Buon anno nuovo col botto!

Apro questa discussione per raccontarvi quello che mi è successo proprio il giorno di Capodanno. Quello che vi racconto merita la massima attenzione. Incominciamo. Tutto inizia come ogni mattina con l’avvio del mio computer. Ho controllato la mia posta elettronica, ho controllato se aMule aveva scaricato qualche files di mio interesse, visitato qualche sito, insomma niente di particolare.Verso le 18.00 di pomeriggio ho notato degli strani comportamenti nell’uso di Firefox. Esso non funzionava come volevo io mentre esaminavo le pagine. Lo chiudevo ma il problema si riproponeva. Ho sentito puzza di rogne. Ho effettuato una scansione del sistema con clamtk, ho installato rkhunter per un ulteriore verifica e sono spuntati alcuni avvisi. Ho avviato Krusader in modalità super-utente con sudo e scoperto un piccolo problema: qualcuno aveva modificato i files passwd e shadow. Visto che erano presenti le vecchie versioni ho cancellato le nuove, mi sono sconnesso e forse l’intruso ha capito il messaggio. Oggi ho modificato anche la password utente per maggior sicurezza. Visto che la macchina viene aggiornata periodicamente, visto che il pacchetto “infame” log4j era tra quelli aggiornati ma considerando il comportamento del mio desktop che è il mio solito KDE Plasma sotto XWindow penso che da qualche parte ci sia una falla perchè il problema era tipico di chi aveva un controllo in remoto. Lancio un avviso su Bugzilla? Comunque buon anno a tutti…

Se apri un bug faccelo sapere, sarà interessante seguirne l’evoluzione.

Ciao ergosum, grazie per la tua risposta. C’è un problema: come indicarlo. Nasce da un bug creato dall’eliminazione del bug in log4j ( possibile), da un bug di X11 o da qualcosa in KDE Plasma? Indubbiamente era entrato creando una shell e ciò entrerebbe nel bug di log4j ma il sistema era appena stato aggiornato. Che ne pensi? Devo segnalare la cosa, quello è certo.

Bé, a quanto pare dopo il cambio della password e la cura di sicurezza il problema si è risolto da sé. Forse è meglio che chiuda questa discussione.

ho notato degli strani comportamenti nell’uso di Firefox. Esso non funzionava come volevo io mentre esaminavo le pagine. Lo chiudevo ma il problema si riproponeva.

Sei parecchio vago… di che strani comportamenti stiamo parlando?

Stiamo parlando di un computer utilizzato a casa?
Immagino anche che in tal caso tu sia dietro al solito NAT creato dal router di casa tua. Esponi qualche servizio su internet? Non so come funzioni aMule e/o il suo protocollo in dettaglio (usa log4j?), ma hai aperto porte per farlo vedere al mondo?

qualcuno aveva modificato i files passwd e shadow

Se qualcuno e’ riuscito a modificare quei file o e’ gia’ root sulla macchina o gli hai dato accesso te tramite sudo in qualche modo, non capisco che senso abbia modificarli se non per mantenere l’accesso in futuro.
Come fa krusader (che e’ un file manager) a capire che quei file sono stati modificati? Hai notato te che avevano una data recente? Sicuro che (ipotizzo in quanto non hai spiegato cosa sia successo) magari non fosse stato un aggiornamento di pacchetti con dnf che ha creato un nuovo utente di sistema?
Hai controllato cosa e’ stato modificato in quei file, ad es se un nuovo utente e’ stato aggiunto o un utente di sistema non riconosciuto adesso ha una password settata?

Ciao bebo_sudo,
ho appena letto della tua domanda. Cercherò di risponderti in ordine. Fino ad oggi quel problema che stiamo qui a discutere non si è più presentato. Adesso a noi. Ecco le mie risposte:

  1. Firefox in quel breve periodo quando guardavo una pagina e usavo la barra laterale non agiva come di consueto.
  2. Uso un computer casalingo fisso con una connessione wi-fi legata ad un router. Non espongo alcun servizio, uso la configurazione di default di Fedora.
  3. Davanti a quel strano comportamento ho lanciato Krusader e ho notato che le date dei due files dove sono conservate le password erano state modificate quel giorno. Ho rimosso i nuovi files ripristinando le copie di backup, controllato il sistema con clamtk e rkhinter e aggiornato la mia password creandone una più lunga.