[RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

steph138 · Le 04/03/2014, à 18:36

Bonjour,

lorsque je démarre ma xubuntu 12.04 64 bits, je doit classiquement taper le mot de passe de ma cession pour accéder au bureau xfce.

Juste après le chargement de celui-ci, une fenêtre s'ouvre et précise qu'un programme veut acceder au compte root, en demandant une nouvelle fois le mot de passe root.

Je clique sur Annuler jusqu'à maintenant, car je ne sais pas de quel programme il s'agit. Lorsque dans la fenêtre ouverte je clique sur détail, je n'ai que des propositions pour verrouiller le trousseau de clés. Je n'ose pas toucher à quelque chose et clique à chaque fois sur annuler. Et, tant que je n'ai pas annuler, je ne peut rien faire sur mon bureau.

Vous trouverez une photo de mes programmes en démarrage automatique.

Je ne sais pas de quel programme il s'agit. Un bug ? Un programme caché voir malveillant ?

Merci pour vos réponse

Dernière modification par steph138 (Le 06/03/2014, à 20:56)

sinbad83 · Le 04/03/2014, à 18:50

Salut,
tu as bien raison de ne pas laisser faire n'importe quoi.
Pour investiguer un peu pus, donne le retour de

dmesg | tail -n30

steph138 · Le 05/03/2014, à 07:48

Bonjour,

Voici le résultat de la commande :

~$ dmesg | tail -n30
[   22.439947] cfg80211: Updating information on frequency 2472 MHz for a 20 MHz width channel with regulatory rule:
[   22.439950] cfg80211: 2457000 KHz - 2482000 KHz @ 20000 KHz), (300 mBi, 2000 mBm)
[   22.439953] cfg80211: Updating information on frequency 2484 MHz for a 20 MHz width channel with regulatory rule:
[   22.439956] cfg80211: 2474000 KHz - 2494000 KHz @ 20000 KHz), (300 mBi, 2000 mBm)
[   22.553278] init: alsa-restore main process (1053) terminated with status 19
[   22.600065] ieee80211 phy0: Selected rate control algorithm 'minstrel_ht'
[   22.605947] Registered led device: rt73usb-phy0::radio
[   22.606028] Registered led device: rt73usb-phy0::assoc
[   22.606115] Registered led device: rt73usb-phy0::quality
[   22.612282] usbcore: registered new interface driver rt73usb
[   22.973680] input: ImPS/2 Generic Wheel Mouse as /devices/platform/i8042/serio1/input/input4
[   23.322109] ADDRCONF(NETDEV_UP): wlan0: link is not ready
[   23.322480] ADDRCONF(NETDEV_UP): wlan0: link is not ready
[   23.506183] ACPI: PCI Interrupt Link [APCJ] enabled at IRQ 22
[   23.506193] snd_intel8x0 0000:00:10.2: PCI INT C -> Link[APCJ] -> GSI 22 (level, low) -> IRQ 22
[   23.506230] snd_intel8x0 0000:00:10.2: setting latency timer to 64
[   23.844105] intel8x0_measure_ac97_clock: measured 55908 usecs (2744 samples)
[   23.844111] intel8x0: clocking to 46943
[   24.369008] 2:3:1: cannot get freq at ep 0x86
[   25.053455] usb_audio: Warning! Unlikely big volume range (=3072), cval->res is probably wrong.
[   25.053462] usb_audio: [5] FU [Mic Capture Volume] ch = 1, val = 5888/8960/1
[   25.054325] usbcore: registered new interface driver snd-usb-audio
[   26.657886] init: plymouth-upstart-bridge main process (665) killed by TERM signal
[   27.026735] wlan0: authenticate with 00:17:33:cb:a9:60 (try 1)
[   27.029018] wlan0: authenticated
[   27.049482] wlan0: associate with 00:17:33:cb:a9:60 (try 1)
[   27.062033] wlan0: RX AssocResp from 00:17:33:cb:a9:60 (capab=0x411 status=0 aid=2)
[   27.062038] wlan0: associated
[   27.075335] ADDRCONF(NETDEV_CHANGE): wlan0: link becomes ready
[   37.280016] wlan0: no IPv6 routers present

moko138 · Le 05/03/2014, à 09:31

Je te conseille hautement d'installer fail2ban, dont je me demande pourquoi il n'est pas installé par défaut :

sudo apt-get install fail2ban

Si tu n'as pas un usage précis et fréquent du "bureau à distance", tu devrais désinstaller remmina et consorts (vinagre vino etc.) ET supprimer les ouvertures de ports qu'il a créées dans ufw :

sudo ufw status

Tu dois aussi chercher les "authentication" (failure) dans /var/log/auth.log.

Ce n'est peut-être pas une bonne idée de lancer automatiquement Ubuntu One dès le démarrage. En tout cas, ce n'est pas nécessaire.

Et "Gérer vos connexions réseau" aussi, tu peux en différer le lancement.

Une fois ces modifications faites, tu pourras réactiver les lancements qui te sont vraiment utiles,
seulement si tu en as besoin,
et un par un, avec redémarrage entre chaque réactivation.

moko138 · Le 05/03/2014, à 09:45

suite du #4 : ...pour voir si le pb réapparaît et, si oui, avec quel programme ou démon de programme.
Et :

27.049482] wlan0: associate with 00:17:33:cb:a9:60 (try 1)
(...)
27.062033] wlan0: RX AssocResp from 00:17:33:cb:a9:60 (capab=0x411 status=0 aid=2)

est-ce l'adresse mac de ta box ?
Si non, de quoi ?

toutafai · Le 05/03/2014, à 10:23

bonjour,

Pour la seconde demande de mot de passe : Ce serais pas par hasard seahorse (le trousseau de clef) qui le demanderais ? Si oui, c'est normal, pas de panique :-)

Braun · Le 05/03/2014, à 12:36

@ toutafai, le mot de passe pourquoi pas, mais le mot de passe root tu m'étonnes.

steph138 · Le 05/03/2014, à 12:36

Bonjour à tous les trois, et merci pour vos réponses

je suis actuellement au travail, je me permet de regarder vos réponses, piqué par la curiosité.

Je vais suivre vos conseils et désinstaller tout ce qui permet les bureaux à disance dont je ne me sert pas et faire les manips de moko138.

Pour toutafai, je ne me souviens pas avoir installé seahorse, qui est je crois une appli gnome, sur ma xubuntu, je regarderais aussi ce qu'il en est.

Je vois tout ceci ce soir, et je vous tiens au courant.

En attendant, encore merci.

Dernière modification par steph138 (Le 05/03/2014, à 12:39)

pires57 · Le 05/03/2014, à 14:34

installer fail2ban??? pourquoi faire? il ne s'agit pas d'un serveur que je sache, il n'y a donc pas de port spécifique d'ouvert..

moko138 · Le 05/03/2014, à 16:53

pires57 a écrit :

installer fail2ban??? pourquoi faire? il ne s'agit pas d'un serveur que je sache, il n'y a donc pas de port spécifique d'ouvert..

Probablement si. Nous le verrons selon le résultat de

sudo ufw status

En attendant, expérience vécue :
1) Sur mon portable version desktop, pour aider un ami débutant j'installe vinagre, remmina (et peut-être vino, je ne sais plus).

2) Puis en décembre 2012, je subis, bien que momentanément derrière une freebox, des tentatives d'intrusion. Après quoi je désinstalle vinagre et remmina.

3) En avril 2013, je constate que, malgré la désinstallation des deux applis de "bureau à distance", le port 5900 est resté ouvert ! (Et peut-être deux autres ports, je ne sais plus).
Je referme les ports.

4) En juillet 2013, (nouvelles) Tentatives d'intrusion derrière freebox
avec le conseil d'installer fail2ban.

5) J'installe fail2ban ; depuis, plus de souci.

Nota : le man, la doc et le forum sont particulièrement opaques sur fail2ban; semblent rédigés par ceux qui s'y connaissent déjà pour ceux qui s'y connaissent déjà. Donc je n'ai pas paramétré cette appli (eppùr, si muove).
Si une bonne âme compétente passe par là et veut bien rédiger un mini-tutoriel de fail2ban pour débutants, ce serait très bien !

pires57 · Le 05/03/2014, à 16:57

c'est peut être parce que fail2ban n'est pas un jouet, que c'est une appli dédié a des cas précis et qui demande des compétences et encore une fois je le répète, certainement pas pour une machine a usage bureautique.

Dernière modification par pires57 (Le 05/03/2014, à 16:58)

steph138 · Le 05/03/2014, à 18:29

Voici le résultats de la commande :

sudo ufw status
[sudo] password for stephane: 
État : inactif

Selon Synaptic, seahorse, vino, vinagre, et remmina ne sont pas installés.

C'est bon ou pas ?

sinbad83 · Le 05/03/2014, à 19:05

Personnellement, j'utilise fail2ban partout, desktop ou serveur. Je suis avec intérêt les conseils des pages
http://www.thefanclub.co.za/how-to/how- … t-1-basics
http://blog.nicolargo.com/2013/03/mes-5 … ebian.html
http://fr.openclassrooms.com/informatiq … veur-linux

Dernière modification par sinbad83 (Le 06/03/2014, à 21:55)

steph138 · Le 05/03/2014, à 19:39

Ca y est, j'ai pu faire une capture d'écran :

http://pix.toile-libre.org/upload/origi … 041090.jpg

toutafai · Le 05/03/2014, à 19:45

Gagné, c'est bien seahorse (le trousseau de clef)

moko138 · Le 05/03/2014, à 20:00

steph138 a écrit :

Ca y est, j'ai pu faire une capture d'écran :
http://pix.toile-libre.org/upload/origi … 041090.jpg

Ouaouh ! Quelle photo de chat !!!
Avais-tu placé l'appareil derrière un trou de souris, pour qu'il se lèche ainsi les babines ?

steph138 · Le 05/03/2014, à 21:48

toutafai a écrit :

Gagné, c'est bien seahorse (le trousseau de clef)

Mais synaptic me dit que seahorse n'est pas installé ? Je ne comprends pas ...
Comment je fais : je tente et rentre le code ?

Pour la photo du cat's, c'est ici :

http://fond-ecran-colore.com/animaux/oe … t-rus.html

Elle n'est pas de moi

steph138 · Le 06/03/2014, à 20:55

moko138 a écrit :

... Une fois ces modifications faites, tu pourras réactiver les lancements qui te sont vraiment utiles,
seulement si tu en as besoin, et un par un, avec redémarrage entre chaque réactivation.

Ca à été la bonne solution !

C'est ubuntu one qui demandait cette clé pour se synchroniser au démarrage.

Merci à vous tous !!

Dernière modification par steph138 (Le 06/03/2014, à 20:57)

moko138 · Le 06/03/2014, à 21:15

@sinbad83 : dans ton #13, il y a 3 liens utiles dont 2 identiques :
est-ce que tu en aurais un 3ème à conseiller ? Merci !

sinbad83 · Le 06/03/2014, à 21:57

Pardon, je n'ai pas fait attention. Le lien mal copié est http://blog.nicolargo.com/2013/03/mes-5 … ebian.html. J'ai corrigé à l'instant.

moko138 · Le 06/03/2014, à 22:04

Merci !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/03/2014, à 18:36

[RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#2 Le 04/03/2014, à 18:50

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#3 Le 05/03/2014, à 07:48

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#4 Le 05/03/2014, à 09:31

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#5 Le 05/03/2014, à 09:45

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#6 Le 05/03/2014, à 10:23

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#7 Le 05/03/2014, à 12:36

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#8 Le 05/03/2014, à 12:36

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#9 Le 05/03/2014, à 14:34

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#10 Le 05/03/2014, à 16:53

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#11 Le 05/03/2014, à 16:57

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#12 Le 05/03/2014, à 18:29

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#13 Le 05/03/2014, à 19:05

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#14 Le 05/03/2014, à 19:39

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#15 Le 05/03/2014, à 19:45

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#16 Le 05/03/2014, à 20:00

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#17 Le 05/03/2014, à 21:48

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#18 Le 06/03/2014, à 20:55

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#19 Le 06/03/2014, à 21:15

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#20 Le 06/03/2014, à 21:57

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

#21 Le 06/03/2014, à 22:04

Re : [RESOLU] Appli (malveillante?) demande mot de passe root au démarrage

Pied de page des forums