[00:00] <tomreyn> about:cache lässt dich sehen, was im cache ist, samt urls
[00:02] <tomreyn> was macht dir da jetzt sorgen an dem log?
[00:03] <itu> ich sehe einen versuch von einem firmware-update
[00:03] <itu> soweit ich das beurteilen kann
[00:04] <tomreyn> 4 sogar, ja. die gehen vermutlich schon weit zurück
[00:04] <tomreyn> ist das ein lenovo ideapad 5-15ARE05 ?
[00:04] <itu> nein 
[00:05] <itu> ein Lenovo V17–IIL  laptop
[00:05] <tomreyn> na ja, kannst ja mal auf der herstellerseite nach dem ssd-firmwareupdate suchen
[00:07] <itu> wo siehst du dass es ein ssd-firmwareupdate ist?
[00:07] <tomreyn> https://duckduckgo.com/?q=UMIS+RPJTJ512MEE1OWX
[00:07] <le_bot> Title: UMIS RPJTJ512MEE1OWX at DuckDuckGo (at duckduckgo.com)
[00:08] <itu> für was steht UMIS?
[00:08] <tomreyn> marke
[00:10] <tomreyn> diese angabe stammt aus deinem pastebin
[00:11] <itu> jo, habe das schon geduckgot auch
[00:11] <tomreyn> für dein modell stellt lebnovo keine firmwareupdates für diese NVMe SSD bereit
[00:11] <tomreyn> *lenovo
[00:12] <tomreyn> es gibt bestimmt nen weg, dem fwupd beizubringen, dass er die upgradeversuche sein lassen soll, ich weiß allerdings nicht wie.
[00:13] <itu> ok, das ist genau meine ssd
[00:13] <tomreyn> wegen dem 'virus' würd ich mir erst mal nicht so viel sorge machen, wenn du den standard-firefox unter aktuellem ubuntu benutzt, der ist dank apparmor und snap einigermaßen stark vom restlichen system abgekapselt.
[00:15] <itu> wenn aber eine firmware-update, für welches teil auch immer, genau in dem moment startet , wo ich eine dubiose virem-whatsoever auf eine fragwürdigen website bekomme .. warum sollte das nicht beunruhigen?
[00:15] <itu> *viren
[00:16] <itu> -warnung
[00:17] <tomreyn> ist vielleicht nicht völlig falsch, zu denken, dass da eventuell vielleicht ein zusammenhang bestehen könnte, aber ohne sehr konkrete anhaltspunkte würd ich das erst mal als roten hering abtun.
[00:18] <tomreyn> weil erstens dafür die malware frirefox exploitet und 2. aus der isolation hötte ausbrechen müssen (falls du eine hast) und 3. die dann normalerweise besseres zu tun hätte als firmwareupdates zu installieren
[00:20] <itu> falls ich was hab? eine isolation?
[00:21] <itu> naja,  bei firmware-update denke ich an eine dauerhafte einnistung
[00:21] <tomreyn> firefox als snap
[00:21] <itu> hm
[00:21] <itu> ich glaube ich nutze kein snap 
[00:22] <itu> (sondern basically  aptitude   -y  install   )
[00:22] <tomreyn> solche versuche dauerhafter einnistung von malware in firmware bedeuten, dass (a) es nur bei seeeehr wenigen systemen funktionieren wird und (b) es ne menge fehler verursachen kann, wodurch die malware leicht auffliegt. beides keineswegs im interesse des klassischen malware-uators
[00:23] <tomreyn> sowas würde allenfalls für zielgerichtet angriffe oder für sehr weit verbreitete hardware mit jeweils gleicher firmware sinn machen (z.B. handies oder vielleicht apple-laptops)
[00:23] <itu> klar wenige,aber man will nicht das pech haben, fehler verursachen kann - ja aber nicht muss
[00:24] <tomreyn> snap list firefox   zeigt kein firefox?
[00:25] <itu> "Fehler: keine passenden Snaps installiert"
[00:25] <tomreyn> hast wohl noch ein älteres ubuntu dann
[00:26] <itu> 20.4
[00:26] <tomreyn> ah ja ich glaub da war nur chromium ne snap
[00:28] <itu> werde aber jetzt alles platt machen und 22.4 aufspielen aus diesem anlass
[00:28] <ItaloRaver-> i verwende anyway det esr, denke die is och nied snap ...
[00:30] <ItaloRaver-> och i wäre mei nied siche ob de 22.x willst ... i tun nied wissen ob det bug behoben is ...
[00:31] <itu> wo finde ich denn fwup -logs und downloadfiles?
[00:31] <tomreyn> im journal, die hast du ja schon gefunden
[00:32] <itu> das ist syslog
[00:33] <tomreyn> wo auch immer es am ende rauspurzelt
[00:33] <tomreyn> kannst fwupd auch mit -vv aufrufen
[00:34] <itu> und wo finde ich was gedownloadet wurde?
[00:35] <tomreyn> ich tippe auch im journal / syslog
[00:37] <itu> ¿
[00:39] <tomreyn> https://fwupd.org/lvfs/docs/users
[00:39] <le_bot> Title: LVFS: Users (at fwupd.org)
[00:39] <tomreyn> "When required, metadata files are automatically downloaded from the LVFS and submitted into fwupd over D-Bus. If there are updates that need applying then they are downloaded and the user is notified and the update details are shown. The user has to explicitly agree to the firmware update action before the update is performed."
[00:41] <tomreyn> wobei das auf ubuntu wohl auch per fwupd automatisiert im hintergrung passiertr mittlerweile
[00:42] <tomreyn> der mechanismus bei dem das über dbus angestoßen wird, ist da aber wohl der gleiche wie bei der gnome software (buw. ubuntu software) variante
[00:43] <tomreyn> wenn du's über das CLI triggern magst:   sudo fwupdtool get-devices -vv
[00:44] <itu> also ich werde da keinerlei firmware-files finden auf dem rechner?
[00:44] <tomreyn> wenn dann vermutlich in /var/cache/fwupd/
[00:46] <itu> ja, da ist was mit passenden zeitstempeln
[00:52] <tomreyn> sqlite3 /var/lib/fwupd/pending.db 'select * from `history` limit 100;'
[00:53] <tomreyn> sqlite3 /var/lib/fwupd/pending.db 'select * from `hsi_history` limit 100;'   # oder eher das
[00:55] <itu> ( fwupdmgr get-devices  # scheint intressanterweise infos zu geben die man sonst kaum bekommt )
[00:56] <itu> thx 
[01:01] <tomreyn> hsi_history ist vermutlich nicht, was du suchst, das enthält nur angaben dazu, wie sicher die firmware ausgeliefert wird.
[01:03] <tomreyn> und welche hardware / firmware securit features aktiviert und wie sie implementiert sind
[01:07] <tomreyn> fwupdmgr report-history    sollte die letzten firmware-updates auflisten
[01:10] <itu>   -> "No history"
[01:25] <itu> wie macht man nochmal so einen rootkit-check?  erinnere mich nur noch dunkel 
[01:34] <tomreyn> meinst du rkhunter?
[01:34] <tomreyn> es gibt auch noch chkrootkit
[01:34] <tomreyn> beide haben nur einen musterbasierten ansatz, erkennen nur was out of the box unverändert ist, und das auch schon mit vielen false positives
[01:35] <itu> rkhunter klingt mir vertraut, das wars wohl
[01:35] <tomreyn> und du kommst grade vom hölzchen auf's stöckchen.
[01:36] <itu> clamscan scannt alle files, texte, bilder , usw. das erscheint mir nicht sehr zielorientiert, deswegen eben abgebrochen
[01:38] <itu> rkhunter ist nur für mail/server?
[01:39] <tomreyn> primär für server würd ich denken, kannst du aber sicherlich auch auf nem desktop laufen lassen, vermutlich mit viel mehr false positives
[01:41] <itu> "    /usr/bin/mail                                            [ Warning ]"   , hm
[01:41] <tomreyn> hast du denn außer der "sie haben einen virus, laden sie jetzt unsere malware runter um ihn zu beheben!"-meldung mm webbrowser noch irgendwelche anderen indizien dafür, dass irgendwas passiert ist, was nicht hätte passieren sollen?
[01:41] <tomreyn> weil die indizienlage is da erst mal seeehr dünn bisher
[01:41] <itu> wie schon gesagt, die zeitliche koinzidenz zum fw-download laut syslog ....
[01:42] <tomreyn> gut, dann kann ich ja beruhigt schlafen gehen
[01:45] <itu> du musst sowieso nicht beunruhigt sein, nur ich evt.
[01:45] <itu> hmm
[01:47] <tomreyn> hoffe, das wirst du noch!
[01:47] <itu> wenn du jetzt aber in deinem syslog einen analogen fw-download entdeckst ... wäre das ein beruhigungsargument
[01:47] <tomreyn> not gonna happen, hab andere hardware
[01:49] <itu> nachdem aber gar nicht unbedingt eine firmware gezogen wurde .... 
[01:51] <itu> ist die frage wie das ausgelöst wird
[01:52] <itu> "Successfully downloaded new metadata"  , also nicht ubedingt eine firmware
[01:52] <itu> der vorgang könnte bei jeden ubuntu zu finden sein
[01:53] <itu> ItaloRaver-: wie schauts bei dir aus?
[01:54] <itu> cat -A  /var/log/syslog*  | gr "Firmware update"    # anyone?
[01:55] <itu> gr >grep
[01:55] <itu>  -i
[02:02] <itu> oder    | grep -i  "fwupd metadata"
[02:06] <itu> oh, ich hab ja doch laufende syslog-backups, da krieg ich einen besseren überblick 
[02:14] <itu> ok, gleicher vorgang ist sehr häufig gewesen , wenn auch zuletzt im märz
[02:16] <ItaloRaver-> kimme nur drei davon 
[02:16] <ItaloRaver-> Nov 26 22:23:13 user-Kubi20 systemd[1]: Starting Firmware update daemon...$
[02:16] <ItaloRaver-> Nov 26 22:23:14 user-Kubi20 systemd[1]: Started Firmware update daemon.$
[02:17] <ItaloRaver-> Nov 26 22:23:13 user-Kubi20 systemd[1]: Starting Refresh fwupd metadata and update motd...$
[02:17] <ItaloRaver-> Nov 26 22:23:14 user-Kubi20 systemd[1]: Finished Refresh fwupd metadata and update motd.$
[02:20] <itu> ok, thx
[02:21] <itu> damit relativiert sich das alles
[14:46] <Pinguflosse> hi