web-dev-qa-db-ja.com

Linuxでのマルウェア(アドウェア?)感染

最近、削除できないマルウェア(アドウェア/ウイルス?)に悩まされています。ここに状態があります:

  • 私はLinux(Archlinux)を使用していますが、それは最新の状態であり、標準的なリポジトリの外にパッケージをインストールしたり、かなり有名なAURパッケージをインストールしたりしていません。これが事実であるかどうか、さらに確認します。

  • ポップアップが表示されます(ads by DNS Unlocker)onChromium[〜#〜] ff [〜#〜](標準リポジトリ)およびGoogle-Chrome-Stable(AURからインストール)。

  • WindowsとAndroidボックスがあり、すべて1つのアカウントに同期します

  • 私はTor(ほとんどの場合)を公式メールで提供されているブリッジで使用しています

  • 私の最近のインストールとアドオンのリストはリンクの下にリストされています:

    Sudo cat /var/log/pacman.log | grep -i installedhttps://Gist.github.com/anonymous/e118898bed35612cab12#file-recent-packages-installed

    Sudo pacman -Qmhttps://Gist.github.com/anonymous/674e1b7030e8cebadaee

    ブラウザのアドオン:
    ブックマークマネージャ(ID:gmlllbghnfkpflemihljekbapjopfjik)、
    Evernote Clipper(ID:pioclpoplcdbaefihamjohnefbikjilc)、
    Google Scholar Button(ID:ldipcbpaocekfooobnbcddclnhejkcpn)、
    最終パス(ID:hdokiejnpimakedhajhdlcegeplioahd)、
    プロキシSwitchyOmega(ID:padekgcemlokbadohgkifijomclgjgif)、
    ポケットに保存(ID:niloccemoadcdkdjlinkgdfekeahmflj)、
    ScriptSafe(ID:oiigbmnaadbkfbmpbfijlflahbdbdgdf)、
    Zoteroコネクタ(ID:ekhagklcjbdpajgpjgmbionohlpdbjgc)

  • $ cat /etc/hosts

    127.0.0.1 localhost.localdomain localhost
    :: 1 localhost.localdomain localhost

    ネットワーク設定を確認しましたが、IPがDHCPに設定されています。

  • どういうわけか最近同様のケースが報告されていますが、私が見ているものの間には明らかな違いがあります。
    https://askubuntu.com/questions/666604/how-to-get-rid-of-the-dns-unlocker-adware

  • このスクリプトをスクリプトセーフで無効にすると、ポップアップがブロックされ、scriptsafeはJavaScriptを次のように表示します。
    m51.dnsqa.me(1)
    cdn.scarabresearch.com(1)
    最初のものは確かですが、2つ目は安全かもしれません。

  • よくわかりませんが、セーフモード(シークレットモード)ではポップアップが表示されないようです。拡張機能に関して、私は新しくインストールされたブラウザを試しました、そしてそれは再び感染します。

  • uRLのハイジャックがGoogleの検索で引き起こされました(リンクの新しいタブをクリックして)。ポップアップは、Amazonとほとんどのeショッピングサイトで見られます。また、TED.orgで見たことがあり、ビデオをダウンロードできません。

何日か問題に苦労した後、私はルートを見つけることができませんでした。

アンインストールしました(pacman -Rs chromium)とブラウザのフォルダを手動で削除(rm -rf .chromium, .config/chromium, /local/share/chromium)。同期を有効にした場合と無効にした場合(サーバーで同期データをリセットする場合でも)、しばらくするとポップアップが表示されます。これはFFとGoogle-Chromeでも発生します。 Opera除外される可能性がありますまだテストしていません。

私が疑っている2つのオプションがあります。

  • DNS、チェックしましたresolve.confおよび/etc/hostsおよびNetwork Settingsしかし、localhostまたはDHCP以外の構成は確認できませんでした。初心者であり、DNSに関する他の脆弱性を認識していません。
  • ローカルでインストールしたマルウェアを見つけられません。
  • torによる公式の橋は私には当てはまりません(私はそれらを変更しましたが、結果は変更しませんでした。スクランブルスーツブリッジでtorを使用することもあり、すべて公式のeamilからのものです)。

更新:

  • Torブラウザーバンドルを使用していません(Torをサービスとして使用し、プロキシを設定しています)

  • 他のデバイスがルーターに接続されており、それらは男性ウェアの影響を受けていない

4
Neper

あなたがtorを使用していると言うとき、あなたはtorブラウザバンドルを使用していますか?それとも、プロキシサーバーとしてセットアップし、通常のブラウザを使用してTorに接続するスタンドアロンバージョンですか?

詳細からDNSの問題だと思いますが、torブラウザーバンドルはDNS設定を使用しないため(少なくともデフォルトでは)、ブラウザーバンドルを使用していても問題が発生する場合は、別の問題です。

ルーターのDNS設定が危険にさらされている可能性があるため、DNSクエリが実行されると、次のようになります。

  1. 最初にローカルコンピュータを検索します(つまり、/etc/hosts
  2. resolve.confからのアップストリームDNSこれは通常、ローカルルーターであり、DHCPによって設定されます(通常、ネットワーク上の他のコンピューターとキャッシュされたDNSレコード)
  3. ルーターは上流のDNSを確認します。これは通常、ISPです。

しかし、私はあなたのルーターがあなたのブラウジングにコンテンツを注入している悪意のあるウェブサーバー/プロキシにあなたのトラフィックをリダイレクトしている悪意のある上流DNSサーバーを使うように設定されていると思います。

実験として、ライブCDを起動して、問題が引き続き発生するかどうかを確認してください。問題が発生した場合は、ルーターを出荷時設定にリセットします1 (または最新のファームウェアを使用して再フラッシュすることをお勧めします)ルーターのアップストリームDNS設定を8.8.8.8(GoogleのパブリックDNS)に設定し、ルーターに適切なパスワードを設定してください。


  1. 通常の注意事項が適用されます。ルーターを工場出荷時の状態にリセットするとインターネット接続が切断される可能性があるため、ISPに接続するためにユーザー名とパスワードが必要な場合(ほとんどの接続は)何を知っているかを確認してください。そうです。
1
Hybrid

また、DNS Unlockerによるポップアップ広告に関する情報はアドウェアの問題の警告であるため、これはDNSの問題であると思います。調査の結果、DNS UnlockerはPUP、アドウェアとして報告されており、配布方法の1つがバンドルされていることがわかりました。

良いニュースは、完全に削除され、DNSを復元できることです。 このセキュリティケースの詳細については、こちらをご覧ください 。これらの人たちは、私のPCセキュリティ関連の問題を解決するのに本当に役立ちます。この迷惑なウイルスの解決策を見つけることを願っています。

0
Vincent