#1 Le 18/07/2019, à 19:04
- guitbass
EvilGnome
Bonjour,
Doit-on s inquiéter de cette découverte (virus) ?
Cordialement
Hors ligne
#2 Le 18/07/2019, à 19:39
- Roschan
Re : EvilGnome
Non.
Hors ligne
#3 Le 18/07/2019, à 20:07
- guitbass
Re : EvilGnome
Non.
Voilà une réponse claire et nette mais est-elle fondée ?
Hors ligne
#4 Le 18/07/2019, à 20:11
- Nuliel
Re : EvilGnome
Bonjour,
Après avoir lu https://thehackernews.com/2019/07/linux … yware.html , je peux dire que:
- ce virus n'est pas discret (trace dans le crontab, c'est pas très discret)
- ce virus doit être installé volontairement (j'ai vu sur reddit que les droits d'admin sont nécessaires pour l'installer mais je ne trouve pas dans la source citée, de toute façon quel que soit le niveau de droits nécessaires faut pas installer n'importe quoi)
Tu peux voir ça comme un script malicieux, du moment que tu le lances pas il dérange pas.
Et puis le script publié alors qu'il est pas fini....
Dernière modification par Nuliel (Le 18/07/2019, à 20:13)
Hors ligne
#5 Le 18/07/2019, à 20:16
- Roschan
Re : EvilGnome
D'où vient l'info : de journaux putassiers qui ne font même pas la différence entre Linux en général et le bureau GNOME Shell
Quelle est leur source : une entreprise d'analystes en sécurité qui ne dit pas où/comment ils ont trouvé le virus
Qu'est le virus : une extension GS même pas terminée, et donc pas publiée non plus
Quel est le mode de contamination : un script bash qui auto-extrait les fichiers du virus
Un utilisateur normal exécute-t-il à l'aveugle des scripts bash, de taille conséquente et dont le contenu est illisible, qu'il aura cherché parmi les dépôts de développement d'hackers russes ? Non. Donc pourquoi vouloir s’inquiéter ?
----
Concernant les droits d'admin, c'est probablement une supposition faite par un lecteur à partir de ce qui est dit vis-à-vis de crontab, la plupart des gens éditant les tâches programmées en tant qu'admin, mais l'utilisateur a aussi ses propres moyens de programmer des tâches via crontab et systemd sans avoir besoin des permissions root, cette supposition me semble donc fausse
Dernière modification par Roschan (Le 18/07/2019, à 20:21)
Hors ligne
#6 Le 18/07/2019, à 20:20
- guitbass
Re : EvilGnome
Bonjour,
Après avoir lu https://thehackernews.com/2019/07/linux … yware.html , je peux dire que:
- ce virus n'est pas discret (trace dans le crontab, c'est pas très discret)
- ce virus doit être installé volontairement (j'ai vu sur reddit que les droits d'admin sont nécessaires pour l'installer mais je ne trouve pas dans la source citée, de toute façon quel que soit le niveau de droits nécessaires faut pas installer n'importe quoi)Tu peux voir ça comme un script malicieux, du moment que tu le lances pas il dérange pas.
Et puis le script publié alors qu'il est pas fini....
il faut taper crontab -e en ligne de commande ?
Hors ligne
#7 Le 18/07/2019, à 20:22
- Nuliel
Re : EvilGnome
crontab -e sert à éditer le crontab, c'est crontab -l pour lister les tâches cron de l'utilisateur qui lance la commande.
Concernant les droits d'admin, c'est probablement une supposition faite par un lecteur à partir de ce qui est dit vis-à-vis de crontab, la plupart des gens éditant les tâches programmées en tant qu'admin, mais l'utilisateur a aussi ses propres moyens de programmer des tâches via cronta et systemd sans avoir besoin des permissions root, cette supposition me semble donc fausse
C'est bien ce qu'il me semblait
Hors ligne
#8 Le 18/07/2019, à 20:22
- guitbass
Re : EvilGnome
D'où vient l'info : de journaux putassiers qui ne font même pas la différence entre Linux en général et le bureau GNOME Shell
Quelle est leur source : une entreprise d'analystes en sécurité qui ne dit pas où/comment ils ont trouvé le virus
Qu'est le virus : une extension GS même pas terminée, et donc pas publiée non plus
Quel est le mode de contamination : un script bash qui auto-extrait les fichiers du virus
Un utilisateur normal exécute-t-il à l'aveugle des scripts bash, de taille conséquente et dont le contenu est illisible, qu'il aura cherché parmi les dépôts de développement d'hackers russes ? Non. Donc pourquoi vouloir s’inquiéter ?
----
Concernant les droits d'admin, c'est probablement une supposition faite par un lecteur à partir de ce qui est dit vis-à-vis de crontab, la plupart des gens éditant les tâches programmées en tant qu'admin, mais l'utilisateur a aussi ses propres moyens de programmer des tâches via crontab et systemd sans avoir besoin des permissions root, cette supposition me semble donc fausse
ok, merci pour ces explications
Hors ligne
#9 Le 18/07/2019, à 20:30
- Roschan
Re : EvilGnome
Ceci dit, même si ça ne concerne pas monsieur tout-le-monde, il y a pas mal d'utilisateurs avec des pratiques médiocres (mais sûrs de leur compétence puisque sachant lancer un script depuis un terminal) qui risquent de se trouver contaminés e jour où ce truc sera terminé
Dernière modification par Roschan (Le 18/07/2019, à 20:30)
Hors ligne
#10 Le 18/07/2019, à 20:41
- guitbass
Re : EvilGnome
crontab -e sert à éditer le crontab, c'est crontab -l pour lister les tâches cron de l'utilisateur qui lance la commande.
Roschan a écrit :Concernant les droits d'admin, c'est probablement une supposition faite par un lecteur à partir de ce qui est dit vis-à-vis de crontab, la plupart des gens éditant les tâches programmées en tant qu'admin, mais l'utilisateur a aussi ses propres moyens de programmer des tâches via cronta et systemd sans avoir besoin des permissions root, cette supposition me semble donc fausse
C'est bien ce qu'il me semblait
j ai tapé crontab -l et il me met no crontab for root
Hors ligne
#11 Le 18/07/2019, à 20:50
- cqfd93
Re : EvilGnome
Bonjour,
j ai tapé crontab -l et il me met no crontab for root
Voilà ce que ça donne chez moi :
moi@aurore:~$ crontab -l
no crontab for moi
moi@aurore:~$
Alors ton retour montre que tu es connecté en root… En regardant tes autres discussions, on peut raisonnablement penser que ta machine n'est pas un serveur, alors qu'est-ce que tu y fais en root ???
Plutôt que de poser de multiples question sur d'éventuelles failles de sécurité, pose-toi plutôt la question de la faille assise sur ta chaise !
− cqfd93 −
Hors ligne
#12 Le 18/07/2019, à 21:04
- guitbass
Re : EvilGnome
Bonjour,
guitbass a écrit :j ai tapé crontab -l et il me met no crontab for root
Voilà ce que ça donne chez moi :
moi@aurore:~$ crontab -l no crontab for moi moi@aurore:~$
Alors ton retour montre que tu es connecté en root… En regardant tes autres discussions, on peut raisonnablement penser que ta machine n'est pas un serveur, alors qu'est-ce que tu y fais en root ???
Plutôt que de poser de multiples question sur d'éventuelles failles de sécurité, pose-toi plutôt la question de la faille assise sur ta chaise !
J ai simplement tapé : sudo crontab -l et mot de passe
Hors ligne
#13 Le 18/07/2019, à 21:12
- Roschan
Re : EvilGnome
mais... ce virus n'a aucune raison d'avoir les permissions de root, puisque ce n'est pas son mode opératoire décrit par l'article, du coup pourquoi avoir mis "sudo" avant ta commande ? des sudo inutiles lancés au hasard sont une menace pour la sécurité bien plus grande que ce virus inachevé
Dernière modification par Roschan (Le 18/07/2019, à 21:26)
Hors ligne
#14 Le 18/07/2019, à 21:28
- guitbass
Re : EvilGnome
mais... ce virus n'a aucune raison d'avoir les permissions de root, puisque ce n'est pas son mode opératoire décrit par l'article, du coup pourquoi avoir mis "sudo" avant ta commande ? des sudo inutiles lancés au hasard sont une menace pour la sécurité bien plus grande que ce virus inachevé
ok , mais si je fais un apt-get clean par exemple il ne s execute pas , je dois ecrire sudo avant
Hors ligne
#15 Le 18/07/2019, à 21:35
- Nuliel
Re : EvilGnome
Oui, sudo est à réserver uniquement aux tâches d'administration. Moins on l'utilise, mieux le pc se porte! (par exemple cet après midi, c'est à cause d'un sudo de trop sur un autre fil que les packages pip sont en vrac, et je n'ai pas pu conseiller autre chose que la réinstallation)
crontab c'est un programme qui permet d'exécuter à intervalle régulier des commandes. Il y a donc un crontab pour root, pour ton utilisateur, pour tous les autres utilisateurs d'ailleurs (chacun a le sien). Le fait que le script ait besoin des droits root n'est pas sourcé et est sûrement faux.
Dernière modification par Nuliel (Le 18/07/2019, à 21:36)
Hors ligne
#16 Le 18/07/2019, à 21:41
- Roschan
Re : EvilGnome
Roschan a écrit :mais... ce virus n'a aucune raison d'avoir les permissions de root, puisque ce n'est pas son mode opératoire décrit par l'article, du coup pourquoi avoir mis "sudo" avant ta commande ? des sudo inutiles lancés au hasard sont une menace pour la sécurité bien plus grande que ce virus inachevé
ok , mais si je fais un apt-get clean par exemple il ne s execute pas , je dois ecrire sudo avant
Je n'arrive pas à suivre le raisonnement : quel est le lien entre crontab et apt ?
Hors ligne
#17 Le 18/07/2019, à 21:52
- guitbass
Re : EvilGnome
guitbass a écrit :Roschan a écrit :mais... ce virus n'a aucune raison d'avoir les permissions de root, puisque ce n'est pas son mode opératoire décrit par l'article, du coup pourquoi avoir mis "sudo" avant ta commande ? des sudo inutiles lancés au hasard sont une menace pour la sécurité bien plus grande que ce virus inachevé
ok , mais si je fais un apt-get clean par exemple il ne s execute pas , je dois ecrire sudo avant
Je n'arrive pas à suivre le raisonnement : quel est le lien entre crontab et apt ?
aucun lien c est juste pour dire que pour executer certaines commandes il faut le sudo et c est pourquoi j'avais mis sudo devant crontab tout à l heure
Hors ligne
#18 Le 18/07/2019, à 22:09
- Nuliel
Re : EvilGnome
Une chose très importante sur linux est la gestion des droits. Les utilisateurs peuvent utiliser l'ordi normalement (lire des mails, ...), l'administrateur gère l'installation des logiciels, les mises à jour... L'utilisateur a des droits restreints (s'il fait une grosse bêtise, au pire il détruit son compte, et perd ses données) alors que root a tous les droits (il peut donc en cas de grosse bêtise détruire la machine, rendre instable le système, ...). Sur linux, les utilisateurs et les administrateurs sont séparés.
sudo (subsitute user do) sert, le temps d'une commande, à avoir les mêmes droits que root (on peut demander à avoir les mêmes droits qu'un utilisateur en particulier, mais par défaut c'est l'utilisateur root). Il permet donc de passer des commandes avec tous les droits. Donc en cas de grosse bêtise, c'est le système entier qui peut être impacté. D'où l'intérêt de n'utiliser sudo que lorsque c'est vraiment obligatoire.
Par exemple, ici sudo devant crontab -l n'était pas utile car on s'intéresse au crontab de l'utilisateur et non de root.
Et sudo ne doit pas être vu comme un moyen de faire fonctionner une commande qui ne fonctionne pas à cause de "permission non accordée" mais comme une élévation de privilèges temporaire.
Par exemple, je traite depuis quelques jours un problème avec pip (c'est une sorte de apt-get pour python) qui a été utilisé avec sudo, les permissions sont cassées (dans le sens certaines choses qui devraient pas appartenir à root lui appartiennent) et du coup, la réparation était trop difficile/dangereuse.
C'est les mêmes conséquences lorsqu'on utilise sudo avec une application graphique ou lorsqu'on lance le serveur X avec sudo: le problème, c'est des droits qui sont changés, et qui ne sont plus adaptés.
Dernière modification par Nuliel (Le 18/07/2019, à 22:16)
Hors ligne
#19 Le 18/07/2019, à 23:22
- Roschan
Re : EvilGnome
Roschan a écrit :guitbass a écrit :ok , mais si je fais un apt-get clean par exemple il ne s execute pas , je dois ecrire sudo avant
Je n'arrive pas à suivre le raisonnement : quel est le lien entre crontab et apt ?
aucun lien c est juste pour dire que pour executer certaines commandes il faut le sudo et c est pourquoi j'avais mis sudo devant crontab tout à l heure
Aucun lien, du coup ce "c'est pourquoi" n'a pas de sens : il n'y a pas besoin de sudo pour exécuter crontab, donc tu n'avais aucune raison de mettre sudo, et c'est pourquoi on t'en fait la remarque. D'autant que le virus vise le crontab de l'utilisateur, et donc mettre sudo, en plus d'être un abus inutile des droits d'admin, est surtout la mauvaise manip à faire si ton but est de vérifier l'absence d'infection
Dernière modification par Roschan (Le 18/07/2019, à 23:23)
Hors ligne
#20 Le 05/08/2019, à 20:43
- Pending...
Re : EvilGnome
Je bosse de temps en temps sur un rootkit à titre expérimental et sur une plateforme de contrôle en php. Il fonctionne pas mal mais il n'a évidemment pas vocation à être publié (pour des raisons évidentes). J'y ajoute des fonctionnalités quand j'arrive à avancer sur des points que je ne connaissais pas.
Ce que j'ai pu découvrir, c'est que masquer sa présence dans crontab (en mode user), c'était faisable, même avec un simple script (cf. ma signature) si l'on n'utilise que "crontab -l". Je ne suis pas allé plus loin, c'était juste pour tester cette possibilité.
Tout ça pour dire qu'un malware sur Linux, ce n'est pas forcément compliqué à faire. On trouve même des keyloggers tout prêt avec code source sur le net. C'est juste qu'en dehors de l'expérimentation, ça ne sert pas à grand chose. Tout a déjà été dit au dessus, si on n'installe rien, pas même en mode user, on ne risque rien. C'est bien la limite d'un malware sur Linux : on peut pondre toutes les options qu'on veut dessus, si on n'arrive pas à le faire installer, ça ne vaut rien.
Dernière modification par Pending... (Le 05/08/2019, à 20:44)
Ubuntu / Mint / Windows 10
Hors ligne
#21 Le 05/08/2019, à 22:08
- Roschan
Re : EvilGnome
Même remarque sur n'importe quel OS en fait
Hors ligne