There seems to be an ongoing attack targeting our router. As effect, updating mirrors might currently be either slow or timing out.
But now it looks good again:
[🔴] × upd -a --skip-mirrorlist [sudo] Password for bima: :: Synchronizing package databases... garuda is up to date core is up to date extra is up to date multilib is up to date chaotic-aur 670.0 KiB 617 KiB/s 00:01 [------------------------------------] 100% spawn pacman -Su :: Starting full system upgrade... there is nothing to do --> Updating AUR packages with paru.. :: Searching for devel upgrades... there is nothing to do System updated! 🐧
Or am I missing something?
1 Like
We blocked the offending IPs by now (weren’t that many in fact, interestingly), so regular traffic might indeed be improving.
12 Likes
Really fast. Thanks.
4 Likes
Everything seems to be up and running for me. No problems, I did however try to use Garuda-Hyprland and then changed to XFCE for stability. I ended up reinstalling like twice over the past two days.
It also happens to me several times with errors with the Garuda servers and if the packets are not encrypted in the connection, the applications are tampered with, I don’t know how the attack occurs but I also believe it is by packet inspection as all routers have security flaws and the providers do not cover this. There are some techniques that they must use as MITM that can follow this traffic and block or restrict the bandwidth to prevent the download of the packages. It is something very annoying but that can lead to some point in these key updates they are able to tamper with update packages or at least block parts of the updates even with OpenSSH uninstalled through the browsers they are able to intrude malware into temporary files that already lead to the compromise of all applications that need internet access which after so many years native firewall like firewalld does not have any AI or tool capable of identifying some types of exploit that pass through the system’s DNS.
Welcome to the community @vini. 
You can rest assured you are not installing packages which have been tampered with. Pacman uses GPG to verify the signatures of packages and repository databases. Each package in the Arch Linux repositories is signed with a GPG key, and when you update your system, Pacman checks the signatures against the trusted keys stored on your system. If the signature does not match, Pacman will refuse to install the package.
It is not uncommon to have errors when updating for this reason or that. Usually some research into the error message will clear up what is happening. Typically there is a simpler explanation than the elaborate hacking scenarios you are describing. In general, your post sounds somewhat imaginative.
9 Likes
Nevertheless, its such a relief to hear about the security measures in place for the install packages, its stuff like this that makes this OS and the team so so good - you guys probably received much admiration and thanks from the community but still, I hope you can realise how much this really meant to those who had migrated onto Garuda Linux from Windoze or Mac environments after umpteenth years of sufferings.
7 Likes
Garuda rocks very good and a big THANKS on the TEAM =)
2 Likes
obrigado pela atenção e por me responder eu sei que posso ter fugido um pouco da realidade mas acredito que é sempre bom pensar fora da caixa, porque por exemplo presumindo que um hacker tenha interesse em espionar todo conteudo acessado na web pela maquina do usuario e ao mesmo tempo tentar manipular o que esta sendo acessado não é algo incomum e hoje em dia eles usam muitas maneiras para isso até hoje em dia o mitm é um problema grave e fora que existem muitas outras formas analisando como o sistema se comunica com a internet, o dominio usado, qual serviço de dns, como esse serviço esta se comunicando, quais ip foram acessados e se algum deles tem alguma falha de segurança ou até mesmo tentando algum ataque de injeção ou exploit em python para diversos fins, já tive diversas experiencias no dia a dia de diversos tipos de hacking que não sei explicar como mas aconteceu, no momento eu uso o garuda com kernel hardned e firewalld bloqueado também optei desinstalar o openssh e outras ferramentas de aceso remoto porque não confio eu acho que por mais que o sistema possa ser fechado sempre as aplicações como navegadores tem falhas, mais recente tive minha rede social do tiktok hackeada por diversos navegadores onde o hacker implementava algum tipo de injeção de algo malicioso que fazia com que funções no site do tiktok como curtir, comentar e seguir não funcionassem e mesmo reiniciando o sistema e fazendo uma limpeza do navegador com ferramentas como bleach não fazia ele voltar a funcionar normalmente tive que buscar uma extenção que limpasse o navegador mais a fundo os arquivos de cache como cachestorage, localstorage data e algumas configurações do navegador como indexdb, file systems e services workers pra conseguir fazer ele voltar ao normal mas é algo temporario porque assim o navegador é infectado novamente os problemas voltam, já tentei fazer diversas inspeções com wireshark, clamav mas não consegui identificar como eles conseguem enfim há sempre possibilidades deles conseguirem o que querem e assim como muitos outros sistema o arch linux tende a concentrar muito do conteudo do usuario em uma local só porque é assim que muitas aplicações trabalham o que facilita muito a vida dos criminosos principalmente nesses arquivos temporarios gerados pelo sistema e pelas aplicações pode até ter sido falsos positivos mas com o clamav eu já identifiquei muita coisa que parecia suspeita, é apenas minha opnião não sou expert no assunto para afirmar com certeza nada mas vocês tem feito um ótimo trabalho nessa questão de segurança do sistema e embora eles não possam adulterar as atualizações por conta das chaves gpg ainda podem tentar o bloqueio ou restrição da banda de download dos pacotes de atualização determinando o ip de origem mesmo que ele esteja criptografado pelo menos eu acho que seja possível
1 Like
Isso ainda soa mais como se você estivesse descrevendo software com bugs ou mal configurado, e não seu computador sendo comprometido remotamente.
Um hacker normalmente não se daria ao trabalho de ganhar acesso ao seu sistema apenas para fazer uma página da web carregar de forma estranha. Qual é o benefício para o hacker se você sofrer esse pequeno incômodo? Normalmente, um hacker instalará spyware, ransomware ou adicionará seu computador a um botnet. Não fará seu computador ficar mais lento ou menos conveniente de usar sem motivo.
Por favor, desculpe qualquer linguagem estranha enquanto uso software de tradução.
2 Likes
As a direct measure, steps have been taken:
An update about “behind if the scenes” work 
5 Likes
I just had a few updates fail. Too little data transfer or something. Nothing could be updated.
I continued the update with a simple paru and everything seems to be fine.
This topic was automatically closed 2 days after the last reply. New replies are no longer allowed.