ubuntuusers.de

Ich habe mir igendwann vor anderthalb Jahren oder so auf Facebook eine Sauerei an Land gezogen. Durch eigene Dummheit, aber passiert ist es. Ich hoffe, ich kann einigermassen rekonstruieren, was sich seitdem auf meinem System getan hat.

Nach dem Anklicken eines Video-Links, den angeblich zwei Freunde gemocht hatten, die ich für vertrauenswürdig halte, war die Zertifikatsliste meines Firefox um einen Haufen Zertifizierungsstellen in der Türkei, Ungarn und vermutlich auch Somalia oder DDR erweitert. Das Stichwort "türktrust" dürfte ein Begriff sein.

Das hat mich erst mal nicht gejuckt, denn der Computer funzte tadellos... fast! Für die erste DVD, die ich nach diesem Lapsus abspielen wollte, musste ich mir erstmal das Laufwerk vom root zurückholen. Mit dem Drucker war es später genauso. Danach fast ein Jahr lang keine Probleme, bis ich letztens nach einem Systemupdate kein Recht mehr hatte, meine eth0-Verbindung zu benutzen. Dieses Problem konnte ich schnell lösen...

Zwei Tage später zeigte mir die Statuszeile des Browsers beim öffnen einer website aus den bookmarks plötzlich intensives übertragen von Daten von einer russischen Adresse an. Ich habe sicherheitshalber sofort abgebrochen. Eine andere Seite öffnete normal, blieb aber beim Schliessen mit Datenübertragung von einer weiteren suspekten Adresse beschäftigt... jede weitere Seite am selben Abend tat das gleiche: normal öffnen, aber beim Schliessen des Tabs ewig mit Russland plaudern 😉

Ich beschloss, dass es Zeit wäre, die Festplatte mal gründlich zu putzen. Was sich toll anhört, denn ich habe noch nie einen blassen Schimmer gehabt, wie man eine FP putzt. Ausser durch Neupartitionierung und vollständiges Überschreiben. Genau das hatte ich im Sinn, und zwar mit einer DVD von Oneiric Ocelot aus einer Ausgabe von Ubuntu-Users.

Dass irgendwer in meiner Kiste nur drauf gewartet haben muss, dass ich ein neues Ubuntu aufsetze wurde mir klar, als nach einer halben Stunde als Installationsstatus angegeben wurde, dass nun vorherige Daten wiederhergestellt würden. Also das letzte, worauf ich mich gefreut hätte. Ich schloss die Installation ab, und als erstes hab ich mir dann natürlich angeschaut, ob der mitgelieferte Firefox weniger exotische Zertifizierungsstellen listen würde: tat er nicht, "türktrust" und kollegas waren wohlauf und vollständig versammelt.

Also: mit parted magic rangehen, wofür heisst es denn "ubuntu-rescue-cd"?

Das Ergebnis soll vorerst genügen: die 37.7 gb mit meinen Daten sind sauberst weggeputzt. 2.3 fehlende gb sind unauffindbar.

Falls irgendwer hier findet, ich komme mit einer ollen Kamelle ums eck: umso besser, dann ist ja schon genug Erfahrung vorhanden. Ansonsten: ich bin zur Zeit nicht oft genug online, um täglich nach Antworten zu schauen, aber für alle zwei bis drei Tage sollte es reichen. Als Arbeitsmittel habe ich die Linux-User rescue-cd 03.11 zur Verfügung - und absolute Ahnungslosigkeit. Insbesondere durch die englischsprachigen Tools auf der CD müsste man mich notfalls step by step hindurchführen...

Ich will auch die restlichen 2.3 gb geputzt haben, und ich bin froh um jede Hilfe dabei. Dies nur als Vorbereitung auf meinen Fall.

Ich werde übers Wochenende diverse Tools der Rescue CD über meine Kiste drüberlassen, und ich hoffe, ich kann die Berichte in irgendeiner Form speichern, um sie hier parat zu haben. Bis dahin gewöhne ich mich an das schmale, aber flotte System, das mir parted magic zur verfügung stellt, und an die features von chromium...

Ziehe dir von einem sauberen System eines sauberen PCs eine frische Ubuntu, die keinesfalls durch Windows und Viren angetastet wurde. Ggf. kaufe eine im Bahnhofsladen, auch eine andere Linux CD/ DVD tut es.

Dann ganz normal installieren. Willst du sicherheitshalber trotzdem die inaktiven, toten Inhalte / Bits plattmachen, damit sie nicht etwa bei einer Dateisystemreparatur eines Dateisystemchecks doch wieder mal auftauchen könnten, dann erledigt das im ▶ Terminal folgender Befehl, den du nur kopieren musst:

sudo dd if=/dev/zero of=/dev/sdX bs=4k conv=noerror

Dann ggf. paar Stunden warten, bis jedes Bit der Festplatte überschrieben wurde. Es kommt am Ende eine Meldung, wieviele Blöcke überschrieben wurden. Bis dahin kommt keine Meldung. sdX musst du anpassen an das zu überschreibende Laufwerk. Welches das ist, siehst du hier:

sudo fdisk -l

❗ Entferne vorher am besten alle anderen USB-Sticks/ Speicherkarten/ Festplatten, um Verwechslungen 100% auszuschließen. Die "erste Festplatte" lautet üblicherweise sda. Dann schreib das auch so und nicht etwa sda1 oder so.

Bei anderen Linuxversionen kann es sein, dass sudo weggelassen bzw. anders gemacht werden muss oder dass sdX hdX heißt.

Einmal alles durchputzen reicht dann vollkommen. Ist sonst immer noch was da, würde ich mal auf eher seltene BIOS- bzw. Firmware-Viren checken. Zunächst mal mit einem Virenscanner, den du auch unter laufender Ubuntu CD per Software-Center nachinstallieren könntest.

Grüße, Benno

Danke für die schnelle Antwort.

Beide Discs, die rescue-cd und die Ocelot-Vollversion, sind gekauft. Als Beilage zum Heft UbuntuUser, also gehe ich davon aus, dass sie sauber sind.

Ich werde jetzt mal schaun, ob ich mit dem list-Befehl mehr gezeigt bekomme als bisher, so dass ich ggf sdX korrekt benamsen kann.

(edit) fdisk -l gibt mir diese Information:

Disk /dev/sda: 40.0 GB, 40020664320 bytes 255 heads, 63 sectors/track, 4865 cylinders, total 78165360 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk identifier: 0x00000000

Ich weiß nicht, wie Du auf die Idee kommst, dass die Zertifizierungsstelle "Türktrust" etwas mit dem Trojaner auf deinem System zu tun hat. Die gehört jedenfalls zur Standardinstallation von Mozilla Firefox2 [link http://www.mozilla.org/projects/security/certs/included/] - also kein Wunder, wenn die bei einer Neuinstallation wieder auftaucht.

lotharster schrieb:

Ich weiß nicht, wie Du auf die Idee kommst, dass die Zertifizierungsstelle "Türktrust" etwas mit dem Trojaner auf deinem System zu tun hat. Die gehört jedenfalls zur Standardinstallation von Mozilla Firefox2 [link http://www.mozilla.org/projects/security/certs/included/] - also kein Wunder, wenn die bei einer Neuinstallation wieder auftaucht.

Ich glaube, auf diese Idee bin ich gekommen, weil ich keine Ahnung habe... Ich habe mal die gesamte Zertifikatsliste meines Browsers durchsucht und mir jeden, wirklich jeden Mist detailliert anzeigen lassen. Einfach in der Hoffnung, danach wenigstens ein bisschen mehr zu wissen. Diverse Details zu den einzelnen Zertifikaten wurden dabei als "kritisch" eingestuft. Habe ich mich von diesem Begriff zu sehr beeindrucken lassen?

Hallo,

wie du Ubuntu neu aufgesetzt hast, war da auch die Datei .mozilla in deinem home-Verzeichnis gelöscht? Manche legen ja das home-Verzeichnis in einer extra Partion, da kann beim partitionieren schon mal was übrigbleiben. Ist zum erhalten von Daten sehr nützlich, wenn man eine neue Linux-Version installiert. Ich glaube ubuntu hat das aber nicht als Standart, das muss man extra anwählen.

Bei mir hat sich mein System auch schon mal seltsam verhalten, da muss man sich halt mal die Log-Dateien ansehen, z. B. unter /var/log.

rwkraemer schrieb:

Hallo,

wie du Ubuntu neu aufgesetzt hast, war da auch die Datei .mozilla in deinem home-Verzeichnis gelöscht? Manche legen ja das home-Verzeichnis in einer extra Partion, da kann beim partitionieren schon mal was übrigbleiben. Ist zum erhalten von Daten sehr nützlich, wenn man eine neue Linux-Version installiert. Ich glaube ubuntu hat das aber nicht als Standart, das muss man extra anwählen.

Bei mir hat sich mein System auch schon mal seltsam verhalten, da muss man sich halt mal die Log-Dateien ansehen, z. B. unter /var/log.

Vor oder nach dem Neuaufsetzen? Ich habe an den Partitionen nie etwas von Hand verändert.

Ich habe aber mittlerweile den Ocelot aufsetzen können, und nach viel Verzweiflung über das Design von Unity (und das Schneckentempo auf meiner ollen kiste) hab ich mir die alte GNOME-Oberfläche und Synaptic besorgt, damit ich wenigstens das Gefühl habe, ich wüsste, was ich grad mache... ClamAV ist auch installiert und meldet den Rechner als gesund. Was ich glaube, da ich in der Firefox-Statusleiste keine Verbindungen mehr in exotische Gegenden angezeigt kriege.

Ein paar Merkwürdigkeiten im folgenden Beitrag (bzw., wenn das praktischer ist, auf Anfrage in neuem Thread...)

Zunächst mal meinen Dank an alle, die mir geantwortet haben!

Ich habe nach der Installation von Oneiric Ocelot ein paar Fragen. Ich hoffe, ich verstosse nicht gegen die Forenregeln, wenn ich sie hier zusammenfasse.

1) Ich habe in den Einstellungen der Aktualisierungsverwaltung festgelegt, dass nichts automatisch installiert werden soll, auch keine Sicherheitsupdates. Ist es normal, dass es zwei Tage lang tatsächlich kein einziges Update gibt? (Dumme Frage, ich weiss, aber ich über den Rhythmus nicht im Bilde, weil ich nämlich vorher ein wenig disziplinlos mit der Aktualität umgegangen bin: zum Teil habe ich nur alle zwei Wochen aktualisiert. Doch auch, wenn ich in jener Zeit alle zwei Tage aktualisiert habe, gab es immer einige Pakete zu installieren.)

2) Ich kann als Admin einige Log-Files mangels Zugriffsrecht nicht lesen. Normal? Ich dachte, Log-Files seien doch sowieso nur zum Lesen da, und als Admin will ich doch gern sehen können, was auf meinem Rechner los ist.

3) Ich habe ClamAV mit ClamTk installiert. Beim ersten Durchlauf wurden mir Engine und GUI als veraltet angezeigt. Wäre dies nicht etwas, das die Aktualisierungsverwaltung erkennen sollte? Gleichzeitig wird mir angezeigt, dass die Virendatenbanken heute aktualisiert worden seien. Zum zeitpunkt der Anzeige hatte ich aber noch gar keine Zeiteinstellungen definiert, und auch freshclam über terminal habe ich nicht ausgeführt. Habe ich da jetzt einen Scanner oder eine Attrappe?

357xp schrieb:

Zunächst mal meinen Dank an alle, die mir geantwortet haben!

Ich habe nach der Installation von Oneiric Ocelot ein paar Fragen. Ich hoffe, ich verstosse nicht gegen die Forenregeln, wenn ich sie hier zusammenfasse.

Tust du aber schon, vor allem, da das Thema nicht "Anfängerfragen" oder konkreter heißt, sondern ganz anders. 😉 Darum nur eine Kurzantwort.

1) Ich habe in den Einstellungen der Aktualisierungsverwaltung festgelegt, dass nichts automatisch installiert werden soll, auch keine Sicherheitsupdates. Ist es normal, dass es zwei Tage lang tatsächlich kein einziges Update gibt? (Dumme Frage, ich weiss, aber ich über den Rhythmus nicht im Bilde, weil ich nämlich vorher ein wenig disziplinlos mit der Aktualität umgegangen bin: zum Teil habe ich nur alle zwei Wochen aktualisiert. Doch auch, wenn ich in jener Zeit alle zwei Tage aktualisiert habe, gab es immer einige Pakete zu installieren.)

Starte die Aktualisierungsverwaltung mal manuell und lasse sie sich aktualisieren.

2) Ich kann als Admin einige Log-Files mangels Zugriffsrecht nicht lesen. Normal? Ich dachte, Log-Files seien doch sowieso nur zum Lesen da, und als Admin will ich doch gern sehen können, was auf meinem Rechner los ist.

Manches ist sicherheitskritisch und soll nicht jeder lesen können.

sudo less /var/log/dateiname

Wobei ich grad sehe, dass du als Admin was nicht lesen kannst. Um welche Datei geht es? Zeige dazu bitte auch:

ls -hal /pfad/zur/datei/dateiname

3) Ich habe ClamAV mit ClamTk installiert. Beim ersten Durchlauf wurden mir Engine und GUI als veraltet angezeigt. Wäre dies nicht etwas, das die Aktualisierungsverwaltung erkennen sollte? Gleichzeitig wird mir angezeigt, dass die Virendatenbanken heute aktualisiert worden seien. Zum zeitpunkt der Anzeige hatte ich aber noch gar keine Zeiteinstellungen definiert, und auch freshclam über terminal habe ich nicht ausgeführt. Habe ich da jetzt einen Scanner oder eine Attrappe?

Attrappe wohl kaum.