[Résolu] message "LKM trojan" après chkrootkit

visiteur99 · Le 29/05/2021, à 16:43

bonjour à tous,
je suis un utilisateur de Kubuntu (en live usb) et j'ai une petite question de sécurité à vous soumettre : j'ai lancé récemment la commande chkrootkit et j'ai vu apparaître dans les logs le message suivant :
"chkdirs: Warning: Possible LKM Trojan installed"
quelqu'un peut-il m'expliquer comment je dois comprendre ce message ? je n'y connais pas grand chose en matière de sécurité linux.

Dernière modification par visiteur99 (Le 31/05/2021, à 08:00)

xubu1957 · Le 29/05/2021, à 16:55

Bonjour,

Montre, en te servant du Retour utilisable de commande :

sudo chkrootkit -q

comme dans > [RESOLU] chkrootkit "/sbin/init INFECTED"

visiteur99 · Le 29/05/2021, à 17:07

merci de ta réponse ; voici ce que donne
sudo chkrootkit -q

/usr/lib/debug/.build-id /usr/lib/libreoffice/share/.registry /usr/lib/modules/5.8.0-25-generic/vdso/.build-id
/usr/lib/debug/.build-id /usr/lib/libreoffice/share/.registry /usr/lib/modules/5.8.0-25-generic/vdso/.build-id
-296 /usr/share
-1 /usr/bin
-1 /usr/sbin
-113 /lib
chkdirs: Warning: Possible LKM Trojan installed
enp0s25: PACKET SNIFFER(/usr/sbin/NetworkManager[1236])
The tty of the following user process(es) were not found
in /var/run/utmp !
(...)
se pourrait-il que Networkmanager soit reconnu comme un trojan possible ? (j'ai installé la version openvpn)

xubu1957 · Le 29/05/2021, à 17:11

Pour ajouter toi-même les balises code à ton message #3 :

Cliquer sur le lien « Modifier » en bas à droite du message
Sélectionner le texte
Cliquer sur le <> de l'éditeur de message

moko138 a écrit :

1) Les balises-code sont les < > (crochets bleus) de la barre de mise en forme.

Voir règles du forum > balises BB code

Balise CODE :
C'est la balise à utiliser pour donner de longs messages d'erreurs, des contenus de fichiers de configuration, des commandes à taper, etc … Elle permet des messages plus "compacts", et est moins ambiguë que d'autres polices sur certains caractères.

Il faut attendre les avis des spécialistes.

_ _ _

Je trouve :

Le 15/09/2020, Traducteur a écrit :

S'il vous plaît, arrêtez d'utiliser chkrootkit. C'est un logiciel obsolète et à peine entretenu.
L'interprétation de la sortie, affichée par chkrootkit, sort très probablement du cadre de ce qu'un nouvel utilisateur Linux peut faire.
Les fichiers NetworkManager et wpa_supplicant sont des fichiers exécutables, nécessaires pour gérer votre connectivité réseau.
Essayer de lire le contenu des fichiers exécutables à l'aide d'un éditeur de texte ne sera pas éclairant.
Les fichiers exécutables contiennent du code machine, du texte non lisible. Alors oubliez d'inspecter les exécutables dans les éditeurs de texte.

dans > [SOLVED] What is this packet sniffer I just found?

_ _ _

(edit=messages regroupés)

Dernière modification par xubu1957 (Le 29/05/2021, à 18:03)

visiteur99 · Le 29/05/2021, à 17:30

ok. merci ! je vais aller jeter un oeil sur le lien concernant les balises code.

visiteur99 · Le 29/05/2021, à 17:49

en fait j'avais vu le conseil sur l'utilisation de chkrootkit sur le site spreadprivacy.com, qui me semble être un site de spécialistes fiables intervenant sur le forum de Duckduckgo.
--> https://spreadprivacy.com/linux-privacy-tips/
Je cherche à sécuriser mon système, mais ce n'est pa simple quand on ne s'y connaît pas bien.

xubu1957 · Le 29/05/2021, à 17:56

Je me limite à mettre_ubuntu_a_jour_regulierement. (§ 3.2)

visiteur99 · Le 29/05/2021, à 18:06

je viens de Windows (20 ans d'utilisation, ca laisse des traces...) et suis un nouvel utilisateur de linux ; ça doit être un vieux réflexe chez moi qui refait surface
merci de tes conseils.

MicP · Le 29/05/2021, à 18:06

Bonjour

Un lien à ce sujet : askubuntu.com -> chkrootkit scanner detected possible KLM Trojan

Nuliel · Le 29/05/2021, à 18:08

Bonjour,
C'est très probablement un faux positif, surtout sur un live usb où (presque) toutes les modifications sont perdues au redémarrage.
Ce genre d'outils n'est jamais fiable à 100%, il y a parfois des faux positifs et parfois des faux négatifs.

visiteur99 · Le 29/05/2021, à 18:25

@MicP : merci pour le lien askubuntu.com qui donne une explication très complète !
@Nuliel : les liens que j'ai vu semblent confirmer l'obsolescence de chkrootkit

MicP · Le 29/05/2021, à 18:30

Nuliel a écrit :

… C'est très probablement un faux positif, …

Oui, c'est bien ce qui est dit dans la page web accessible par le lien que j'ai donné.

De toutes façons, comme on peut le lire dans la page web accessible par le lien que j'ai donné, les retours d'un outil comme chkrootkit ne sont pas utilisables sans quelques connaissances de base (et même un peu plus) concernant le fonctionnement d'un système d'exploitation.

C'est un peu comme demander à quelqu'un qui ne connaît pas la loi d'Ohm d'utiliser un multimètre,
ou une calculatrice à quelqu'un n'ayant que de très sommaires connaissances en mathématique.

Dernière modification par MicP (Le 29/05/2021, à 18:33)

Nuliel · Le 29/05/2021, à 18:31

Ce n'est pas de l'obsolescence: aucun outil n'est fiable à 100%. De la même manière tous les logiciels qui existent peuvent contenir (et contiennent) des bugs, ils ne sont pas non plus fiables à 100%.

MicP · Le 29/05/2021, à 18:43

Question sécurité, on peut prendre l'habitude d'aller lire les pages web du CERT-FR
On y trouvera aussi quelques pages de recommandation concernant la sécurité des systèmes informatiques.

Voir aussi : Wiki CERT

Dernière modification par MicP (Le 29/05/2021, à 18:43)

visiteur99 · Le 29/05/2021, à 20:14

MicP a écrit :

Nuliel a écrit :
… C'est très probablement un faux positif, …
Oui, c'est bien ce qui est dit dans la page web accessible par le lien que j'ai donné.
De toutes façons, comme on peut le lire dans la page web accessible par le lien que j'ai donné, les retours d'un outil comme chkrootkit ne sont pas utilisables sans quelques connaissances de base (et même un peu plus) concernant le fonctionnement d'un système d'exploitation.
C'est un peu comme demander à quelqu'un qui ne connaît pas la loi d'Ohm d'utiliser un multimètre,
ou une calculatrice à quelqu'un n'ayant que de très sommaires connaissances en mathématique.

@MicP : tout est dit dans ton commentaire. je m'aperçois que pour bien maîtriser la sécurité sous linux, eh bien il faut bien connaître son système ! Merci encore pour les liens.

Dernière modification par visiteur99 (Le 29/05/2021, à 20:16)

visiteur99 · Le 29/05/2021, à 20:23

Nuliel a écrit :

Ce n'est pas de l'obsolescence: aucun outil n'est fiable à 100%. De la même manière tous les logiciels qui existent peuvent contenir (et contiennent) des bugs, ils ne sont pas non plus fiables à 100%.

@Nuliel : merci de la précision. en fait, j'ai utilisé le terme d'obsolescence car c'est dans le lien du message posté par xubu1957 plus haut (citation traduite venant du site forums.linuxmint.com).

Dernière modification par visiteur99 (Le 29/05/2021, à 20:24)

Nuliel · Le 29/05/2021, à 20:23

Honnêtement la sécurité sous linux pour des personnes lambda c'est avant tout une bonne hygiène numérique: bonne utilisation des droits (en d'autres termes pas utiliser sudo lorsqu'il n'y en a pas besoin), préférer les packages venant des dépôts, mettre à jour régulièrement son système, ne pas ouvrir les spams, comprendre ce qu'on fait (par là je veux dire ne pas taper des commandes venant d'internet sans en comprendre globalement leur sens)... Et c'est déjà beaucoup! (pour info je suis dans le domaine de la sécurité informatique)

Dernière modification par Nuliel (Le 29/05/2021, à 20:24)

visiteur99 · Le 30/05/2021, à 07:53

@Nuliel : merci encore pour les conseils. Bon dimanche.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 29/05/2021, à 16:43

[Résolu] message "LKM trojan" après chkrootkit

#2 Le 29/05/2021, à 16:55

Re : [Résolu] message "LKM trojan" après chkrootkit

#3 Le 29/05/2021, à 17:07

Re : [Résolu] message "LKM trojan" après chkrootkit

#4 Le 29/05/2021, à 17:11

Re : [Résolu] message "LKM trojan" après chkrootkit

#5 Le 29/05/2021, à 17:30

Re : [Résolu] message "LKM trojan" après chkrootkit

#6 Le 29/05/2021, à 17:49

Re : [Résolu] message "LKM trojan" après chkrootkit

#7 Le 29/05/2021, à 17:56

Re : [Résolu] message "LKM trojan" après chkrootkit

#8 Le 29/05/2021, à 18:06

Re : [Résolu] message "LKM trojan" après chkrootkit

#9 Le 29/05/2021, à 18:06

Re : [Résolu] message "LKM trojan" après chkrootkit

#10 Le 29/05/2021, à 18:08

Re : [Résolu] message "LKM trojan" après chkrootkit

#11 Le 29/05/2021, à 18:25

Re : [Résolu] message "LKM trojan" après chkrootkit

#12 Le 29/05/2021, à 18:30

Re : [Résolu] message "LKM trojan" après chkrootkit

#13 Le 29/05/2021, à 18:31

Re : [Résolu] message "LKM trojan" après chkrootkit

#14 Le 29/05/2021, à 18:43

Re : [Résolu] message "LKM trojan" après chkrootkit

#15 Le 29/05/2021, à 20:14

Re : [Résolu] message "LKM trojan" après chkrootkit

#16 Le 29/05/2021, à 20:23

Re : [Résolu] message "LKM trojan" après chkrootkit

#17 Le 29/05/2021, à 20:23

Re : [Résolu] message "LKM trojan" après chkrootkit

#18 Le 30/05/2021, à 07:53

Re : [Résolu] message "LKM trojan" après chkrootkit

Pied de page des forums