seduction
 Language:
Welcome, Guest. Please login or register.
Did you miss your activation email?
2020/02/28, 01:01:37


Help

Author [EN] [PL] [ES] [PT] [IT] [DE] [FR] [NL] [TR] [SR] [AR] [RU] Topic: (gelöst) unfreiwillige LVM verschlüsselung - bug oder virus? - rückgängig?  (Read 714 times)

0 Members and 1 Guest are viewing this topic.

Offline michaa7

  • User
  • Posts: 2.128
Das heutige update war in jeder hinsicht ungewöhnlich: Ich bin während des d-u in der emergency konsole gelandet, irgendwann wurde mir mitgeteilt, dass das testing repo von stretch auf buster umgestellt werden muß (was ich zugelassen habe obwohl ich mich zu erinnern glaube das ich die repos nie nach den aktuellen namen sondern immer abstrakte (testing usw) benannt habe. das d-u blieb mehrfach hängen, es gab systemd fehler, ich habe mehrfach "apt -f install" und "apt install systemd" ausgeführt.

Im ergebniss kann ich nur noch in die emergency konsole booten, es werden LVM module und dienste geladen (ich habe noch ***nie*** LVM genutzt!!!), irgendwann habe ich dann einen startjob, der irgendwie die partitionen nach label durchgeht. Meine hoffnung ist noch, dass das nach wie vor klemmt und meine partitionen noch nicht verloren sind (wir reden hier von zig GB daten!)

Ich hoffe ja immer noch auf einen reversiblen bug, aber ein bug der aus versehen LVM, und dann auch noch verschlüsselt aktiviert sollte mehr usern als nur mir untergekommen sein. So befürchte ich ein virus.

Was nu?
« Last Edit: 2018/06/29, 12:47:37 by michaa7 »
Ok, you can't code, but you still might be able to write a bug report for Debian's sake

Offline devil

  • Administrator
  • User
  • *****
  • Posts: 4.395
Das Systemd und Udev derzeit einen Bug haben hatte ich ja gepostet. Dein Posting ist mir aber ziemlich unklar.   es werden LVM module und dienste geladen Kannst du das mit Ausgaben klarer machen? aus versehen LVM, und dann auch noch verschlüsselt aktiviert Woran machst du das fest?

Offline absolut

  • User
  • Posts: 421
hi Michaa,

sorry, aber irgendwie beschreibst du alles viel zu schwammig... für mich eher nicht nachvollziehbar... was hast du wann in welcher Reihenfolge gemacht, welche Pakete wurden aktualisiert, etc?

meine Vorgehensweise wäre:
- live Linux vom stick order CD booten
- prüfen, ob Zugriff auf Daten verfügbar
- wenn ja --> Daten Backup --> Neuinstallation
- wenn nein --> ins IRC rein, für real-time support

Gruß
absolut

Offline michaa7

  • User
  • Posts: 2.128
Vorab: Alles ist während eines d-u's passiert! während eines d-u's wie ich es seit jahren wenn mindestens wöchentlich mache.

Das Systemd und Udev derzeit einen Bug haben hatte ich ja gepostet.

Ja, deshalb war ich bei meine d-u erstmal nicht beunruhigt. Das sollte ja laut forum mittels "apt install systemd" behebbar sein. Daher war ich über die fehlermeldug beim d-u nicht sonderlich verwundert.bezüglich systemd kan dann ein konfigproblem mit folgender meldung:
Quote
blabla  /lib/systemd/system/glances.service:3: Invalid URL ignoring (1)
Irgendwann kam dann die meldung dass testing von stretch auf buster geändert wurde (ich rede hier immer noch von meinem d-u). Mich hat das irritiert, weil ich meine repost abstrakt bennat habe, aber ich hjabe es dennoch zugelassen, weil ich dachte, vielleicht abe ich wtwas übersehen. Zumal hunderte von paketen reinkommen sollten, über 2 GB.  Ich meine ich machte dauern d-u's, ich habe die 2GB nicxht verstanden, aber wie gesagt ich dachte, viellicht habe ich was übersehen. Also habe ic h das zugelassen.  Irgendwann hing der ganze salat und ich sollte das rootpasswort für die emergency konsole eingeben, was ich tat. Irgendwie hatte ich das in erinnerung, dass man so in die emergency console wechselt.

Quote
Dein Posting ist mir aber ziemlich unklar.   es werden LVM module und dienste geladen Kannst du das mit Ausgaben klarer machen? aus versehen LVM, und dann auch noch verschlüsselt aktiviert Woran machst du das fest?

Das mache ich an den meldungen fest die jetzt bei jedem neuen bootvorgang zu sehen sind. Es werden jetzt irgenwelche LVM module/dienste gestarte, und ich glaube auch ein verschlüsselungmodul, dann kommt irgendwann ein startjob, der alle partitionen nach label durchgeht ... irgendwas macht, keine ahnung.

Mittlerweile habe ich ein älteres siduction image booten können und sehe in geparted dass alle partitonen nun als /disks/disk/partx usw bezeichnet werden. Das ist sonst ja nicht so.

Ich befürchte dass eine SSD die ich aus dem defekten lapttop eines bekannten erhalten habe vielleicht ein rootkit hatt, was den formatierungsvorgang überlabt hat. Reine spekulation, aber ich vermute hier nun leioder einen virus, weil ich mir nicht vorstellen kann, dass ein d-u "aus versehenein LVM volume erstellt.
« Last Edit: 2018/06/29, 10:51:47 by michaa7 »
Ok, you can't code, but you still might be able to write a bug report for Debian's sake

Offline michaa7

  • User
  • Posts: 2.128
hi Michaa,

sorry, aber irgendwie beschreibst du alles viel zu schwammig...


Nunja, das ist ja auch nicht gerade alltäglich, ich bin gedanklich ja selbst noch am sortieren...

Quote
für mich eher nicht nachvollziehbar... was hast du wann in welcher Reihenfolge gemacht, welche Pakete wurden aktualisiert, etc?


siehe antwort auf devils posting

Quote
meine Vorgehensweise wäre:
- live Linux vom stick order CD booten
- prüfen, ob Zugriff auf Daten verfügbar
- wenn ja --> Daten Backup --> Neuinstallation
- wenn nein --> ins IRC rein, für real-time support

Gruß
absolut

Ok, ein img kann ich ja hier von festplatte booten, ggf. finde ich auch einen älteren live sticvk oder ich erstelle mir einen neuen mit dem neuesten siduction von meinem laptop aus. Das wird heute aber ncihts mehr, weil ich einfach zu müde bin. Würde mich aber frreuen wenn du morgen hier nochmals reinschaust.
Ok, you can't code, but you still might be able to write a bug report for Debian's sake

Offline devil

  • Administrator
  • User
  • *****
  • Posts: 4.395
Wie kommst du jetzt darauf, dass LVM Volumes erstellt wurden?

Offline michaa7

  • User
  • Posts: 2.128
Weil bei jedem reboot LVM meldungen kommen (das hatte ich noch nie, ok, ich habe keine ahnung von LVM, aber die meldungen sind eindeutig, das ist nicht nur eine meldung, sind mehrere zeilen. Ich werde nachher nochmals diesen schrott booten und schauen was ich aufschreiben kann.

Die gute nachtricht ist, auf die partitionen, die ich bislang getestet habe, kann ich von einem siduction image aus zugreifen, in soweit kehrt hier bei mir etwas gelassenheit ein, obwohl die vorstellung mein system neu aufsetzen zu müssen (da ist der siduction part ja das wenigste) meine laune schon noch trübt.
Die schlechte, zumindes besorgnis erregende nachricht, die mich eienn virus immer noch nicht ausschliessen läßt ist, dass mindestens eine meiner hds nicht mehr über die hinterlegte UUID gefunden werden kann. Da ist also definitiv in merkwürdiger weise was auch immer passiert.

Was ich vergessen hatte zu erwähnen: beim d-u kamen neben den von mir benötigten nvidia-legacy-340 treiber noch towos neuester kernel rein. Dabei gab es auch fehlermeldungen, dass das nvidia modul nicht gebaut werden kann wegen abhängigkeitsproblemen.

Das mag der dümmest augenblich gewesen sein ein d-u anzustoßen, weil neben udev und systemd eben ein aktualisierter nvidiatreiber kam, und das zusammenspiel mit neuen kernel nicht immer auf anhieb klappt.

Aber nochmals: das ist alles in einem d-u passiert (wenn man apt -f install, dpkg --configure -a und apt install systemd mit dazuzählt)

Angaben zu LVM folgen gleich, da muß ich ja leider neu booten :-(
Ok, you can't code, but you still might be able to write a bug report for Debian's sake

Offline michaa7

  • User
  • Posts: 2.128
Quote
Startet Activation of LVM2 logical volumes
Reached Target Local encryptet volumes
Startet Activation of LVM2 ligical volumes
...
Starting monitoring of LVM2 mirroring dmeventd or progress polling
Starting axtivation of LVM2 logical Volumes
...

Das ist was ich aufschreiben konnte während der merkwürdige startjob mit dem scannen der partitionen ein weiterscollen verhindert. Auf mich wirkt das immer noch ein bisschen so als ob LVM noch nicht endgültig eingerichtet ist. Vielleicht bewahren mich die bestehenden fehler davor, der rechner boote ja immer noch nicht durch, ich lande ja immer wieder in der emergency console! Und nochmals, wenn das kein virus ist, dann würde ich mich schon fragen warum bei mir ein d-u sooooo aus der bahn läuft ...

Ich werde morgen versuchen rkhunter in das image zu installieren und erstmal die systempartition durchzuchecken.


EDIT: kann man durch editieren der kommandozeile beim booten ("e" option) verhindern, dass LVM beim booten ausgeführt wird.  Und falls das geht, wie bekomme ich LVM dann endgültig deaktiviert wenn ich mal durchgebootet habe oder in der emergency console bin??

EDIT2:

Habe rkhunter und chkrootkit laufen lassen.Es wird ncihts gefunden (chkrootkit fand zunächst suckit, aber nachforschungen im netz zeigten dass hier wohl ein falschpositives ergebnis vorliegt. Ich hatte zu diesem zeitpunkt noch die chkrootkit version vom ISO indian summer. Nach update kein falschpositives ergebnis).
Mir ist allerdings nicht klar wo rkhunter und chkrootkit suchen? Nur in der gebooteten partition, das ära ja nur das iso und nicht die partition um die es eigentlich geht. in den manpages habe ich jedoch nichts spezifisches gefunden wie ich diese programma gezielt auf eine partition ansetze. Tipps?

« Last Edit: 2018/06/29, 10:07:46 by michaa7 »
Ok, you can't code, but you still might be able to write a bug report for Debian's sake

Offline michaa7

  • User
  • Posts: 2.128
siehe zwei postings oben.
« Last Edit: 2018/06/29, 10:53:58 by michaa7 »
Ok, you can't code, but you still might be able to write a bug report for Debian's sake

Offline michaa7

  • User
  • Posts: 2.128
Das booten mit sysvinit ermöglichte das purgen von lvm
Code: [Select]
apt purge lvm2, und ein anschließendes downgrade von systemd und udef auf 238-5 wozu auch PA-module-config ein versionsdowngrade erfahren mußte.

Damit bootet das system wieder mit systemd. Es gibt noch ein paar inkonsistenzen mit den nvidia treiber, aber solange X funktioniert werde ich das aussitzen.
Ok, you can't code, but you still might be able to write a bug report for Debian's sake