Que peut-on faire sous Linux contre ce backdoor ?

bug-in · Le 22/05/2014, à 15:39

Es ce que qq.un peu faire un tuto pratique sur cette procédure pour les utilisateurs d'ubuntu :

Ce qui peux être fait pour limiter son action, c'est bloquer les adresses suivantes dans sa box/router/modem ou les ajouter dans le fichiers /etc/hosts en les faisant pointer vers 127.0.0.1
search.namequery.com
search.us.namequery.com
search64.namequery.com
bh.namequery.com
namequery.nettrace.co.za
search2.namequery.com
absolute.com
209.53.113.223
Sinon il faudrai trouver le binaire créé sur linux et lui enlever les droits d'exécution, voire corrompre son contenu, et vérifier que le binaire est pas remis en état au redémarrage du poste

renaud07 · Le 22/05/2014, à 20:01

tooguy66 a écrit :

Entièrement d'accord avec toi, mais un pc qui ne va pas sur internet c'est bof....

Ben si justement on peut aller sur le net, il n'y a qu'a bloquer les requêtes vers les sites d'absolute (c'est dit en fin d'article). On peut aussi créer des fichiers vide du même nom comme ça on fait croire au code du BIOS que l'agent est déjà installé et du coup il n'installe plus ses exécutables au démarrage.

Bref, il n'est pas effaçable mais il y a plein de moyen pour le bloquer et c'est bien le plus important.

moko138 · Le 23/05/2014, à 04:21

renaud07 a écrit :

Je crois avoir trouvé la solution : rpcnet.exe est en fait présent dans les services windows sous le nom "Remote Procedure Call (RPC) Net" qui peut être confondu avec "Appel de procédure distante (RPC)" car c'est le même nom en anglais. Et en vérifiant sur mon vostro qui à l'option désactivée dans le BIOS ben le service n'est pas présent !
Il suffit donc de désactiver le service et plus de rpcnet.exe dans les processus lancé ! Et pour le coup ça n'avait rien à voir avec IE désactivé ou non.

Ta solution marche peut-être en partie. Mais pour ceux qui ne peuvent désactiver l'option dans le bios, comment fais-tu pour 'désactiver IE" ?

moko138 · Le 23/05/2014, à 04:26

Belarrius a écrit :

Sur Ubuntu par exemple, il suffit de chiffré le dossier personnel à l'installation ou carrément chiffré la partition pour que le bios n'y accède pas.

La partition /boot (ou le répertoire /boot) n'est jamais chiffré.
Et SELinux a été élaboré sur demande de la NSA.

Heureusement, il existe des distributions qui n'utilisent pas SELinux.

F50 · Le 24/05/2014, à 08:10

A propos, vous avez aussi le dossier (vide) selinux dans / ?

GR 34 · Le 24/05/2014, à 08:23

Pas lu tout mais une question :

ça ne concerne que les ordinateurs montés par des constructeurs ou aussi les config. persos ?

chinois02 · Le 24/05/2014, à 12:48

Le problème c'est que lorsque l'on crée une backdoor pour un accés discret, on n'est pas sûr d'être le seul à profiter du gazoduc.
D'autres peuvent s'y brancher.

Morgiver · Le 24/05/2014, à 13:53

6steme1 a écrit :

Pas lu tout mais une question :
ça ne concerne que les ordinateurs montés par des constructeurs ou aussi les config. persos ?

D'après ce que j'ai compris c'est inséré directement aux carte mère, donc pour une config personnelle faut faire attention à ce qu'il y a dedans.

GR 34 · Le 24/05/2014, à 14:00

Morgiver a écrit :

6steme1 a écrit :
Pas lu tout mais une question :
ça ne concerne que les ordinateurs montés par des constructeurs ou aussi les config. persos ?
D'après ce que j'ai compris c'est inséré directement aux carte mère, donc pour une config personnelle faut faire attention à ce qu'il y a dedans.

Ok mais sait-on depuis quand ?

Une CM de 2009 ?

chinois02 · Le 24/05/2014, à 14:09

J'ai un dell inspiron 1501 de 2007 qui est concerné. Le bios a la fonction computrace mais elle est "désactivée" de base.

Dernière modification par chinois02 (Le 24/05/2014, à 14:10)

moko138 · Le 24/05/2014, à 19:18

6steme1 a écrit :

Ok mais sait-on depuis quand ? Une CM de 2009 ?

Menfin 6steme1 ! Commence par lire l'article de korben.info, cité en #1 !

Dernière modification par moko138 (Le 24/05/2014, à 19:20)

GR 34 · Le 24/05/2014, à 20:06

moko138 a écrit :

6steme1 a écrit :
Ok mais sait-on depuis quand ? Une CM de 2009 ?
Menfin 6steme1 ! Commence par lire l'article de korben.info, cité en #1 !

J'ai dit que je ne l'avais pas lu, pas le temps, les retraités n'ont pas que ça à faire.

Et puis, on est sur un forum d'entr'aide, non ?

tooguy66 · Le 25/05/2014, à 01:43

T’inquiète pas 6steme1, des révélations de ce style, avec le conflit ukraine vs russie, on va en apprendre pendant au moins 6 mois je pense. Kaspersky se réveille maintenant..
sincèrement j'ai un doute. Ce qui retient mon attention dans l'immédiat, c'est que dans un pays ou l'on oblige les citoyens a sécuriser leurs systèmes informatiques ça la fout mal.
Futur système de défense face à la hadopi?

Dernière modification par tooguy66 (Le 25/05/2014, à 01:44)

renaud07 · Le 25/05/2014, à 03:04

moko138 a écrit :

renaud07 a écrit :
Je crois avoir trouvé la solution : rpcnet.exe est en fait présent dans les services windows sous le nom "Remote Procedure Call (RPC) Net" qui peut être confondu avec "Appel de procédure distante (RPC)" car c'est le même nom en anglais. Et en vérifiant sur mon vostro qui à l'option désactivée dans le BIOS ben le service n'est pas présent !
Il suffit donc de désactiver le service et plus de rpcnet.exe dans les processus lancé ! Et pour le coup ça n'avait rien à voir avec IE désactivé ou non.
Ta solution marche peut-être en partie. Mais pour ceux qui ne peuvent désactiver l'option dans le bios, comment fais-tu pour 'désactiver IE" ?

En fait j'ai parlé un peu vite, car au bout de 2 redémarrages le turc s'est remis en route tout seul, donc la seule solution efficace c'est de le supprimer à chaque démarrage via un script avec le contenu suivant :

del C:\Windows\SysWOW64\rpcnet.exe
del C:\Windows\SysWOW64\rpcnetp.exe
del C:\Windows\SysWOW64\rpcnet.dll
del C:\Windows\SysWOW64\rpcnetp.dll
del C:\Windows\System32\rpcnetp.exe
del C:\Windows\SysWOW64\identprv.dll
REG DELETE HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcnet /F
REG DELETE HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcnetp /F
echo OK

Et pour ta question "comment désactiver IE" mais du coup avec la suppression pure et simple ça ne sert à rien, c'est dans les fonctionnalités windows dans "programmes" dans le panneau de config.

renaud07 · Le 25/05/2014, à 03:19

Concernant l'agent sous linux en fouinant dans les résultats de google je suis tombé sur un PDF d'absolute (en Français en plus !) qui explique comment installer computrace sur tout les types de périph' et d'après les commandes l’agent aurait le même nom (j'aurias bien aimé avoir le contenu du script aussi ). Il y est également marqué la compatibilité avec le logiciel de chiffrement McAfee Endpoint Encryption dans le cas d'une installation windows (supposition ici d'un éventuel support de n'importe quelle partoche chiffrée ?). Enfin, la persistance BIOS n'évoque que la version Windows donc à priori si l'agent n'est pas installé volontairement (sous linux) il n'y à rien à craindre.

Dernière chose et je pense la plus importante : il est dit de taper dans le navigateur http://localhost:9871/ pour voir si l'agent s'est correctement installé, donc c'est le moyen de savoir si le mouchard est présent ou non. Et sur mon netbook ou l'agent est présent sur win et non désactivable, j'ai donc fait le test et RAS

Voici le PDF en question : https://cc.absolute.com/Documents/Guide … ide.fr.pdf

Dernière modification par renaud07 (Le 25/05/2014, à 04:03)

renaud07 · Le 25/05/2014, à 03:46

Morgiver a écrit :

D'après ce que j'ai compris c'est inséré directement aux carte mère, donc pour une config personnelle faut faire attention à ce qu'il y a dedans.

Sur la CM Asus de mon desktop aucune trace de computrace (pas pu m’empêcher de la faire celle là ). Donc ça tendrai plus vers l'hypothèse des config OEM uniquement.

Dernière modification par renaud07 (Le 25/05/2014, à 03:53)

tooguy66 · Le 25/05/2014, à 15:24

Petite question stupide très certainement mais ce "mouchard" est-il exploitable que par computrace? Peut-il être amélioré à distance?

renaud07 · Le 26/05/2014, à 02:33

Selon l'article de korben, certains agents computrace auraient été activé par quelqu'un d'autre que Absolute. Toujours selon l'article le protocole n'étant pas chiffré n'importe qui peut intercepter le trafic et injecter les instruction qu'il désir et faire potentiellement ce qu'il veut de la machine cible.

tooguy66 · Le 27/05/2014, à 01:21

c'est bien ce que j'avais cru lire....ils se serviraient pas de nos machines pour faire une guéguerre informatique quand même?

F50 · Le 27/05/2014, à 06:24

tooguy66 a écrit :

c'est bien ce que j'avais cru lire....ils se serviraient pas de nos machines pour faire une guéguerre informatique quand même?

Ah, depuis quand les mythos qui gouvernent ce monde de débiles se priveraient de marcher sur des cadavres pour arriver à leurs fins.

https://fr.wikipedia.org/wiki/Cyberattaque

Niobé · Le 28/05/2014, à 00:55

C'est intéressant et ça me conforte d'avoir installé Linux sur mon mini-Netbook.

Un site/blog que je trouve extrêmement intéressant : https://www.schneier.com/

Voir aussi un de ces nombreux billets sur les vulnérabilités...

Cela permet d'envisager aussi les vulnérabilités et les bizarreries de ce genre sous un angle géopolitique et économique.

Dernière modification par Niobé (Le 28/05/2014, à 01:03)

Compte supprimé · Le 01/06/2014, à 11:05

À mon avis, pour paralyser cette saleté, le fichier host est le bienvenu pour refuser les connexions aux serveurs.
Une chose aussi me réconforte, dans l'article, le zinzin remplace un fichier système au boot pour corrompre et installer les fichiers puis restaure la version normale du fichier quand l'ordi est démarré, cela demande des acces système avec les droits administrateurs... Bon sur Windows,nous savons tous que la séparation des droits est illusion.
La chose est capable de tourner sur des distros "Linux".... Oui, bien sûr tout est possible!
Mais sur nos distributions Gnu/Linux, j'ai du mal à croire qu'un tel logiciel puisse outrepasser les droits administrateurs pour installer ses fichiers... À moins que certaine machine équipé en sortie d'usine soit corrompu, je veux dire par là que c'est le constructeur qui à installé et paramétré pour s'affranchir des droits Unix
Mais dans le cas d'une installation d'une distribution Gnu/Linux à la mano et par nos soins, honnêtement, je ne vois pas trop comment la chose est possible À moins que ce logiciel de "tracking" installe ses fichiers dans le /home ? Qui sait

Rkhunter, cryptage des données...

Mais ce logiciel agit comme une sonde en fait et il est persistant...

Dernière modification par ignus (Le 01/06/2014, à 11:07)

Bigcake · Le 02/06/2014, à 10:42

ignus a écrit :

Mais sur nos distributions Gnu/Linux, j'ai du mal à croire qu'un tel logiciel puisse outrepasser les droits administrateurs pour installer ses fichiers... À moins que certaine machine équipé en sortie d'usine soit corrompu, je veux dire par là que c'est le constructeur qui à installé et paramétré pour s'affranchir des droits Unix
Mais dans le cas d'une installation d'une distribution Gnu/Linux à la mano et par nos soins, honnêtement, je ne vois pas trop comment la chose est possible À moins que ce logiciel de "tracking" installe ses fichiers dans le /home ? Qui sait

C'est simple :
Qui gère les droits d'accès sur les partitions quand une distribution linux est lancé ? c'est le kernel linux
Qui gère les droits d'accès sur les partitions quand un windows est lancé ? c'est le kernel windows
Hors le problème ici, c'est que le BIOS/UEFI lance ce logiciel avant meme que ton kernel soit lancé et même si ton kernel était lancé, le BIOS/UEFI n'est pas soumis au dictat du kernel, ton bios a tout les droits sur tes disques dur.
Pour l'instant, il n'est pas prouvé que l'installation de ce logiciel par le BIOS/UEFI est fonctionnel sur des partitons en ext2/3/4

Dernière modification par Bigcake (Le 02/06/2014, à 10:44)

tooguy66 · Le 02/06/2014, à 16:11

Maintenant que la chine adopte ubuntu, dans six mois ce sera intégré si ce n'est déjà fait. En fait j'ai l'impression que personne ne sait ce qui tourne sur les cartes mères...

Belarrius · Le 02/06/2014, à 17:10

Bigcake a écrit :

ignus a écrit :
Mais sur nos distributions Gnu/Linux, j'ai du mal à croire qu'un tel logiciel puisse outrepasser les droits administrateurs pour installer ses fichiers... À moins que certaine machine équipé en sortie d'usine soit corrompu, je veux dire par là que c'est le constructeur qui à installé et paramétré pour s'affranchir des droits Unix
Mais dans le cas d'une installation d'une distribution Gnu/Linux à la mano et par nos soins, honnêtement, je ne vois pas trop comment la chose est possible À moins que ce logiciel de "tracking" installe ses fichiers dans le /home ? Qui sait
C'est simple :
Qui gère les droits d'accès sur les partitions quand une distribution linux est lancé ? c'est le kernel linux
Qui gère les droits d'accès sur les partitions quand un windows est lancé ? c'est le kernel windows
Hors le problème ici, c'est que le BIOS/UEFI lance ce logiciel avant meme que ton kernel soit lancé et même si ton kernel était lancé, le BIOS/UEFI n'est pas soumis au dictat du kernel, ton bios a tout les droits sur tes disques dur.
Pour l'instant, il n'est pas prouvé que l'installation de ce logiciel par le BIOS/UEFI est fonctionnel sur des partitons en ext2/3/4

C'est pas faux.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 22/05/2014, à 15:39

Re : Que peut-on faire sous Linux contre ce backdoor ?

#27 Le 22/05/2014, à 20:01

Re : Que peut-on faire sous Linux contre ce backdoor ?

#28 Le 23/05/2014, à 04:21

Re : Que peut-on faire sous Linux contre ce backdoor ?

#29 Le 23/05/2014, à 04:26

Re : Que peut-on faire sous Linux contre ce backdoor ?

#30 Le 24/05/2014, à 08:10

Re : Que peut-on faire sous Linux contre ce backdoor ?

#31 Le 24/05/2014, à 08:23

Re : Que peut-on faire sous Linux contre ce backdoor ?

#32 Le 24/05/2014, à 12:48

Re : Que peut-on faire sous Linux contre ce backdoor ?

#33 Le 24/05/2014, à 13:53

Re : Que peut-on faire sous Linux contre ce backdoor ?

#34 Le 24/05/2014, à 14:00

Re : Que peut-on faire sous Linux contre ce backdoor ?

#35 Le 24/05/2014, à 14:09

Re : Que peut-on faire sous Linux contre ce backdoor ?

#36 Le 24/05/2014, à 19:18

Re : Que peut-on faire sous Linux contre ce backdoor ?

#37 Le 24/05/2014, à 20:06

Re : Que peut-on faire sous Linux contre ce backdoor ?

#38 Le 25/05/2014, à 01:43

Re : Que peut-on faire sous Linux contre ce backdoor ?

#39 Le 25/05/2014, à 03:04

Re : Que peut-on faire sous Linux contre ce backdoor ?

#40 Le 25/05/2014, à 03:19

Re : Que peut-on faire sous Linux contre ce backdoor ?

#41 Le 25/05/2014, à 03:46

Re : Que peut-on faire sous Linux contre ce backdoor ?

#42 Le 25/05/2014, à 15:24

Re : Que peut-on faire sous Linux contre ce backdoor ?

#43 Le 26/05/2014, à 02:33

Re : Que peut-on faire sous Linux contre ce backdoor ?

#44 Le 27/05/2014, à 01:21

Re : Que peut-on faire sous Linux contre ce backdoor ?

#45 Le 27/05/2014, à 06:24

Re : Que peut-on faire sous Linux contre ce backdoor ?

#46 Le 28/05/2014, à 00:55

Re : Que peut-on faire sous Linux contre ce backdoor ?

#47 Le 01/06/2014, à 11:05

Re : Que peut-on faire sous Linux contre ce backdoor ?

#48 Le 02/06/2014, à 10:42

Re : Que peut-on faire sous Linux contre ce backdoor ?

#49 Le 02/06/2014, à 16:11

Re : Que peut-on faire sous Linux contre ce backdoor ?

#50 Le 02/06/2014, à 17:10

Re : Que peut-on faire sous Linux contre ce backdoor ?

Pied de page des forums