• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Взлом рабочего пк на линуксе

slac0x16

New member
11.07.2022
4
0
Ребят, в общем, приключилась со мной очень интересная, и неприятная ситуация. У меня, как оказалось, был заражён домашний ноут хрен пойми чем. Пока я пребывал в неведении об этом, на работе мне дали пароль от openvpn для подключения к сети предприятия, что бы мог удаленно код писать, а не балду пинать на удалёнке. Я подключился к своему рабочему(на предприятии) пк, который по сути постоянно был в сети. Подключился после аутентификации по данным, выданным от админов, по ssh - пароль логин от root. На рабочем пк операционная система - убунта 20. Таким образом, засветил все данные, которые только можно. Сразу после этого момента, "внезапно"(как мне на тот момент казалось) полностью отвалилась сеть именно у моей машинки. Как я понимаю(я в этом не особо силен), доступ именно в интернет, а не в локальную сеть у рабочего пк осуществлялась через прокси, в настройках браузера прописывался адрес и порт, и через него волшебным образом появлялся доступ в глобальную сеть. Так же, там стоят какие-то самописные сертификаты для файрфокса, которые я не понимаю, для чего нужны. После отвала сетки(я ее не связывал с заражением компа), админы что-то шаманили с неделю, и инет вроде худо бедно завели. Как они сказали, был ещё ПК с моим айпишником. Немного напрягся, попросил админа поменять пароль на openvpn, сменили. Пытаюсь поменять пароль на root - sudo passwd, говорит, что окей, пароль принят, но по факту остаётся тем же. Получилось только через gui в настройках, но теперь думаю, что в этом смысла мало. Успокоил себя, что в меня начинается паранойя, и это просто чреда определенных совпадений. В локальном мессенджере(маттермост локальный) додумался спустя неделю посмотреть историю входов/выходов. Показало какую-то левую сессию с временем входа, когда я благополучно спал, а потом ребята с работы спросили, почему я постоянно нахожусь онлайн в этом маттермосте. Плюс, иногда при моем Коннекте в маттермост, в консоли появляется ошибка о том, что нужно проверить web сокет. Насколько я понял, человек получил доступ к моему рабочему(на предприятии) компу по ssh, с уветными данными, которые я умудрился засветить, и очень долгое время делал, что ему взбрело в голову(я опомнился только через несколько месяцев). Отсюда и отвалившийся инет сразу после моего удаленного коннекта, и онлайн в маттермосте,и невозможность поменять пароль на root. После этой длинной предыстории, мне хотелось бы узнать, что можно сделать в данной ситуации. Списывать все на череду совпадений уже не стану, очевидно, что взломали, причем ладно бы просто домашний ноут, так я рабочий комп с локальными репозиториями и мессенджером умудрился профукать. Компетенция админов, к которым я обращался по этому поводу, заканчивается на работе с осями, отличной от винды, и кроме как просканировать систему антивирусом, они ничего не смогли посоветовать. Если у злоумышленника был доступ к моему рабочему ПК больше месяца, мог ли он поставить штуки, которые могут пробиться через прокси напрямую к моему ПК, даже если я поменяю пароль на openvpn ,и у него не будет доступа к локальной сети предприятия? Смена пароля openvpn после такого срока бездействия хоть чем то сможет помочь? Просканировал всем, чем только можно, chrotkit, nod32 линуксовый, есет линуксовый, чекал историю сетевой активности(есть левое ssh соединение с прокси сервером. Зачем?), Они либо ничего не находят, либо просто ругаются на изменённые хешсуммы файлов. Плюс, линь не единственная ос, которая стоит на компе. Есть ещё параллельно ей винда, которую я вообще не запускаю, но в теории наверное может быть, что вирусы там и прячутся, множатся и процветают. Я просто полный нуб в этом деле, и понимаю,что сам точно не разберусь, поэтому и прошу помощи. Даже если не получится руками удалить все эти штуки, и смена пароля на openvp ничего не даст, так как из-за вирусов у хакера есть доступ напрямую к ПК, то как правильно и наверняка снести всю эту дрянь? Форматировать диск со всеми разделами? Может эта херня забраться в загрузочные сектора, которые потом почистить получится только молотком или сильным магнитом? В общем, прошу у вас помощи.
 

slac0x16

New member
11.07.2022
4
0
Перечитал свое сообщение, выглядит слегка сумбурно, еще раз в кратце опишу суть:
1) На домашнем ноуте подключался к рабочему ПК с помощью openvpn, а далее, после того, как получил доступ в сеть предприятия, по ssh по логину и паролю от root.
2) Начались "внезапные и случайные " проблемы с вечным онлайном в локальном мессенджере, в невозможности сменить пароль на руте, левые сессии в маттермосте и ssh, и отваливающийся интернет в www(работает через прокси, в настройках браузера прописываем адрес сервера, и порт. Ставятся сертификаты для файрфокса)
3) Сменил пароль от openvpn, через гуи поменял пароль на руте, запретил Коннект у руту по логину.
Вопросы:
1)Может ли злоумышленник, которое долгое время оставался незаметным, закинуть такие эксплойты, которые позволяют напрямую управлять моим пк, даже если у него нет пароля у опенвп и он не имеет подключения к локальной сети предприятия.

2) если есть доступ напрямую, чем можно это вылечить? Утилиты по поиску руткитов, и линуксовые антивирусы ничего не дают, насколько я понимаю, плюс, они не смотрят на сектора, размеченные на Винду.
3) Если нельзя вылечить, как наверняка убить все это добро? Достаточно ли отформатировать весь диск, или за все это время вирусняки смогли в загрузочные сектора пробраться, и единственная возможность - замена жёсткого диска или низкоуровневое форматирование.
Ещё раз всем спасибо за понимание, сильно не бейте, если я путаю/неверно использую термины и определения, или спрашиваю что-то очевидное и нубскок
 

jiltfi

Green Team
21.01.2022
42
4
Перечитал свое сообщение, выглядит слегка сумбурно, еще раз в кратце опишу суть:
1) На домашнем ноуте подключался к рабочему ПК с помощью openvpn, а далее, после того, как получил доступ в сеть предприятия, по ssh по логину и паролю от root.
2) Начались "внезапные и случайные " проблемы с вечным онлайном в локальном мессенджере, в невозможности сменить пароль на руте, левые сессии в маттермосте и ssh, и отваливающийся интернет в www(работает через прокси, в настройках браузера прописываем адрес сервера, и порт. Ставятся сертификаты для файрфокса)
3) Сменил пароль от openvpn, через гуи поменял пароль на руте, запретил Коннект у руту по логину.
Вопросы:
1)Может ли злоумышленник, которое долгое время оставался незаметным, закинуть такие эксплойты, которые позволяют напрямую управлять моим пк, даже если у него нет пароля у опенвп и он не имеет подключения к локальной сети предприятия.

2) если есть доступ напрямую, чем можно это вылечить? Утилиты по поиску руткитов, и линуксовые антивирусы ничего не дают, насколько я понимаю, плюс, они не смотрят на сектора, размеченные на Винду.
3) Если нельзя вылечить, как наверняка убить все это добро? Достаточно ли отформатировать весь диск, или за все это время вирусняки смогли в загрузочные сектора пробраться, и единственная возможность - замена жёсткого диска или низкоуровневое форматирование.
Ещё раз всем спасибо за понимание, сильно не бейте, если я путаю/неверно использую термины и определения, или спрашиваю что-то очевидное и нубскок
если ты удалил вирус со своего домашнего пк + у злоумышленника нет доступа к впн, то скорее всего всё нормально. думаю, у вас корпоративная сеть не имеет прямого выхода к интернету, если это так то скорее всего всё в порядке
 

slac0x16

New member
11.07.2022
4
0
Сегодня убедился, что все таки есть у них доступ. Интернет снова отвалился и время на моей машинке стало +3 к Москве. Я очень поздно спохватился удалять со своего домашнего ноута все это вирусное добро, и что самое неприятное, на нашем предприятие максимально нешарящие админы, и их развернутый прокси, это скорее плюс для взломщика, чем минус. В общем, буду переставлять систему, в связи с этим только вызывает вопросы одно : возможны ли такие эксплойты, при условии что у "доброжелателя" было куча свободного времени, которые забивают загрузочный сектор, и что даже "sudo rm -rf" всех секторов,и винды, и линя, не поможет ?
 

jiltfi

Green Team
21.01.2022
42
4
вообще поможет. Хотя если они установили буткит(это как раз вирус который глубже(он загружается перед инициализацией системы))надеюсь правильно выразился, вот статья
при таком раскладе надо ещё и биос перепрошить. но я думаю тебе будет более чем достаточно переустановить ос. правда я думаю есть менее радикальный способ решить проблему со злоумышлеником
 

slac0x16

New member
11.07.2022
4
0
вообще поможет. Хотя если они установили буткит(это как раз вирус который глубже(он загружается перед инициализацией системы))надеюсь правильно выразился, вот статья
при таком раскладе надо ещё и биос перепрошить. но я думаю тебе будет более чем достаточно переустановить ос. правда я думаю есть менее радикальный способ решить проблему со злоумышлеником
Большое спасибо за ответ и ссылку на статью. Буду изучать и пробовать.
 
Мы в соцсетях: