FontOnLake et HCRootkit

Benisano11 · Le 01/11/2021, à 08:44

Bonjour,
Je viens de lire ça : https://www.20minutes.fr/high-tech/3154 … sous-linux
Est-ce qu'on doit s'en inquiéter ?

Benisano11 · Le 01/11/2021, à 08:58

Bonjour,
Il semble que ces deux malwares soient de plus en plus présents sous Linux.
A priori, avec un peu de bon sens, on ne doit pas en permettre l'installation, mais :
1 - est-ce qu'on doit s'en inquiéter ?
2 - est-ce qu'on a un outil pour checker son ordi ?

Henry de Monfreid · Le 01/11/2021, à 09:13

Non

Benisano11 · Le 01/11/2021, à 09:14

Merci Henry ;-)

Henry de Monfreid · Le 01/11/2021, à 09:59

Précision : on ne risque rien si on installe des applications par les dépôts officiels.

Nuliel · Le 01/11/2021, à 10:30

Bonjour,
Comme toujours, la réponse est globalement non, pas besoin de s'inquiéter du moment que tu lances pas n'importe quoi en sudo et que tu utilises des logiciels open source venant d'endroits sûrs.
Je suis allé voir le fonctionnement de ces malwares: FontOnLake est basé sur des paquets deb malveillants (en gros ce sont des logiciels open source qui ont été modifié avant compilation, tu crois installer sshd mais en fait tu installes une version infectée venant d'un dépôt que tu as ajouté), d'où l'intérêt d'avoir peu de dépôts additionnels, et pour HCRootkit il demande les droits root afin de s'insérer en tant que module dans le noyau, après j'ai pas bien compris comment l'utilisateur croit que le dropper correspond à la commande kill (peut être via une modif du PATH?)

Les logiciels anti-rootkit sont peu efficaces, en particulier lorsqu'il s'agit de rootkits en espace noyau. Mais si vraiment tu voulais vérifier, il faudrait faire un live usb depuis un autre pc, démarré le pc à scanner sur le live usb, et lancer un scan de chkrootkit ou rkhunter par exemple.

Pour info j'ai bossé il y a quelques mois sur différents rootkits (l'objectif était de les détecter d'une manière un peu spéciale que je ne détaillerai pas), si tu veux j'en ai fait deux articles sur mon blog.

Dernière modification par Nuliel (Le 01/11/2021, à 10:33)

Benisano11 · Le 01/11/2021, à 10:46

Merci pour ta réponse détaillée.
Notre meilleur anti-virus c'est nous, on est bien d'accord.
J'irai jeter un oeil sur ton blog ;-)
Bonne journée

bruno · Le 01/11/2021, à 13:20

Nuliel a écrit :

Les logiciels anti-rootkit sont peu efficaces, en particulier lorsqu'il s'agit de rootkits en espace noyau. Mais si vraiment tu voulais vérifier, il faudrait faire un live usb depuis un autre pc, démarré le pc à scanner sur le live usb, et lancer un scan de chkrootkit ou rkhunter par exemple.

Cela ne m'étonne pas et tes articles ont intéressants. J'ai toujours considéré ce type d'outils comme des outils d'analyse post-mortem (c'est à dire d'investigation sur une machine compromise mise hors ligne) et surtout pas comme des outils de sécurisation. Cela n'a rien à voir avec les anti-virus ou autres anti-machins sous Windows.

Pour qu'une machine héberge ce genre d'application malveillante il faut qu'il y ait eu une grosse négligence de la part de son administrateur (root). Malheureusement les articles, un peu sensationnalistes, de la presse informatique ne décrivent jamais les modes d'infection (et pour cause) des machines et préfèrent susciter la peur chez leur lecteurs (avec parfois des produits inutiles à vendreà.

bruno · Le 01/11/2021, à 13:23

Modération : merci d'éviter les doublons (interdits) et les déterrages de fil d'il y a dix ans : les discussion ont été fusionnées dans le même fil.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 01/11/2021, à 08:44

Re : FontOnLake et HCRootkit

#2 Le 01/11/2021, à 08:58