Ja, geht i.O. (ein altes Backup gibt es, aber es ist max. von April)
Xls.Trojan.Locky-2 eingefangen
(Themenstarter)
Anmeldungsdatum: Beiträge: 187 |
|
Ehemalige
Anmeldungsdatum: Beiträge: 4403 Wohnort: Sachsen |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 187 |
Guten Abend zusammen! Ich habe jetzt die eigenen Dateien über ein Live-USB gesichert. Hat Stunden gebraucht, bis es lief. Nun bin ich wieder schlauer: Die Rechte zum Kopieren bekommt man nur mit GKSUDO. Deja-dup hat den Zugriff auf den Zieldatenträger total verweigert. Jetzt ist das neue System drauf. Beim Prüfen mit rkhunter gibt es immer noch Probleme: :~$ sudo rkhunter -c --rwo Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable Warning: The following suspicious shared memory segments have been found: Process: /usr/lib/firefox/firefox PID: 4861 Owner: kiri Process: /usr/lib/firefox/firefox PID: 4861 Owner: kiri Process: /usr/bin/xfce4-terminal PID: 4950 Owner: kiri Doch die Datei /usr/bin/lwp-request lässt sich auch mit gksudo nicht löschen. Was wäre denn der nächste Schritt, um das System wieder sauber zu bekommen? |
Anmeldungsdatum: Beiträge: 11179 Wohnort: München |
Die Datei stammt aus dem Paket libwww-perl und ist naturgemäß ein Perl-Skript. Bei Tools wie rkhunter muss man aufpassen, dass Warnungen nicht automatisch mit Funden gleichzusetzen sind. Und Dateien zu löschen, die durch Pakete installiert wurden, ist generell keine gute Idee. Im Zweifelsfall immer erst mit apt-file nachsehen, ob die Datei aus einem Paket stammt und sich schlau machen, wofür sie gut ist. Man könnte aber z.B. dafür sorgen, dass die Dateien aus dem libwww-perl Paket noch mal mit den Versionen aus dem Paket überschrieben werden, wenn man sich unsicher ist, ob die Datei manipuliert wurde: sudo apt-get install --reinstall libwww-perl |
(Themenstarter)
Anmeldungsdatum: Beiträge: 187 |
Danke seahawk1986, hab ich gemacht. Und was ist von den drei anderen Warnungen zu halten? Ist mein System jetzt wieder sauber? |
Moderator, Webteam
Anmeldungsdatum: Beiträge: 5349 |
|
Anmeldungsdatum: Beiträge: 11179 Wohnort: München |
Wichtig ist auch, dass Analyse-Tools wie rkhunter von garantiert nicht-manipulierten Systemen aus gestartet werden (z.B. ein Read-Only Live-Medium), da es sonst für ein root-Kit zumindest theoretisch möglich ist sich solchen Analyse-Tools zu entziehen, wenn es die Funktionsweise des Systems beeinflussen kann. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 187 |
Danke sebixund seahawk1986!
Werde ich beachten! |