come ci si difende su linux? (e distribuzioni)

[Il cecchino Jackson]

Ehm xubuntu xfce o almeno da dove lo ho scaricato c'era scritto così

- - - Updated - - -

Che Desktop Environment stai usando. Nautilus è quello di Gnome, se hai LXDE per esempio è pcmanfm, mate ha Caja (che è Nautilus con gli occhiali)...
Se no ci sono mille altri modi per vedere il contenuto di un file, molto strano che ti serva root per visualizzarlo

Forse è sudo thunar poi provo . L'ultima frase non è confortante

 

[Ico Bellungi]

Ho provato anche io un check con rkhunter (mai provato prima) sulla mia Kali. Un sacco di warning, ma riguardavano tutti degli eseguibili sostituiti da script, una directory nascosta sospetta (/etc/.java) e qualche file secondo lui sospetto nella directory /dev/shm/.
Tutti falsi positivi

 

[Il cecchino Jackson]

Ma io non ho messo script , non scaricato files credo , a parte gli aggiornamenti , e non ho nascosto nulla. Comunque ho letto in giro che può dare falsi positivi . Quando riesco ad entrare in quella cartella , posto

 

[Ico Bellungi]

L'ultima frase non è confortante

Perché no. Mica è un problema, sono mille modi ma tutti i modi riconducono (a parte quello di usare una live nel caso in cui il tuo disco non fosse criptato) all'inserimento della password di root. E, anche se non ce ne fosse bisogno, si tratta di comunque di file di log.
Ok la paranoia, la capisco, ed è buona cosa se vuoi approfondire le questioni legate alla sicurezza. Ma no, in nessun caso il tuo sistema può essere infetto, a meno che tu non te lo sia infettato apposta, ma mica è facile

 

[Il cecchino Jackson]

Perché no. Mica è un problema, sono mille modi ma tutti i modi riconducono (a parte quello di usare una live nel caso in cui il tuo disco non fosse criptato) all'inserimento della password di root.

No ma mi riferivo a " è molto strano che ti chieda il root "
ehi aspetta ! Ora che mi viene in mente , nel processo di installazione ( ma era tardi potrei ricordare male) da qualche parte c'era scritto se volevo criptate , e non ho spuntato perchè pensavo fosse come bitlocker in Windows che consigliano di non criptare a meno di dati sensibilissimi.
e mo come lo cripto?

- - - Updated - - -

Poi una riflessione personale x quello che ho letto in giro : secondo me non dovete abbassare la guardia , i due so si avvicineranno sempre di più: avete presente Windows e Apple ? Tipo ora c'è iCloud x Windows , w10 integra già cose x collegare l'iPhone , Office gira anche su Apple , tempo fa ho letto qualcosa tipo che ora si può collegare non so come w10 a Linux o far partire Linux su w10 , non so non ci ho capito nulla e non ricordo

 

[Ico Bellungi]

e mo come lo cripto?

Non criptarlo. Se non l'hai fatto in fase di installazione, non farlo, sarebbe assai complicato. Però se vuoi puoi creare un nuovo utente con la /home criptata. Criptare il disco (e anche solo la /home) ti serve solo se hai timore che qualcuno possa prelevarti il PC per effettuare un'analisi forense. Se temi che arrivino a casa tua gli SWAT mentre dormi a prelevarti il PC criptalo, altrimenti no. Tanto poi, anche se lo cripti, gli SWAT ti cacceranno fuori la chiave dalla bocca a suon di calci sui denti.

Sono d'accordo con te, non abbassare la guardia.
Ma cosa vuoi stare in guardia dopo anni con Windows... fa' una prova da paranoici: installa Wireshark su Windows, tienti il browser e skype e tutto ciò che secondo te può fare traffico di rete spento e inizia a sniffare i pacchetti in entrata e in uscita. Non ci capirai niente, mille pacchetti che entrano ed escono tra multicast, broadcast della rete, eseguibili che aprono connessioni a destra e a manca senza una apparente ragione valida e, soprattutto, senza che sia stato tu a dirglielo. Se Wireshark è troppo complicato prova con un semplice netstat -tn.
Poi va' su Linux e fa' la stessa cosa: tutto tace, a parte qualche sporadico download in background dai server di Canonical (è apt-get che controlla se ci sono aggiornamenti dopo il boot)

 

[Il cecchino Jackson]

Non criptarlo. Se non l'hai fatto in fase di installazione, non farlo, sarebbe assai complicato. Però se vuoi puoi creare un nuovo utente con la /home criptata. Criptare il disco (e anche solo la /home) ti serve solo se hai timore che qualcuno possa prelevarti il PC per effettuare un'analisi forense. Se temi che arrivino a casa tua gli SWAT mentre dormi a prelevarti il PC criptalo, altrimenti no. Tanto poi, anche se lo cripti, gli SWAT ti cacceranno fuori la chiave dalla bocca a suon di calci sui denti.

XD no beh , non mi serve per quello, questo netbook non lo userei più,mi è rimasto dal passato e non lo butto,piuttosto lo uso per provare appunto linux o di scorta se si rompe il surface (giusto per vedere files in giro),intendevo solo se potesse servire per evitare ogni volta questo inconventinte della password. al massimo posso anche rifare l'installazione tanto ormai credo(andrò a chiedere su ubuntu italia) di saperla fare correttamente (l'unico dubbio è perchè non comparisse già lynux swap ma abbia dovuto crearlo al momento io).

beh ma allora voi perchè criptate ? avete paura degli swat?:D


comuqnue sono entrato con sudo thunar. devo ancora caricare il log perchè ci metteva tanto a caricarlo.

grazie mille

 

[Ico Bellungi]

beh ma allora voi perchè criptate ? avete paura degli swat?:D

A casa non cripto, sul PC del lavoro ho la /home criptata. Un altro motivo per criptare il un disco è quello di evitare di cambiare le password se entrano a rubarti in casa e ti portano via il PC

 

[EmanueleC]

XD no beh , non mi serve per quello, questo netbook non lo userei più,mi è rimasto dal passato e non lo butto,piuttosto lo uso per provare appunto linux o di scorta se si rompe il surface (giusto per vedere files in giro),intendevo solo se potesse servire per evitare ogni volta questo inconventinte della password. al massimo posso anche rifare l'installazione tanto ormai credo(andrò a chiedere su ubuntu italia) di saperla fare correttamente (l'unico dubbio è perchè non comparisse già lynux swap ma abbia dovuto crearlo al momento io).

beh ma allora voi perchè criptate ? avete paura degli swat?:D


comuqnue sono entrato con sudo thunar. devo ancora caricare il log perchè ci metteva tanto a caricarlo.

grazie mille

Ma che devi fare con "sudo thunar" ? :look:
Io non crypto la home, non ho documenti riservati, non ho un portatile, quindi magari uno crypta la home su un portatile in caso di perdita del portatile stesso, una questione di privacy, altrimenti non ne hai motivo, ti rallenta solo l'avvio la cryptazione della home.

 

[Il cecchino Jackson]

sudo thunar mi è servito per aprire il log di rootkit hunter

- - - Updated - - -

e non ho capito se, una volta chiuso il terminale, torno subito account locale

- - - Updated - - -

comunque chiariamo una cosa, sennò davvero sembra che faccio cose senza senso: del netbook la sicurezza mi frega nulla o quasi (a meno che non debba temporaneamente tornare ad usarlo perchè altro è fuori uso e quindi debba in qualche modo creare comunicazioni ,fisiche, con altri pc). non è che provo linux solo a muzzo. mi interessa davvero se mi può piacere e soddisfare più di windows. in caso non escludo di buttare prorpio windows in futuro se posso. al momento il dubbio è solo che sia troppo difficile da usare. non vedo perchè regalare soldi a windows (che mi fa imprecare ma mano che aggiorna a versioni successive) se un altro mi può dare di più e anche a prezzo minore

- - - Updated - - -

ah e poi dimenticavo: vi capiterà di interagire con persone windows che vi passano dispositivi usb : come li scannerizzate prima o durante l'inserimento nel vostro pc???

- - - Updated - - -

ciao,scusate ma per il log dice che il formato non è supportato quindi non riesco a caricarlo,quindi copio e incollo
grazie


EDIT: MI accorgo solo ora che non ci sono warning, mi pare in questo file. ce ne è un altro però con estensione .old che non riesco a visualizzare e non lo ho quindi incollato

Spoiler

[04:28:32] Running Rootkit Hunter version 1.4.2 on
[04:28:32]
[04:28:32] Info: Start date is mar 12 apr 2016, 04.28.32, CEST
[04:28:32]
[04:28:32] Checking configuration file and command-line options...
[04:28:32] Info: Detected operating system is 'Linux'
[04:28:33] Info: Found O/S name: Ubuntu 15.10
[04:28:33] Info: Command line is /usr/bin/rkhunter --cronjob
[04:28:33] Info: Environment shell is /bin/bash; rkhunter is using dash
[04:28:33] Info: Using configuration file '/etc/rkhunter.conf'
[04:28:33] Info: Installation directory is '/usr'
[04:28:33] Info: Using language 'en'
[04:28:33] Info: Using '/var/lib/rkhunter/db' as the database directory
[04:28:33] Info: Using '/usr/share/rkhunter/scripts' as the support script directory
[04:28:33] Info: Using '/usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /sbin /bin' as the command directories
[04:28:33] Info: Using '/var/lib/rkhunter/tmp' as the temporary directory
[04:28:33] Info: No mail-on-warning address configured
[04:28:33] Info: X will be automatically detected
[04:28:33] Info: Using second color set
[04:28:33] Info: Found the 'basename' command: /usr/bin/basename
[04:28:33] Info: Found the 'diff' command: /usr/bin/diff
[04:28:33] Info: Found the 'dirname' command: /usr/bin/dirname
[04:28:33] Info: Found the 'file' command: /usr/bin/file
[04:28:33] Info: Found the 'find' command: /usr/bin/find
[04:28:33] Info: Found the 'ifconfig' command: /sbin/ifconfig
[04:28:33] Info: Found the 'ip' command: /sbin/ip
[04:28:33] Info: Found the 'ipcs' command: /usr/bin/ipcs
[04:28:33] Info: Found the 'ldd' command: /usr/bin/ldd
[04:28:33] Info: Found the 'lsattr' command: /usr/bin/lsattr
[04:28:33] Info: Found the 'lsmod' command: /sbin/lsmod
[04:28:33] Info: Found the 'lsof' command: /usr/bin/lsof
[04:28:33] Info: Found the 'mktemp' command: /bin/mktemp
[04:28:33] Info: Found the 'netstat' command: /bin/netstat
[04:28:33] Info: Found the 'perl' command: /usr/bin/perl
[04:28:33] Info: Found the 'pgrep' command: /usr/bin/pgrep
[04:28:33] Info: Found the 'ps' command: /bin/ps
[04:28:33] Info: Found the 'pwd' command: /bin/pwd
[04:28:34] Info: Found the 'readlink' command: /bin/readlink
[04:28:34] Info: Found the 'stat' command: /usr/bin/stat
[04:28:34] Info: Found the 'strings' command: /usr/bin/strings
[04:28:34] Info: System is not using prelinking
[04:28:34] Info: Using the '/usr/bin/sha256sum' command for the file hash checks
[04:28:34] Info: Stored hash values used hash function '/usr/bin/sha256sum'
[04:28:34] Info: Stored hash values did not use a package manager
[04:28:34] Info: The hash function field index is set to 1
[04:28:34] Info: No package manager specified: using hash function '/usr/bin/sha256sum'
[04:28:34] Info: Previous file attributes were stored
[04:28:34] Info: Enabled tests are: all
[04:28:34] Info: Disabled tests are: suspscan hidden_procs deleted_files packet_cap_apps apps
[04:28:34] Info: Found ksym file '/proc/kallsyms'
[04:28:34] Info: Using syslog for some logging - facility/priority level is 'authpriv.warning'.
[04:28:34] Info: Using 'date' to process epoch second times
[04:28:34]
[04:28:34] Checking if the O/S has changed since last time...
[04:28:34] Info: Nothing seems to have changed.
[04:28:34] Info: Locking is not being used
[04:28:34]
[04:28:34] Starting system checks...
[04:28:34]
[04:28:34] Info: Starting test name 'system_commands'
[04:28:34] Checking system commands...
[04:28:34]
[04:28:34] Info: Starting test name 'strings'
[04:28:34] Performing 'strings' command checks
[04:28:34] Scanning for string /usr/sbin/ntpsx [ OK ]
[04:28:34] Scanning for string /usr/sbin/.../bkit-ava [ OK ]
[04:28:34] Scanning for string /usr/sbin/.../bkit-d [ OK ]
[04:28:35] Scanning for string /usr/sbin/.../bkit-shd [ OK ]
[04:28:35] Scanning for string /usr/sbin/.../bkit-f [ OK ]
[04:28:35] Scanning for string /usr/include/.../proc.h [ OK ]
[04:28:35] Scanning for string /usr/include/.../.bash_history [ OK ]
[04:28:35] Scanning for string /usr/include/.../bkit-get [ OK ]
[04:28:35] Scanning for string /usr/include/.../bkit-dl [ OK ]
[04:28:35] Scanning for string /usr/include/.../bkit-screen [ OK ]
[04:28:35] Scanning for string /usr/include/.../bkit-sleep [ OK ]
[04:28:35] Scanning for string /usr/lib/.../bkit-adore.o [ OK ]
[04:28:35] Scanning for string /usr/lib/.../ls [ OK ]
[04:28:35] Scanning for string /usr/lib/.../netstat [ OK ]
[04:28:35] Scanning for string /usr/lib/.../lsof [ OK ]
[04:28:35] Scanning for string /usr/lib/.../bkit-ssh/bkit-shdcfg [ OK ]
[04:28:35] Scanning for string /usr/lib/.../bkit-ssh/bkit-shhk [ OK ]
[04:28:35] Scanning for string /usr/lib/.../bkit-ssh/bkit-pw [ OK ]
[04:28:36] Scanning for string /usr/lib/.../bkit-ssh/bkit-shrs [ OK ]
[04:28:36] Scanning for string /usr/lib/.../bkit-ssh/bkit-mots [ OK ]
[04:28:36] Scanning for string /usr/lib/.../uconf.inv [ OK ]
[04:28:36] Scanning for string /usr/lib/.../psr [ OK ]
[04:28:36] Scanning for string /usr/lib/.../find [ OK ]
[04:28:36] Scanning for string /usr/lib/.../pstree [ OK ]
[04:28:36] Scanning for string /usr/lib/.../slocate [ OK ]
[04:28:36] Scanning for string /usr/lib/.../du [ OK ]
[04:28:36] Scanning for string /usr/lib/.../top [ OK ]
[04:28:36] Scanning for string /usr/sbin/... [ OK ]
[04:28:36] Scanning for string /usr/include/... [ OK ]
[04:28:36] Scanning for string /usr/include/.../.tmp [ OK ]
[04:28:36] Scanning for string /usr/lib/... [ OK ]
[04:28:36] Scanning for string /usr/lib/.../.ssh [ OK ]
[04:28:36] Scanning for string /usr/lib/.../bkit-ssh [ OK ]
[04:28:37] Scanning for string /usr/lib/.bkit- [ OK ]
[04:28:37] Scanning for string /tmp/.bkp [ OK ]
[04:28:37] Scanning for string /tmp/.cinik [ OK ]
[04:28:37] Scanning for string /tmp/.font-unix/.cinik [ OK ]
[04:28:37] Scanning for string /lib/.sso [ OK ]
[04:28:37] Scanning for string /lib/.so [ OK ]
[04:28:37] Scanning for string /var/run/...dica/clean [ OK ]
[04:28:37] Scanning for string /var/run/...dica/dxr [ OK ]
[04:28:37] Scanning for string /var/run/...dica/read [ OK ]
[04:28:37] Scanning for string /var/run/...dica/write [ OK ]
[04:28:37] Scanning for string /var/run/...dica/lf [ OK ]
[04:28:37] Scanning for string /var/run/...dica/xl [ OK ]
[04:28:37] Scanning for string /var/run/...dica/xdr [ OK ]
[04:28:37] Scanning for string /var/run/...dica/psg [ OK ]
[04:28:37] Scanning for string /var/run/...dica/secure [ OK ]
[04:28:38] Scanning for string /var/run/...dica/rdx [ OK ]
[04:28:38] Scanning for string /var/run/...dica/va [ OK ]
[04:28:38] Scanning for string /var/run/...dica/cl.sh [ OK ]
[04:28:38] Scanning for string /var/run/...dica/last.log [ OK ]
[04:28:38] Scanning for string /usr/bin/.etc [ OK ]
[04:28:38] Scanning for string /etc/sshd_config [ OK ]
[04:28:38] Scanning for string /etc/ssh_host_key [ OK ]
[04:28:38] Scanning for string /etc/ssh_random_seed [ OK ]
[04:28:38] Scanning for string /dev/ptyp [ OK ]
[04:28:38] Scanning for string /dev/ptyq [ OK ]
[04:28:38] Scanning for string /dev/ptyr [ OK ]
[04:28:38] Scanning for string /dev/ptys [ OK ]
[04:28:38] Scanning for string /dev/ptyt [ OK ]
[04:28:38] Scanning for string /dev/fd/.88/freshb-bsd [ OK ]
[04:28:38] Scanning for string /dev/fd/.88/fresht [ OK ]
[04:28:39] Scanning for string /dev/fd/.88/zxsniff [ OK ]
[04:28:39] Scanning for string /dev/fd/.88/zxsniff.log [ OK ]
[04:28:39] Scanning for string /dev/fd/.99/.ttyf00 [ OK ]
[04:28:39] Scanning for string /dev/fd/.99/.ttyp00 [ OK ]
[04:28:39] Scanning for string /dev/fd/.99/.ttyq00 [ OK ]
[04:28:39] Scanning for string /dev/fd/.99/.ttys00 [ OK ]
[04:28:39] Scanning for string /dev/fd/.99/.pwsx00 [ OK ]
[04:28:39] Scanning for string /etc/.acid [ OK ]
[04:28:39] Scanning for string /usr/lib/.fx/sched_host.2 [ OK ]
[04:28:39] Scanning for string /usr/lib/.fx/random_d.2 [ OK ]
[04:28:39] Scanning for string /usr/lib/.fx/set_pid.2 [ OK ]
[04:28:39] Scanning for string /usr/lib/.fx/setrgrp.2 [ OK ]
[04:28:39] Scanning for string /usr/lib/.fx/TOHIDE [ OK ]
[04:28:39] Scanning for string /usr/lib/.fx/cons.saver [ OK ]
[04:28:39] Scanning for string /usr/lib/.fx/adore/ava/ava [ OK ]
[04:28:40] Scanning for string /usr/lib/.fx/adore/adore/adore.ko [ OK ]
[04:28:40] Scanning for string /bin/sysback [ OK ]
[04:28:40] Scanning for string /usr/local/bin/sysback [ OK ]
[04:28:40] Scanning for string /usr/lib/.tbd [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/t0rns [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/du [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/ls [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/t0rnsb [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/ps [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/t0rnp [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/find [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/ifconfig [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/pg [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/ssh.tgz [ OK ]
[04:28:40] Scanning for string /dev/.lib/lib/lib/top [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/sz [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/login [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/in.fingerd [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/1i0n.sh [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/pstree [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/in.telnetd [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/mjy [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/sush [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/tfn [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/name [ OK ]
[04:28:41] Scanning for string /dev/.lib/lib/lib/getip.sh [ OK ]
[04:28:41] Scanning for string /usr/info/.torn/sh* [ OK ]
[04:28:41] Scanning for string /usr/src/.puta/.1addr [ OK ]
[04:28:41] Scanning for string /usr/src/.puta/.1file [ OK ]
[04:28:41] Scanning for string /usr/src/.puta/.1proc [ OK ]
[04:28:41] Scanning for string /usr/src/.puta/.1logz [ OK ]
[04:28:42] Scanning for string /usr/info/.t0rn [ OK ]
[04:28:42] Scanning for string /dev/.lib [ OK ]
[04:28:42] Scanning for string /dev/.lib/lib [ OK ]
[04:28:42] Scanning for string /dev/.lib/lib/lib [ OK ]
[04:28:42] Scanning for string /dev/.lib/lib/lib/dev [ OK ]
[04:28:42] Scanning for string /dev/.lib/lib/scan [ OK ]
[04:28:42] Scanning for string /usr/src/.puta [ OK ]
[04:28:42] Scanning for string /usr/man/man1/man1 [ OK ]
[04:28:42] Scanning for string /usr/man/man1/man1/lib [ OK ]
[04:28:42] Scanning for string /usr/man/man1/man1/lib/.lib [ OK ]
[04:28:42] Scanning for string /usr/man/man1/man1/lib/.lib/.backup [ OK ]
[04:28:42]
[04:28:42] Info: Starting test name 'shared_libs'
[04:28:42] Performing 'shared libraries' checks
[04:28:42] Checking for preloading variables [ None found ]
[04:28:42] Checking for preloaded libraries [ None found ]
[04:28:43]
[04:28:43] Info: Starting test name 'shared_libs_path'
[04:28:43] Checking LD_LIBRARY_PATH variable [ Not found ]
[04:28:43]
[04:28:43] Info: Starting test name 'properties'
[04:28:43] Performing file properties checks
[04:28:43] Checking for prerequisites [ OK ]
[04:28:53] /usr/sbin/adduser [ OK ]
[04:28:53] Info: Found file '/usr/sbin/adduser': it is whitelisted for the 'script replacement' check.
[04:28:53] /usr/sbin/chroot [ OK ]
[04:28:54] /usr/sbin/cron [ OK ]
[04:28:55] /usr/sbin/groupadd [ OK ]
[04:28:55] /usr/sbin/groupdel [ OK ]
[04:28:55] /usr/sbin/groupmod [ OK ]
[04:28:55] /usr/sbin/grpck [ OK ]
[04:28:57] /usr/sbin/nologin [ OK ]
[04:28:57] /usr/sbin/pwck [ OK ]
[04:28:58] /usr/sbin/rsyslogd [ OK ]
[04:28:59] /usr/sbin/tcpd [ OK ]
[04:28:59] /usr/sbin/useradd [ OK ]
[04:29:00] /usr/sbin/userdel [ OK ]
[04:29:00] /usr/sbin/usermod [ OK ]
[04:29:00] /usr/sbin/vipw [ OK ]
[04:29:01] /usr/bin/awk [ OK ]
[04:29:01] /usr/bin/basename [ OK ]
[04:29:02] /usr/bin/chattr [ OK ]
[04:29:02] /usr/bin/cut [ OK ]
[04:29:02] /usr/bin/diff [ OK ]
[04:29:03] /usr/bin/dirname [ OK ]
[04:29:03] /usr/bin/dpkg [ OK ]
[04:29:03] /usr/bin/dpkg-query [ OK ]
[04:29:03] /usr/bin/du [ OK ]
[04:29:04] /usr/bin/env [ OK ]
[04:29:04] /usr/bin/file [ OK ]
[04:29:04] /usr/bin/find [ OK ]
[04:29:05] /usr/bin/GET [ OK ]
[04:29:05] /usr/bin/groups [ OK ]
[04:29:05] /usr/bin/head [ OK ]
[04:29:05] /usr/bin/id [ OK ]
[04:29:06] /usr/bin/killall [ OK ]
[04:29:06] /usr/bin/last [ OK ]
[04:29:07] /usr/bin/lastlog [ OK ]
[04:29:07] /usr/bin/ldd [ OK ]
[04:29:07] Info: Found file '/usr/bin/ldd': it is whitelisted for the 'script replacement' check.
[04:29:07] /usr/bin/less [ OK ]
[04:29:07] /usr/bin/locate [ OK ]
[04:29:08] /usr/bin/logger [ OK ]
[04:29:08] /usr/bin/lsattr [ OK ]
[04:29:08] /usr/bin/lsof [ OK ]
[04:29:08] /usr/bin/mail [ Warning ]
[04:29:08] Warning: The file '/usr/bin/mail' exists on the system, but it is not present in the 'rkhunter.dat' file.
[04:29:09] /usr/bin/md5sum [ OK ]
[04:29:09] /usr/bin/mlocate [ OK ]

 

[Ico Bellungi]

Ce n'è uno di warning: /usr/bin/mail ha un hash non conosciuto da rkhunter. Le cose sono due, quelli che manutengono rkhunter non conoscono quel file con quella versione, o quell'eseguibile è malevolo. Per essere sicuro che un hacker non abbia compromesso quel file, dovresti scaricare il pacchetto .deb che lo contiene, decomprimerlo senza installarlo e fare un md5sum del file presente nel pacchetto e di quello in /usr/bin. Se coincidono, a quel punto ci sono due ipotesi: quelli che manutengono rkhunter non conoscono quel file con quella versione, o qualche hacker ha bucato il mirror di Ubuntu che stai usando ed ha iniettato un eseguibile malevolo in quel pacchetto.

E' improbabile che sia davvero infetto, ma se hai dei dubbi, prova come ti ho detto. oppure con tcpdump analizzi tutto il traffico prodotto da quel file.
divertiti

 

[Il cecchino Jackson]

Ce n'è uno di warning: /usr/bin/mail ha un hash non conosciuto da rkhunter. Le cose sono due, quelli che manutengono rkhunter non conoscono quel file con quella versione, o quell'eseguibile è malevolo. Per essere sicuro che un hacker non abbia compromesso quel file, dovresti scaricare il pacchetto .deb che lo contiene, decomprimerlo senza installarlo e fare un md5sum del file presente nel pacchetto e di quello in /usr/bin. Se coincidono, a quel punto ci sono due ipotesi: quelli che manutengono rkhunter non conoscono quel file con quella versione, o qualche hacker ha bucato il mirror di Ubuntu che stai usando ed ha iniettato un eseguibile malevolo in quel pacchetto.

E' improbabile che sia davvero infetto, ma se hai dei dubbi, prova come ti ho detto. oppure con tcpdump analizzi tutto il traffico prodotto da quel file.
divertiti

ciao grazie. cmq come detto ,c'è un altro log che non riesco a leggere con estensione .old e ti assicuro che ho visto più warning in diretta, saranno nell'altro log.

mail? non so cosa sia ma se intende la posta ma mi ero loggato nella mail di gmail.

vedi che bisogna stare attenti? :D credo che non farò nulla del genere e disinstallerò XD no davvero ti ringrazio ma non ho idea come fare e non voglio farti perdere più tempo. vedi: uno deve fare ogni volta sta cosa? a sto punto meglio mettere un av . mi sa che me la sono o me la avete tirata

guarda @pacoti un hacker uzbeco XD

- - - Updated - - -

virus total e gli altri scan online non funzionano con linux per curiosità?

 

[Ico Bellungi]

uno devo fare ogni volta sta cosa? a sto punto meglio mettere un av . mi sa che me la sono o me la avete tirata

No, uno si fida della comunità, formata da decine di migliaia dei migliori programmatori del mondo che ti dicono che stai al sicuro.
Gli AV sono molto meno affidabili, lasciano passare tante di quelle porcherie... prima che un malware venga detectato devono passare diverse settimane dalla sua uscita, durante le quali ha già infettato migliaia di dispositivi. Tempo che esce un update delle firme virali che contenga quel determinato malware, ne sono già uscite venti varianti non detectabili. Mica la gente che si prende i ransomware è senza antivirus, ce l'ha eccome.

Virustotal funziona con Linux: gli mandi il file sospetto e loro lo analizzano con tutti gli antivirus che hanno

 

[Il cecchino Jackson]

eh ma usando lo strumento cerca non lo trovo sto files. come si cerca???

 

[EmanueleC]

Che poi, contro un exploit un Antivirus è inutile...