Résolu ; Protection contre les sites web malveillants

franchoix · Le 28/09/2021, à 10:44

bonjour
je ne sais si je poste au bon endroit.
utilisateur récent de Linux je ne comprends pas ceci

martine@mart81:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

et je reçois ce message (que j'ai photographié) en utilisant Firefox que je n'arrive pas à poster et qui me dit que
bit défender à bloqué le système en raison d'une action illégale.
C'est une arnaque, bien sûr, mais comment modifier iptables pour l'interdire.
merci

--
Modération : je me suis permis de changer le titre pour corriger la faute et le rendre plus explicite.

Dernière modification par franchoix (Le 02/10/2021, à 10:04)

FrancisFDZ · Le 28/09/2021, à 11:14

Bonjour,
Bitdefender sous linux ? T'es bien sur ?

franchoix · Le 28/09/2021, à 15:41

Oui, c'est une intrusion qui se sert de ce motif, c'est le grand jeu, son image DANGER!. Arnaque.
Il n'y a pas bit défender sur ma machine. J'ai pris une photo de l'écran mais je ne sais pas la poster.
ma question est comment l'éliminer et interdire sa reproduction.
j'ai mis en post la réponse à iptables -L qui me semblait correcte mais la preuve que non.
j'ai cherché mais sans succès.
si tu peux me tuyauter.
merci pour ta réponse

bruno · Le 28/09/2021, à 16:24

Bonjour,

On n'y comprend pas grand chose…
De quoi s'agit-il ? D'une fenêtre intempestive qui apparaît lors de la visite d'un site web ?
Le pare-feu n'a rien à voir avec cela et est de toute façon généralement superflu sur un poste de travail sous Ubuntu.

Pour poster une image : https://www.casimages.com/

FrancisFDZ · Le 28/09/2021, à 19:03

Si j'ai bien compris, il s'agirait d'une application délictueuse que utilise la réputation du programme windowsien bitdefender pour arnaquer la personne qui reçoit le message. Resterait à savoir dans quel but.
Est-il toujours possible de booter en live ?

franchoix · Le 29/09/2021, à 16:53

bonsoir
Je ne suis pas bloqué, le message a disparu après que j'ai mis hors tension ça a ré apparu à plusieurs reprise mais a apparemment disparu après plusieurs redémarrages.
Je pensais que Linux était à l'abri des malwares (j'ai lu beaucoup de sujets là dessus). J'ai également lu que bit défender était un anti virus possible sous Linux mais qui concernerait uniquement les
serveurs.
C'est pourquoi je suis allé voir du côté du pare_feu mais Bruno me dit que ce n'est pas utile en poste de travail sous Ubuntu.
La question que je me pose est comment ce truc est entré dans ma machine?Je n'installe rien en dehors des sites officiels je ne suis jamais en Root et j'ai une utilisation pépère de l'internet.
comment rechercher?

franchoix · Le 29/09/2021, à 17:01

Suite,
j'ai parcouru la doc et vu qu'il était possible d'utiliser pixup pour envoyer des images mais l'installation a planté
j'obtiens :

artine@mart81:~/Téléchargements$ sudo dpkg -i pixup_4.0_all.deb
(Lecture de la base de données... 257034 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de pixup_4.0_all.deb ...
Dépaquetage de pixup (4.0) sur (4.0) ...
dpkg: des problèmes de dépendances empêchent la configuration de pixup :
 pixup dépend de xclip ; cependant :
  Le paquet xclip n'est pas installé.

dpkg: erreur de traitement du paquet pixup (--install) :
 problèmes de dépendances - laissé non configuré
Traitement des actions différées (« triggers ») pour gnome-menus (3.36.0-1ubuntu1) ...
Traitement des actions différées (« triggers ») pour desktop-file-utils (0.24-1ubuntu3) ...
Traitement des actions différées (« triggers ») pour mime-support (3.64ubuntu1) ...
Des erreurs ont été rencontrées pendant l'exécution :
 pixup

je sais qu'il faut installer des dépendances mais à ce stade je préfère arrêter avant de faire des c.....

xubu1957 · Le 29/09/2021, à 17:08

Bonjour,

Voir > [Tuto] Poster une image

franchoix · Le 29/09/2021, à 17:19

volià, j'espère que ça a fonctionné
[img=photo de l'intrus]<a href='https://www.casimages.com/i/1 : Impossible de transferer !!!.html' title='Mon image'>Lien vers mon image</a>[/img]

xubu1957 · Le 29/09/2021, à 17:28

Je lis :

L'image demandée n'est pas disponible, il y a plusieurs raisons à cela :
- L'image a été effacé par son propriétaire et n'est donc plus visible sur Casimages.com
- L'image demandée n'existe pas
- L'image a été effacé pour non respects des Conditions Générales d'Utilisations

franchoix · Le 29/09/2021, à 17:41

et cette fois?https://nsm09.casimages.com/img/2021/09 … 593159.jpg

_{Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images.}

Dernière modification par cqfd93 (Le 29/09/2021, à 17:52)

bruno · Le 29/09/2021, à 17:46

On ne voit pas très bien. Il aurait été préférable de faire une copie d'écran plutôt qu'une photo…

À quel moment cette pseudo fenêtre est-elle apparue ? En visitant un site particulier ? Si oui à quelle adresse ?

Quoiqu'il en soit cela ne présente strictement aucun risque sous Ubuntu. Et tout réglage du pare-feu serait inutile.
Par contre si tu nous donnes les détails demandés on pourra t'aider à configurer Firefox pour éviter dans la mesure du possible ce genre de popup.

Dernière modification par bruno (Le 29/09/2021, à 17:50)

franchoix · Le 29/09/2021, à 18:12

J'ai bien essayé de faire une copie d'écran mais tout était bloqué j'ai du redémarrer c'est pourquoi j'ai fait une photo.
Je n'ai pas noté d'action particulière, je ne me souviens pas que c'était lors de la visite d'un site particulier. J'étais, je pense en alternant console et web pour rechercher des infos sur ce qui pouvait ralentir
mon système.
je vais essayer de voir mon historique de navigation et en situant le moment je pourrai peut être avoir une réponse

bruno · Le 29/09/2021, à 18:43

Ce serait vraiment intéressant que tu retrouves le site en question dans ton historique.
Je pense que tu as visité un site qui contenait un ou plusieurs scripts malveillants, sans indice sous Ubuntu, qui ont fortement ralenti le navigateur web peut-être me jusqu'à te laisser penser que tout le système était bloqué.
Il faudrait également voir la liste de tes extensions Firefox.
Il y a des réglages et des extensions Firefox pour se prémunir de ce genre de choses.

xubu1957 · Le 29/09/2021, à 19:14

Pour afficher les extensions :

grep -oP '},"name":"\K[^"]+' ~/.mozilla/firefox/*.*default*/addons.json

Coeur Noir · Le 29/09/2021, à 20:45

Exemple de « posts » d'images, via imgbb.com :
⋅
Un jour ce forum entrera dans le 21ème siècle et permettra de poster des images par simple glisser-déposer dans le message ( comme la plupart des autres forums d'entraide… )
en attendant il faut passer par un hébergeur d'image externe, tiers ( imgbb, postimage, caseimage, etc ).

bruno a écrit :

Il y a des réglages et des extensions Firefox pour se prémunir de ce genre de choses.

C'est certes vrai mais la première des préventions, c'est le comportement de l'utilisateur lui-même : éviter les sites « à risques », n'installer des logiciels que depuis des sources de confiance ( les dépôts officiels de la distribution pour ce qui concerne le système et ×buntu en général ; des extensions de navigateurs « garanties, revues et testées » de façon publique et transparente pour Firefox et cie ; ne jamais accepter de programmes ou pièce jointe ou notification de source inconnue… )

Donc la commande pour afficher les extension de Firefox, proposée par xubu → ¡! à améliorer ¡! elle ne montre pas tout…
Et ensuite, pour faire du ménage parmi les extensions installées, taper

about:addons

dans la barre d'adresses de Firefox et supprimer les extensions « douteuses » ou alourdissantes car elles feraient double emploi avec une fonction « native » du système ou du navigateur lui-même.

Pour l'instant il n'y a pas lieu de s'intéresser au pare-feu.

Dernière modification par Coeur Noir (Le 29/09/2021, à 20:53)

franchoix · Le 30/09/2021, à 09:49

Bonjour
j'ai pu en recherchant dans l'historique situer les événements , les 3 premières lignes ci dessous en basant sur la date de la photo prise après l'événement.

"Pare-feu Windows Code 0x268d3" https://d2xahdt0txh5qi.cloudfront.net/winXfiles/?phone=09-70-38-94-74&clickid=dfe63gm7vtlsc5a7&t1=lB2IGXCi6K8&t2=46018&uclick=gm7vtlsc&uclickhash=gm7vtlsc-gm7vtlsc-528n-0-gm6o-ib0-ibfe-f70dda#
"Pare-feu Windows Code 0x268d3" https://d2xahdt0txh5qi.cloudfront.net/winXfiles/?phone=09-70-38-94-74&clickid=dfe63gm7vtlsc5a7&t1=lB2IGXCi6K8&t2=46018&uclick=gm7vtlsc&uclickhash=gm7vtlsc-gm7vtlsc-528n-0-gm6o-ib0-ibfe-f70dda
"Official Help and Services" https://d2xahdt0txh5qi.cloudfront.net/?number=09-70-38-94-74&clickid=dfe63gm7vtlsc5a7&t1=lB2IGXCi6K8&t2=46018&uclick=gm7vtlsc&uclickhash=gm7vtlsc-gm7vtlsc-528n-0-gm6o-ib0-ibfe-f70dda
https://winspeedtest2.com/ar/serfr1/index.php?clickid=dfe63gm7vtlsc5a7&t1=lB2IGXCi6K8&t2=46018&uclick=gm7vtlsc&uclickhash=gm7vtlsc-gm7vtlsc-528n-0-gm6o-ib0-ibfe-f70dda
http://tq.adventurefeeds.com/filter?q=ivor&i=dOP6sfUXmi4_0&t=1999764078
http://www.ivor.it/wireless/acx.html
http://lea-linux.org/documentations/Driver:Wifi

le texte entre " " est le "nom" que me donne l'historique partie que je n'ai pas réussi à copier
la deuxième ligne a été accédée le 25/9 à 15 h 14 1 fois
la première ligne a été accédées le 25/9 à 19 h 04 12 fois
je suis le seul utilisateur de cette machine et je n'ai pas accédé "volontairement" à ce site.

franchoix · Le 30/09/2021, à 09:52

la recherche des extensions de FireFox donne :

martine@mart81:~$ grep -oP '},"name":"\K[^"]+' ~/.mozilla/firefox/*.*default*/addons.json
English (GB) Language Pack
English (CA) Language Pack
Français Language Pack

franchoix · Le 30/09/2021, à 09:59

attn Coeur Noir
Il n'y a aucune extension relevée par :

about:addons

dans FireFox

bruno · Le 30/09/2021, à 11:38

Ce lien :
https://winspeedtest2.com/ar/serfr1/ind … bfe-f70dda
est éminemment suspect. Chez moi il essaie d'installer une extension pour le navigateur web Chrome et autres merdes.
C'est donc bien la visite d'un ou plusieurs sites web corrompus qui a provoqué ton problème.

Pour éviter cela à l'avenir je te conseille d'aller dans les paramètres de Firefox > Vie privée et sécurité (ou dans la barre d'adresses about:preferences#privacy) et d'activer :
- Protection renforcée contre le pistage : stricte (ou personnalisée et tout cocher)
- Sécurité : tout cocher (bloquer les contenus, bloquer les téléchargements dangereux)

Il serait bon également d'installer au moins l'extension uBlockOrigin.

uboops · Le 30/09/2021, à 12:17

... Bjr ... Et les extensions: Decentraleyes (anti-DNS menteur) et Adblock (pour garnir le fichier hosts anti-pubs et autres) et Toggle java-script ou du genre.
Voir utiliser un bac à sable, firejail ou du genre pour les web browsers.

Dernière modification par uboops (Le 30/09/2021, à 12:23)

franchoix · Le 30/09/2021, à 14:01

bon, merci beaucoup pour votre aide.
j'installe les extensions que vous me suggérez.
Il me reste une question :
si un fichier indésirable s'est installé sur ma machine, je devrais pouvoir lister les fichiers installés ou créés à une certaine date, cependant en lisant les docs je vois que la date jointe au fichier n'est pas
forcément la date d'installation, ni de création.
vrai?

uboops · Le 30/09/2021, à 14:08

... Quand un système est trop corrompu, la règle la plus sûr, c'est de tout réinstaller.
(ou réinstaller un cliché supposé sain de timeshift (par exemple), si on en a crée un avant par sécurité)

Ou un liveCD du genre: redobackup
https://sourceforge.net/projects/redobackup/

Dernière modification par uboops (Le 30/09/2021, à 14:20)

bruno · Le 30/09/2021, à 14:45

Non il ne faut pas installer Adblock, c'est de la m****. uBlockOrigin suffit.

Et non le système n'est pas corrompu et il n'y a aucun besoin de réinstaller ! On n'est pas sous Windows !

Il faut faire ce que j'ai indiqué et vide l'historique, les cookies et le cache du navigateur. C'est amplement suffisant.

bruno · Le 30/09/2021, à 15:58

J'ai réintégré les messages que je considère comme hors-sujet (#25 et suivants) dans le fil. Je laisse le soin aux autres membres de l'équipe de modération de décider de ce qui doit être fait.

Dernière modification par bruno (Le 30/09/2021, à 15:58)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 28/09/2021, à 10:44

Résolu ; Protection contre les sites web malveillants

#2 Le 28/09/2021, à 11:14

Re : Résolu ; Protection contre les sites web malveillants

#3 Le 28/09/2021, à 15:41

Re : Résolu ; Protection contre les sites web malveillants

#4 Le 28/09/2021, à 16:24

Re : Résolu ; Protection contre les sites web malveillants

#5 Le 28/09/2021, à 19:03

Re : Résolu ; Protection contre les sites web malveillants

#6 Le 29/09/2021, à 16:53

Re : Résolu ; Protection contre les sites web malveillants

#7 Le 29/09/2021, à 17:01

Re : Résolu ; Protection contre les sites web malveillants

#8 Le 29/09/2021, à 17:08

Re : Résolu ; Protection contre les sites web malveillants

#9 Le 29/09/2021, à 17:19

Re : Résolu ; Protection contre les sites web malveillants

#10 Le 29/09/2021, à 17:28

Re : Résolu ; Protection contre les sites web malveillants

#11 Le 29/09/2021, à 17:41

Re : Résolu ; Protection contre les sites web malveillants

#12 Le 29/09/2021, à 17:46

Re : Résolu ; Protection contre les sites web malveillants

#13 Le 29/09/2021, à 18:12

Re : Résolu ; Protection contre les sites web malveillants

#14 Le 29/09/2021, à 18:43

Re : Résolu ; Protection contre les sites web malveillants

#15 Le 29/09/2021, à 19:14

Re : Résolu ; Protection contre les sites web malveillants

#16 Le 29/09/2021, à 20:45

Re : Résolu ; Protection contre les sites web malveillants

#17 Le 30/09/2021, à 09:49

Re : Résolu ; Protection contre les sites web malveillants

#18 Le 30/09/2021, à 09:52

Re : Résolu ; Protection contre les sites web malveillants

#19 Le 30/09/2021, à 09:59

Re : Résolu ; Protection contre les sites web malveillants

#20 Le 30/09/2021, à 11:38

Re : Résolu ; Protection contre les sites web malveillants

#21 Le 30/09/2021, à 12:17

Re : Résolu ; Protection contre les sites web malveillants

#22 Le 30/09/2021, à 14:01

Re : Résolu ; Protection contre les sites web malveillants

#23 Le 30/09/2021, à 14:08

Re : Résolu ; Protection contre les sites web malveillants

#24 Le 30/09/2021, à 14:45

Re : Résolu ; Protection contre les sites web malveillants

#25 Le 30/09/2021, à 15:58

Re : Résolu ; Protection contre les sites web malveillants

Pied de page des forums