikov]

Sohin Vyacheslav  wrote:


> 27.07.2017 21:03, artiom пишет:
> > Скиньте бинарь.

> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z

Хехе..
Характерный 'User-Agent: cpuminer/2.3.3' как-бэ намекает, что это.

Re: странные kernel ошибки в логе

[Sohin Vyacheslav]

27.07.2017 21:03, artiom пишет:
> Скиньте бинарь.


нагуглил только 1 ссылку по запросу vnsoxpd:
http://forexhelper.co.uk/archive/vnso


но это явно не в кассу((

-- 
BW,
Сохин Вячеслав

Re: странные kernel ошибки в логе

[Sohin Vyacheslav]

27.07.2017 21:03, artiom пишет:
> Скиньте бинарь.

Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z

-- 
BW,
Сохин Вячеслав

Re: странные kernel ошибки в логе

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Thu, 27 Jul 2017 
14:08:11 +0300:

 >>  В репах сходу нашлись chkrootkit, rkhunter и unhide.
 >>  Наверное, там же ещё пяток найдётся за 5 минут...

 > когда-то я юзал chkrootkit и rkhunter - помню было прилично ложных
 > срабатываний, поищу что-нибудь посовременнее, спс.

Сейчас, похоже, лучше все-таки применить. Среди ложных будет по крайней
мере одно истинное.