Détection de keyloggers sous Ubuntu.

yoritomo · Le 17/03/2023, à 11:26

Bonjour

Y a t'il un moyen de détecter la présence d'un keylogger sous Ubuntu ? Après diverses tentatives de hacking envers mon réseau , je commence à entrer en mode parano.

Merci pour vos avis.

matrix-bx · Le 17/03/2023, à 13:24

Salut,
tu peux toujours essayer chkrootkit et rkhunter, mais pas certain que ça t'aide beaucoup, il faut analyser les résultats qui comportent des "faux positifs".

Dernière modification par matrix-bx (Le 17/03/2023, à 13:24)

yoritomo · Le 22/03/2023, à 12:35

Bonjour,

Merci pour le conseil, Chkrootkit et Rkhunter n'ont rien trouvé.

LeoMajor · Le 01/05/2023, à 12:18

Ils sont très difficilement détectables. pratiquement impossible.
1.

:~$ aptitude  search '~dkeylogger|keylogger' -F%p | xargs
logkeys logkeys:i386

:~$ apt/aptitude show logkeys 
Description : Enregistreur de saisie clavier pour systèmes GNU/Linux
 Logkeys is no more advanced than other available Linux keyloggers, but is a bit more up to date, it doesn't unreliably
 repeat keys and it should never crash your X.  All in all, it just seems to work.  It relies on event interface of the
 Linux input subsystem.  Once set, it logs all common character and function keys, while also being fully aware of Shift
 and AltGr key modifiers.

2/ man pam_exec ( grep -ri "pam_exec" /etc/pam.d/)
avec la complicité de l'admin ou d'un tiers (livecd +chroot), donc un accès physique

...
      expose_authtok
           During authentication the calling command can read the password from stdin(3)

3/ toute application graphique est susceptible de l'être, à cause des contrôles graphiques (widget ...), qui ont des évènements sur le clavier.
4/ application en mode texte ?:
tu peux essayer de faire un log, statistiques avec sudo forkstat -e exec

si réseau&web
5/ similaire à 3*/ en javascript
6/ ...

voilà un début ..

bruno · Le 07/05/2023, à 12:01

Libre adaptation en français d'un passage des UNIX Koans of Master Foo de Eric S. Raymond

Maître Foo et le novice stressé

Un novice avait beaucoup appris auprès du Maître mais il sentait que quelque chose lui manquait. Après avoir ressassé ses interrogations pendant un certain temps, il trouva le courage d'aborder Maîre Foo sur sa question.

Il demanda : « Maître Foo, pourquoi les utilisateurs UNIX n'emploient-ils pas de programmes anti-virus, de défragmentation ou anti logiciels malveillants ? »

Maître Foo sourit, et dit : « Si ta maison est bien construite, il n'y a pas besoin d'ajouter des colonnes pour maintenir le toit en place. »

Le novice répondit « Ne serait-il pas mieux d'utiliser ces choses quoi qu'il en soit, pour plus de sûreté ? »

Master Foo eu recours à une pelote de ficelle qui traînait et commença à l'enrouler autour de pieds du novice.

« Que faites-vous ? » demanda le novice surpris.

Master Foo répondit simplement : « J'attache vos chaussures. »

Dés qu'il entendit cela, le novice reçut l'illumination.

chinois02 · Le 05/06/2023, à 21:52

backdoor?

Petit Lynx · Le 05/08/2023, à 20:12

Bonjour,

Bien que n'ayant pas les capacités d'un informaticien, j'ai parfois l'impression que certain camarades Linuxien ont l'impression que notre système préféré est infaillible. C'est peut être justement en ayant conscience que rien n'est inviolable qu'on améliore les choses et aussi une partie de la philosophie du libre, le code est ouvert afin que chacun puisse inspecter/comprendre/modifier/améliorer.

Je suis incapable de mesurer la réalité de ses menaces, mais j'ai vu ça en fouillant sur la toile:
https://manpages.ubuntu.com/manpages/xe … eys.8.html
https://dzone.com/articles/how-to-creat … ing-python
http://www.tux-planet.fr/logkeys-un-key … ous-linux/

(Amicalement)

bruno · Le 06/08/2023, à 06:45

Le problème n'est pas de créer un logiciel malveillant (keylogger pou autre). C'est à la portée de n'importe quel pisseur de code. Le problème c'est de le diffuser et qu'il s'installe à l'insu de l'utilisateur.

Petit Lynx · Le 06/08/2023, à 09:14

J'entends bien.

Mais yoritomo, le demandeur (ou OP, je sais plus comment on dis maintenant) indique qu'il est sur réseau, un autre usager pourrait avoir permis involontairement ou intentionnellement, l'installation d'un programme malicieux. Voir des pratiques qui les rendent plus dangereux.

Par exemple, dans un de mes anciens jobs, ou l'informatique était pourtant gérés par des pro distant, mes collègues utilisaient chrome en y stockant leur mot de passe sans qu'il soit protégé par un mot de passe général et en utilisant le même mot de passe simple pour la messagerie accessible depuis internet que pour l'ouverture de leur session (une "trouvaille" du service informatique )

bruno · Le 06/08/2023, à 09:29

Petit Lynx a écrit :

le demandeur (ou OP, je sais plus comment on dis maintenant) indique qu'il est sur réseau,

Cela ne veut rien dire, qusiment tous les ordinateurs sont en réseau. Et le soit-disant « hacking de réseau » est tellement vague sue cela n'a pas de sens non plus…

Petit Lynx a écrit :

un autre usager pourrait avoir permis involontairement ou intentionnellement, l'installation d'un programme malicieux. Voir des pratiques qui les rendent plus dangereux.

Un autre usager de quoi ? Du réseau, de l'ordinateur ?
Pour installer un tel programme il faut une action volontaire d'un utilisateur pouvant acquérir les droits root.

Petit Lynx a écrit :

Par exemple, dans un de mes anciens jobs, ou l'informatique était pourtant gérés par des pro distant, mes collègues utilisaient chrome en y stockant leur mot de passe sans qu'il soit protégé par un mot de passe général et en utilisant le même mot de passe simple pour la messagerie accessible depuis internet que pour l'ouverture de leur session (une "trouvaille" du service informatique )

Oui et moi j'ai l'exemple d'une machine sous Linux qui a été compromise parce que l'utilisateur avait installé un serveur SSH accessible publiquement et activé le compte root avec un mot de passe du genre 123456.
Si tu conduis bourré, même avec un véhicule blindé tu vas avoir un accident.

Petit Lynx · Le 06/08/2023, à 10:46

bruno a écrit :

Cela ne veut rien dire, quasiment tous les ordinateurs sont en réseau

Pour moi ça veut dire "famille" ou "entreprise" par opposition à "usager solitaire" et ça (me) donne déjà une indication pour le diagnostique.

mon idée n'était et n'est pas d'émettre un jugement de valeur.

Pour me remettre dans le contexte, je viens de relire les posts du demandeur et j'ai trouvé ça:
https://forum.ubuntu-fr.org/viewtopic.php?id=2078019
Le demandeur parlait au post #1 de tentative de hacking alors qu'il a subit une prise de contrôle à distance.
Potentiellement, son système a donc pu être sérieusement compromis. Même en ayant raison sur le fond. Sur la forme, en lui martelant que Linux était sûr, nous n'avons probablement pas établi avec lui le dialogue qui nous aurais permis de remonter à la source.

Au final, pour une personne dans sa situation la solution serait peut être d'isoler pour sauvegarder les données avant de réinstaller proprement le système...

Dernière modification par Petit Lynx (Le 06/08/2023, à 10:47)

bruno · Le 06/08/2023, à 11:07

Tu en penses ce que tu veux, mais j'ai l'habitude de voir ce genre de chose sur les forums.
Dans la très grande majorité des cas ces soi-disant piratages de machine sont des affabulations, de simples dysfonctionnements, une blague de quelqu'un ayant un accès physique à la machine ou une énorme connerie de l'utilisateur. Et dans le fil que tu cites il semble bien que ce soit cette dernière possibilité : bureau à distance accessible publiquement sans mot de passe (ou avec un mot de passe trivial).

Nuliel · Le 06/08/2023, à 11:27

Bonjour,
Dans le cas d'une machine compromise, il faut effectivement sauvegarder les données pour chercher le chemin suivi par l'attaquant (chercher des indicateurs de compromission) afin de ne pas reproduire la même erreur, et réinstaller le système.
L'efficacité des outils comme rkhunter ou chkrootkit n'est pas très élevé, le fait de les combiner permet d'augmenter l'efficacité, mais c'est loin d'être parfait. A noter que ces outils sont à utiliser en live usb, pas depuis le système compromis.

Le truc aussi c'est qu'il y a aussi des gens qui voient des signes de compromission partout. Un pc lent, la veille qui marche mal, ce n'est pas forcément un signe de compromission. Par contre si en cherchant on tombe sur des indicateurs tels qu'une tache cron qui exécute un script malveillant ou toute autre trace prouvant la compromission, alors on peut parler de compromission.

@yoritomo:

Après diverses tentatives de hacking envers mon réseau

Qu'est ce qui te fait dire cela?

Polnux · Le 28/01/2024, à 13:20

Bonjour,
je prolonge cette discussion.

Mes mots de passe enregistrés sur Brave sont regulièrement refusés ici compris. Ou ils sont OK sur le PC mais ne fonctionnent pas sur le telephone...
Mon PC ayant pu etre approché physiquement, est ce que je peux ( comment) faire une vérification keylogger etc?
merci

Dernière modification par Polnux (Le 28/01/2024, à 19:42)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/03/2023, à 11:26

Détection de keyloggers sous Ubuntu.

#2 Le 17/03/2023, à 13:24

Re : Détection de keyloggers sous Ubuntu.

#3 Le 22/03/2023, à 12:35

Re : Détection de keyloggers sous Ubuntu.

#4 Le 01/05/2023, à 12:18

Re : Détection de keyloggers sous Ubuntu.

#5 Le 07/05/2023, à 12:01

Re : Détection de keyloggers sous Ubuntu.

#6 Le 05/06/2023, à 21:52

Re : Détection de keyloggers sous Ubuntu.

#7 Le 05/08/2023, à 20:12

Re : Détection de keyloggers sous Ubuntu.

#8 Le 06/08/2023, à 06:45

Re : Détection de keyloggers sous Ubuntu.

#9 Le 06/08/2023, à 09:14

Re : Détection de keyloggers sous Ubuntu.

#10 Le 06/08/2023, à 09:29

Re : Détection de keyloggers sous Ubuntu.

#11 Le 06/08/2023, à 10:46

Re : Détection de keyloggers sous Ubuntu.

#12 Le 06/08/2023, à 11:07

Re : Détection de keyloggers sous Ubuntu.

#13 Le 06/08/2023, à 11:27

Re : Détection de keyloggers sous Ubuntu.

#14 Le 28/01/2024, à 13:20

Re : Détection de keyloggers sous Ubuntu.

Pied de page des forums