[Résolu]Aide pour se débarraser d'un Rootkit?

Compte supprimé · Le 04/02/2024, à 14:43

Bonjour, je pense avoir un malware qui ressemble a un rootkit sur mon Ubuntu, je l'imagine car déjà pour savoir avant j'étais sous Windows et ils m'avaient balancé un ransomware et déjà piqué une fois des données de ma carte bancaire (avec une plainte a la gendarmerie a l'époque mais j'ai eu aucune nouvelle même si j'ai été remboursé) J'ai eu aussi des comptes avec mot de passe changé que j'ai du tenter de récupérer; donc je suis passé sur Ubuntu mais le problème semble encore présent.
J'ai remarqué plusieurs choses, il semble y avoir la présence de RemoteDesktopProcotol une icone s'affiche rapidement et disparait dans la barre en haut à droite a coté du logo batterie sur Ubuntu 23.10 alors que j'ai rien lancé en RDP; de plus il me semble qu'il y a le bluetooth qui rentre en compte aussi, il est désactivé mais j'ai déjà vu des appareil avec blueman a un moment qui indiquait un appareil inconnu avec aucune adresse MAC d'indiqué.

J'ai déjà tenté de bloquer le bluetooth logiciel mais ils passent par internet en RDP si c'est pas l'un c'est l'autre; je désinstalla les paquets mais ils reviennent (de nouveau installé). Pourquoi je dis que c'est un rootkit?car je formate pour réinstaller Ubuntu et ça revient; même quand j'installe un nouveau SSD et que j'installe en mode hors ligne (sans carte WIFI Bluetooth) cela revient, j'en conclu que ma clef usb est infectée aussi, je veux pas payer plus par rapport a ce que j'ai déjà dépensé mais je pense pouvoir peut etre m'en débarrasser avec de l'aide si vous pouvez faire quelque chose s'il vous plait? moi je débute sur Ubutnu et j'ai pas masse de connaissance en piratage dessus ou en faille.

Quelqu'un pourrait il m'apporter des précisions et de l'aide ? merci; j'ai toujours ma clef USB d'installation avec les logs et mon SSD, je sais pas ce qu'il se passe vraiment mais bon.

Dernière modification par Compte supprimé (Le 07/02/2024, à 00:23)

sputnick · Le 04/02/2024, à 19:53

Que donne le retour de la commande:

chkrootkit -q

?

Si la commande est introuvable, il faut l'installer.

Compte supprimé · Le 05/02/2024, à 21:45

Bonsoir et merci pour votre aide, voici le résultat de la commande:

pc@pcmsisc:~$ sudo chkrootkit -q
[sudo] Mot de passe de pc :
WARNING: The following suspicious files and directories were found:
/usr/lib/debug/.build-id
/usr/lib/jvm/.java-1.17.0-openjdk-amd64.jinfo
/usr/lib/libreoffice/share/.registry
/usr/lib/modules/6.5.0-15-generic/vdso/.build-id
/usr/lib/modules/6.5.0-9-generic/vdso/.build-id
WARNING: Output from ifpromisc:
enp4s0: PACKET SNIFFER(/usr/sbin/NetworkManager[1017])
wlp2s0: PACKET SNIFFER(/usr/sbin/NetworkManager[1017], /usr/sbin/wpa_supplicant[1018])

que faire ensuite?

Dernière modification par Compte supprimé (Le 05/02/2024, à 21:46)

sputnick · Le 05/02/2024, à 23:05

Rechercher si

.build-id

est connu pour être infecté

bruno · Le 06/02/2024, à 11:38

Bonjour,

À 99,99999 % les avertissements de chkrootkit sont des faux positifs.
Je drapelle que ces applications (rkhunter ou autres) ne sont pas des anti-virus ou autre anti-machins mais des outils d'analyse à réserver aux spécialistes. Inutile d'installer cela sur un poste de travail et d'affoler les débutants avec des rapports qu'ils ne comprennent pas.

Pour en revenir à la question initiale, la machine n'est probablement pas infectée.
La création d'une clé USB amorçable pour installer Ubuntu implique sa réécriture complète. Donc très peu de chances qu'elle soit compromise.
Le protocole rdp, ou bureau à distance, ne peut être utilisé que sur le réseau local tant que les accès (NAT/PAT) n'ont pas été autorisés sur la Box du FAI. Il nécessite de toute façon une autorisation explicite.

La portée du Bluetooth n'est que de quelques mètres et là encore cela nécessite des autorisations explicites pour appairer les appareils.

Sur une machine fraîchement installée avec une image téléchargé depuis le site officiel et dont la somme de contrôle a été vérifiée. Il n'y a aucune chance de compromission.
Si par la suite seuls les dépôts officiels sont utilisés pour installer des logiciels et les mises à jour sont faites régulièrement, hormis une erreur humaine grossière, il n'y a aucune chance de compromission.

Dernière modification par bruno (Le 06/02/2024, à 11:39)

geole · Le 06/02/2024, à 11:46

bruno a écrit :

Bonjour,
À 99,99999 % les avertissements de chkrootkit sont des faux positifs.

+1
et je crains que toute personne faisant ce contrôle, listera la famille .build

sputnick · Le 06/02/2024, à 11:48

C'est une première passe. C'est l'outil adéquat pour chercher un rootkit, mais effectivement, il y a beaucoup de faux positifs.

bruno · Le 06/02/2024, à 12:04

Et en l'occurence il n'y a rien a chercher… Faire lancer une recherche de rootkit en première intention directement sur un poste de travail montre que l'on ne sait ni ce qu'est un rootkit , ni comment cela s'installe.

Compte supprimé · Le 06/02/2024, à 16:49

Hum je vois, ce sont probablement de faux positif néanmoins il y a t'il un moyen de lancer ou faire lancer sur Ubuntu un serveur SSH autre que ceux installé dans le dépôt (éventuellement), comment je pourrais faire bloquer une connexion SSH sur mon Ubuntu? ou quels paquet SSH je peux désinstaller sans péter le système?
Il y a encore eu a l'instant le logo de connexion (prise) et je parle pas de l’Ethernet.
Je pense que même si ce n'est pas un rootkit il y a un malware et peut être s'est installé a l'aide d'un mauvais paquet et l'aurait supprimé avant d'utiliser des paquet légitime intégré (ou non) pour brouiller les traces (peut-être).

Merci.

sputnick · Le 06/02/2024, à 16:51

Oui, il y a d'autres implémentations de ssh, comme DropBear.

Que renvoie

ss -nptl

?

Compte supprimé · Le 06/02/2024, à 17:05

Cela ne donne pas grand chose j'ai l'impression:

pc@pcmsisc:~$ sudo ss -nptl
State            Recv-Q            Send-Q                       Local Address:Port                       Peer Address:Port           Process                                              
LISTEN           0                 100                              127.0.0.1:25                              0.0.0.0:*               users:(("master",pid=1973,fd=13))                   
LISTEN           0                 4096                             127.0.0.1:631                             0.0.0.0:*               users:(("cupsd",pid=1357,fd=8))                     
LISTEN           0                 4096                            127.0.0.54:53                              0.0.0.0:*               users:(("systemd-resolve",pid=836,fd=16))           
LISTEN           0                 4096                         127.0.0.53%lo:53                              0.0.0.0:*               users:(("systemd-resolve",pid=836,fd=14))           
LISTEN           0                 100                                  [::1]:25                                 [::]:*               users:(("master",pid=1973,fd=14))                   
LISTEN           0                 4096                                 [::1]:631                                [::]:*               users:(("cupsd",pid=1357,fd=7))

Une autre question c'est normal d'avoir un agent de clef SSH dans les applications au démarrage? quand je le supprime il revient le démarrage suivant.
Et je sais qu'il est possible de faire beaucoup de chose sur Ubuntu et comment je pourrais bien être sur de bloquer ou empêcher tout partage local sachant que je ne suis pas seul sur mon réseau local familial ?
Merci

bruno · Le 06/02/2024, à 17:14

Pour installer un serveur SSH il faut être root. Soit tu l'as installé toi-même, soit la machine était déjà sous le contrôle total d'une tierce personne.
Pour qu'il soit accessible de l'extérieur il faut avoir configurer la box pour qu les paquets a destination du serveur SSH soient transférer sur le serveur. Soi tu as modifié toi-m^me cette configuration, soit une tierce personne à un accès complet à la configuration de ta box.
Dans les deux cas la seconde option est hautement improbable.

De toute façon les logiciels malveillants sont rarissimes sous GNU/Linux et ne peuvent être installés qu'avec la complicité (volontairement ou par erreur) de l’administrateur du système.

Il est parfaitement normal que des icônes apparaissent et disparaissent dans la zone de notifications (la prise c'est plutôt pour le branchement sur secteur).

krodelabestiole · Le 06/02/2024, à 17:41

rogerraoulandre a écrit :

je pense avoir un malware qui ressemble a un rootkit

mieux vaut éviter je pense les conclusions hâtives. en matière de sécurité en particulier, les hypothèses émises sur le forum se révèlent la grosse majorité du temps être des fausses pistes dans lesquelles se ruent les aidants.

l'idéal est de s'en tenir aux faits en décrivant les comportements qu'on trouve suspects, en joignant des exemples concrets, des messages d'erreurs, des retours de ps aux ou autres commandes avec le nom des processus, des captures d'écran (pour ces icônes), etc.

sputnick · Le 06/02/2024, à 17:42

Méfie toi, certains font des affirmations sans connaître grand chose à la sécurité: notamment les exploits permettant de profiter d'une faille logicielle pour escalader des droits. Certaines failles sont tellement critiques que passer root devient possible.

D'où l’intérêt d'avoir un système à jour.

CF https://fr.wikipedia.org/wiki/Exploit_(informatique)

bruno · Le 06/02/2024, à 18:06

D'ailleurs le retour en #11 ne montre aucun service en écoute. Hormis CUPS (le serveur d'impression) port 631, le résolveur cache localport 53, et plus curieux un Postfix su le port 25 mais qui ne sont en écoute que sur l'interface de bouclage (127.0.0.0/8 ou :::1).

Et il est inutile de bloquer des services qui ne sont pas actifs, comme le « partage local »

Tu t'inquiètes certainement inutilement par méconnaissance du système.
Encore un fois Ubuntu est très sûre et tu ne risques strictement rien tant que :

bruno a écrit :

Sur une machine fraîchement installée avec une image téléchargé depuis le site officiel et dont la somme de contrôle a été vérifiée. Il n'y a aucune chance de compromission.
Si par la suite seuls les dépôts officiels sont utilisés pour installer des logiciels et les mises à jour sont faites régulièrement, hormis une erreur humaine grossière, il n'y a aucune chance de compromission.

fred-cavernedufond · Le 06/02/2024, à 22:42

rogerraoulandre a écrit :

Bonjour, je pense avoir un malware qui ressemble a un rootkit sur mon Ubuntu, je l'imagine car déjà pour savoir avant j'étais sous Windows et ils m'avaient balancé un ransomware et déjà piqué une fois des données de ma carte bancaire (avec une plainte a la gendarmerie a l'époque mais j'ai eu aucune nouvelle même si j'ai été remboursé) J'ai eu aussi des comptes avec mot de passe changé que j'ai du tenter de récupérer; donc je suis passé sur Ubuntu mais le problème semble encore présent.
J'ai remarqué plusieurs choses, il semble y avoir la présence de RemoteDesktopProcotol une icone s'affiche rapidement et disparait dans la barre en haut à droite a coté du logo batterie sur Ubuntu 23.10 alors que j'ai rien lancé en RDP; de plus il me semble qu'il y a le bluetooth qui rentre en compte aussi, il est désactivé mais j'ai déjà vu des appareil avec blueman a un moment qui indiquait un appareil inconnu avec aucune adresse MAC d'indiqué.
J'ai déjà tenté de bloquer le bluetooth logiciel mais ils passent par internet en RDP si c'est pas l'un c'est l'autre; je désinstalla les paquets mais ils reviennent (de nouveau installé). Pourquoi je dis que c'est un rootkit?car je formate pour réinstaller Ubuntu et ça revient; même quand j'installe un nouveau SSD et que j'installe en mode hors ligne (sans carte WIFI Bluetooth) cela revient, j'en conclu que ma clef usb est infectée aussi, je veux pas payer plus par rapport a ce que j'ai déjà dépensé mais je pense pouvoir peut etre m'en débarrasser avec de l'aide si vous pouvez faire quelque chose s'il vous plait? moi je débute sur Ubutnu et j'ai pas masse de connaissance en piratage dessus ou en faille.
Quelqu'un pourrait il m'apporter des précisions et de l'aide ? merci; j'ai toujours ma clef USB d'installation avec les logs et mon SSD, je sais pas ce qu'il se passe vraiment mais bon.

Bonjour,

Tout cela m'a l'air un peu confus. Je proposerais une méthode en trois temps :
1 - isoler les éléments suspects
2- remonter un système linux propre
3- tester les éléments suspect en sécurité

soit
- on débranche le disque dur actuel et on range la clé USB dans un coin (ou on la formate complètement : ré-écriture avec des zéros)
- prendre une nouvelle clé USB vierge dont on est sur qu'elle est fiable (ou celle qui vient d’être formater)
- on charge une ISO linux et on vérifie son intégrité (SHA 256 etc) avant décompression sur ladite clé.
- on prend un disque vierge et fiable qu'on branche dans la machine préalablement déconnecté du réseau internet.

A ce stade, la machine est une base "propre". On installe alors le Linux de l'ISO sur le disque dur. A moins d'une vérole dans le BIOS ce qui est rare, la machine devrait démarrer et ne plus avoir ces icônes RDP et autres bazars pourris.

Ayant cette machine propre il peut alors être possible de vérifier l'ancien disque et/ou la clé USB suspecte qu'on avait mis au placard. Le principe consiste à les brancher "en secondaire" et de lancer une série de programmes-tests sur ces supports afin de vérifier s'ils sont corrects et non infectés.

Les tests lancés par l'ordinateur "propre" vont alors scanner leurs partitions et/ou leurs fichiers. A ce stade je pense qu'on pourra déjà détecter des problèmes s'il y en a (Gpart ; Chkrootkit etc)

Le branchement en "esclave" signifie qu'ils ne piloterons pas l'ordinateur, et n'interférerons que peu avec le systeme MAIS
Il est 'impératif est de ne lancer aucun programme ou de n'ouvrir ou copier aucun fichier depuis ces supports lorsqu'ils sont branchés de cette maniere. En effet, si le virus est dessus, on le transfererait ou il se dupliquerait sur le disque propre et il n'y aurait plus qu'à tout recommencer !

Enfin, si la connexion internet est fiable, on pourra potentiellement doubler ces tests en faisant scanner en ligne les fichiers - par exemple exécutables - du disque suspect et/ou clé USB avec des sites comme "Virustotal" (malgré son nom c'est un serveur qui analyse des fichiers via de multiples anti-virus en ligne). Peut-être pas 100% professionnel mais ça donne une bonne indication. il y surement d'autres outils https://www.virustotal.com/gui/home/upload

Un fois qu'on est certain que disque et clé ne sont pas infectés, soit, il faut localiser le programme qui déclenche le pseudo rootkit et le détruire. On recommence le véréfications jusqu'à etre 100% certains du résultat.

On peut aussi extraire ses données des supports si on les sait fiables pour les copier sur le disque "propre" (ou partition spécifique hors du système d'exploitation). On effacera alors les supports définitivement ce qui détruira les saloperies. (si c'est Snowden qui a fouillé ta machine, ça va etre plus dur )

J'ai l'impression que toute ces saloperies viennent de résidus Windows - ouh pas bien - ou de connexions à des sites bien pourris => être plus attentif.

D'autres propositions sont possibles selon le contexte. Cette méthode est un peu radicale mais permet d'isoler le composant suspect pour ne pas amplifier le problème ni passer des heures à le rechercher pour généralement arriver à un disque dur dont on ne sera pas 100% certain de sa fiabilité et/ou qui sera surement "bancal" vu les nettoyages qu'on risque de lui appliquer.
Fred

Dernière modification par fred-cavernedufond (Le 06/02/2024, à 23:05)

Compte supprimé · Le 07/02/2024, à 00:18

Merci pour la méthode fred-caverdufond je la garderais en mémoire si jamais j'ai quelque chose, en fait il s'avère que l'icône de RDP était un "cable snake" comme précédemment cité,en tout cas c'est un espèce de bug la manière aléatoire dont il s'affiche car je laisse mon pc branché sur secteur et il apparaît, disparaît et réapparaît parfois au hasard. Je vous prie de m'excuser pour le dérangement car je me suis emballé pour rien à cause de ce qu'il m'était arrivé avant sous Windows... néanmoins par sécurité et pour me rassurer j'ai préféré désactiver le bluetooth de manière logicielle et désinstaller le démon bluez, je ne m'en sers pas de toute façon.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/02/2024, à 14:43

[Résolu]Aide pour se débarraser d'un Rootkit?

#2 Le 04/02/2024, à 19:53

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#3 Le 05/02/2024, à 21:45

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#4 Le 05/02/2024, à 23:05

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#5 Le 06/02/2024, à 11:38

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#6 Le 06/02/2024, à 11:46

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#7 Le 06/02/2024, à 11:48

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#8 Le 06/02/2024, à 12:04

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#9 Le 06/02/2024, à 16:49

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#10 Le 06/02/2024, à 16:51

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#11 Le 06/02/2024, à 17:05

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#12 Le 06/02/2024, à 17:14

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#13 Le 06/02/2024, à 17:41

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#14 Le 06/02/2024, à 17:42

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#15 Le 06/02/2024, à 18:06

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#16 Le 06/02/2024, à 22:42

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

#17 Le 07/02/2024, à 00:18

Re : [Résolu]Aide pour se débarraser d'un Rootkit?

Pied de page des forums