Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment supprimer Rootkit et spyware sur LINUX !?

Pator75

"Une autre chose aussi, je reviens sur cette histoire de toujours confier la sécurité de sa machine à un logiciel. Ces derniers fonctionnent sur le principe de détection par une comparaison de leur base de donnée avec ce qu'il existe sur le pc. Pour autant, combien de virus, rootkit sont dans la nature et pas encore référencer par les logiciels pré-cités ?"

Antivirus moderne =

- liste de malwares.
- proactivité (heuristique statistique et dynamique), de manière à bloquer ceux qui ne sont pas dans la liste.
- parfois IDS-HIPS, comme dans l'exemple ci dessus (Eset Nod 32), qui surveille l'état et la provenance des paquets sur certains ports.

"Une dernière chose aussi, Pator75 conseille l'emploie d'un logiciel de désinfection dont le code source est fermé, c'est tout bonnement l'inverse de ce qui est conseillé... Si ce logiciel possède une faille de sécurité et comme le code source n'est pas ouvert, combien de temps faudra t-il pour la combler ?"

Problème relancé il y a peu, il y a des failles aussi dans les antivirus, évidemment, ça c'est comme le dédoublement de personnalité en psychologie (Docteur Jekill...), une hypothèse d'école très médiatisée, mais inconnue au bataillon (Mister Hide..), aucun exploit connu.

Zurg

Il ne faut pas écouter "Pator75", il n'y connais pas grand chose en système GNU/Linux, ça doit être un gars de Microsoft.

Evidemment qu'il ne faut surtout pas utiliser d'antivirus a code source fermé, il n'y a rien de pire !

De plus, c'est n'importe quoi ce topic, tu te crois sous Windows ou quoi ? j'ai jamais utilisé de ma vie un antivirus, un antirootkit ou un antispyware sous Linux et j'ai jamais eu le moindre problème ! ça ne sert a rien dans la plupart des cas !

Le cas ou un antivirus est utile sous Linux c'est par exemple sur un serveur déployé dans une infrastructure qui a pleins de postes clients Windows, l'antivirus sert alors de module coté serveur, les maj sont déployé par le serveur avec la gestion de la sécurité, de la mise en quarantaine etc... Sur votre pc perso, vous n'avez pas besoin d'antivirus sous Linux !

tiramiseb

Messieurs, si vous voulez vous foutre sur la gueule, vous pouvez aller dans le café.

Je répète ce que j'ai écrit plus haut...

nickthevoice, pour t'aider on a besoin de ta part le retour précis du traceroute ainsi que de détails sur le comportement suspect de ton ordinateur. Ensuite, on pourra confirmer ou infirmer la piste que tu évoques (rootkit, spyware...) et te proposer des choses à essayer, soit pour approfondir soit pour résoudre le problème.
Tout autre message que ces précisions, de qui que ce soit, ne servira à rien.

[supprimé]

Pator75 a écritAntivirus moderne =

- liste de malwares.
- proactivité (heuristique statistique et dynamique), de manière à bloquer ceux qui ne sont pas dans la liste.
- parfois IDS-HIPS, comme dans l'exemple ci dessus (Eset Nod 32), qui surveille l'état et la provenance des paquets sur certains ports.

Dans le même genre, Coluche faisait un sketch avec la lessive OMO qui lave plus blanc que blanc ? Bref, la crédulité des novices ou des ignorants est un marché formidable, surtout quand ces derniers ne s'intéressent pas aux modes de développement des logiciels libres/ open sources qui permet d'acquérir une certaine connaissance afin de ne plus être dupe. Mais si tu veux, tu peux coder un p'tit truc en python et le tester à la méga supra proactive, IDS et HIPS de la mort qui tue. Puis tu nous redis le résultat. Sinon, tu ne fais qu'affirmer un slogan publicitaire.

Pator75 a écritProblème relancé il y a peu, il y a des failles aussi dans les antivirus, évidemment, ça c'est comme le dédoublement de personnalité en psychologie (Docteur Jekill...), une hypothèse d'école très médiatisée, mais inconnue au bataillon (Mister Hide..), aucun exploit connu.

Tu sais, tu peux continuer à mépriser nos conseils d'utilisateurs avancés sur ce forum mais tu ne peux ignorer la documentation. Cette dernière est mise à disposition des utilisateurs pour mieux comprendre des choses essentielles et qui diffèrent de ©Microsoft Windows®
Nous avons besoin de talent et de compétences, surtout n'hésite pas à revoir la documentation et surtout la section numéro 3.

Comme le souligne tiramiseb, tout autre message que ces précisions, de qui que ce soit, ne servira à rien. Certes, ta patience t'honore mon brave mais je suis profondément écoeurer de cette attitude qui consiste à ne pas écouter les conseils d'utilisateurs avertis. Je vais donc aller voir ailleurs si j'y suis puisque je perds mon temps.

Autant que ce soit mes enfants et ma femme qui en profitent :rolleyes:

PPdM

@ignus
moi j'obtiens ceci

-E5500:~$ sudo -i netstat -tulp
[sudo] password for morgane: 
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      766/smbd        
tcp        0      0 localhost:5939          *:*                     LISTEN      1948/teamviewerd
tcp        0      0 morgane-Latitude:domain *:*                     LISTEN      1605/dnsmasq    
tcp        0      0 localhost:ipp           *:*                     LISTEN      693/cupsd       
tcp        0      0 *:microsoft-ds          *:*                     LISTEN      766/smbd        
tcp6       0      0 [::]:netbios-ssn        [::]:*                  LISTEN      766/smbd        
tcp6       0      0 ip6-localhost:ipp       [::]:*                  LISTEN      693/cupsd       
tcp6       0      0 [::]:microsoft-ds       [::]:*                  LISTEN      766/smbd        
udp        0      0 *:ipp                   *:*                                 1092/cups-browsed
udp        0      0 *:mdns                  *:*                                 679/avahi-daemon: r
udp        0      0 morgane-Latitude:domain *:*                                 1605/dnsmasq    
udp        0      0 *:bootpc                *:*                                 1370/dhclient   
udp        0      0 *:45150                 *:*                                 679/avahi-daemon: r
udp        0      0 192.168.1.25:netbios-ns *:*                                 1774/nmbd       
udp        0      0 morgane-Lati:netbios-ns *:*                                 1774/nmbd       
udp        0      0 *:netbios-ns            *:*                                 1774/nmbd       
udp        0      0 192.168.1.2:netbios-dgm *:*                                 1774/nmbd       
udp        0      0 morgane-Lat:netbios-dgm *:*                                 1774/nmbd       
udp        0      0 *:netbios-dgm           *:*                                 1774/nmbd       
udp        0      0 *:30974                 *:*                                 1370/dhclient   
udp6       0      0 [::]:53617              [::]:*                              1370/dhclient   
udp6       0      0 [::]:50386              [::]:*                              679/avahi-daemon: r
udp6       0      0 [::]:mdns               [::]:*                              679/avahi-daemon: r

Pator75

Evidemment il y a des malwares sous Linux, le problème existe depuis bien longtemps sous Windows à cause de sa notoriété, mais des solutions existent même sous Linux, les antivirus, ne vous en privez pas.

Quelques barbus retors n'apprécient pas, mais ce n'est pas grave.

PPdM

Tu peux nous donner un liste de malwares, quelque soit le genre, qui existent sous Linux, ou tu suppose juste qu'il en existe ?.
Affirmer un chose n'est pas la démontrer :rolleyes:

Les extra terrestres existent, j'en ai vu et j'en ai lu !! :o

jplemoine

PPdM a écritLes extra terrestres existent, j'en ai vu et j'en ai lu !! :o

Tu parles de ça.... 🙂

PPdM

entre autre !! :lol:

Rufus T. Firefly

Pator75 a écritEvidemment il y a des malwares sous Linux, le problème existe depuis bien longtemps sous Windows à cause de sa notoriété, mais des solutions existent même sous Linux, les antivirus, ne vous en privez pas.

Quelques barbus retors n'apprécient pas, mais ce n'est pas grave.

Les barbus retors t'emm... :lol:

papangue2014

Bonjour à tous,

étant nouveau dans ce monde (Eh oui....win* prenais beaucoup de temps et de place dans ma vie...) où beaucoup d'entre vous ont l'air de "toucher" et surtout ne sachant vraiment pas ou poser ma question 🙁 ; il m’apparaît judicieux que ce soit sur ce fil car, il me "semble", que mon cas "concerne" les rootkits.....

Je m'explique :

Je suis en dual-boot sur 2 disques dur distincts (le 1er contenant : UBUNTUSTUDIO 14 64 bits, le second Linux Mint 17 64bits).
Du coin éloigné de ma belle île, je me suis mis il y a 2 semaine environ, KODI sur les 2 versions ci-dessus. Malheureusement, depuis 3 jours, mon "surf" internet est convenable, la lecture des vidéos a fortement dégradé (saccades). Mais mon plus gros souci, réside dans le fait que cela fait 3 jours que je souhaite télécharger le SDK pour mes téléphones androïd, mais à chaque fois, l'ordinateur redémarre :rolleyes: !!!!!

Je précise quand même que j'ai pglgui installé et opérationnel, que mon ordi ne chauffe pas et à fait l'objet d'un nettoyage récemment, que les 2 distributions ci-dessus sont "à jours".
Pour ma part, les recherches goo* m'ont orientées uniquement vers des tendances win*.

Je souhaiterais comprendre ! Pour cela, est ce qu'il y aurait un paquet qui m'aurait laisser une faille sur mon système ? Si oui, Comment puis-je le trouver et y remédier ?
Si ce n'est pas le cas, est ce que cela pourrais être l'oeuvre de HADOPI vu que le streaming m'a explosé la consommation DSL ?

Je tiens encore à m'excuser auprès de tous si ce message n'est pas à sa place et remercie les modérateurs de m'orienter. Néanmoins, je serais ravi que vous éclaireriez ma lanterne.

Merci à Tous ! 😃

tiramiseb

Bonjour papangue2014,

Il aurait été préférable de créer un nouveau fil, dans la logique du "1 problème = 1 discussion" 🙂

est ce qu'il y aurait un paquet qui m'aurait laisser une faille sur mon système ?

Si tu t'es cantonné à l'installation de paquets officiels fournis par Ubuntu, ou alors tu as installé plein de trucs provenant de n'importe où ?

Quoi qu'il en soit, je n'ai jamais vu un ordinateur fraîchement installé sur n'importe quelle distribution Linux devenir "vérolée" en quelques secondes.
À vrai dire, en 15 ans de Linux (dont 12 ans à titre pro, avec des dizaines de serveurs à gérer), je n'ai pas vu un seul virus sur un poste de travail Linux et une seule attaque réussie, lié à un paquet sensible non mis à jour.

Bien sûr, les choses évoluent tous les jours, mais j'ai d'énormes doutes quant à la possibilité que ton problème soit de nature malicieuse. D'autant plus qu'un rootkit ou un spyware a pour grand intérêt d'être discret : si un plantage généralisé est provoqué, le machin rate complètement son boulot.

Tu dis avoir installé Kodi.
Mais les dépôts officiels de ces distributions n'incluent pas encore Kodi, ils proposent encore XBMC. Cela veut dire que tu es allé chercher un truc ailleurs, pour l'installer. C'est peut-être cela la cause de tes problèmes.
Tu n'as pas indiqué comment tu as fait pour installer Kodi, on ne peut donc pas se prononcer à ce niveau.
Tu parles également de pglgui (non proposé dans les dépôts officiels), le SDK pour Android (non proposé dans les dépôts officiels).

Concernant la logique liée à l'installation de logiciels sur Ubuntu, je t'invite à lire mon billet suivant :
https://www.tiramiseb.fr/2014/10/20/ubuntu-mettre-a-jour-la-version-dun-logiciel/
Le sujet n'est pas exactement le même (mis à jour vs installation), mais la logique globale est similaire.
Bien sûr, si tu as absolument besoin d'un logiciel particulier et qu'il n'est pas dans les dépôts officiels, il faut trouver une solution pour l'installer, on peut tout à fait t'aider à trouver la meilleure solution, au cas par cas.

Concernant l'HADOPI, ils n'ont absolument aucun pouvoir quant à la manipulation de ta connexion : leur action est juridique.

papangue2014

bonjour Tiramiseb,

Je te remercie pour ta réponse rapide et note la remarque du nouveau fil. Pour ma part, je vais me faire une nouvelle partition avec une nouvelle petite distribution genre... Bodhi Linux, et de cette nouvelle distribution "propre",lancer un téléchargement et essayer de trouver des réponses.

Je vous tiens au courant des résultat.

Merci encore.

[supprimé]

Salut Tiramiseb 🙂

Merci pour ce bel article sur ton blog qui explique fort bien l'écosystème d'une distribution. Il me semble avoir noté une imprécision cependant, pour Debian, tu n'es plus obligé de migrer vers une autre version deux après pour les serveurs en production ou critiques, en effet squeeze (ancienne stable) est devenue LTS et sera supportée jusqu'au 06 février 2016 pour les maj de sécurité, soit un cycle de vie de 5 ans également.

Si cette opération est concluante, ce principe sera repris avec Wheezy.

Bonne journée à toutes et tous.

---
Édit: voir l'annonce officielle --> https://www.debian.org/security/2014/dsa-2938

tiramiseb

Oui, il y a la Squeeze LTS.
Mais je n'ai jamais écrit qu'avec Debian il faut mettre à niveau tous les 2 ans, j'ai juste écrit qu'une nouvelle version sort à peu près tous les 2 ans.
Je n'ai pas donné de précision à propos de Debian pour une raison toute simple : cet article parle d'Ubuntu 🙂

[supprimé]

C'est vrai que mon cerveau tarabiscoté prend parfois des raccourcis 😉

Jean Claude Jégou

Bonjour,
Je viens de me réinscrire sur le forum car je rencontre un grave problème sur mes 2 pc (sous ubuntu).
En effet je pense qu'un rootkit a été installé a mon insu par un hacker sur mes pc.
Pour démarrer mes pc je suis obligé de passer par le setup et me positionner sur disque dur sinon ça ne démarre pas.
J'ai pris 2 photos du setup mais je ne parviens pas à les joindre.
J'y vois de choses bizarres telle que (fichier non reconnu).
Salutations.

xubu1957

Bonjour,

Regarde > la méthode de moko138 pour poster une image, ou plutôt sa miniature cliquable.

Pending...

Un rootkit, c'est fait pour ne pas être détecté, et donc ne doit pas créer de malfonctions observables.

Un rootkit mal écrit est proportionnellement détectable aux ennuis observables qu'il cause. Donc si c'est le cas, ça ne devrait pas être bien difficile à trouver. Si c'est le cas.

chinois02

Oh et puis je le remets :o
Amis bonsoir.
J'ai été victime une fois d'une attaque sur mon ordinateur.
C'était au cours d'une discussion via mel avec un contradicteur de nature inconnue 😛
Les symptômes: gels de la machine avec hard reboot obligatoire 10 à 20 secondes après envoi du mel de réponse, puis, finalement, plus d'accès internet avec la machine. (j'ai dû utiliser un ordinateur de secours)
La réalité d'un délirant: faute de pouvoir s'en prendre à l'ordinateur, le hackeur s'en était pris au routeur:
lien qui va bien
Eh oui, si dans votre vie banale vous vous faites défonçer votre informatique par des gars de l'Internet Research Agency, vous vous en faites pas: cela n'arrivera qu'une fois dans votre vie :lol:

« Page précédente Page suivante »