Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Qu'est-ce qui a été modifié sur ma machine ?

Gaspra

Bonjour,

J'ai confié mon ordinateur à un technicien pour réparation hardware. J'ai récupéré mon ordinateur et j'aimerais savoir s'il a modifié des fichiers ou s'il a installé quelque chose à mon insu. Je connais l'heure d'utilisation de l'ordinateur. Est-ce que vous connaissez une commande du type ls -ltr récursive ou équivalent pour vérifier la non modification de fichiers ou l'ajout de fichier dans un répertoire à partir de la racine ?

Merci pour votre aide.

Et bonne fin de semaine 🙂

tirom14

Hum....
Bin déjà, juste avec la date de dernière modification, tu pourras pas forcement être assuré que rien n'a été touché. Cette date peut facilement être changé.
Mais à mon avis en utilisant find, pis en récupérant que les dossier, et en faisant a chaque fois ton "ls -ltr", ce sera possible,

un truc genre :

for i in ´find´; do if test -d $i; then ls -lts $i; fi; done

Pis un traitement sur les dates affiché par la suite mais j'te laisse faire !

Gaspra

Finalement, j'ai fait

find . -type f -mtime 0,5 -exec ls -l {} \; | grep sort -k6

C'est pas mal.

tirom14

Ahh oui c'est nettement plus jolie du coup !

Gaspra

Mais c'est vrai que ça ne concerne que les fichiers modifiés récemment.
Après je ne connais pas bien Linux ni sous quelle forme peut se faire un keylogger. Est-ce qu'on peut juste copier coller un script sur la machine sans lui demander de se lancer à chaque démarrage ou quelque chose du genre ? Et dans ce cas, la date de modification du fichier, correspond à la date du copier/coller ou à la date de création du script ?
PS : c'est pas curiosité que je fais tout ça. La probabilité qu'une modification ait été faite sur mon ordinateur est très faible 🙂

tirom14

La date correspond à la date de dernière modification, donc sur le coup : la date de copier/coller. M'après c'est pas quelque chose de certain, tu peut très bien (avec une option de cp, 'la connait pas) garder la date de modification du script original.
Pour le keylogger, je sais vraiment pas sous quelle forme il peut exister. J'imaginerai un daemon qui lit sur /dev/input/event0, où tu as tout les événements clavier, mais j'en sais pas plus.
Essais tu faires :

sudo  cat /dev/input/event0 | hexdump

Mais pour vraiment vérifier que rien n'as été modifié, il aurai fallu faire un genre de "hash" sur tout ton disque, et sur tout tes fichiers. Au retour, tu refais ce "hash," que tu compares au précédant. Si c'est différent bin... change de technicien ! 😛
Je sais plus quelle logiciel fait ca, mais ça doit se trouver facilement j'pense.

tirom14

Ahh ouai pis, il a pu aussi ouvrir ton disque en "esclave" sans lancer le système, et ainsi modifié n'importe quelle fichier directement sans changer la date de modification. La date existe qu'avec ton système allumé !