Debian-quanto è rischioso montare disco impestato

[BIG Umberto]

Automount di una pennetta usb che usavo a mò di disco[1] con una
stretch sicuramente infetta.
So che è infetta perchè ci sono troppi processi hidden che
cambiano spesso pid e qualcuno ha avuto accesso alle mie caselle
di posta cambiando password.
Debbo recuperare alcune impostazioni, documenti e file bash.

[1] sarebbe una live persistente, Ossia parte come live, ma la
parte rimanente dello spazio contiene programmi e dati come se
fosse un sistema normale.
Il computer non ha disco fisso!

--
Fondamentalmente innocuo

[sm]

Il Thu, 14 Dec 2023 17:52:08 +0100 (GMT+01:00), BIG Umberto ha scritto:

> Automount di una pennetta usb che usavo a mò di disco[1] con una
> stretch sicuramente infetta.
> So che è infetta perchè ci sono troppi processi hidden che
> cambiano spesso pid e qualcuno ha avuto accesso alle mie caselle di
> posta cambiando password.
> Debbo recuperare alcune impostazioni, documenti e file bash.

Non entro nel merito della diagnosi, ad ogni modo montare di per se non fa
correre rischi. Se vuoi essere più tranquillo la puoi montare con
l'opzione noexec che impedisce a qualsivoglia eseguibile presente di
essere mandato in esecuzione.

[BIG Umberto]

sm <caro...@test.net> ha scritto:

Dove dovrei metterlo il "noexec" nell'automount?

--
Fondamentalmente innocuo

[sm]

Visto che ne stai facendo una questione di sicurezza, disabiliterei
l'automount e monterei a mano.

[BIG Umberto]

In date: Fri, 15 Dec 2023 11:08:20 on group: it.comp.sicurezza.varie,

Sarebbe si meglio, ma forse eccessivo...
Ho messo in fstab:

/dev/sda1 /media/user rw,noexec,relatime 0 0

Ed ho provato ad avviare un banale bash, e mi ha dato correttamente
permesso negato.

Potrei anche metterre un "ro"...

Grazie di tutto.

--
--- Blue Wave/Max v2.10
* Origin: HAL BBs Riding the Blue Wave Now ! (2:331/105)

[BIG Umberto]

"BIG Umberto" <us...@2130706432.invalid> ha scritto:

> In date: Fri, 15 Dec 2023 11:08:20 on group: it.comp.sicurezza.varie,
> sm wrote:
>
>> Il Fri, 15 Dec 2023 10:15:28 +0100 (GMT+01:00), BIG Umberto ha scritto:
>>
>>> sm <caro...@test.net> ha scritto:
>>>> Il Thu, 14 Dec 2023 17:52:08 +0100 (GMT+01:00), BIG Umberto ha scritto:
>>>>
>>>>> Automount di una pennetta usb che usavo a mò di disco[1] con una
>>>>> stretch sicuramente infetta.
>>>>> So che è infetta perchè ci sono troppi processi hidden che
>>>>> cambiano spesso pid e qualcuno ha avuto accesso alle mie caselle di
>>>>> posta cambiando password.
>>>>> Debbo recuperare alcune impostazioni, documenti e file bash.
>>>>
>>>> Non entro nel merito della diagnosi, ad ogni modo montare di per se non
>>>> fa correre rischi. Se vuoi essere più tranquillo la puoi montare con
>>>> l'opzione noexec che impedisce a qualsivoglia eseguibile presente di
>>>> essere mandato in esecuzione.
>>>>
>>>>
>>> Dove dovrei metterlo il "noexec" nell'automount?
>>
>> Visto che ne stai facendo una questione di sicurezza, disabiliterei
>> l'automount e monterei a mano.
>
> Sarebbe si meglio, ma forse eccessivo...
> Ho messo in fstab:
>
> /dev/sda1 /media/user rw,noexec,relatime 0 0
>
> Ed ho provato ad avviare un banale bash, e mi ha dato correttamente
> permesso negato.

Contrordine!!n
Se riavvio senza pennetta sda1 si blocca al boot in stato
emergenza ed esce solo con reboot, e si riblocca allo stesso
punto.
Tolta riga in fstab!

No buono.

--
Fondamentalmente innocuo

[sm]

Il Fri, 15 Dec 2023 22:16:55 +0100 (GMT+01:00), BIG Umberto ha scritto:


>>> Visto che ne stai facendo una questione di sicurezza, disabiliterei
>>> l'automount e monterei a mano.
>>
>> Sarebbe si meglio, ma forse eccessivo...
>> Ho messo in fstab:
>>
>> /dev/sda1 /media/user rw,noexec,relatime 0 0
>>
>> Ed ho provato ad avviare un banale bash, e mi ha dato correttamente
>> permesso negato.
>
> Contrordine!!n Se riavvio senza pennetta sda1 si blocca al boot in stato
> emergenza ed esce solo con reboot, e si riblocca allo stesso punto.
> Tolta riga in fstab!
>
> No buono.

Ovvio, ma avevi detto che ti serviva montarla estemporaneamente non in
modo persistente. Io dicevo proprio di montarla a mano passando con -o
l'opzione noexec. La monti, copi quello che devi copiare e la smonti.

[BIG Umberto]

In date: Sat, 16 Dec 2023 09:39:07 on group: it.comp.sicurezza.varie,

Ho fatto quanto dovevo fare. poi ho spento dimenticando di cancellere la
riga in fstab. Non pensavo fosse così deleteria!

--
--- GoldED 2.40
* Origin: All You Need is Love - Point Of Augusto (2:331/215.5)

[sm]

Il Sat, 16 Dec 2023 10:00:08 -0000 (UTC), BIG Umberto ha scritto:


>>> Contrordine!!n Se riavvio senza pennetta sda1 si blocca al boot in
>>> stato
>>> emergenza ed esce solo con reboot, e si riblocca allo stesso punto.
>>> Tolta riga in fstab!
>>>
>>> No buono.
>>
>> Ovvio, ma avevi detto che ti serviva montarla estemporaneamente non in
>> modo persistente. Io dicevo proprio di montarla a mano passando con -o
>> l'opzione noexec. La monti, copi quello che devi copiare e la smonti.
>
> Ho fatto quanto dovevo fare. poi ho spento dimenticando di cancellere la
> riga in fstab. Non pensavo fosse così deleteria!

Niente di deleterio, dovevi solo aggiungere l'opzione noauto. Di default
l'opzione di fstab è auto, il che vuol dire è richiesto il mount al boot e
di conseguenza se non riesce a farlo il sistema si blocca.

[BIG Umberto]

sm <caro...@test.net> ha scritto:

Non lo sapevo.
Me lo segno per la prossima volta

Grazie infinite.

--
Fondamentalmente innocuo

[^Bart - Debian Bookworm]

Il 14/12/23 17:52, BIG Umberto ha scritto:

> Automount di una pennetta usb che usavo a mò di disco[1] con una
> stretch sicuramente infetta.
> So che è infetta perchè ci sono troppi processi hidden che
> cambiano spesso pid e qualcuno ha avuto accesso alle mie caselle
> di posta cambiando password.

Vado [OT], perdona l'irriverente curiosità ma come sei arrivato a questa
diagnosi?

Io utilizzo Debian da anni, magari non in "modalità advanced" come molti
qui dentro ma non sono mai arrivato a situazioni del genere, sarebbe
interessante capire come o cosa ti abbia portato a questa situazione
anche per una questione "didattica" in modo che altri possano non
incorrere negli stessi problemi!

Dove ho modo ad esempio installo Crowdstrike pacchettizzato per diverse
distro tra cui Debian oltre che MacOS, Windows, etc. però nonostante
questo eccesso di zelo non ho ricevuto mai nessuna segnalazione malevola.

Saluti.
^Bart

[BIG Umberto]

In date: Sun, 17 Dec 2023 11:33:50 on group: it.comp.sicurezza.varie,

^Bart - Debian Bookworm wrote:

> Il 14/12/23 17:52, BIG Umberto ha scritto:
>> Automount di una pennetta usb che usavo a mò di disco[1] con una
>> stretch sicuramente infetta.
>> So che è infetta perchè ci sono troppi processi hidden che
>> cambiano spesso pid e qualcuno ha avuto accesso alle mie caselle
>> di posta cambiando password.
>
> Vado [OT], perdona l'irriverente curiosità ma come sei arrivato a questa
> diagnosi?

Be! da diverse cose evidenti...

Parte tor da solo, io per avviare tor, debbo da terminale dare il sudo,
poi avviare uno script che vuole un parametro.

Due caselle di posta, con password cambiata, recupero, e mezz'ora dopo le
trovo ancora cambiate.

Trovo ad una delle caselle un'altro utente (dal friuli) connesso.

Il firewall modificato e che non accetta alcune regole.

Mail fishing, chiaramente false basate su altri messaggi regolari.

Sposto un paio di files su un backup e ti vedo 7-8 processi nascosti
attivi, che cambiano pid ad ogni disagnosi.

Ti basta?

--
--- Pip* 2.02/1 beta3 and nothing
* Origin: Developing WARP (2:334/108...@fidonet.org)

[BIG Umberto]

In date: Sun, 17 Dec 2023 11:33:50 on group: it.comp.sicurezza.varie,
^Bart - Debian Bookworm wrote:

> Il 14/12/23 17:52, BIG Umberto ha scritto:
>> Automount di una pennetta usb che usavo a mò di disco[1] con una
>> stretch sicuramente infetta.
>> So che è infetta perchè ci sono troppi processi hidden che
>> cambiano spesso pid e qualcuno ha avuto accesso alle mie caselle
>> di posta cambiando password.
>

> Io utilizzo Debian da anni, magari non in "modalità advanced" come molti
> qui dentro ma non sono mai arrivato a situazioni del genere, sarebbe
> interessante capire come o cosa ti abbia portato a questa situazione
> anche per una questione "didattica" in modo che altri possano non
> incorrere negli stessi problemi!

Non so da cosa sia originato, forse da qualche vulnerabilità. Comunque
sono riusciti ad accedere a root, solo da li, possono essere riusciti a
fare il danno.
Tenendo conto che:
Email: pass criptata con script in python, con passfrase.
Pin accesso al dns dinamico (avevo 3 dominii per cazzeggi miei) di 1
server, accessibile solo da root.
Fail2ban attivo.
Log di tutti i pacchetti (4000-10000 righe al giorno), avevo notato un ip
che per mesi ad ogni 24-30 ore insisteva, ma avevo bloccato il dominio.

Incriminati sono stati la pennetta usb che usavo al posto dell'hd sul pc,
ed un raspberry pi3 che usavo per cazzeggi.

[ObiWan]

:: On Sun, 17 Dec 2023 12:13:48 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <ulmols$2sqoe$1...@solani.org>

:: "BIG Umberto" <us...@2130706432.invalid> wrote:

> Parte tor da solo, io per avviare tor, debbo da terminale dare il
> sudo, poi avviare uno script che vuole un parametro.
>
> Due caselle di posta, con password cambiata, recupero, e mezz'ora
> dopo le trovo ancora cambiate.
>
> Trovo ad una delle caselle un'altro utente (dal friuli) connesso.
>
> Il firewall modificato e che non accetta alcune regole.
>
> Mail fishing, chiaramente false basate su altri messaggi regolari.
>
> Sposto un paio di files su un backup e ti vedo 7-8 processi nascosti
> attivi, che cambiano pid ad ogni disagnosi.

ti sei beccato un rootkit, "pialla" la macchina e rifalla da zero

[BIG Umberto]

ObiWan <obi...@mvps.org> ha scritto:

É quello che ho fatto, ma ho parecchie configurazioni che debbo
recuperare.

--
Fondamentalmente innocuo