Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Problème rootkit

Lidiane12

bonjour,
Je suis une débutante chez ubuntu et je connais pas grand chose en informatique, j'ai un rootkit dans mon ordi, quand je fais un scan ceci s'affiche, peut-on m'aider svp?

lidiane@lidiane-AOD255:~$ sudo chkrootkit -q
[sudo] password for lidiane: 


/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit

Warning: /sbin/init INFECTED
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[970], /sbin/dhclient[1513])
user lidiane deleted or never logged from lastlog!
 The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         1353 tty7   /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch

[supprimé]

Bonjour,

il s'agit très probablement d'un faux-positif :

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=655058

j'ai aussi la meme alerte chez moi.

Cordialement

Lidiane12

Juste au cas où, comment supprime-t-on un rootkit? sur les différents forums, ce n'est pas très évident

[supprimé]

comment supprime-t-on un rootkit?

Drôle de question, la présence de Rootkit doit être anecdotique, donc la procédure pour supprimer un Rootkit doit probablement dépendre du Rootkit en question...

popaul77

Bonsoir

Un rootkit n'est pas anecdotique mais une chose très embêtante a virer de la machine.

@Lidiane12 : Qu'est ce qui te fait croire que tu as été piraté?
Tu peux refaire une vérification avec rkhunter en utilisant "rkhunter -c" après l'avoir installer (il est plus convivial que chkrootkit
Attention il y a avec lui aussi des faux positif.

http://doc.ubuntu-fr.org/tutoriel/que_faire_en_cas_de_serveur_compromis

Pator75

Salut,

Essaye ça, tu peux le garder un mois,

http://www.eset.com/fr/home/products/antivirus-linux/

willcoyote

Pator75 a écritSalut,

Essaye ça, tu peux le garder un mois,

http://www.eset.com/fr/home/products/antivirus-linux/

Et c'est reparti
Pator75 qui revient refaire sa pub pour son logiciel propriétaire

Non, installer cet antivirus est une trés mauvaise idée
Son systeme est sain, inutile de le compromettre en installant un logiciel dont on ne sais pas ce qu'il fait et qui a tout les droits
cet antivirus est conçu pour détecter les virus pour windows: aucune utilité ici
dans sa version d'essai, il n'est même pas a jour

Lidiane12
tant que tu installe des logiciels en passant par les dépôts, tu ne risque rien
comme l'annonce le rapport de bug, c'est un faux -positif
Ne t'inquiete pas et profite plutot de ton nouveau systeme

Pator75

chkrootkit, rkhunter ce sont des "machins", c'est comme portsentry, fail2ban, ça a marché, maintenant on ne sait plus, à part ufw et snort c'est de la blague.

La version Linux d'Eset est un vrai outil conçu par des professionnels réputés de la sécurité.

Pator75

http://www.01net.com/editorial/636062/linux-un-cheval-de-troie-officiait-depuis-des-annees-pour-espionner-45-pays/

moko138

Pour voir le haut degré de "compétence" de Pator75, voir là (par exemple)

La base de la sécurité est toujours la même :
- utiliser son fichier /etc/hosts (voir la Doc et la Toile).
- filtrer les javascripts, par exemple en utilisant et réglant noscript (voir là et messages suivants en attendant un vrai tutoriel).
- et surtout ne pas cliquer sur n'importe quoi, se renseigner d'abord.

Avec linux, il y a un additif qui devrait être installé de base : fail2ban

sudo apt-get install fail2ban

Pator75

"Tapi et presque magique
Car le cheval de Troie demeure caché et inopérant sur le système contaminé tant qu’il ne reçoit pas des instructions sous forme de « paquets magiques » qui initieront alors l’exécution de commandes à distance. Cela le place à l’abri des outils de détection habituels et notamment de la commande netstat, qui permet de surveiller les connexions réseaux.
Par ailleurs, ce malware n’a pas besoin de très haut privilège pour fonctionner, ce qui veut dire que n’importe quel utilisateur sur un machine tournant sous Linux peut l’exécuter - à son insu. Dès lors le logiciel malveillant est capable d’intercepter des flux réseau et d’exécuter des commandes sur la machine contaminée pour une gestion à distance. La machine piratée pourra communiquer avec un serveur contrôlé par les attaquants et lui fournir des informations. On imagine alors assez facilement ce que cela peut avoir comme conséquence sur des machines par lesquelles transitent des informations confidentielles ou de très haute importance.
Pour l’instant, les administrateurs réseaux peuvent vérifier le trafic sortant vers un domaine et une adresse IP (news-bbc.podzone point org et 80.248.65.183), qui figurent en dur dans le code du cheval de Troie. Mais d’autres adresses et serveurs doivent être utilisés.
Une des plus grosses campagnes de tous les temps
Devant l’ampleur de leur découverte, les chercheurs de Kaspersky pensent que de nouveaux modules devraient être découverts. Ce qui est d’ailleurs arrivé, depuis la première publication de leur post sur leur blog. La découverte d’un pendant Linux actif et « dans la nature » de Turla classe définitivement cette campagne de hack parmi les plus ambitieuses et dangereuses. Au même rang que Regin, par exemple, qui a été découvert fin novembre par Symantec, elle s’inscrit dans les plus graves « APT », les Advanced Persistent Threat, ou menaces avancées et persistantes."

Ça vous turlapine ou pas?... besoin d'un vrai antivirus sous Linux? autre problème, pour bloquer efficacement un troyen en sortie, il faut un filtrage applicatif, et ça Linux ne sait pas faire.

Turla + la faille bash, va y avoir des hara kiri chez les barbus.

bruno

La seule réponse valable dans ce fil est celle-ci :

willcoyote a écrit
Lidiane12
tant que tu installe des logiciels en passant par les dépôts, tu ne risque rien
comme l'annonce le rapport de bug, c'est un faux -positif
Ne t'inquiete pas et profite plutot de ton nouveau systeme

Le reste sont des élucubrations de trolleurs qui n'y connaissent rien.

J’ajouterai simplement qu'il est inutile d'utiliser des outils comme chkrootkit ou rkhunter si on ne connaît pas parfaitement leur rôle. Ces outils sont plutôt destinés à un contrôle « post-mortem » d'un serveur compromis. C'est tout a fait hors de propos sur une machine de bureau qui n'utilise que des applications issues des dépôts officiels et qui est régulièrement mise à jour.

[supprimé]

Le reste sont des élucubrations de trolleurs qui n'y connaissent rien.

En tous cas, c'est sympa de traiter les gens qui essayent d'aider de trolleurs...

willcoyote

Je ne pense pas que ça s'adressait a toi

moko138

bruno a écritLa seule réponse valable (...)
Le reste sont (...)

Hum...
Disons que, en supposant que ce soit exact, le message a un potentiel de progression en diplomatie. 🙂

[supprimé]

@Lidiane12... WPA est une norme de cryptage pour les réseaux sans fil et offre une alternative à WEP

WPA et WPA2 sont des mécanismes de sécurisation de réseaux sans fil. Le premier utilise IEEE 802.1X et le second IEEE 802.11i. Ce logiciel fournit la négociation de clé avec un uthentificateur WPA et contrôle l'association avec des réseaux IEEE 802.11i

Il y a même son interface graphique si tu veux pour mieux comprendre ce que fait ce petit logiciel.

sudo apt-get install wpagui

Il s'agit donc d'un faux positif...

Tu n'as ni besoin d'un anti-virus ni d'un pare-feu. :rolleyes:

Cordialement.

🙂

Pator75

http://www.developpez.net/forums/d1486701/systemes/securite/linux-infecte-variante-turla/

"Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.

Même un utilisateur régulier avec des privilèges limités peut le lancer"

Un virus pour Windows adapté à Linux, évidemment que c'était possible, surtout si c'est un état qui conduit les opérations. Maintenant, où est la bouée de sauvetage?... pas d'antivirus?

[supprimé]

En général, je n'ai pas pour habitude de lire Pif gadget. Méthode d'infection stp par se malware sous nos distributions ?
Tu n'es pas sans savoir que la logithèque contient 30000 logiciels donc les codes sources sont libres, sont lus très régulièrement à des fins d'amélioration (nouvelle version de logiciel) mais aussi pour combler des failles de sécurité. Un exemple récent, la faille bash très récemment, premier correctif dans les 24H, puis un autre le lendemain. Mais je ne prendrais pas la peine de t'expliquer que ce n'était pas une faille de sécurité car BASH n'a jamais été pensé pour être dans une prison, bref, ce sont les droits qu'un admin donne à des utilisateurs qui utilisaient BASH sur un serveur qui posait un problème. Enfin, je divague, je sais, tout le monde est Administrateur réseau 🙂

Si infection il y a sur ta machine, cela ne peut venir que d'un logiciel proprio... Si tu explores que notre écosystème, les chances sont proches de nulles car tu n'es pas sans savoir que le sérieux chez les barbus retors existe : https://www.debian.org/security/index.fr.html

Nan, je déconne 😃

Maintenant, si tu veux installer ton anti-virus sur ta Ubuntu, ne t'en prive pas, comme ça tu seras en sécurité 😃 mais je te conseille fortement de revenir au plus vite sur Windows, j'ai compris, grâce à toi, que Gnu/Linux est une passoire.

D'ailleurs j'ai formaté ma Debian ce matin pour y installer windows 8, j'ai Eset en anti-virus et là, pas de doute, je suis en sécurité.

Merci Pator75 pour tes précieux conseils.

Édit:

Si l'auteur de ce topic pouvait corriger son titre, ce serait cool. WPA_SUPPLICANT n'est pas un rootkit mais un logiciel qui permet de sécuriser sa connexion wifi par cryptage.

Pator75

TURLA encore plus dangereux sous Linux que chez Windows.

" The Threat Posed by Linux Turla

The Linux Turla malware could be more dangerous than its Windows counterpart.

Linux "has an inherently better reputation for reliability and security, but results in a 'black box' syndrome when used in businesses without adequately trained administrators to properly lock it down, patch it and monitor it," said Richard Westmoreland, director of security architecture at SilverSky.

"Compromising Linux boxes gives any APT (advanced persistent threat) an advantage, due to this overtrust of non-Windows-based systems," he told LinuxInsider.

Kaspersky Lab's sinkholing of the Linux Turla's C&C domain does not guarantee safety because "the Trojan is designed to make reverse-engineering difficult, so there may be built-in mechanisms to circumvent sinkholing that have not yet been discovered," Westmoreland warned. "There could also be unidentified variants of this Trojan with different C&C domains."

A Kaspersky Lab spokesperson was not immediately available to provide further details."

chris_cl72

Salut à tous,
Pas de prises de têtes (Windows /Linux) car globalement Linux est nettement privilégié comme serveur sur le Net et ce n'est pas pour rien (http://www.journaldunet.com/solutions/expert/51207/l-ecrasante-domination-de-linux-dans-le-cloud---vers-90--de-part-de-marche.shtml)
Pour Turla, la seule info viable est que dans sa version actuelle les URL/IP utilisées en sorties sont news-bbc.podzone.org et 80.248.65.183, ils vous suffit donc dans un premier temps d'interdire ces flux en sorties de votre box/routeur !

Page suivante »