Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2823 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

n°1334950
muzah
Bal Musette @ HFR depuis 1997
Posté le 12-04-2013 à 14:38:29  profilanswer
 

Je navigue dans mes répertoires partagés et là je découvre un partage samba que je ne connais pas.
Bizarre. Je ne sais pas comment faire pour savoir d'où ça vient. Je stoppe toutes les machines potentiellement en partage (syno, partages freebox désactivés) enfin ce que je sais faire.
 
Le partage est toujours là. Mode parano ON.
Je vais sans doute passer pour un niais m'enfin on ne sait jamais.
Pas de screenshot du partage en question parce que je n'y ai pas pensé à ce moment ; je n'ai retenu que le nom : LINUX-ESCOUADE.
Comme, de mémoire, je n'avais aucun partage avec un tel nom ...
 
Après reboot de mon PC, plus de partage en vue ...
 
Donc j'ai déjà entendu parler de rootkit ; je viens de passer rkhunter :
 

sudo rkhunter --checkall --report-warnings-only
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'


 
et chkrootkit :
 

sudo chkrootkit -q
 
/usr/lib/jvm/.java-1.6.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
 
eth0: PACKET SNIFFER(/sbin/dhclient[6072])


 
est-ce que ça vous paraît normal ?
 
Merci de votre coup de main =)
 


---------------
un instant monsieur ça-va-chier
mood
Publicité
Posté le 12-04-2013 à 14:38:29  profilanswer
 

n°1334952
muzah
Bal Musette @ HFR depuis 1997
Posté le 12-04-2013 à 14:51:43  profilanswer
 

Bon visiblement d'après ce que j'ai trouvé sur le net, rien de bizarre au niveau de mon pc.
En revanche je porte une attention particulière à mon NAS Synology ...
Je viens de me rendre compte que lorsque j'allais dans mon WORKGROUP, j'avais, avant le problème, "FREEBOX" et "SYNOLOGY" et que pendant le problème, j'avais "FREEBOX" et "LINUX-ESCOUADE".
 
:|


---------------
un instant monsieur ça-va-chier
n°1334959
VAN WINKLE
Tchic tcha
Posté le 12-04-2013 à 15:49:30  profilanswer
 

Il y a une escouade qui vient en renfort :o

 

Sinon je ne vois rien de spécial à tes 2 commandes non plus... étrange.


Message édité par VAN WINKLE le 12-04-2013 à 15:50:13

---------------
SAINT DENIS, SAINT DENIS, FON-FONKY FRESH
n°1334981
muzah
Bal Musette @ HFR depuis 1997
Posté le 12-04-2013 à 19:17:16  profilanswer
 

Je trouve ça tout même particulièrement étrange ... :o
Pourtant mes mots de passes sont costauds, même pour de l'intranet. Mon syno est branché uniquement sur le web en tant que client, pas serveur. Bref, risque tout petit de se prendre une quenelle numérique.
 
Putain skynet quoi :o


---------------
un instant monsieur ça-va-chier
n°1334992
bardiel
Debian powa !
Posté le 12-04-2013 à 21:09:09  profilanswer
 

muzah a écrit :

Putain skynet quoi :o


Zut, ça s'est repéré [:s@ms:2]  
 
Ton Syno est d'origine ? Tu as ajouté quelque chose dessus ?


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1335240
muzah
Bal Musette @ HFR depuis 1997
Posté le 17-04-2013 à 09:30:08  profilanswer
 

Mon syno n'est pas d'origine ; j'ai posé des dépots tiers dessus ; en revanche je n'ai pas installé de machins ipkg :)


---------------
un instant monsieur ça-va-chier
n°1335246
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 17-04-2013 à 12:06:21  profilanswer
 

/usr/bin/unhide.rb contient quoi ?


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°1335250
muzah
Bal Musette @ HFR depuis 1997
Posté le 17-04-2013 à 12:52:27  profilanswer
 

je n'ai pas ce fichier :/
 


ls -l
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 [ -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 [[ -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 arping -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 awk -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 basename -> ../../bin/busybox
-rwxr-xr-x    1 root     root          7760 Mar  1 04:11 cksum
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 clear -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 cmp -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 cut -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 diff -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 dirname -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 du -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 dumpleases -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 env -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 ether-wake -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 expr -> ../../bin/busybox
-rwxr-xr-x    1 root     root         62808 Mar  1 04:12 faad
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 find -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 flock -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 free -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 head -> ../../bin/busybox
-rwxr-xr-x    1 root     root        501620 Mar  1 04:12 hostapd
-rwxr-xr-x    1 root     root         28720 Mar  1 04:12 hostapd_cli
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 id -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 ipcs -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 killall -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 logger -> ../../bin/busybox
-rwxr-xr-x    1 root     root         92868 Mar  1 04:12 memcached
-rwxr-xr-x    1 root     root         11156 Mar  1 04:11 ndisc6
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 nohup -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 nslookup -> ../../bin/busybox
-rwxr-xr-x    1 root     root       6140560 Mar  1 04:12 php
-rwxr-xr-x    1 root     root          3395 Mar  1 04:12 poff
-rwxr-xr-x    1 root     root          2123 Mar  1 04:12 pon
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 printf -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 readlink -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 realpath -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 renice -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 reset -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 seq -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 sort -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 tail -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 taskset -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 tee -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 telnet -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 test -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 time -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 top -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 traceroute -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 traceroute6 -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 tty -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 uniq -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 unxz -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 uptime -> ../../bin/busybox
-rwxr-xr-x    1 root     root          3400 Mar  1 04:12 uuidgen
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 wc -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 which -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 who -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 whoami -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 xargs -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 xz -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 xzcat -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 yes -> ../../bin/busybox


 
stou.


Message édité par muzah le 17-04-2013 à 12:54:09

---------------
un instant monsieur ça-va-chier
n°1338341
Ismond
Posté le 23-05-2013 à 16:25:57  profilanswer
 

Concernant le warning "Unhide"
http://doc.ubuntu-fr.org/rkhunter

Citation :

Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]
Dans ce cas lancez : sudo rkhunter --propupd


et
http://ubuntuforums.org/showthread.php?t=1931897

Citation :

rkhunter: Should I be concerned about any of these warnings?  
/usr/bin/unhide.rb                              [ Warning ]
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: a /usr/bin/ruby -w script text executable
This is just saying you have a script that is in your path -- this is often the sign of compromise (hooking a command), however in this particular case that's not true this application just happens to be a ruby script.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

 

Sujets relatifs
[Kernel Linux]Configuration de votre matérielcompiler Linux pour l'adapter à son matériel à t'il encore un sens ?
Lecteur de musiques sous linuxInstallation Apache 2.4.4 sous Linux à partir de Zéro
Problème: clé usb non reconnus sous linuxBesoin d'aide. Installation puis problème ...
Rapidité et performance au développement sur Windows ou linuxLinux - faire que 2 applis aient leur /lib et /include en commun
Empêcher la copie/impression d'un pdf (Linux) ?QUelle taille pour une partition Linux
Plus de sujets relatifs à : partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR