Взломали комп с Альт 4.0 Десктоп, удалили файлы. Как смогли?

[Николай_Александрович]

Добрый день.

Сегодня обнаружилось, что утром с компа сотрудника исчезли абсолютно все документы. То есть все, которые пользовательские. Похоже на взлом компа из инета. Интересно, как уберечься от такого на будущее?

Исходное:

Альт Десктоп 4.0, в инете через шлюз, на шлюзе серый IP от провайдера. Т.е., двойной НАТ, прямой взлом из инета (имхо) невозможен.
Комп включили в 8 утра, и до 9 утра к нему никто не подходил.
В 9 утра юзер сел за комп, ввёл пароль, и увидел абсолютно пустой рабочий стол.
В папках юзера тоже нет ни одного файла. Пусто.
Хотя вчера вечером всё было на месте.
Человеческий фактор исключается полностью, человек проверен.

Грешу на то, что когда-то, что-то подхватили в инете, что смогло прописаться в Wine.
И хакер получил доступ к системе.
Такое возможно?

В логах есть упоминание, что в 08:17, когда за компом никого не было, что-то зарегистрировалось в Wine. Что именно - непонятно, нечитаемый набор символов.

На диске компа обнаружен некий скрипт "autoinstall.sch", в котором открытым тестом светятся пароли и рута, и юзера. Чудеса, одним словом.

Сам по себе Wine в системе не установлен, по отчёту Синаптика, однако установлен libwine.
Снёс его, от греха подальше.

И что ещё странно:
Система ведёт себя как "свежеустановленная".
То есть FF не имеет ранее заданной домашней страницы и хистори, а Thunderbird говорит, что это её первый запуск... Абзац, одним словом... (:

Основные нужные документы были ранее сохранены в бекапах, поэтому критических потерь нет.
Однако неприятно.
Посему, был бы благодарен, если бы кто-нть высказал мысли на тему.
Как поломали-то? Неужели всё-таки через Wine?

[Карлсон]

Система ведёт себя как "свежеустановленная".
То есть FF не имеет ранее заданной домашней страницы и хистори, а Thunderbird говорит, что это её первый запуск... Абзац, одним словом... (:

А что вы тут видите странного? ВСЕ эти настройки индивидуальны для КАЖДОГО пользователя, и хранятся в его домашнем каталоге. Если из домашнего все пропало, то что еще вы ожидаете от программ?

Посему, был бы благодарен, если бы кто-нть высказал мысли на тему.
Как поломали-то? Неужели всё-таки через Wine?

С вероятностью 99% пользователь удалил свой домашний каталог сам, каким-нить rm -rf /. Врядли под винду сейчас есть активные вирусы, которые не только смогут нормально запуститься в wine, который не установлен, но и просто тупо удалить все файлы (а доступен ли для wine домашний каталог целиком в настройках по умолчанию?).

[Meatcoins]

Альт Десктоп 4.0, в инете через шлюз, на шлюзе серый IP от провайдера. Т.е., двойной НАТ, прямой взлом из инета (имхо) невозможен.

Значит на компе что-то запустилось, что само вышло в Internet и связалось с неким "сервером" и принимало от него "команды".
Вообще очень странно... что там могло быть.
Wine... сомневаюсь. Ведь он не был установлен и не было wine-окружения, как я понял. Тем более, если даже он и был установлен, но был нормально настроен, то ничего такого быть не должно, даже, если что-то "попало", то оно будет сидеть в wine-окружении.

[kublo]

На диске компа обнаружен некий скрипт "autoinstall.sch", в котором открытым тестом светятся пароли и рута, и юзера. Чудеса, одним словом.

А могли бы выложить текст этого скрипта, без ваших паролей, естественно ?

[Meatcoins]

А могли бы выложить текст этого скрипта, без ваших паролей, естественно ?

Да какая разница, давайте с паролями. Ещё удалите чего лишнего. Нам-то что толку от этих паролей. Мы всё равно не знаем откуда вы, где ваши компы - взломать не сможем.

[Николай_Александрович]

Господа, спасибо за отклики!  :)

Если из домашнего все пропало, то что еще вы ожидаете от программ?

Пропали только "doc", "xls", "odt" и "ods", из папки "Документы" юзера.
JPG вроде на месте, там несколько папок с личными фото юзера.
Ещё на месте (там же, в "Документах") папка со скаченными драйверами для Самсунговского МФУ.
Вот только ни одного документа нету.

С вероятностью 99% пользователь удалил свой домашний каталог сам, каким-нить rm -rf /

Исключено.
Юзер - сотрудница коммерческого отдела предприятия, с 20-ти летним стажем работы на этом месте. С компами она строго на "Вы", она в Win ничего нестандартного-то сделать не сможет, не говоря уж о Линукс.

Повторюсь - домашний каталог на месте, нет только ООо документов, которые в нём были.

Ведь он не был установлен и не было wine-окружения, как я понял.

Хех, сейчас вот уточнил.
На момент сегодняшнего утра, в системе был только "libwine", самого Wine нет.
Однако, на рабочем столе осталось два значка:
- какая-то юзерская папка, в ней сканы документов в JPG;
- папка "Приложения Wine", в которой некий ярлык "Desktopmenu".

В папке /home/user имеется полный набор файлов и папок Wine, как бы если бы он был бы установлен.
Папки юзера в "Documents" полностью отображены на "диске D:" соответствуюших папок Wine.
(Папки юзера в "Documents" остались, вот только документов в них нет...)
Похоже, это и есть возможная "лазейка"?

Хистори компа: система (4.0) установлена 2,5 года назад, полным набором программ из коробки. Потом накатился ещё драйвер для Самсунговского МФУ, и потом 2,5 года к этой машине кроме юзера никто не подходил.

Значит на компе что-то запустилось, что само вышло в Internet и связалось с неким "сервером" и принимало от него "команды".

Похоже, только так и возможно.
По принципу Win-трояна.

А могли бы выложить текст этого скрипта

Тоже об этом подумал, выкладываю.
Всё это висело в "/", там, где кроме стандартного набора папок и быть ничего не должно.
Было три файла.
Первого я вот сейчас загадочным образом и не наблюдаю уже.
Второй - нечто маленькое двоичное под названием ".rnd", владелец root группа nobody.
Третий - этот самый "autoinstall.sch", где пароли открытым текстом.

Код: [Выделить]

(("language") language ("ru_RU") action "write" lang "ru_RU")
(("syskbd" "ctrl_shift_toggle") language ("ru_RU") action "write")
(("evms" "control") language ("ru_RU") action "write" control open installer #t)
(("evms" "control") language ("ru_RU") action "write" control update)
(("evms" "profiles" "workstation") language ("ru_RU") action apply commit #t clearall #t)
(("evms" "control") language ("ru_RU") action "write" control commit)
(("evms" "control") language ("ru_RU") action "write" control close)
(("basesystem") language ("ru_RU") action "write")
(("deadline") language ("ru_RU") action "write")
(("lilo") language ("ru_RU") action "write" target "boot" devname "hda")
(("lilo") language ("ru_RU") action "commit")
(("users" "root") language ("ru_RU") action "write" passwd1 "пароль открыто" passwd2 "пароль открыто")
(("users") language ("ru_RU") action "new" name "юзер-имя" allow_su #t passwd1 "пароль открыто" passwd2 "пароль открыто")
(("apt-get") language ("ru_RU") action "write" job "update" packages "  ")
(("apt-get") language ("ru_RU") action "write" packages "installer-group-desktop-docs installer-group-desktop-edu installer-group-desktop-emulators installer-group-desktop-games installer-group-desktop-graphics installer-group-desktop-multimedia installer-group-desktop-network installer-group-desktop-office" job "install")
(("net-general") language ("ru_RU") action "write" hostname_auto #f dns_auto #f hostname "sbit.workgroup" dns "192.168.1.1" search "" restart #f)
(("net-eth" "eth0") action "constraints" orig_action "write" language ("ru_RU") dhcp #f ip "192.168.1.3" mask "24" default "192.168.1.1" restart #f)
(("net-eth" "eth0") action "write" language ("ru_RU") dhcp #f ip "192.168.1.3" mask "24" default "192.168.1.1" restart #f)
(("net-eth") language ("ru_RU") action "restart")
(("x11") language ("ru_RU") action "write" commit #t monitor "Hansol Electronics Mazellan710P" xdepth "24" xresolution "640x480,720x400,800x600,832x624,1024x768" onboot #t)


[mayhl]

Сегодня обнаружилось, что утром с компа сотрудника исчезли абсолютно все документы. То есть все, которые пользовательские... Интересно, как уберечься от такого на будущее?

Встречался с исчезновением данных вследствие сбоя файловой системы ext2/3 (фс), причём, бывало что что-то восстанавливалось, а что-то нет (1.ошибка фс, 2. восстановление).
Бывало совсем с раздела не удавалось считать данные (не удавалось примонтировать и вручную также) даже в другом компе Альтом и Слаксом = ошибка фс и всё. Причём, далее на этот же раздел был установлен АльтСимпли с третьего раза псевдо форматирования и ныне работает.
Вообще-то требование к пользовательской работе это снятие достаточного количества копий данных, а не выполнение этого требования ведёт к ответственности пользователя за халатность (вплоть до преступной), приведшую к потере данных из-за не снятия копий.

[lx001]

"autoinstall.sch"

После установки осталось.

[Николай_Александрович]

После установки осталось.

Да?
Со всеми паролями?
Весело.

Встречался с исчезновением данных вследствие сбоя файловой системы ext2/3 (фс)

Понятно.
Однако, тут очень избирательное "пропадание данных". Доки пропали, а фото остались.

а не выполнение этого требования ведёт к ответственности пользователя за халатность

Офтопите, сударь.  :)
Ничего критичного не пропало, ибо было ранее неоднократно сохранено в сторонке.
Пара писем в ODF недавних, да почта свежая - ерунда.

Неприятно, да и просто обидно. Как факт самого такого происшествия.

В общем, окромя вредоносных действий злобного хакера, из-под Wine посредством некоего
 трояна, мне в голову больше ничего не приходит. Снять, что-ли папку Wine с той машины, антивирусом прогнать / посмотреть?  :)

[Rezedent12]

Таки выложите логи.
Иначе просто ничего не понять. Скорее всего локальный взлом.
Кстати, разрешён ли автозапуск в вашем DE (среда рабочего стола), если так.
То значит скорее всего скрипт самозапустился и сбрутил пароль рута.

Кстати, я уже не однократно говорил что подобные вирусы для linux сделать не сложно.

[mayhl]

После установки осталось. Да? Со всеми паролями? Весело.

Встречался с исчезновением данных вследствие сбоя файловой системы ext2/3 (фс)
Понятно. Однако, тут очень избирательное "пропадание данных". Доки пропали, а фото остались.

Офтопите, сударь.  :)
Ничего критичного не пропало, ибо было ранее неоднократно сохранено в сторонке.
Пара писем в ODF недавних, да почта свежая - ерунда.

1. Замечал, однако, что при установке поверх существующей = сохраняются некоторые старые данные, даже в случае указания форматирования раздела => именно поэтому, указал ранее что форматирование псевдо.
2. Портятся данные тоже можно сказать = избирательно. И чаще всего свежаки. Также, возможно,
группировка данных по типам в некой ветке фс -> не удивительна порча данных одного(двух) типов.
3. Спрашивали вроде совет как уберечься = делаете копии.

[Andrey]

Все это конечно очень-очень странно. Если /home в отделном разделе, посмотрите на всякий случай от root каталог /home/lost+found, вдруг это результат работы fsck.

[МИНЗДРАВ]

Да шутит он!
Из этой темы наверное развоображался http://forum.altlinux.org/index.php?topic=8394.new;topicseen#new

[Николай_Александрович]

Да шутит он!

Если бы.
Жаль, что Вы далеко.
А то бы подъехали-то, посмеяться?
Я б даже за пивом для гуры сбегал, как молодой.
Любите пиво? А тут ещё и веселье рядом будет...
 :)

Если /home в отделном разделе, посмотрите на всякий случай от root каталог /home/lost+found

В отдельном. Смотрел и там. Пусто.

Сейчас вечером, пока ещё на работе был, пробовал вытащить папку Wine на Win-машину, просканить DrWeb'ом. Не вытаскивается она, не напрямую, ни в архиве. Win ругается, видимо на недопустимые имена файлов в папке Wine.

Таки выложите логи.

В смысле системные логи? Которые в /var/log/syslog?

Скорее всего локальный взлом.

То есть, взлом непосредственно на этом компе?
Исключено категорически.

сбрутил пароль рута

Что рут, что юзер - пароль из 8 символов абракадабры + спецсимволы.
И чего его брутфорсить? Вот скрипт с паролями, в корне валяется, говорят "от установки остался".


OK, теперь версия помирающей ФС.
Ежемесячного сканирования, которое идёт раз в месяц при загрузке, недостаточно?
Как просканить вручную?

[Arc]

OK, теперь версия помирающей ФС.
Ежемесячного сканирования, которое идёт раз в месяц при загрузке, недостаточно?
Как просканить вручную?

образ полный с диска, для начала, снимите