Nieznany użytkownik "mariusz" w home po instalacji TT 14.04

[bboylubsko]

Cześć. Zaglądam dzisiaj do katalogu home, a tutaj jakiś mariusz. Włamanie? Jestem początkującym użytkownikiem ubuntu, ale takich kwiatków się nie spodziewałem. Ktoś jest w stanie mi wyjaśnić o co może chodzić?
http://bankfotek.pl/image/1747940.jpeg

[mateczek]

to nie musi być folder domowy tylko zwyczajny folder. Jednak musiał być utworzony przez użytkownika lub program z uprawnieniami roota.
Zobacz co zawiera. Ktoś oprócz ciebie zna hasło na system ?? mam nadzieję, że nie jest to hasło typu "qwerty" lub co gorsza "mariusz". Lub coś w tym stylu
Przejrzyj logi np pliki

Kod: Zaznacz cały

 /var/log/auth.log

powinny być tam wpisane próby logowania się jako superuser.

[bear7]

mam nadzieję, że nie jest to hasło typu "qwerty" lub co gorsza "mariusz".

A nawet gdyby, to co? Aby ktoś miał dostęp z zewnątrz, kolega musiałby jeszcze mieć uruchomione jakieś usługi (ssh, rdp, i tym podobne), które umożliwiłyby dostęp do maszyny z zewnątrz. Jak ktoś inny ma fizyczny dostęp do maszyny, to nawet 'tVV4rd3[;]h45L0' tutaj nic nie da.

Cześć. Zaglądam dzisiaj do katalogu home, a tutaj jakiś mariusz. Włamanie?

Znasz jakiegoś Mariusza? Ma ktoś dostęp do tego komputera oprócz Ciebie? Odpalałeś jakieś skrypty? Klepałeś jakieś polecenia w terminalu bez zgłębiania się, co one robią? Instalowałeś jakieś programy pobrane z jakiś stron?

[camdell]

Ten Katalog instaluje sie jak masz polski remix chyba autorzy chca miec dostep do naszysz systemow

[bear7]

Ten Katalog instaluje sie jak masz polski remix chyba autorzy chca miec dostep do naszysz systemow

Jeżeli tak jest, to raczej coś zostało przeoczone. Sprawdzę to w wolnej chwili.

[camdell]

Jest napewno na remixie 14.04

[enedil]

Dla pewności, co pokaże się, gdy wykonasz

Kod: Zaznacz cały

sudo grep mariusz /etc/passwd

?

[camdell]

Ja to juz nie wiem po tym odkryciu wróciłem do oryginału.

[bear7]

Ja to juz nie wiem po tym odkryciu wróciłem do oryginału.

Oj, chyba trochę przesadzasz. Folder ten to nasze niedopatrzenie podczas tworzenia remiksu. Mario podczas edycji i modyfikacji obrazu najwidoczniej zapomniał usunąć folder lub jeden ze skryptów ma gdzieś błąd i tworzy po instalacji dodatkowy, niepotrzebny folder w /home. enedil podał polecenie, które pomoże sprawdzić, czy taki użytkownik jeszcze jest w systemie. Dla pewności, można sprawdzić zawartość tego pliku bez filtrowania lub sprawdzić jakie konta i grupy siedzą w systemie:

Kod: Zaznacz cały

cat /etc/passwd | grep -o '^[^:]*' | xargs -L1 id

Nie ma powodu siać paranoi. Forum ubuntu.pl to nie NSA. Mamy lepsze zajęcia aniżeli śledzić poczynania użytkowników.

[bboylubsko]

Marcin to jedyne konto, które zakładałem. Ma ono dosyć skomplikowane hasło więc wykluczam jego złamanie (wielkie litery+cyfry). Do katalogu nie mam uprawnień, zawierał wczoraj folder do którego nie mogłem się dostać, dzisiaj już go tam nie ma. Mariusza żadnego nie znam, jakieś polecenia klepałem, ale było to głównie związane z motywami, aplikacjami. Jedyny skrypt (chyba) to ten który dodaje do menu kontekstowego "otwórz jako administrator".

Polecenie "sudo grep mariusz /etc/passwd" zwraca: no... właśnie nic nie zwraca.

Polecenie "cat /etc/passwd | grep -o '^[^:]*' | xargs -L1 id" coś tam pokazuje, jednak nie jestem pewny czy mogę to podać . Nikt mi się na tej podstawie nie włamie ?
Dajcie znać jak się wyjaśni z tym Mariuszem. Dzięki.

[socrates]

Polecenie "sudo grep mariusz /etc/passwd" zwraca: no... właśnie nic nie zwraca.

No to możesz spać spokojnie. Żaden mariusz Ci sie nie włamie bo nie ma takiego użytkownika w systemie.
Widocznie jak koledzy wyżej pisali jest to jakieś niedopatrzenie przy tworzeniu remiksu.

[bear7]

Marcin to jedyne konto, które zakładałem. Ma ono dosyć skomplikowane hasło więc wykluczam jego złamanie (wielkie litery+cyfry).

Jak już wcześniej napisałem, aby ktoś mógł się włamać, musiałbyś mieć uruchomione usługi, które umożliwiają zdalny dostęp do systemu. Domyślnie w Ubuntu, zaraz po instalacji, usługi takie nie są włączone. A jak ktoś ma fizyczny dostęp do twojego komputera, to żadne skomplikowane hasło użytkownika nie pomoże*, nawet to twoje z kombinacją wielkich liter i cyferek. Jak ktoś kiedyś napisał: jak ktoś ma fizyczny dostęp do twojej maszyny, to nie jest już to twoja maszyna.
*Chyba że masz jeszcze włączone szyfrowanie.

Polecenie "cat /etc/passwd | grep -o '^[^:]*' | xargs -L1 id" coś tam pokazuje, jednak nie jestem pewny czy mogę to podać . Nikt mi się na tej podstawie nie włamie ?

Polecenie to, wyświetli listę kont systemowych i nazwy użytkowników. Aby ktoś mógł się włamać, potrzebnych byłoby więcej informacji.

Dajcie znać jak się wyjaśni z tym Mariuszem.

Tak jak napisałem wcześniej, nie ma co popadać w paranoję. Są to pozostałości po procesie tworzenia remiksu: katalog ten jest pusty i śmiało można go usunąć.

[bboylubsko]

Szyfrowanie mam wyłączone Dzięki za wyjaśnienia. Można zamknąć.

-- 28 cze 2014, o 18:32 --

Pokieruje ktoś?

Kod: Zaznacz cały

marcin@bboy:/home$ rm -r mariusz
rm: wejść w katalog „mariusz”, zabezpieczony przed zapisem? t
rm: wejść w katalog „mariusz/.gvfs”, zabezpieczony przed zapisem? t
rm: usunąć zabezpieczony przed zapisem katalog „mariusz/.gvfs”? t
rm: nie można usunąć „mariusz/.gvfs”: Brak dostępu
marcin@bboy:/home$ 

Ok, zapomniałem sudo. Poszło ładnie.

[zxvt1]

Witam,

Mam podobny problem, po instalacji uporczywie pojawia mi się konto /home/mariusz którego nie mogę usunąć.
System takiego konta nie widzi.

(ps -auxw) xxx
(ls -la ~/) xxx
(lsof) xxx

Kilka dni temu instalowalem system na fabrycznie nowym dysku, dodatkowo jak dobrze pamiętam w poprzednim systemie tez pojawiał się ten katalog.

Z góry dziękuję a pomoc.

[rom]

Tu masz odpowiedź viewtopic.php?f=145&t=174544#p990358

[zxvt1]

Ok. dzięki
Firmowy komputer więc trochę nerwów miałem .