Spustil jsem gui Update Manager. Když jsem jej požádal o instalaci všech balíčků, vybídl mě, abych se ujistil, že chci nainstalovat. Byly zde 3 rozevírací seznamy balíčků, z nichž jeden byl pojmenován „NOT AUTORIZOVANÝ“. Tak jsem se vrátil a zkusil nainstalovat balíčky jeden po druhém. Vybral jsem si jeden nazvaný „ca-certifikáty“, protože jsem si myslel, že když to udělám, ostatní by se mohli nainstalovat bez varování, a myslel jsem, že dostanu šanci říct ne. Ale když jsem to spustil jen s tím jedním balíčkem, prostě to pokračovalo a nainstalovalo se, aniž by mě to vyzývalo. A myslím, že jeden mohl být na seznamu neposlušných hned poprvé. Takže teď mám možná škodlivou aktualizaci.
Jak zjistím, zda to bylo legální? A pokud ne, jak to odstraním?
Nevidím nic podezřelého ani ve výstupu konzole, ani ve /var/log/dpkg.log , ale mohu zveřejnit obojí, pokud je to užitečné.
Používám Linux Mint verze 1.17.3 s dpkg verze 1.17.5. Neznám verzi Update Manager (ale je to soubor s názvem /usr/lib/linuxmint/mintUpdate/mintUpdate.py ).
/var/log/dpkg.log :
2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1
výstup konzole z aktualizace:
(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.
Přijatá odpověď:
Pokud byl balíček škodlivý, měl již možnost spustit kód s právy root, včetně vymazání protokolů a stop toho, co udělal, takže možná budete muset považovat server za kompromitovaný bez ohledu na to, zda najdete důkazy o tom nebo ne, v závislosti na na vašich zásadách.
Související:hledat text na výstupu terminálu?
Pokud tomu tak není a pokud máte nakonfigurovaná pouze oficiální úložiště na /etc/apt/sources.list a /etc/apt/sources.d (jak komentoval @roaima), můžete předpokládat, že se nic nestalo, protože tyto balíčky jsou podepsané a jejich podpisy ověřeny před jejich instalací.
Přesto, pokud chcete nyní něco znovu zkontrolovat, můžete ověřit zde uvedené hashe proti souboru, který máte na /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb . Za tímto účelem spusťte sha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb a porovnejte řetězec znak po znaku s tím, co vidíte na stránce ubuntu. Pokud se přesně shodují, můžete říci, že to byl soubor, který jste nainstalovali, a že pochází z Ubuntu (Mint neposkytuje vlastní balíček certifikátů, jak můžete potvrdit vyhledáním zde).
Pro vaše pohodlí je hash z této stránky 3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14 .
Opět, pokud byl balíček škodlivý, je příliš pozdě, pokud ne, nechte jej tam nebo odeberte jako obvykle pomocí apt-get remove ca-certificates .
Pokud tento soubor nemůžete najít, možná jsem z vašich protokolů získal špatnou verzi nebo již byla ve vašem počítači vyčištěna mezipaměť apt, takže by bylo opravdu obtížné ověřit, co jste si stáhli.