Взломали комп с Альт 4.0 Десктоп, удалили файлы. Как смогли?

[ruslandh]

Вопрос о том, можно ли как-то "обнулить" профиль юзера в KDE? Целиком?
Так, чтобы система думала, что юзер вообще зашёл первый раз?

Удалением ~/.kde

Насчёт возможностей троянов внутри Wine. wine - это windows-подобная среда. Всё что может сделать троян в Windows, он может сделать  и в Wine. Исключения могут быть связаны только с тем, что этот Windows работает немного по-другому.

[stranger573]

Запрос в гуголь вроде -- вирусы+wine кое-что выдаёт  ;)
Например тут есть что-то похожее.

А 4.0 насколько помнится файрволл имел полностью открытый (он там чисто номинально присутствовал, я правила сам переписывал, по умолчанию всё открыто было).
Да и файл с паролями открытым текстом после установки действительно в 4.0 присутствовал (непонятная фича).

Хотя устанавливать в систему wine для того чтобы с ней что-то сделать, при условии что доступ к системе уже есть (и без wine можно сделать всё что угодно) это весьма странно. Странные взломщики пошли однако.

[Карлсон]

Вопрос о том, можно ли как-то "обнулить" профиль юзера в KDE? Целиком?

Да. Удалив или повредив файлы в ~/.kde (~/.kde4). Вам это все еще не очевидно?

Вам все еще не очевидно, что после первого же запуска КДЕ базовый профиль автоматически скопируется в каталог пользователя, и вы увидите, что "профиль есть"? Сколько можно повторять одни и те же тривиальные вещи? Ищите профили тех программ, которые использовались раньше, но не запускались после аварии.

[Николай_Александрович]

Карлсон , уважаемый.

В порыве благородного пафоса, замечаете ли Вы, о чём я пишу Вам неоднократно?

Я, как бы, прекрасно себе представляю, что при "первом запуске" базовый профиль упадёт в папку с точкой в начале названия.

Но я говорю о том, что в папке профилей также лежат и старые профили.
Которые перестали работать, одновременно.

[Карлсон]

Но я говорю о том, что в папке профилей также лежат и старые профили.

ls профиля браузера или почтовика в студию, а то не верится как-то. И содержимое файла profiles.ini.

[Aviagr]

Вот-вот, я давно хотел "отлучить" Wine от сети - как это сделать в свете данных событий? Последовательность ведь очень простая: есть вайн, человек дал доступ ему ко ВСЕЙ папке пользователя, в Вайн залетел вирус, который связался (САМ! - эму по барабану ваши НАТы) со своим писателем в инете, закачал для него бэкдор - и тот поглумился ради хохмы!
Я также задолбался отключать сетевые сервисы в Синаптике после каждой установки: нахрена они автоматом идут включенные КАЖДОМУ пользователю?! Так линукс может потерять свое основное преимущество перед виндой!
.. моя снова хотеть Мандрива..

[Николай_Александрович]

Код: [Выделить]

Thunderbird

bash-3.1$ ls /home/user/.thunderbird
appreg  l18nd5x8.default  pg6keyk5.default  profiles.ini

ТандерБёрд profiles.ini:

[General]
StartWithLastProfile=1

[Profile0]
Name=default
IsRelative=1
Path=pg6keyk5.default

---------------------
Firefox

bash-3.1$ ls /home/user/.mozilla/firefox
pluginreg.dat  profiles.ini  vivyiagg.default  vqurxjw1.default
bash-3.1$

ФайерФокс profiles.ini

General]
StartWithLastProfile=1

[Profile0]
Name=default
IsRelative=1
Path=vivyiagg.default

Устал три часа бодаться, пытаясь заставить работать ClamAv.
Банально не хватает времени, кучи другой работы.

Вытянул вручую файлы из папки С: Wine, просканил на Win-машине свежим CureIt.
"Вирусов не обнаружено".

Заработала, кстати, печать из-под юзера. Сама.
Хотя вчера вечером, даже прописанного принтера под юзером не наблюдалось.

[МИНЗДРАВ]

Устал три часа бодаться, пытаясь заставить работать ClamAv.

ClamAv файлы с русскими названиями лечить отказывается на отрез. Он не рабочий в наших репах! IMHO

[Rezedent12]

Не открывайте документы пользователя как диск D:
заведите отдельную папку `/wine_d .
И скажите всем чтоб не хранили в ней ничего важного, только нужное для работы вайновских прог.

[palex]

...прочитал "эпопею". внесу свои "5 ложек эликсира"...
Есть командочка history, название говорит за себя. Это к попытке выяснить не было ли rm -rf ./*
Есть еще Midnight Commander, тоже удобная штука для удаления файлов:-). У него тоже есть history, можно посмотреть.(Как в анекдоте - "слева диск С, справа диск С, зачем мне их два, удалю один")
      Опять же, про юзера-доброжелателя - смените права на каталог профиля мозиллы с 700 на 000 и боюсь, что ничего хорошего не будет. Способов напакостить локально значительно больше чем удаленно.
      И, простите, но к Карлсону Вы несправедливы. "Не умножай сущностей сверх необходимого". Вам говорят, что вероятнее всего какой-нибудь доброжелатель потер файлы, получив локальный доступ(неважно как), а Вы не верите. Просто, в случае с гипотетическим вирусом-трояном запущенным под ненастроеным (по Вашим словам) wine, он должен иметь очень хороший функционал и умудриться сначала выйти в домашний каталог из wine_c, что в 4.0 было возможно не "из коробки", емнип. Чтобы *.exe отрабатывались на "автомате" нужен был запуск /etc/init.d/wine, иначе ручками.. Если машина еще не убита, посмотрите на запуск этого скрипта в chkconfig - если он выключен, то это еще один минус к Вашей версии. + посмотреть - было ли создано wine окружение в домашнем каталоге, когда и что там есть... И т.д., просто спокойно пройти по вариантам, если Вам еще самому интересно.

Устал три часа бодаться, пытаясь заставить работать ClamAv.
Банально не хватает времени, кучи другой работы.
Вытянул вручую файлы из папки С: Wine, просканил на Win-машине свежим CureIt.

Запустите тот же самый CureIt под wine (полгода назад работало). Будет тормозить, но и искать чего-нибудь тоже будет.

[YYY]

ну вообще, по крайней мере в 4 альте по дефолту стартовал wine
но только как понимаю оно отвечает за быстрый запуск этого самого вайн, а не то что запускается что-то под вайн...
Также не совсем понятен механизм запуска этого "трояна"... От сырости он не мог взяться... Интернет ? Флешка ?
А как запустился ? Голая_Анна_Курникова.exe подействовало ?
Да и просто "потереть файлы"... Сколько не сталкивался под виндой - ну не встречал... Скрыть/Переместить ?
Да... Слышал что шифруют... Денежку попросить... Понимаю под дос такие были - сделал гадость и то радость...
Но тупо стереть в 21 веке :)
А какова вероятность что такой деструктивный вирус попал случайно, запустился под древним вайном и еще стер частично...
Никого не увольняли со скрипом ?

[Николай_Александрович]

palex

Голубчик, любезный, и Вы туда же?
Ну хоть немного-то людям надо верить, что ж за болезнь такая у завсегдатаев форумов?
Не веришь - промолчи, есть сомнения - спроси. Разве так не человечнее будет?

Говорю же - нет у нас хоть сколько бы продвинутых пользователей, не Win, ни уж тем более Linux.
Они ни черта не знают. Абсолютно ничего.

"Не умножай сущностей сверх необходимого".

Именно.
Чего сразу вглубь-то нырять?
И к чему упорствовать в неверии, "профили удалили", "юзер всё потёр", MC туда же ?
Вот они профили, и старые, и вдруг образовавшиеся новые.
Юзер(ша) 101% неспособна ни к "rm" ни к "MC".
Не стоит преувеличивать способности людей в том, в чём они ни черта не понимают.
Я сам про "rm" вот только в этой теме услышал.

Хистори, говорите?
А удаление в Конквере оно покажет?
Если юзерша удалила, то только в Конквере.
Причём в корзину, с последующим её подчищением.
Они даже не знают, что можно удалять напрямую.
Удаление в Конквере, чем и как можно посмотреть?

И т.д., просто спокойно пройти по вариантам, если Вам еще самому интересно.

Ответить честно?
Ни черта уже не интересно.
Глюкануло, да и хрен с ним.
Вот только, если честно, не ожидал подобного от Линукс-машины.
В понедельник тачка идёт под формат, с (на всякий случай) прогоном Мемтеста и Виктории.
А юзерша пусть к АркДесктопу привыкает, в минимальной конфигурации.

Интернет ? Флешка ? А как запустился ?

Хз.
Флешка - очень даже вряд ли.
Скорее, в инете чего-то выкачали, и мышкой покликали.
Или из почты, если чего такое в аттаче было.

Никого не увольняли со скрипом ?

Нет.
Админа если, так того нет уже три года. Я присматриваю и за компами тоже.
Вообще, людей почти не осталось, предприятие еле дышит.

Если у любопытствующих ещё (возможно) есть вопросы - задавайте.
До понедельника.

P.S. Ах да, есть же ещё syslog, где 16-го числа, в тот день, что-то зарегистрировалось в Wine, в 08:17. Выложить, или уже не особо интересно?

[Карлсон]

Ну хоть немного-то людям надо верить, что ж за болезнь такая у завсегдатаев форумов?

Верить людям? С чего вдруг? Код как написан, так и работает. Он не может психануть, он не может не выспаться, на него не действуют гормональные расстройства связанные с климаксом и т.п. Он не может мстить, и ему незнакомо чувство юмора. А вот люди...

[MySh]

Вопросы к гурам, знающим Wine:

Я, конечно, далеко не «гура» :D ,но всё же попробую вставить свои 5 копеек.

- троян-автозагрузчик, срабатываюший при вставлении флешки, может прописаться в Wine?

Наверное, может, если открывать флэшку через какую-то Windows-программу, в этом Wine запущенную. Иначе — вряд ли.

- если троян прописался в Wine, имеет ли он доступ в инет, из-под Wine?

Думаю, что да. Во всяком случае, Internet Explorer 6 этот доступ имеет, а почему бы не иметь его трояну?

-Вот только, если честно, не ожидал подобного от Линукс-машины.

«Абсолютной надёжности не существует. Доказано кувалдой.»

P.S. Ах да, есть же ещё syslog, где 16-го числа, в тот день, что-то зарегистрировалось в Wine, в 08:17. Выложить, или уже не особо интересно?

Вообще, интересно.

[palex]

ну вообще, по крайней мере в 4 альте по дефолту стартовал wine
но только как понимаю оно отвечает за быстрый запуск этого самого вайн, а не то что запускается что-то под вайн...
...........................
Никого не увольняли со скрипом ?

Если убрать wine из запуска, то прекращалась отработка файлов *.exe как исполняемых в файловых менеджерах и приходилось делать из консоли wine ./myfile.exe. Что-то типа того, давно не юзал wine, мог и подзабыть.
Про увольнение... да, бывает.... Но при поимке "умельца" деструкцию можно притянуть к статьям УК 272 и выше.

Не веришь - промолчи, есть сомнения - спроси. Разве так не человечнее будет?

Не поймите так, что над Вами прикалываются и тупо не верят. Просто степень доверия ограничена невозможностью получить доступ к пострадавшей системе, а выданной Вами информации было маловато(честно говоря, я даже не представляю, что попросить выложить, чтобы разобраться. разве что полный образ системы ). Заочно ремонтировать всегда тяжелее, а люди с разным уровнем подготовки сделают на одной системе разные выводы о ее работе.

Глюкануло, да и хрен с ним.

Вам виднее, но если бы "разбор полетов" достиг какого-нибудь положительного результата, то в будущем это могло быть руководством как можно(или нельзя) делать. Мало-ли сколько однотипных "граблей" бывает...
Кстати, history в konqueror все-таки есть - меню "Переход-Журнал", посмотрел. Вот только истории действий там не обнаружил, только посещаемость сайтов-каталогов.Хранится в .kde/share/apps/konqueror/konq_history