Рабочая станция Linux: как узнать, укоренился ли он?

Question

Я работал над своей "рабочей станцией" в Linux (у нее нет звука, я не играю на ней и не смотрю ни одного фильма: это чисто рабочая машина, поэтому я называю это "моей рабочей станцией"), и вдруг произошло нечто очень странное.

Я просматривал, используя временную учетную запись пользователя (одну я использую только для просмотра) и браузер Iceweasel. Я пришел на сайт, который явно пытался установить вредоносное ПО (всплывающие окна с поддельными окнами, сообщающие, что ваш компьютер заражен и т.д.). У меня возникли проблемы с закрытием этих веб-страниц, и в итоге я убил браузер.

Затем началось 4-е измерение: IP-адрес автоматически изменился на 169.xxx.xxx.xxx (точно не помню). Но этого никогда не должно было случиться, поскольку эта рабочая станция представляла собой статический IP-адрес, который, как мне казалось, был вырезан из камня.

Я немедленно отключил кабель Ethernet (и на этой рабочей станции нет Wi-Fi) и запросил запущенные процессы, используя "ps auxf"

Я обнаружил несколько действительно странных запущенных процессов: что-то типа "сетевой коммутатор uml" . После перезагрузки (кабель все еще не подключен) я увидел служебное сообщение "Запуск сетевого переключателя режима пользователя" . Я никогда не устанавливал это, и я почти уверен, что этого материала там не было заранее.

Я также обнаружил, что какая-то задача "бесплатного рабочего стола" выполняется Никогда не устанавливал это тоже.

Я начал удалять пакет, связанный с UML-штукой, и перезагрузил компьютер (кабель все еще не подключен) и ... «/ Usr / bin / uml_switch» (что-то в этом роде) начало появляться снова (даже после того, как я убедился, что его больше не было после удаления пакета).

Что здесь происходит?

Является ли это своего рода мега-SNAFU, когда какое-то автоматическое обновление программного обеспечения Debian начало баллистически и автоматически устанавливать пакеты, которые я не просил об этом хаосе, или меня просто взломали?

Кто-нибудь из вас имеет представление о том, что я только что испытал?

Следующий шаг, на всякий случай, чистая установка с известного хорошего CD/DVD-диска новой системы на чистом HD, верно?

Answer 1

Чтобы быть в безопасности, вы всегда можете попробовать поискать руткиты, см. Ответы на этот вопрос на ServerFault относительно сканирования вашего компьютера на наличие руткитов и вредоносного программного обеспечения. Проверьте такие инструменты, как chkrootkit или Rootkit Hunter, чтобы найти файлы по умолчанию, используемые руткитами, неправильные разрешения для файлов для двоичных файлов, подозрительные строки в модулях LKM и KLD, скрытые файлы и т.д.

Кстати, для вашей информации, когда компьютер не может подключиться к серверу DHCP, а сетевая карта не настроена вручную, он может использовать локальный адрес канала. Сеть 169.254/16 зарезервирована для этой цели. Из Википедии:

Другой тип частных сетей использует локальный диапазон адресов, кодифицированный в RFC 5735 и RFC 3927. Утилита этих адресов автоматически настраивается сетевыми устройствами, когда службы DHCP (Dynamic Host Configuration Protocol) недоступны, а ручная настройка сетевым администратором нежелательна.

В IPv4 для этой цели зарезервирован блок 169.254/16, за исключением первой и последней подсети /24 в диапазоне. Если хост в сети IEEE 802 (ethernet) не может получить сетевой адрес через DHCP, псевдослучайно может быть назначен адрес от 169.254.1.0 до 169.254.254.255. Стандарт предписывает, что устранение коллизий должно обрабатываться изящно. Архитектура адресации IPv6 выделяет блок fe80::/10 для автоматической настройки IP-адреса.