Ich habe die Update Manager-GUI ausgeführt. Als ich es bat, alle Pakete zu installieren, forderte es mich auf, sicherzustellen, dass ich installieren wollte. Es gab 3 Dropdown-Listen mit Paketen, von denen eine den Namen „NICHT AUTORISIERT“ trug. Also ging ich zurück und versuchte, Pakete einzeln zu installieren. Ich habe eines namens „ca-certificates“ ausgewählt, weil ich dachte, wenn ich dieses täte, könnten die anderen ohne Warnungen installiert werden, und ich dachte, ich hätte die Möglichkeit, nein zu sagen. Aber als ich es mit nur diesem einen Paket ausführte, ging es einfach weiter und wurde installiert, ohne mich zu fragen. Und ich denke, dass einer beim ersten Mal auf der Ungezogenen Liste gewesen sein könnte. Jetzt habe ich also ein möglicherweise bösartiges Update.
Woher weiß ich, ob das legitim war? Und wenn nicht, wie entferne ich es?
Ich sehe weder in der Konsolenausgabe noch in /var/log/dpkg.log
etwas Verdächtiges , aber ich kann beide posten, wenn das hilfreich ist.
Ich verwende Linux Mint Version 1.17.3 mit dpkg Version 1.17.5. Ich kenne die Version des Update Managers nicht (aber es ist eine Datei namens /usr/lib/linuxmint/mintUpdate/mintUpdate.py
).
/var/log/dpkg.log
:
2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1
Konsolenausgabe von Update:
(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.
Akzeptierte Antwort:
Wenn das Paket bösartig war, hatte es bereits die Möglichkeit, Code mit Root-Rechten auszuführen, einschließlich des Löschens von Protokollen und Spuren dessen, was es getan hat. Sie müssen also möglicherweise den Server als kompromittiert betrachten, unabhängig davon, ob Sie Beweise dafür finden oder nicht, je nachdem auf Ihre Richtlinien.
Verwandte:Suchtext in der Terminalausgabe?
Wenn dies nicht der Fall ist und Sie nur die offiziellen Repositories auf /etc/apt/sources.list
konfiguriert haben und /etc/apt/sources.d
(wie von @roaima kommentiert), können Sie davon ausgehen, dass nichts schief gelaufen ist, da diese Pakete signiert und ihre Signaturen überprüft werden, bevor Sie sie installieren.
Wenn Sie jetzt noch etwas überprüfen möchten, können Sie die hier aufgeführten Hashes mit der Datei vergleichen, die Sie auf /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb
haben . Führen Sie dazu sha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb
aus und vergleichen Sie die Zeichenfolge Zeichen für Zeichen mit dem, was Sie auf der Ubuntu-Seite sehen. Wenn sie genau übereinstimmen, können Sie sagen, dass dies die Datei war, die Sie installiert haben, und dass sie von Ubuntu stammt (Mint stellt kein eigenes Zertifikatspaket bereit, wie Sie durch Suchen hier bestätigen können).
Der Einfachheit halber lautet der Hash, den ich von dieser Seite erhalten habe, 3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14
.
Auch hier ist es zu spät, wenn das Paket bösartig war. Wenn nicht, belassen Sie es dort oder entfernen Sie es wie gewohnt mit apt-get remove ca-certificates
.
Wenn Sie diese Datei nicht finden können, habe ich vielleicht die falsche Version aus Ihren Protokollen erhalten oder der Apt-Cache wurde bereits auf Ihrem Computer bereinigt, was es wirklich schwierig machen würde, zu überprüfen, was Sie heruntergeladen haben.