Malware na Debianu :(

Ma opušteno, još pre ovoga svega sam razmišljao da instaliram clamav i odradim scan ali nikako da odradim to, sad sam se naterao.
Znam da nemam ništa od tih gamadi ali me ne košta ništa da povremeno poteram scan, ni na windowsu nisam imao rezidentan AV, nego sam koristio HitmanPro da skeniram neki put.
Mislim da ću zapravo da skinem ovaj clamav i stavim virustotal opciju, pa ako me nešto baš zanima samo desni klik na folder pa neka ga virustotal skenira.
A ovo za unofficial sigs ... mora da je to u pitanju, različite verzije.

Malo sam pogledao to se mnogo razlikuje kod mene, clamav-unofficial-sigs je instalirao svoj file ali na etc/clamav-unofficial-sigs.conf, tu sad treba da se dodaje ali je to mnogo koplikovano. README.debian mnogo se razlikuje od ovog sto je na www stranici, po mom uputsvu ide kreiranje usera pa brdo nekih komadi oko dozvola itd. Suvise komplikovano... Kad bi to deinstalira i krenuo preko uputsva sa tog www opet mi nije jasno sta i kako. Prvo dali treba da skinem ono sve na komp kao zip ili gitclone i gde. Kad skinem sta onda, da li treba startovati inicijalnoo install file ili ne. kaze:Copy the contents of config/ into /etc/clamav-unofficial-sigs/ koji config odakle ili ovo Rename the your os.your-distro.conf to os.conf, where your-distro is your distribution, ja i ne znam gde je taj file....

Ne znam, mora da je do verzije, verovatno je velika razlika izmedju verzije 3 i verzije 5.
Ja nisam ništa dodatno radio osim instalirao taj paket i promenio config fajl kao što sam opisao u ranijoj poruci.
Ništa dodatno nisam dovlačio, presvlačio itd.
Ne znam zbog čega ubuntu toliko kasni sa tim paketom.
Možeš ručno da instaliraš taj paket, ako si u fazonu
Skineš odavde 5.4.1 : https://github.com/extremeshok/clamav-unofficial-sigs/releases
I onda pratiš ono uputstvo sa te stranice (https://github.com/extremeshok/clamav-unofficial-sigs)

Quick Install Guide

Download the files to /tmp/
Copy clamav-unofficial-sigs.sh to /usr/local/bin/
Set 755 permissions on /usr/local/bin/clamav-unofficial-sigs.sh
Make the directory /etc/clamav-unofficial-sigs/
Copy the contents of config/ into /etc/clamav-unofficial-sigs/
Make the directory /var/log/clamav-unofficial-sigs/
Rename the your os.your-distro.conf to os.conf, where your-distro is your distribution
Set your user config options in the configs /etc/clamav-unofficial-sigs/user.conf
Run the script with --install-cron to install the cron file
Run the script with --install-logrotate to install the logrotate file
Run the script with --install-man to install the man file

Kliknite za proširenje...

Kao što rekoh ja ništa od toga nisam radio ali zato što je to paket uradio umesto mene.
Ne treba ti to sa os.your-distro.conf , ja to nisam ni radio, ne treba ti ni ovo sa Run the script with ....
Taj fajl ti je u config diru (kada skineš 5.4.1 ručno) i onda bi ti verovatno trebalo da preimenuješ ovaj fajl os.ubuntu.conf u os.conf i prekopiraš u /etc/clamav-unofficial-sigs/
Sad sam video i ja imam 3 fajla u tom diru : master.conf , os.conf , user.conf
os.conf nisam pipao, mislim da je to potrebno za daemon ako hoćeš da ti stalno bude aktivan antivirus (nisam siguran doduše)

Trojan i remote access nisu isto. Do remote pristupa mozes doci preko, baga, exploita, backdoora. Dok Trojan omogucuje slicnu stvar ali se ne radi o hakovanju na licu mesta vec o namenski pisanom softveru koji to radi umesto coveka.

Kao sto legenda kaze, oni sakriveni u konju su otvorili kapiju. Dok je analogija za remote access upad najbicnija provala u obezbedjenu kucu.

Dok je Linux na ~2% ne treba vam AV.

Ja ovako odokativno-laicki mislim da je u Ubuntu sve to vec sredjeno. Gledao sam i 16.10 ima isti fajl za instalaciju ista verzija. Mislim da on sve to namesti sam i da mu nisu potrebni nikakvi potpisi. Pokusao sam u .conf falovima da nadjem bilo koji trag od onog sto si mi napisao da se ubaci signatura-sifra ili sta je vec, nema ni slova ali viidm po odeljcima da on dovlaci te baze.

Ma nije, pogledaj onaj log gde iščitava učitane sigs (tvoj i moj što smo obojica postovali) , videćeš razlike, tvoj nema ta dva za koje je potrebno ono sa config fajlom :

Evo rucno sam instalirao ali:

isto i ispod za securiteinfo_authorisation_signature="" za taj drugi sajt.

Kliknite za proširenje...

Ovo ne mogu da dobijem kako pise u uputsvu neki grozomorni kod kaze 404 ja sam na to mesto stavio password
Kaze mi :

Cut and Paste the following lines in your freshclam configuration file (usually /etc/clamav/freshclam.conf)

DatabaseCustomURL http://www.securiteinfo.com/get/sig...715e95324a5766e054886c42e786/securiteinfo.hdb
DatabaseCustomURL http://www.securiteinfo.com/get/sig...15e95324a5766e054886c42e786/securiteinfo.ign2
DatabaseCustomURL http://www.securiteinfo.com/get/sig...7b715e95324a5766e054886c42e786/javascript.ndb
DatabaseCustomURL http://www.securiteinfo.com/get/sig...5e95324a5766e054886c42e786/spam_marketing.ndb
DatabaseCustomURL http://www.securiteinfo.com/get/sig...95324a5766e054886c42e786/securiteinfohtml.hdb
DatabaseCustomURL http://www.securiteinfo.com/get/sig...5324a5766e054886c42e786/securiteinfoascii.hdb
DatabaseCustomURL http://www.securiteinfo.com/get/sig...24a5766e054886c42e786/securiteinfoandroid.hdb

Kliknite za proširenje...

Stavio sam ali sta sa onim setovanjem sto si rekao?

Kad pustim proveru ne vidim da je ucito nista od toga

Evo ti moj, nema veze :

A zakačiću i ona tri konfig fajla pa ako neće sa ovim gore onda ih iskoristi, ako ne radi i sa njima onda ne znam šta je problem.
Ne zaboravi samo da nakon izmena pokreneš skriptu clamav-unofficial-sigs.sh (kao root)
Bez toga ti ne vredi sve ovo iznad.

Evo ovako, vrlo zbunjujuce bilo je raditi dok nisam uradio skidaje zip fajla na svoj racunar, jedan i drugi link koje si dao su isti sadrzaj. Navikao sam na clonegit ili zip fajl ali da se sklida na komp i obicno je tu uvek na kompu islo kompajliranje i instalacija. Razlika u ovom slucaju je sto nema instalacije nego copy/paste i derit. Sve dok nisam svukao na komp zip fajl i raspakovo nije mi bilo jasno uputsvo. Sad sam odradio sa svojim kljucevima, user.conf je ustvari primer ali sve je kako vidim kod tebe zakometarisano tako da ti kljucevi tu ne sluze nicemu. Prava konfiguracija je fajl master.conf i tu se lepo vidi da sem kljuceva ima jos parametara koji su odkometarisani. Ono oko os.konf me je razludivalo sve dok nisam skinuo zip file i raspakovao jer takav file nepostoji na kompu a ja sam ga trazio ko lud, isto i no iskopiraj sve sa config/ na..... Sad je ucio sve ali sam zaboravio da skinem iz freshclam.conf definixciju onih 7 baza koje su mi dali i rekli da to tu stavim. Sad cu da pustim test da vidim da li je sve skinuo.

Sve je skinuo a vidim da mu onih 7 baza navedeni u fresclam.conf ne smeta.

5.1. The 128 character string is after the http://www.securiteinfo.com/get/signatures/
Ovo ne vazi 404 tako da cu da ostavim onih 7 baza a kljuc 128 karaktera je taj koji je isti za svih 7 baza i ide i u master.conf

Ja tih 7 baza nisam ni stavljao (/etc/clamav/freshclam.conf) , mislim da se to radi tako ako nećeš ovo sa konfig fajlom, ili ako ne koristiš unofficial sigs.

@G@W,
To sto ti pises to je skolska podela da bi se boze moj opravdalo prodavanje softwera za nadgledanje i manipulaciju sa drugim racunarom. Nazovi ti o kako hoces to je filosofiranje, sustina na kojoj je weird napravio prvi trojanac nije se promenila.
Razlika je u dobrovoljnosti tj. prihvacanju. Ni Troja nije osvojena tako sto je 10 njih izasli iz konja i pobili sve zivo, oni su pobili strazu i otvorili kapiju da ostali udju. Sve funkcionise isto kod zrtve je programcic koji otvara vrata za napadaca ili ti gospodara a to je drugi program koji upravlja sa programon na udaljenom racunara. Poenta legalnog je da li znas da si stavio takav program, da li ce neko zloupotrebiti tu kontrolu i rastruriti udaljeni racunar ili nece. Da li si ikad pogledao TeamViewer, on je aktivan i kad je iskljucn portovi su otovreni a i mozes ga detektovati, proverio sam licno...

sammy je napisao(la):

Ja tih 7 baza nisam ni stavljao (/etc/clamav/freshclam.conf) , mislim da se to radi tako ako nećeš ovo sa konfig fajlom, ili ako ne koristiš unofficial sigs.

Kliknite za proširenje...

Gledaj ja kad sam pokusao da dobije onaj kljuc dobijam 404, e taj kljuc se dobija kad udjes u svoj profil kod njih i kliknes na setup ali se dobija kao 7 linkova sa istim kljucem na 7 baza i uputsvo kaze stavi
to u freshclam.conf. Ja sam tako i uradio a i stavio sam kao i kod tebe u master.con taj kljuc i to je to. E sad kad si ti to radio i kako je tebi dao samo kljuc a meni linkove sa kljuce ne znam, uglavnom radi,
sporo je do bola i prijavljuje enigmail da je rizik a ja se pitam da li je veci rizik napisati otvoren mail ili mail koji je sifriran opengp 4096 bitnim kljucem.

Dao je i meni iste te linkove ali sam ja uzeo samo kod od 128 karaktera sa jednog od njih jer to je potrebno samo bilo.

5.1. The 128 character string is after the http://www.securiteinfo.com/get/signatures/
5.2. Example https://www.securiteinfo.com/get/si..._random_string_of_characters/securiteinfo.hdb Your 128 character authorisation signature would be : your_unique_and_very_long_random_string_of_characters
6. Enter the authorisation signature into the config securiteinfo_authorisation_signature: replacing YOUR-SIGNATURE-NUMBER with your authorisation signature from the link

Kliknite za proširenje...

Nema veze, bitno da ti radi sada

sammy je napisao(la):

Dao je i meni iste te linkove ali sam ja uzeo samo kod od 128 karaktera sa jednog od njih jer to je potrebno samo bilo.
Nema veze, bitno da ti radi sada

Kliknite za proširenje...

Radi ona dva fajla su sad tu, mislim da ono sa tih 7 fajlova radi neku proveru ili skida neke jos fajlove ali posto nije definisano u onom prvom falju ne koristi ih.
Malo sad svasta pronalazi enigmail dodatak za sifromavnje mailova sistem pgp javni i tajni kljuc, staru verziju kde-services od fedore koju sam konverovao sa alienom
i koje koristim u Mintu KDE 17.3, za novi Mint 18 KDe plasma 5.x koristim novi kde-service isto konvertovan iz Fedorinog .rpm u .deb.
Skenirao sam 320 fajlova, moj Download dir traje oko 10 minuta.

Meni je ceo /home bez unofficial sigs skenirao za 37 minuta, sa unofficial sigs mu je trebalo 194 minuta :zgran: mnooogo sporije
Bez unofficial sigs nije našao ništa :

a sa njima je našao 22 "inficirana" fajla :

sve je u Mail, google-chrome i mozilla folderima.

jedan je našao u Steam folderu, nešto u vezi Steam web browsera, nekoliko puta sam i njega koristio :

Mislim da je to false positive. Osim mozda tog mejla, mada je i to sigurno nesto trivijalno. Ne vidim kako ekstenzija uBlock od Raymond Hill-a moze biti malware...

Isto vazi i za Steam browser. Ili taj browser cache, ako je skripta koja se izvrsava na toj strani problematicna, pa valjda bi vec imao problema. Da je ClamAV kojim slucajem aktivni skener verovatno bi ti prijavio na toj strani problem, sa tim unofficial potpisima. Sto opet ne znaci nista, svakakve gluposti prijavljuju i ugradjeni browser anti-malware alati.

Znas kako, mogu i ja nekakvu bazu potpisa da kreiram po mojoj volji i kazem, sve sto nije osvestao RMS je malware. Ti to pustis kroz ClamAV i eto ga, sve sam malware na racunaru. Gluposti.

Virusa na Linuxu maltene nema, ima ozbiljnih exploita ali oni budu patchovani za par dana od otkrivanja. Problem imaju samo web serveri i ostale kriticne masine koje se ne mogu tako lako patch-ovati jer treba restartovati masine (sto nije uvek opcija) a nemaju svi uplacenu uslugu livepatchinga.

Pa da, par tih fajlova koje je prijavio sam čisto radi znatiželje poslao na VirusTotal koji je prijavio da nijedan engine nije našao ništa 0/62 ili tako nešto je bilo za svaki od tih fajlova koje sam poslao, nisam slao sve jer me mrzelo ali verovatno bi bio isti rezultat.
Mada, stoji činjenica da default ClamAV nije prijavio ništa i verovatno ima neki razlog što ne stavljaju kao default ove unofficial signatures.
Kako god, bilo mi zanimljivo to sve da probam.

"po-tay-to" "po-tah-to"

Iz perspektive vlasnika sajta koji servira reklame, svaki ad bloker je malware. Potpuno ista funkcija kao i stefačin. Sad, ovo si TI instalirao, a ono se uvalilo, verovatno te zamolilo da ga instaliraš ili iskoristilo rupu na saksiji pa ti uštedelo neki klik viška.
Lično više volim da me obavesti o svemu, pa ako razumem i želim, mogu da preduzmem određene mere, ako ne nikom ništa. Ali ako me ne obavesti? Odmah kontra argument, šta ako je dosadan toliko da korisnici počnu kao roboti da klikeću po obaveštenjima? Hbga, moj princip je oduzmi korisniku kontrolu - komplet! Ali to sam ja ;-)

@ tuxserbia,
Otkud ti u mom filmu Sta se bre bunis her Zika sa Ubuntu i neki njegovi pomocnici napravili su ozbiljnu uzbunu oko NoScript jer je tamo neka verzija nesto imala pa je isao neki redirekt, a te verzije nema odavno i autor negde na netu objasnio.
Ne grdi mi Stefacu, dobar covek, znam ga sa Ubuntu foruma, decko ne voli da mu iskace ko ni ja, sad ako bas kaze molim pusti da iskoci reklama jer od tog zivim i drzim stranicu sa koje skidas to sto skidas onda dam dozvolu.
Ovo sa ClamAV cisto sam probao, nisam odavno posle loseg iskustva sa NOD-om koji mi je ubijao Operu i jos sto sta, u principu ne drzim AV na linuxu a u windowsu da jer tamo samo mladi majmuni sto ne iskacu sa ekrana. Tamo i kad kazem ne on opet poturi kod instalacije jos barem jednom da moras da kazes ne ili ti ga batko uvali da posle ne mozes nista da radis.
ps. sta su ti te bajalice u naslovu, znas i sam da sam ja star covek i malo zaostao, nemoj ko her Zika samo latinski pise covek a ja isao u tehnicku pa na faks i ucio predvojnicku i marksizam..:wave:

Čitam ja, nego vidim da se zabavljaš, pa da ne smetam ;-)

Štefa nisam dirao, mame mi, samo njegov primer naveo. A za viruse i "viruse", zato valjda i koristimo PRAVI operativni sistem ;-)

tuxserbia je napisao(la):

Čitam ja, nego vidim da se zabavljaš, pa da ne smetam ;-)

Štefa nisam dirao, mame mi, samo njegov primer naveo. A za viruse i "viruse", zato valjda i koristimo PRAVI operativni sistem ;-)

Kliknite za proširenje...

Imas li pojma kad ce se ovi u Kubuntu-Ubuntu smilovati da urade backport plasme za 16.04, ocu bre praznike da imam, ne znam koji im je klinac pa sad prave nauku, nekad sam mogao da dodajem u praznike ono sta jos zelim a sad nemam praznike.
Citam ovi iz GnuPG poceli da prave njesra, ja u Manjaru nemerem import mail kljuceva, izgleda svi koji furaju RR distroe ubacili GnuPG 2.1.15 a pocelo je to izleda sa 2.1.12. Sad prave neki diskontinuitet sa starim kljucevima a nisu u stanju da importuju
kljuc koji je pravjen u verziji 2. Stalno seku granu na kojoj sede ili pucaju sebi u nogu. Dok sam radio znalo se sve je unazad kompatibilno, ako se pravio prelaz na drugi OS sve je testirano i proveravano mesecima. Ne kapiram ove sto prave GnuPG, zar ja sad treba da naredim svakome (a ne mogu) da menja OS i da ugradjuje samo 2.1.15 verziju i da pravi nove kljuceve. Pocinjem pod stare dane da se osecam ko zamorce, Neon u 16.04 ugura najnoviju plasmu, Mint i Kubuntu ne a nema ni backporta makar malo novije verzije. Sta je kome trebala nova plasma, tako je unisten gnome 2 sad imamo gnome shell i tako stalno iznova sve od nule. Ajde ti mi objasni sta je to u kernelu 4.x koji je najajvljivan kao spektakulrne ispravke svih rupa, rupetina i rupica koje postoje godinama. razumem da kernelmoraju da prilagodjavaju novom hardweru ali da sad odjednom kao ispravljaju i ko je to znao a cutao ili koristio. Ja pod stare dane vise nista ne razumem, nista je ne vidim da meni treba od plasme 5, bila mi je dobra i plasma4 i svi dodaci kojih sada nema. Ajd uzdravlje

Nemoj u freedom da nam diras, poslacemo ti ESR-a da te upuca 3d stampanim pistoljem

Salim se ja malo, ESR je kul lik. Da se njega pitalo, danas bi zivot Linuksasa sigurno bio bolji i ne bi smrdeli na 2% desktop ucesca. Ali sta ces, pragmatizam je jedan od vecih grehova medju linuksasima.

Kukanje na forking je staro kao i sam Linux. Ali to je integralni deo filozofije koja je omogucila uspon projekta. Pogledaj onaj "drugi" free OS, kod njih toga nema. Ali su patuljak u odnosu na Linux. Iako imaju superiorno mnogo toga. Dzabe kad je zajednica mala, korisnika brojis na prste jedne ruke, drajvere trazis svecom.

Toliko je verovanje jako da se branching retko praktikuje, nego se moramo zakrviti i svako u svoj obor. Pa makar i razlog tome bila volume ikonica u audio plejeru, mora postojati jos jedan...

Eh da, backport must die. Tako ce i biti, u bliskoj buducnosti. Samo da svi predju na ove fensi, sandbox kontejnere. Smaraci kojima smeta dupliranje istih biblioteka u sistemu ili pak vise verzija iste, nek kompajliraju iz sorsa u omiljeni paketni format i resavaju medjuzavisnosti do sutra. Ako im je vec toliko bitno da imaju biblioteke na jednom mestu, samo jednu verziju, jer tako stede prostor i cuvaju sistem urednim. Meni je dobar i "svinjac", ako radi zadovoljavajuce i na klik.

G@W je napisao(la):

Eh da, backport must die. Tako ce i biti, u bliskoj buducnosti. Samo da svi predju na ove fensi, sandbox kontejnere. Smaraci kojima smeta dupliranje istih biblioteka u sistemu ili pak vise verzija iste, nek kompajliraju iz sorsa u omiljeni paketni format i resavaju medjuzavisnosti do sutra. Ako im je vec toliko bitno da imaju biblioteke na jednom mestu, samo jednu verziju, jer tako stede prostor i cuvaju sistem urednim. Meni je dobar i "svinjac", ako radi zadovoljavajuce i na klik.

Kliknite za proširenje...

Sta ima bolje i jednostavnije od klika misem, al neki ne daju, ajd ako oni hoce da kuckaju nek kuckaju al sto teraju i druge ljude. Kaze mi zena novi bankomat samo prstici na ekran, kako sad da se snadjemo u 21 veku a neki nas teraju na kuckanje i velicaju komnde koje imaju parametre od mailh i velikih slova pa sad ti pamti. I onda se cude zasto 2%, zasto nas ne vole...

Pazi, nije u pitanju samo taj osecaj superiornosti da znaju vise do drugih nego im smeta sto se gomilaju iste biblioteke po sistemu na vise mesta (jer zbog prirode tih sandbox formata starije biblioteke se pakuju u kontejner sa aplikacijom, samo odredjene su deljene na nivou sistema). Posto je to kao trosenje prostora i Windows way of doing things. Uopste ih ne zanima kakve ljudi imaju probleme jer se razvoj aplikacija ne odvija idealno kako oni zamisljaju (posto osim Stallmana niko od tih FSF likova nikada u zivotu nije napisao program). Oni kapiraju da se sav free software jednako odrzava, da ima programere istog nivoa znanja, da se uvek koriste najnovije biblioteke i apdejtuju.

Sto naravno da nije slucaj i zato se desava dependency hell gde ti moras da downgrade-ujes neku biblioteku na tacno odredjenu verziju da bi radio jedan app ali onda ne radi drugi koji zavisi od novije verzije iste itd. Zato Ubuntu odrzava te backport-e, koji su neophodno zlo. Ali ce portabilne, sandbox aplikacije to resiti i nece biti potrebe za tim. Mocices da imas poslednji Gnome 3 ako hoces i neki specificni Ubuntu app koji zavisi od starije verzije gtk3 jer ce ta verzija da bude podrzana u samom kontejneru. Sto nije idealno, ali prvenstveno zbog prirode gtk3 koji je heavyweight framework i moras mnogo toga da spakujes sa aplikacijom da bi radila. Za sada Gnome ekipicu to nije bilo briga, ali valjda ce zbog njihovog kontejnera Flatpak koji gura Red Hat poraditi malo na framework-u, uciniti ga laksim i modularnijim.

Ja kao laik vidim da kad oni hoce sve moze, kako je dosad gnupg moglo da egzistiraju dve verzije 1.4 i gnupg2 2.1.11 i dalje je tako u Ubuntu 16.04 . Sve novije RR distribucije ubacuju 2.1.15 i haos ne mogu da se importuju kljucevi iz eksportovanog fajl iz drugog linuxa.
Ne znam sta toliko stede prostor, razumeo bi da smo jos uvek na diskovima od 40GB ali ovako ne razumem, imam prostora, imam memorije a svaki novi distro sve zahtevniji. Razumem ja hoce unifikaciju ali to ne moze po svaku cenu da se sve zakoci pa sad cekam da se smiluju i ubace famoznu plasmu 5.8 LTS u sve distroe i da to sredjuju a ne jedan distro ima jedni verziju, drugi drugu, ppa im bio do skora neazuran totalno tek skoro stoji verija koju je Kubuntu ubacio iz njemu samo znanog backport rerpoa.

Ако сте други корисник система чији је рачунар загађен малвером, онда не морате бити забринути зато што је овде описан водич за уклањање малвера. Дакле, посјетите - https://www.removemalwarevirus.com/dark-tequila-removal-easy-appropriate-guide-remove-malware-virus