Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Trojan i Linux enligt comhem

Hej ! 

En vän till mig har bett om min hjälp angående ett fall där hans internet har blivit spärrat av levernatören " comhem ". 

Anledningen till spamavstägningen hävdar dom är att hans dator har blivit infekterad med en trojan som sprider spam , och han måste formatera datorn.

Detta är en förklaring som jag inte helt köper . hans utrustning är följande.

Stationär Acer med Linux mint 7 med aktiverad brandvägg

Apple power mac G3 osx 10,3 aktiverad brandvägg 

samt kabelmodem och Router (ej trådlös)

Powermac maskinen är nästan aldrig igång senast var för flera veckor sedan , och dom program han använder kommer via Mintinstall

Han hade en router med en icke aktiverad brandvägg och fabriksinloggningen kvar  det är en jag tror att dom har kapat.

det jag ville höra med er om jag är fel ute när jag misstänker routern

 

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

uffe_nordholms bild

Koppla in routern på ett internetanslutet modem, som har _endast_ routern inkopplad. Routern i sin tur skall inte ha något annat anslutet. I det läget skall det inte vara någon trafik alls* via modemet (kolla på lamporna.) Om det förekommer någon trafik kan man börja misstänka att routern blivit rootad, men jag tycker faktiskt att det är långsökt.

En fråga: om nu comhem kunnat konstatera att hans dator blivit infekterad av någon trojan, kan de nämna trojanen? Helst skriftligt, så att de har svårare att backa när kompisen upplyser dem om att trojanen de anger inte funkar på hans datorer eftersom de har "fel" operativsystem.

 

Edit:

* en del trafik kan förekomma, om den har sitt ursprung på internet. Det lär inte vara ovanligt att någon scannar stora serier IP-adresser efter ett enkelt offer.

nybörjares bild

Det är min dator som är grunden till detta .

jag har provat att koppla bort alla kablar, utom routern till modemet och det pågår trafik ändå .kopplade datorn direkt till modemet( kollade först brandväggen så klart )och trafiklamporna slocknade på routern .

självklart tänkte jag när kabeln kopplades bort från modemet. men hur vet man om det var trafik i form av elak spam eller "naturlig" trafik?

jag och kollegan konfigurerade routern med nya uppgifter och nuffror igår.

man borde kunna skrota den drabbade routern och använda en ny ( konfigurera från grunden) innan man går ut på nätet igen ,då skulle den ju vara ny på "marknaden".

 

 

 

 

 

Det är inte lätt att göra rätt om man inte får göra lite fel.

andys bild

 

Vad är det för kabelmodem modell?

Vad  är det för router?

Har han gjort en reset på routern?

 

Att det blinkar när man kopplar in routern till kabelmodemet är helt normalt.

tux-svens bild

Jag tycker föregående inlägg om att begära info från Comhem är alldels utmärkt.  

Men tills vidare kanske han skulle kunna köra med en live-dist för att se vad de säger då?  Den kan ju knappast smittas av några trojaner..   Smile

Filer som han vill spara kan han kanske göra på en USB-sticka så länge?

 

---

Windows are for houses, Linux is for computers!

 

krippas bild

 Jag ger mig fan på att det något gigantiskt mjukvaru-företag vill sätta stop för Linux. Och för att lyckas kontaktar dom bredbandsleverantörer runt om i världen och erbjuder dom $ för att säga att det är Linux fel pga en trojan el. liknande när kunden ringer support och talar om att internet inte fungerar.

Vad gör en vanlig människa som inte kan mer än att surfa då? Jo han/hon kommer att ta bort linux och installera det tidigare OS1 som alldeles säkert heter något i stil med Fönster....

Eller är jag bara paranoid?Smile

 

Behöver du en erfaren snickare? Kontakta mig på 0735462046 eller maila larssons.byggtjanst@gmail.com

tux-svens bild

Det finns inget djävelskap man INTE kan misstänka "PytteMjuk" ligga bakom...     Någon försökte misskreditera Open Office häromdagen - jag har mina misstankar....   Wink

---

Windows are for houses, Linux is for computers!

 

valdermans bild

Fullständigt orimlig tanke, med tanke på att Linux klarar av att hålla sig borta från mainstream alldeles utmärkt på egen hand (hint: marknadsföring) och att det skulle ha väldigt negativa konsekvenser för både ComHem och Microsoft om det någonsin kom ut. Den minimala effekten en sådan kampanj skulle uppnå är inte på långa vägar värd utgifterna och riskerna.

--
あるユーモアのないアホのため、シグナチャーをカエルことにした。カエルさん

abergmans bild

SOm någon annan säger, ta bort routern och be comhem låsa upp igen Smile

 

 

valdermans bild

Nu tycker jag, allvarligt talat, att konspirationsteorierna går lite väl långt. Visst, det är teoretiskt möjligt att routern är rootad, men allvarligt talat - en konsumentrouter?! Om den var upptagen med att skicka spam skulle det märkas direkt på internettrafiken, med tanke på att de prylarna inte har mycket till processorkraft eller minne.

Att Linux skulle vara immunt mot malware är en myt, så vad sägs om att ta och betänka den minst långsökta (om vi ignorerar möjligheten att comhem klantat sig) möjligheten - att det faktiskt är Linuxmaskinen som åkt på pisk?

Många Linuxanvändare är så säkra på att de är odödliga eftersom de kör Linux att de blir otroligt förslappade när det gäller säkerheten; jag medger villigt att jag själv glömmer bort säkerhetstänkandet titt som tätt. Det är samma vackra dröm som Mac-användare börjar få ett bryskt uppvaknande från, i takt med att Apples marknadsandelar ökar. Var snälla och uppmuntra inte en dylik katastrof bland Linuxanvändare!

En annan möjlighet, om routern som nämndes är trådlös, är ju att det kommit förbi någon med en infekterad maskin och lånat lite Internet; har man inget adminlösenord på routern har man det nog inte heller på sitt trådlösa nät, är min tanke.

--
あるユーモアのないアホのため、シグナチャーをカエルことにした。カエルさん

uffe_nordholms bild

Jag håller med dig om att det är osannolikt att routern blivit rootad. Men om man börjar med att undersöka routern (som ju inte skall generera egen trafik) kan man utesluta den ur fortsatta utredningsarbetet. Hur som helst måste alla datorer som varit anslutna till internet/routern undersökas, åtminstone för att kontrollera om de genererar "konstig" trafik.

Ur ren diskusionssynvinkel vore det dock kul att få veta vilket som är mest sannolikt: rootad router eller rootad dator.

Som en OT-anekdot kan jag berätta att jag för något år sedan fick ett brev (jo, dött-trä-brev) från min ISP som fick hjärtat att slå ett antal slag extra. De skrev i brevet att det från min IP-adress gått ut email som innehöll kända virus/trojaner (jag minns inte vilket det var, men det spelar mindre roll). ISP:n nämnde inget namn på viruset/trojanen, och när jag kopplade upp burken på internet (via router) såg jag ingen aktivitet på modemets lampor jag inte kunde gissa var fullt legitim: tex att KMail pollar emailservern en gång i minuten.

Jag skrev ett email till ISP:n och frågade hur många gånger det hänt att jag skickat email med virus/trojan och när detta hänt. Det visade sig att det hänt exakt _en_ gång. Jag fick också veta tillräckligt för att kunna identifiera vilket exakt email det gällde, och det var faktiskt något jag skickat själv, fullständigt medvetet. Och dessutom till en medlem här på LP: vi hade varit inblandade i en diskussion om viruset som hade kommit till mig via email, och h*n ville ha en kopia, så jag vidarbefordrade emailet som kommit till mig.

Det interessanta i detta är att min ISP reagerade med en gång, när jag skickade virus/trojan via email. Vilket (oftast) kan vara bra, men ibland blir det fel...

abergmans bild

Jag antog att det var någon som hängt på trådskaparens router och spammat, den ISP jag jobbar för nöjer sig med att stänga ner port 25 tills dess att kunden säger att de har tagit bort trojanen, skulle det visa sig att de fortfarande skickar så stänger man porten igen.

Skulle det visa sig att kunden fortfarande spammar/sprider trojaner (vilket är ganska ovanligt) eller sprider skit på någon annan port så stänger man ner uppkopplingen.

 

 

aydens bild

Har varit i kontakt med personen vars hårdvara detta gäller signatur Nybörjare i denna tråd och efter att Routern plockades bort så har det lugnat ned sig,

Tackar för tipsen

andys bild

Har han virusscannat alla dessa datorer?