Malware auf privatem Linux eingefangen oder nur vor Schutzmechanismus erschreckt

Hallo zusammen,

Ich hatte heute kurz einen Puls von 200 als ich dachte ich hätte mir auf meinem privaten Linux Laptop etwas eingefangen.

Um einem Bekannten mit seinem neuen Linux Setup zu helfen, wollte ich das Fernzugriffstool Rustdesk ausprobieren. Dazu habe ich mir das offizielle AppImage vom Github Repository heruntergeladen und die Datei wie üblich ausführbar gemacht. Die Anwendung startete aber nicht.

Anschließend habe ich also das .rpm-File (ich nutze Fedora) heruntergeladen und manuell installiert. Alles lief problemlos.

Nachdem ein bisschen Zeit vergangen war (der Laptop wurde zwischenzeitlich nicht heruntergefahren) wollte ich LibreOffice starten, jedoch öffnete sich die Anwendung nicht. Ich schaute in die laufenden Prozesse und sah, dass Rustdesk im Hintergrund lief obwohl ich die Anwendung geschlossen hatte. Und auch nachdem ich den Prozess beendete, startete er von alleine neu.

Ich nahm an, dass es sich um einen Fehler aus der nicht-funktionierenden App-Image-Datei handelt, also wollte ich diese zunächst nicht mehr ausführbar machen. Und da bekam ich einen Schreck:

Beim Setzen der Zugriffsrechte für '/benutzer/Dateixyz': Das Dateisystem ist nur lesbar

Ich konnte die Dateien auch nicht mehr mit sudo rm entfernen. Ja klar, das primäre Laufwerk befindet sich schließlich nur im Lesemodus, ich kann also gar nichts tun.

Nachdem ich den Rechner neugestartet habe, lief alles wieder problemlos. Ich konnte das AppImage entfernen und LibreOffice starten und es gab auch keine Hinweise auf neu erzeugte oder veränderte Dateien.

Hier meine Theorie:

1. AppImage startet nicht: Das ist klar, denn ich habe die falsche Datei für eine ARM-Architektur heruntergeladen und einfach nicht drauf geachtet
2. Rustdesk permanent im Hintergrund aktiv: Das könnte irgendetwas damit zu tun haben, dass es immer als aktiver Service laufen muss, da es sich hier um ein Remote Tool handelt(?)
3. Dateiverzeichnis plötzlich nur read-only: Mein Laptop war kurzzeitig im kritischen Akkustand und dann zugeklappt. Linux könnte das Filesystem beim Entsperren im Lesemodus gemountet haben, um es vor einem plötzlichen Stromwegfall während eines Schreibvorgangs vor Korruption zu schützen.

Was meint ihr zu meiner Erklärung, vielleicht handelt es sich um ein ganz normales Verhalten unter Linux.

Ich bin jetzt wieder recht entspannt, aber dieser Fall hat mir mal wieder gezeigt, wie schnell man in Panik verfällt, wenn man glaubt, dass es jetzt passiert ist. Das ist nun mein Anstoß für eine konsequentere Backupstrategie.

Ich mache es bei Fernwartung grundsätzlich aus einer VM heraus. Anschließend setze ich diese dann zurück.

Das passt gut, genau dieses Verhalten habe ich selbst schon erlebt. Beim Hibernieren wird der gesamte Inhalt des RAM auf die Festplatte geschrieben und das System anschließend vollständig ausgeschaltet. Beim Aufwachen wird dieses Speicherabbild wieder eingelesen und der Kernel setzt die Ausführung an exakt derselben Stelle fort. Wenn dabei etwas nicht sauber abläuft, kann das zu unerwünschten Nebeneffekten führen.

Insbesondere, wenn das System im Hibernate- oder Suspend-Modus über einen längeren Zeitraum ungenutzt bleibt oder der Akku stark entladen wird beziehungsweise zwischenzeitlich vollständig leer ist, kann es beim Resume zu Problemen kommen. Das System wirkt zunächst benutzbar, doch der Kernel registriert I/O-Fehler vom Root-Device. Aus Sicht des Kernels ist das nicht von einem beginnenden Hardwaredefekt zu unterscheiden, weshalb das Root-Dateisystem vorsorglich nur noch read-only gemountet wird.

Hinweise auf die eigentliche Ursache finden sich in der Regel bereits im Kernel-Log. Ein Blick in dmesg oder /var/log/kern.log zeigt häufig I/O-Fehler, Dateisystem-Warnungen oder die explizite Meldung, dass das Root-Dateisystem nur noch lesend gemountet wurde.

Ich habe anschließend sicherheitshalber einen Filesystem-Check (fsck) durchgeführt, um auszuschließen, dass unentdeckte Dateisystemfehler vorliegen. Für eine Malware-Infektion spricht dieses Verhalten aus meiner Sicht nicht.

Das Appimage läuft bei mir einwandfrei und läuft nicht weiter im Hintergrund, wenn man es schließt. Mindestens das RO dürfte Folge deines leeren Akkus sein, vielleicht auch der Rest oder ein großer Teil davon. Also: Weder Malware, noch ein ominöser Schutzmechanismus. Probiere das Appimage noch mal mit ausreichend gefülltem Akku.