Contenu | Rechercher | Menus

Annonce

DVD, clés USB et t-shirts Ubuntu-fr disponibles sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 26/04/2022, à 07:38

ninoboy

test positif avec chkrootkit

Bonjour

J'ai installé chkrootkit par curiosité, si quelqu'un connait un peu ce logiciel, j'ai un peu de mal à interpréter. Tout d'abord j'ai fait la commande suivante:

sudo chkrootkit
ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not infected
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not found
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not found
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not found
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          not found
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not found
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/python3/dist-packages/PyQt5/uic/widget-plugins/.noinit /usr/lib/modules/5.13.0-40-generic/vdso/.build-id /usr/lib/modules/5.13.0-37-generic/vdso/.build-id /usr/lib/modules/5.13.0-39-generic/vdso/.build-id /usr/lib/debug/.build-id
/usr/lib/modules/5.13.0-40-generic/vdso/.build-id /usr/lib/modules/5.13.0-37-generic/vdso/.build-id /usr/lib/modules/5.13.0-39-generic/vdso/.build-id /usr/lib/debug/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for Linux/Ebury - Operation Windigo ssh...        nothing found 
Searching for 64-bit Linux Rootkit ...                      nothing found
Searching for 64-bit Linux Rootkit modules...               nothing found
Searching for Mumblehard Linux ...                          nothing found
Searching for Backdoor.Linux.Mokes.a ...                    nothing found
Searching for Malicious TinyDNS ...                         nothing found
Searching for Linux.Xor.DDoS ...                            nothing found
Searching for Linux.Proxy.1.0 ...                           nothing found
Searching for CrossRAT ...                                  nothing found
Searching for Hidden Cobra ...                              nothing found
Searching for Rocke Miner ...                               nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           You have     1 process hidden for readdir command
You have     1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
wlp0s20f3: PACKET SNIFFER(/usr/sbin/NetworkManager[652], /usr/sbin/wpa_supplicant[685], /usr/sbin/wpa_supplicant[685])
tun0: not promisc and no packet sniffer sockets
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            user nino deleted or never logged from lastlog!
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! nino         1073 tty2   /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keeptty -verbose 3
! nino         1070 tty2   /usr/lib/gdm3/gdm-x-session --run-script env GNOME_SHELL_SESSION_MODE=ubuntu /usr/bin/gnome-session --systemd --session=ubuntu
! nino         1196 tty2   /usr/libexec/gnome-session-binary --systemd --systemd --session=ubuntu
! nino        61692 pts/0  bash
! root        79129 pts/0  /bin/sh /usr/sbin/chkrootkit
! root        79814 pts/0  ./chkutmp
! root        79816 pts/0  ps axk tty,ruser,args -o tty,pid,ruser,args
! root        79815 pts/0  sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
! root        79128 pts/0  sudo chkrootkit
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not tested

puis selon le petit tuto suivant : https://lindevs.com/install-chkrootkit-on-ubuntu/, j'ai continué avec:

sudo chkrootkit | grep INFECTED
! nino        80400 pts/0  grep --color=auto INFECTED

la je trouve un processus INFECTED alors que je n'en ai pas trouvé dans la commande chkrootkit classique.
Ma question est: faut-il s'inquiéter réellement de la présence d'un rootkit ou bien il y a une subtilité à comprendre dans l'interprétation des résultats de cette commande ?
Merci.

Hors ligne

#2 Le 26/04/2022, à 09:07

bruno

Re : test positif avec chkrootkit

Bonjour,

Non seulement il ne faut pas s'inquiéter mais il ne faut pas utiliser chkrootkit comme un anti-virus sous Windows : cela n'a rien à voir. Il faut laisser ce type d'outil à l'usage des spécialistes de l'analyse post-mortem d'une machine compromise (forensic).

N.B. : le dernier retour correspond au processus de la commande grep elle même.

En ligne

#3 Le 26/04/2022, à 20:56

ninoboy

Re : test positif avec chkrootkit

merci pour la réponse mais, sans vouloir faire une recherche anti-virus, la recherche de trojan/rootkit spécifiquement elle peut-être intéressante non ? je peux avoir cliqué malencontreusement vers un lien qui installe un trojan/rootkit ou autres ? j'ai bien compris que les viruts était quasi inexistant sur ubuntu mais je fais bien la différence entre un virus et trojan/rootkit qui sont deux choses différentes.

Hors ligne

#4 Le 26/04/2022, à 21:40

NicoApi73

Re : test positif avec chkrootkit

Bonsoir,

ninoboy a écrit :

merci pour la réponse mais, sans vouloir faire une recherche anti-virus, la recherche de trojan/rootkit spécifiquement elle peut-être intéressante non ?

Certes, à condition de savoir le faire, dans un cadre précis, avec des objectifs précis. Sinon, tu ne feras que te faire peur et te poser plein de questions. Si ton système est à jour, tu n'es pas exposé. (cf plus bas)

ninoboy a écrit :

je peux avoir cliqué malencontreusement vers un lien qui installe un trojan/rootkit ou autres ?

Très peu probable, surtout sur un système à jour, et limité au compte utilisateur (hors cas très exceptionnel). Souvent, c'est le navigateur internet qui est pollué, et ce n'est pas si difficile de le remettre en état. Pour une installation d'un exécutable qui puisse réellement faire des dégats, il faut exploiter plusieurs failles dont au moins une dans le navigateur et une dans le système d'exploitation, avec une élévation de privilège. Les mises à jour régulières corrigent les failles qui sont connues.

Pourquoi tu n'es pas exposé si ton système est à jour : car ça voudrait dire que tu es spécifiquement ciblé, avec une exploitation de faille 0 day. Vu le coût de la recherche de telles failles, il faut vraiment que l'attaquant ait beaucoup à gagner. (on parle de centaine de millier voire de million d'euros pour le coût d'une telle recherche). Les failles de sécurités déjà exploitées sont corrigées très très rapidement dans le logiciel libre.

Ce type d'attaque va se faire sur de gros serveurs ou sur des personnalités (ex. pegasus), pour que le retour sur investissement soit très important.

Hors ligne

#5 Le 28/04/2022, à 07:12

ninoboy

Re : test positif avec chkrootkit

ok donc, sur ubuntu, pour être en sécurité, il suffit juste d'être à jour au niveau du système ? Aucune prophylaxie a mettre en oeuvre ? Bluffant !

Hors ligne

#6 Le 28/04/2022, à 07:25

FrancisFDZ

Re : test positif avec chkrootkit

Bonjour,

ninoboy a écrit :

ok donc, sur ubuntu, pour être en sécurité, il suffit juste d'être à jour au niveau du système ? Aucune prophylaxie a mettre en oeuvre ? Bluffant !

Et aussi ne pas faire partie des "nantis" pour lesquels le risque d'être la cible d'un piratage est plus élevé. Ce n'est pas mon cas, mais je ne suis pas sur que je doive m'en réjouir wink


-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

Hors ligne

#7 Le 28/04/2022, à 08:14

NicoApi73

Re : test positif avec chkrootkit

ninoboy a écrit :

Aucune prophylaxie a mettre en oeuvre ?

Bonjour,

Ce n'est pas ce que nous t'avons dit. Nous t'avons expliqué à quoi sert chkrootkit, pourquoi l'exposition sous linux est faible par rapport aux rootkit, trojan et virus...

Si tu fais n'importe quoi, alors tu vas augmenter considérablement la probabilité d'avoir des problèmes, la plupart du temps sans aucune relation avec l'OS :
- répondre à un SPAM
- cliquer sur n'importe quoi
- installer des logiciels qui ne viennent pas des dépôts officiels sans s'être renseigné sur la source

Prophylaxie de base et non exhaustive (indépendant de l'OS)  :
- protéger ta navigation avec des outils de base type uBlock Origin
- Utilisation de clés à la place des mots de passe à chaque fois que c'est possible
- Mots de passe complexe (20 caractères minimum, tout type de caractères)
- un mot de passe dédié pour chaque besoin (jamais 2 fois le même)
- Authentification forte à chaque fois de c'est possible
- Ne jamais aller sur une connexion public (WiFi...) sans protection type utilisation d'un VPN
- verrouillage des systèmes de paiement (par exemple, s'assurer que le paiement de contenu multimédia est désactivé sur l'abonnement de téléphonie mobile)
...
Qu'appliques tu là dedans? (Question à te poser toit-même, je n'attends pas de réponse de ta part)

ninoboy a écrit :

Bluffant !

Il n'y a rien de bluffant, juste une logique économique, rapport bénéfice/coût.
Pour M. et Mdme tout le monde, la plupart des problèmes viennent soit de SPAM, soit de liens douteux sur des sites internet, soit d'un mot de passe piraté, utilisé partout. Pour ce dernier cas, c'est la messagerie qui tombe et tout ce qui va avec...

Hors ligne