Linux virus!?

Vragen over software en applicaties
theancientone
Junior
Junior
Berichten: 53
Lid geworden op: Ma 23 Apr 2012, 11:30

Linux virus!?

Berichtdoor theancientone » Di 03 Dec 2013, 09:31

Hallo iedereen,

Sinds enkele dagen lees ik in het nieuws dat er een virus/worm/trojan voor Linux zou zijn. Hoewel deze werkt met een webserver waar PHP op geinstalleerd is vraag ik me toch af welke klachten er zijn indien je geïnfecteerd bent.

De reden waarom ik deze vragen stel is omdat ik de afgelopen dagen vreemde dingen ontdek op mijn systeem. Zo zijn er mappen in mijn /home/username/ directory die in eens andere rechten hebben en ik die vervolgens niet meer kan openen. Nu kan ik dit oplossen door chmod te gebruiken maar als ik dat voor de hele map moet doen dan ben ik nog wel even bezig. Gelukkig lijkt het er op dat ik dan nog wel de eigenaar ben van de bestanden / mappen. Maar toch het is vervelend.

Ik draai wel een omgeving met webserver en php maar deze draaien hoofdzakelijk in een virtuele machine en niet op de host zelf. Heeft iemand meer informatie hier over? Of weet iemand toevallig wat hier aan de hand is?

Mijn systeem is als volgt:
- Mint 15 64 bits
- Cinnamon

Anders dan de standaard programma's gebruik ik niet...
"The future is predeterment by the character of those who shape it."
Gebruikersavatar
Greenhorn
Senior
Senior
Berichten: 132
Lid geworden op: Do 07 Nov 2013, 08:34

Re: Linux virus!?

Berichtdoor Greenhorn » Di 03 Dec 2013, 11:11

heb pasgeleden zoiets ook voor iemand opgelost, alles van de website lag eruit en deze kon nergens geen toegang meer tot krijgen op de server, later was het zo dat deze website volledig geblokkeerdt werd en als gevaarlijk aangemerkt.( ofwel deze was gehackt)
na een beetje zoeken vond ik dat er geen virus in zat maar er een virus transport plaatsvond via de server, kort gezegd de server werd gebruikt om het virus te verspreiden iedereen die deze site bezocht werd dan geinfecteerd, ook zijn dan tevens de bestanden op de server geinfecteerdt waarbij de bestandsrechten chmod worden verandert.

als dit zo is heb je er wel een beetje werk mee, je zult moeten beginnen met alles op de server te wissen, en in je php daarna alles er nieuw op en door google laten testen, dit kun je doen door er een bestandje van google er op te zetten waarmee geverifeert wordt, en daarna aan te klikken dat dit opnieuw gecontroleerd dient te worden dit kan tot 24 uur duren.

Hopelijk heb je actuele backups gemaakt.

je kunt controleren of je vieze malware op je server heb staan via google webmaster tools (lab)

link: https://accounts.google.com/ServiceLogi ... 2Ftools%2F

veel succes en ik zal voor je duimen, dat het allemaal meevalt.
Gr.Willem.
theancientone
Junior
Junior
Berichten: 53
Lid geworden op: Ma 23 Apr 2012, 11:30

Re: Linux virus!?

Berichtdoor theancientone » Di 03 Dec 2013, 11:34

Auw, dat is vies. Dank je voor je snelle reactie. Ik heb tevens nog een ton aan vragen.

Zoals ik al eerder zei, ik draai de server (welke een ontwikkelomgeving is / lokaal) in een virtuele server (ubuntu 12.04 LTS). Is mijn Mint dan ook geïnfecteerd? Ik heb alleen maar toegang via ssh en alleen lokaal.

Overigens heb ik de bewust machine (de host) al uitgeschakeld, mocht er inderdaad een virus in zitten.

Zou het mogelijk zijn om dit met een live cd/dvd op te lossen zijn? Dat ik vandaar een scan draai om te zien of er daadwerkelijk een virus in zit? Nu zou ik nog kunnen overstappen naar Petra en daarbij dus alles formatteren maar hoe groot is de kans dan dat mijn persoonlijke bestanden dan geïnfecteerd zijn?

Hoewel ik gelezen heb dat het php zelf is die geïnfecteerd word, zijn mijn php bestanden dan wel veilig of moet ik alles opnieuw schrijven?
"The future is predeterment by the character of those who shape it."
Gebruikersavatar
Greenhorn
Senior
Senior
Berichten: 132
Lid geworden op: Do 07 Nov 2013, 08:34

Re: Linux virus!?

Berichtdoor Greenhorn » Di 03 Dec 2013, 12:44

je draait op eem lokale server, zonder verbinding naar buiten? maar dan kun je toch nooit iets binnen krijgen of snap ik het nu niet goed.

zou als ik jouw was eerst eens kijken of er wel malware op zit daar zijn zat progjes voor om een server mee te testen beetje googlen doet dan wonderen.
of ben je een beetje veel aan het experimenteren geweest?.

en ja als je geen back-ups maakt het oude gezegde is dan weer van toepassing kijk wat je redden kan en anders moet je op de blaren zitten.
ik zeg altijd back-uppen zoveel mogelijk en branden of op andere verwisselbare media.

groeten willem
theancientone
Junior
Junior
Berichten: 53
Lid geworden op: Ma 23 Apr 2012, 11:30

Re: Linux virus!?

Berichtdoor theancientone » Di 03 Dec 2013, 12:56

De enige verbinding die ik heb naar buiten is als ik moet updaten. Verder is alles alleen lokaal. Ik kan hem wel extern benaderen maar dan nog gaat hij niet actief opzoek naar informatie zoals ik dat met Mint doe. Er zit tenslotten geen UI op. Anders dan het werk van ontwikkelen download ik nooit op server systemen.

Ik maak geregeld backups, zei het alleen van de viruele machines. Dus de inhoud is een ander verhaal. En opzich is het niet zo erg als de bestanden niet geïnfecteerd zijn. Dat php zelf geïnfecteerd is deert me niet zo. Dat is een kwestie van opnieuw installeren.

Welke prog kan ik installeren? Het gaat hier om Mint en niet om de webserver overigens want die draait in een virtuele omgeving. Dan zou ik de problemen daar moeten hebben niet?

[edit]
Het lijkt niet te spreiden omdat ik op mijn laptop Mint 16 geïnstalleerd heb en daar merk ik geen problemen. Dit zou wel moeten als ik een virus had?
[/edit]
Laatst gewijzigd door theancientone op Di 03 Dec 2013, 13:29, 1 keer totaal gewijzigd.
"The future is predeterment by the character of those who shape it."
Gebruikersavatar
Greenhorn
Senior
Senior
Berichten: 132
Lid geworden op: Do 07 Nov 2013, 08:34

Re: Linux virus!?

Berichtdoor Greenhorn » Di 03 Dec 2013, 13:26

ja klopt dan zou je die op je server moeten hebben, daarom vroeg ik ook ben je een beetje veel aan het experimenteren geweest.
mischien heb je daarmee wel behoorlijk wat instellingen dan gewijzigd waarvan je dan het bestaan niet meer weet.
je zou kunnen proberen om toegang te maken met een andere computer op je server en kijken of je dan nog het probleem hebt, anders zou ik zeggen installeer mint opnieuw en kijk of het dan wel lukt, als dit niet teveel werk is natuurlijk.

mischien dat Arie of Bas hier wat op weten.

groeten willem.
theancientone
Junior
Junior
Berichten: 53
Lid geworden op: Ma 23 Apr 2012, 11:30

Re: Linux virus!?

Berichtdoor theancientone » Di 03 Dec 2013, 13:32

Het probleem lijkt zich te beperken tot Mint. Ik heb nog gewerkt aan bestanden op de bewuste server (draait in VMware Workstation 10) maar daar heb ik geen problemen gezien. Het lijkt alleen te gebeuren in mijn /home map. Teamviewer deed het ook al niet meer toen ik het probeerde te gebruiken.

In mijn vorige bericht heb ik nog toegevoegd dat ik nog een laptop met Petra heb. En daar ervaar ik de problemen niet...
"The future is predeterment by the character of those who shape it."
Gebruikersavatar
Greenhorn
Senior
Senior
Berichten: 132
Lid geworden op: Do 07 Nov 2013, 08:34

Re: Linux virus!?

Berichtdoor Greenhorn » Di 03 Dec 2013, 13:54

na dan heb je het probleem toch al gevonden, als je met andere apparaten deze problemen niet hebt.
het enige wat ik met mint 15 gevonden heb is dat bestanden en mappen na kopieeren, cq opnieuw opslaan de naam en of de extentie ineens met hoofdletters is waardoor de verschillende bewerkingen voor website of andere webaplicaties ineens niet meer vindbaar zijn en of geopend kunnen worden.
nu ik dit weet dat dit gebeurt controleer ik dit en gebruik ik KRename (synaptic) om dit te wijzigen anders ben je wel even bezig als je alle mappen met de daarin gevoegde bestanden moet hernoemen. na veel zoeken op google schijnt hier geen oplossing voor te vinden te zijn

dat de rechten (Chmod) veranderen heb ik niet vaststellen kunnen, wat natuurlijk doorgaans mogelijk is dat het niet gevonden word omdat de ext. of naam ineens met hoofdletters is.

gr.willem.
theancientone
Junior
Junior
Berichten: 53
Lid geworden op: Ma 23 Apr 2012, 11:30

Re: Linux virus!?

Berichtdoor theancientone » Di 03 Dec 2013, 14:15

Hmm, geweldig. In ieder geval bedankt voor de help. Ik ga verder onderzoeken. Aangezien het probleem niet zo heel snel lijk te verergeren ga ik kijken naar de mogelijkheden om het systeem opnieuw te installeren. Ik zal alle bestanden nakijken op "extra" code. Want hoewel ik een aparte server heb in een virtuele omgeving, bewerk ik ze wel in mint en niet op de server zelf.

Als er nog meer mensen die informatie hebben voor dit probleem dan hoor ik het graag. Voor de duidelijkheid even nog de volgende informatie:

- Ik draai Linux Mint 15 64 bits waar het probleem zich voor doet,
- Ik ben van plan het systeem een upgrade (lees reinstall) te geven naar Mint 16,
- Ik werk met Cinnamon 1.8 en ben van plan deze een upgrade te geven naar 2.0,
- Ik heb een virtuele server draaien op ubuntu 12.04 LTS waar geen problemen zijn tot op dit moment en is up-to-date,
- Hoewel ik met PHP werk, ik gebruik voor zover ik weet geen CGI, wellicht misschien andere onderdelen,
- De server (ubuntu 12.04 LTS) benader ik met ssh en alleen lokaal, de server is wel extern te bereiken maar deze is alleen voor gebruik en niet voor development.

Nu ik er over nadenk, ik gebruik wel Sabnzb+. Misschien op die manier een virus binnen gehaald!? Ik zal me netjes gedragen door het forum schoon te houden van scheldwoorden....

Ik wil jullie bedanken voor de hulp die jullie bieden! Natuurlijk word dit zeer gewaardeerd :).
"The future is predeterment by the character of those who shape it."
theancientone
Junior
Junior
Berichten: 53
Lid geworden op: Ma 23 Apr 2012, 11:30

Re: Linux virus!?

Berichtdoor theancientone » Di 03 Dec 2013, 14:31

het enige wat ik met mint 15 gevonden heb is dat bestanden en mappen na kopieeren, cq opnieuw opslaan de naam en of de extentie ineens met hoofdletters is waardoor de verschillende bewerkingen voor website of andere webaplicaties ineens niet meer vindbaar zijn en of geopend kunnen worden.
Nee, het probleem ligt hem echt in de rechten en lijkt zich te beperken tot /home. Visueel zie ik een "kruis" bij een mapje of bestanden. En normaal zou ik kunnen denken dat een bepaald programma bepaalde rechten nodig heeft of het wil niet blootstaan aan de wijde wereld van het internet maar het komt ook voor bij mappen / bestanden waarvan je redelijker wijs zou mogen aannemen dat deze normaal toegankelijk zijn als gebruiker maar in dit geval bijvoorbeeld .thunderbird of .kde (ik gebruike Kate voor edititing) . Voor thunderbird gebruik ik ook een add-on voor mijn handtekeningen en die was ook niet toegankelijk.

De rechten waren gewijzigd maar ik ben nog wel de eigenaar van het mapje.
"The future is predeterment by the character of those who shape it."

Terug naar “Software en applicaties”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 4 gasten