#1 Le 20/01/2016, à 20:56
- Arnold59
[Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Bonjour,
Je soupçonne la présence de logiciels malveillants keyloggers ... sous Linux Ubuntu installé depuis page internet.
Actuellement j'avais antivirus Clamav/ Clamtk et pare-feu (iptable et Gufw ) activé et bloque les ports par défaut.
Aujourd'hui j'ai installé rkhunter, chkrootkit, Lynis
Après analyse voici les résultats de Lynis
1)
2) chkrootkit
chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not found
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not found
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for rootkit HiDrootkit's default files... nothing found
Searching for rootkit t0rn's default files... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for rootkit Lion's default files... nothing found
Searching for rootkit RSHA's default files... nothing found
Searching for rootkit RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/debug/.build-id /lib/modules/4.2.0-23-generic/vdso/.build-id /lib/modules/3.19.0-31-generic/vdso/.build-id /lib/modules/4.2.0-25-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.2.0-23-generic/vdso/.build-id /lib/modules/3.19.0-31-generic/vdso/.build-id /lib/modules/4.2.0-25-generic/vdso/.build-id
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for Linux/Ebury - Operation Windigo ssh... nothing found
Searching for 64-bit Linux Rootkit ... nothing found
Searching for 64-bit Linux Rootkit modules... nothing found
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[754], /sbin/wpa_supplicant[754], /sbin/dhclient[1750])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user Linux-1 deleted or never logged from lastlog!
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! normal/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-20-Percent/default/*UMA-Uniformity-Trial-50-Percent/group_01/*UseDelayAgnosticAEC/DefaultEnabled/*VarationsServiceControl/Interval_30min/WebRTC-PeerConnectionDTLS1.2/Enabled/ --instant-process --enable-offline-auto-reloa 0 nt/EnableSlimmingPaint/*UMA-Populanormal/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-20-Percent/default/*UMA-Uniformity-Trial-50-Percent/group_01/*UseDelayAgnosticAEC/DefaultEnabled/*VarationsServiceControl/Interval_30min/WebRTC-PeerConnectionDTLS1.2/Enabled/ --instant-process --enable-offline-auto-reloa ercent/group_01/*UMA-Uniformity-Trial-20-Percent/default/*UMA-Uniformity-Trial-50-Percent/group_01/*UseDelayAgnosticAEC/DefaultEnabled/*VarationsServiceControl/Interval_30min/WebRTC-PeerConnectionDTLS1.2/Enabled/ --instant-process --enable-offline-auto-reloa
! /normal/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-20-Percent/default/*UMA-Uniformity-Trial-50-Percent/group_01/*UseDelayAgnosticAEC/DefaultEnabled/*VarationsServiceControl/Interval_30min/WebRTC-PeerConnectionDTLS1.2/Enabled/ --enable-offline-auto-reload --enable-offlin 0 int/EnableSlimmingPaint/*UMA-Popul/normal/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-20-Percent/default/*UMA-Uniformity-Trial-50-Percent/group_01/*UseDelayAgnosticAEC/DefaultEnabled/*VarationsServiceControl/Interval_30min/WebRTC-PeerConnectionDTLS1.2/Enabled/ --enable-offline-auto-reload --enable-offlin Percent/group_01/*UMA-Uniformity-Trial-20-Percent/default/*UMA-Uniformity-Trial-50-Percent/group_01/*UseDelayAgnosticAEC/DefaultEnabled/*VarationsServiceControl/Interval_30min/WebRTC-PeerConnectionDTLS1.2/Enabled/ --enable-offline-auto-reload --enable-offlin
! root 781 tty7 /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected3) Lynis
lynis audit system
[ Lynis 2.1.1 ]
################################################################################
Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are
welcome to redistribute it under the terms of the GNU General Public License.
See the LICENSE file for details about using this software.
Copyright 2007-2015 - CISOfy, https://cisofy.com
Enterprise support and plugins available via CISOfy
################################################################################
[+] Initializing program
------------------------------------
- Detecting OS... [ DONE ]
---------------------------------------------------
Program version: 2.1.1
Operating system: Linux
Operating system name: Ubuntu
Operating system version: 15.10
Kernel version: 4.2.0
Hardware platform: i686
Hostname: Linux-1
Auditor: [Unknown]
Profile: /etc/lynis/default.prf
Log file: /var/log/lynis.log
Report file: /var/log/lynis-report.dat
Report version: 1.0
Plugin directory: /etc/lynis/plugins
---------------------------------------------------
- Checking profile file (/etc/lynis/default.prf)...
- Program update status... [ NO UPDATE ]
[+] System Tools
------------------------------------
- Scanning available tools...
- Checking system binaries...
[+] Plugins (phase 1)
------------------------------------
Note: plugins have more extensive tests, which may take a few minutes to complete
- Plugin: debian
[
[+] Debian Tests
------------------------------------
- Checking for system binaries that are required by Debian Tests...[-8C
- Checking /bin... [ FOUND ]
- Checking /sbin... [ FOUND ]
- Checking /usr/bin... [ FOUND ]
- Checking /usr/sbin... [ FOUND ]
- Checking /usr/local/bin... [ FOUND ]
- Checking /usr/local/sbin... [ FOUND ]
- Authentication:
- PAM (Pluggable Authentication Modules):
- libpam-tmpdir [ Not Installed ]
- libpam-usb [ Not Installed ]
- File System Checks:
- DM-Crypt, Cryptsetup & Cryptmount:
- Ecryptfs [ NOT INSTALLED ]
- Software:
- apt-listbugs [ Not Installed ]
- apt-listchanges [ Not Installed ]
- checkrestart [ Not Installed ]
- debsecan [ Not Installed ]
- debsums [ Installed and enabled for cron ]
- fail2ban [ Not Installed ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
]
[+] Boot and services
------------------------------------
- Service Manager [ UNKNOWN ]
- Checking presence GRUB2 [ FOUND ]
- Checking for password protection [ WARNING ]
- Check running services (systemctl) [ DONE ]
Result: found 34 running services
- Check enabled services at boot (systemctl) [ DONE ]
Result: found 49 enabled services
- Check startup files (permissions) [ OK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Kernel
------------------------------------
- Checking default run level [ RUNLEVEL 5 ]
- Checking CPU support (NX/PAE)
CPU support: PAE and/or NoeXecute supported [ FOUND ]
- Checking kernel version and release [ DONE ]
- Checking kernel type [ DONE ]
- Checking loaded kernel modules [ DONE ]
Found 74 active modules
- Checking Linux kernel configuration file [ FOUND ]
- Checking default I/O kernel scheduler [ FOUND ]
- Checking for available kernel update [ OK ]
- Checking core dumps configuration [ DISABLED ]
- Checking setuid core dumps configuration [ PROTECTED ]
- Check if reboot is needed [ NO ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Memory and processes
------------------------------------
- Checking /proc/meminfo [ FOUND ]
- Searching for dead/zombie processes [ OK ]
- Searching for IO waiting processes [ WARNING ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Users, Groups and Authentication
------------------------------------
- Search administrator accounts [ OK ]
- Checking for non-unique UIDs [ OK ]
- Checking consistency of group files (grpck) [ OK ]
- Checking non unique group ID's [ OK ]
- Checking non unique group names [ OK ]
- Checking password file consistency [ OK ]
- Query system users (non daemons) [ DONE ]
- Checking NIS+ authentication support [ NOT ENABLED ]
- Checking NIS authentication support [ NOT ENABLED ]
- Checking sudoers file [ FOUND ]
- Check sudoers file permissions [ OK ]
- Checking PAM password strength tools [ SUGGESTION ]
- Checking PAM configuration files (pam.conf) [ FOUND ]
- Checking PAM configuration files (pam.d) [ FOUND ]
- Checking PAM modules [ FOUND ]
- Checking LDAP module in PAM [ NOT FOUND ]
- Checking accounts without expire date [ OK ]
- Checking accounts without password [ OK ]
- Checking user password aging [ DISABLED ]
- Determining default umask
- Checking umask (/etc/profile) [ OK ]
- Checking umask (/etc/login.defs) [ SUGGESTION ]
- Checking umask (/etc/init.d/rc) [ SUGGESTION ]
- Checking LDAP authentication support [ NOT ENABLED ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Shells
------------------------------------
- Checking shells from /etc/shells
Result: found 4 shells (valid shells: 4).
- Session timeout settings/tools [ NONE ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] File systems
------------------------------------
- Checking mount points
- Checking /home mount point [ OK ]
- Checking /tmp mount point [ SUGGESTION ]
- Checking /var mount point [ SUGGESTION ]
- Querying FFS/UFS mount points (fstab) [ NONE ]
- Query swap partitions (fstab) [ OK ]
- Testing swap partitions [ OK ]
- Checking for old files in /tmp [ OK ]
- Checking /tmp sticky bit [ OK ]
- ACL support root file system [ DISABLED ]
- Checking Locate database [ FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Storage
------------------------------------
- Checking usb-storage driver (modprobe config) [ NOT DISABLED ]
- Checking firewire ohci driver (modprobe config) [ DISABLED ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] NFS
------------------------------------
- Check running NFS daemon [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Name services
------------------------------------
- Checking default DNS search domain [ NONE ]
- Checking search domains [ FOUND ]
- Checking /etc/resolv.conf options [ NONE ]
- Searching DNS domain name [ FOUND ]
Domain name: home
- Checking nscd status [ NOT FOUND ]
- Checking BIND status [ NOT FOUND ]
- Checking PowerDNS status [ NOT FOUND ]
- Checking ypbind status [ NOT FOUND ]
- Checking /etc/hosts
- Checking /etc/hosts (duplicates) [ OK ]
- Checking /etc/hosts (hostname) [ SUGGESTION ]
- Checking /etc/hosts (localhost) [ OK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Ports and packages
------------------------------------
- Searching package managers
- Searching dpkg package manager [ FOUND ]
- Querying package manager
- Query unpurged packages [ FOUND ]
- debsums utility [ FOUND ]
- Cron job for debsums [ FOUND ]
- Checking security repository in sources.list file [ OK ]
- Checking APT package database [ OK ]
W: GPG error: http://deb.opera.com stable InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 63F7D4AFF6D61D45
- Checking vulnerable packages [ OK ]
- Checking upgradeable packages [ SKIPPED ]
- Checking package audit tool [ INSTALLED ]
Found: apt-check
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Networking
------------------------------------
- Checking configured nameservers
- Testing nameservers
Nameserver: 127.0.1.1 [ OK ]
- Minimal of 2 responsive nameservers [ WARNING ]
- Checking default gateway [ DONE ]
- Getting listening ports (TCP/UDP) [ DONE ]
* Found 15 ports
- Checking promiscuous interfaces [ OK ]
- Checking waiting connections [ OK ]
- Checking status DHCP client [ RUNNING ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Printers and Spools
------------------------------------
- Checking cups daemon [ RUNNING ]
- Checking CUPS configuration file [ OK ]
- File permissions [ WARNING ]
- Checking CUPS addresses/sockets [ FOUND ]
- Checking lp daemon [ NOT RUNNING ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Software: e-mail and messaging
------------------------------------
- Checking Exim status [ NOT FOUND ]
- Checking Postfix status [ RUNNING ]
- Checking Postfix configuration [ FOUND ]
- Checking Postfix banner [ WARNING ]
- Checking Dovecot status [ NOT FOUND ]
- Checking Qmail status [ NOT FOUND ]
- Checking Sendmail status [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Software: firewalls
------------------------------------
- Checking iptables kernel module [ NOT FOUND ]
- Checking pflogd status [ NOT FOUND ]
- Checking pf [ NOT FOUND ]
- Checking host based firewall [ NOT ACTIVE ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Software: webserver
------------------------------------
- Checking Apache (binary /usr/sbin/apache2) [ FOUND ]
Info: No virtual hosts found
* Loadable modules [ FOUND ]
- Found 106 loadable modules
mod_evasive: anti-DoS/brute force [ NOT FOUND ]
mod_qos: anti-Slowloris [ NOT FOUND ]
mod_spamhaus: anti-spam (spamhaus) [ NOT FOUND ]
ModSecurity: web application firewall [ NOT FOUND ]
- Checking nginx [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] SSH Support
------------------------------------
- Checking running SSH daemon [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] SNMP Support
------------------------------------
- Checking running SNMP daemon [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Databases
------------------------------------
- MySQL process status [ NOT FOUND ]
- PostgreSQL processes status [ NOT FOUND ]
- Oracle processes status [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] LDAP Services
------------------------------------
- Checking OpenLDAP instance [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] PHP
------------------------------------
- Checking PHP [ FOUND ]
- Checking PHP disabled functions [ FOUND ]
- Checking expose_php option [ OFF ]
- Checking enable_dl option [ OFF ]
- Checking allow_url_fopen option [ ON ]
- Checking allow_url_include option [ OFF ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Squid Support
------------------------------------
- Checking running Squid daemon [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Logging and files
------------------------------------
- Checking for a running log daemon [ OK ]
- Checking Syslog-NG status [ NOT FOUND ]
- Checking systemd journal status [ FOUND ]
- Checking Metalog status [ NOT FOUND ]
- Checking RSyslog status [ FOUND ]
- Checking RFC 3195 daemon status [ NOT FOUND ]
- Checking minilogd instances [ NOT FOUND ]
- Checking logrotate presence [ OK ]
- Checking log directories (static list) [ DONE ]
- Checking open log files [ DONE ]
- Checking deleted files in use [ FILES FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Insecure services
------------------------------------
- Checking inetd status [ NOT ACTIVE ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Banners and identification
------------------------------------
- /etc/motd [ NOT FOUND ]
- /etc/issue [ FOUND ]
- /etc/issue contents [ WEAK ]
- /etc/issue.net [ FOUND ]
- /etc/issue.net contents [ WEAK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Scheduled tasks
------------------------------------
- Checking crontab/cronjob [ DONE ]
- Checking atd status [ NOT RUNNING ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Accounting
------------------------------------
- Checking accounting information [ NOT FOUND ]
- Checking sysstat accounting data [ NOT FOUND ]
- Checking auditd [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Time and Synchronization
------------------------------------
- Checking event based ntpdate (if-up) [ FOUND ]
- Checking for a running NTP daemon or client [ OK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Cryptography
------------------------------------
- Checking SSL certificate expiration [ WARNING ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Virtualization
------------------------------------
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Containers
------------------------------------
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Security frameworks
------------------------------------
- Checking presence AppArmor [ FOUND ]
- Checking AppArmor status [ ENABLED ]
- Checking presence SELinux [ NOT FOUND ]
- Checking presence grsecurity [ NOT FOUND ]
- Checking for implemented MAC framework [ OK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Software: file integrity
------------------------------------
- Checking file integrity tools
- Checking presence integrity tool [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Software: System tooling
------------------------------------
- Checking automation tooling
- Automation tooling [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Software: Malware scanners
------------------------------------
- Checking chkrootkit [ FOUND ]
- Checking Rootkit Hunter [ FOUND ]
- Checking ClamAV scanner [ FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] File Permissions
------------------------------------
- Starting file permissions check
/etc/lilo.conf [ NOT FOUND ]
/root/.ssh [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Home directories
------------------------------------
- Checking shell history files [ OK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Kernel Hardening
------------------------------------
- Comparing sysctl key pairs with scan profile
- kernel.core_uses_pid (exp: 1) [ DIFFERENT ]
- kernel.ctrl-alt-del (exp: 0) [ OK ]
- kernel.kptr_restrict (exp: 1) [ OK ]
- kernel.sysrq (exp: 0) [ DIFFERENT ]
- net.ipv4.conf.all.accept_redirects (exp: 0) [ DIFFERENT ]
- net.ipv4.conf.all.accept_source_route (exp: 0) [ OK ]
- net.ipv4.conf.all.bootp_relay (exp: 0) [ OK ]
- net.ipv4.conf.all.forwarding (exp: 0) [ OK ]
- net.ipv4.conf.all.log_martians (exp: 1) [ DIFFERENT ]
- net.ipv4.conf.all.mc_forwarding (exp: 0) [ OK ]
- net.ipv4.conf.all.proxy_arp (exp: 0) [ OK ]
- net.ipv4.conf.all.rp_filter (exp: 1) [ OK ]
- net.ipv4.conf.all.send_redirects (exp: 0) [ DIFFERENT ]
- net.ipv4.conf.default.accept_redirects (exp: 0) [ DIFFERENT ]
- net.ipv4.conf.default.accept_source_route (exp: 0) [ DIFFERENT ]
- net.ipv4.conf.default.log_martians (exp: 1) [ DIFFERENT ]
- net.ipv4.icmp_echo_ignore_broadcasts (exp: 1) [ OK ]
- net.ipv4.icmp_ignore_bogus_error_responses (exp: 1) [ OK ]
- net.ipv4.tcp_syncookies (exp: 1) [ OK ]
- net.ipv4.tcp_timestamps (exp: 0) [ DIFFERENT ]
- net.ipv6.conf.all.accept_redirects (exp: 0) [ DIFFERENT ]
- net.ipv6.conf.all.accept_source_route (exp: 0) [ OK ]
- net.ipv6.conf.default.accept_redirects (exp: 0) [ DIFFERENT ]
- net.ipv6.conf.default.accept_source_route (exp: 0) [ OK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Hardening
------------------------------------
- Installed compiler(s) [ FOUND ]
- Installed malware scanner [ FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Custom Tests
------------------------------------
- Running custom tests... [ NONE ]
================================================================================
-[ Lynis 2.1.1 Results ]-
Warnings:
----------------------------
- Couldn't find 2 responsive nameservers [NETW-2705]
https://cisofy.com/controls/NETW-2705/
- Found mail_name in SMTP banner, and/or mail_name contains 'Postfix' [MAIL-8818]
https://cisofy.com/controls/MAIL-8818/
Suggestions:
----------------------------
- Install libpam-tmpdir to set $TMP and $TMPDIR for PAM sessions [CUST-0280]
https://your-domain.example.org/controls/CUST-0280/
- Install libpam-usb to enable multi-factor authentication for PAM sessions [CUST-0285]
https://your-domain.example.org/controls/CUST-0285/
- Install 'ecryptfs-utils' and configure for each user. [CUST-0520]
https://your-domain.example.org/controls/CUST-0520/
- Install apt-listbugs to display a list of critical bugs prior to each APT installation. [CUST-0810]
https://your-domain.example.org/controls/CUST-0810/
- Install apt-listchanges to display any significant changes prior to any upgrade via APT. [CUST-0811]
https://your-domain.example.org/controls/CUST-0811/
- Install debian-goodies so that you can run checkrestart after upgrades to determine which services are using old versions of libraries and need restarting. [CUST-0830]
https://your-domain.example.org/controls/CUST-0830/
- Install debsecan to generate lists of vulnerabilities which affect this installation. [CUST-0870]
https://your-domain.example.org/controls/CUST-0870/
- Install fail2ban to automatically ban hosts that commit multiple authentication errors. [DEB-0880]
https://cisofy.com/controls/DEB-0880/
- Set a password on GRUB bootloader to prevent altering boot configuration (e.g. boot in single user mode without password) [BOOT-5122]
https://cisofy.com/controls/BOOT-5122/
- Determine runlevel and services at startup [BOOT-5180]
https://cisofy.com/controls/BOOT-5180/
- Check process listing for processes waiting for IO requests [PROC-3614]
https://cisofy.com/controls/PROC-3614/
- Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [AUTH-9262]
https://cisofy.com/controls/AUTH-9262/
- Configure password aging limits to enforce password changing on a regular base [AUTH-9286]
https://cisofy.com/controls/AUTH-9286/
- Default umask in /etc/login.defs could be more strict like 027 [AUTH-9328]
https://cisofy.com/controls/AUTH-9328/
- Default umask in /etc/init.d/rc could be more strict like 027 [AUTH-9328]
https://cisofy.com/controls/AUTH-9328/
- To decrease the impact of a full /tmp file system, place /tmp on a separated partition [FILE-6310]
https://cisofy.com/controls/FILE-6310/
- To decrease the impact of a full /var file system, place /var on a separated partition [FILE-6310]
https://cisofy.com/controls/FILE-6310/
- Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [STRG-1840]
https://cisofy.com/controls/STRG-1840/
- Add the IP name and FQDN to /etc/hosts for proper name resolving [NAME-4404]
https://cisofy.com/controls/NAME-4404/
- Purge old/removed packages (190 found) with aptitude purge or dpkg --purge command. This will cleanup old configuration files, cron jobs and startup scripts. [PKGS-7346]
https://cisofy.com/controls/PKGS-7346/
- Install package apt-show-versions for patch management purposes [PKGS-7394]
https://cisofy.com/controls/PKGS-7394/
- Check your resolv.conf file and fill in a backup nameserver if possible [NETW-2705]
https://cisofy.com/controls/NETW-2705/
- Access to CUPS configuration could be more strict. [PRNT-2307]
https://cisofy.com/controls/PRNT-2307/
- You are adviced to hide the mail_name (option: smtpd_banner) from your postfix configuration. Use postconf -e or change your main.cf file (/etc/postfix/main.cf) [MAIL-8818]
https://cisofy.com/controls/MAIL-8818/
- Configure a firewall/packet filter to filter incoming and outgoing traffic [FIRE-4590]
https://cisofy.com/controls/FIRE-4590/
- Install Apache mod_evasive to guard webserver against DoS/brute force attempts [HTTP-6640]
https://cisofy.com/controls/HTTP-6640/
- Install Apache mod_qos to guard webserver against Slowloris attacks [HTTP-6641]
https://cisofy.com/controls/HTTP-6641/
- Install Apache mod_spamhaus to guard webserver against spammers [HTTP-6642]
https://cisofy.com/controls/HTTP-6642/
- Install Apache modsecurity to guard webserver against web application attacks [HTTP-6643]
https://cisofy.com/controls/HTTP-6643/
- Change the allow_url_fopen line to: allow_url_fopen = Off, to disable downloads via PHP [PHP-2376]
https://cisofy.com/controls/PHP-2376/
- Check what deleted files are still in use and why. [LOGG-2190]
https://cisofy.com/controls/LOGG-2190/
- Add a legal banner to /etc/issue, to warn unauthorized users [BANN-7126]
https://cisofy.com/controls/BANN-7126/
- Add legal banner to /etc/issue.net, to warn unauthorized users [BANN-7130]
https://cisofy.com/controls/BANN-7130/
- Enable process accounting [ACCT-9622]
https://cisofy.com/controls/ACCT-9622/
- Enable sysstat to collect accounting (no results) [ACCT-9626]
https://cisofy.com/controls/ACCT-9626/
- Enable auditd to collect audit information [ACCT-9628]
https://cisofy.com/controls/ACCT-9628/
- Check available certificates for expiration [CRYP-7902]
https://cisofy.com/controls/CRYP-7902/
- Install a file integrity tool to monitor changes to critical and sensitive files [FINT-4350]
https://cisofy.com/controls/FINT-4350/
- Determine if automation tools are present for system management [TOOL-5002]
https://cisofy.com/controls/TOOL-5002/
- One or more sysctl values differ from the scan profile and could be tweaked [KRNL-6000]
https://cisofy.com/controls/KRNL-6000/
- Harden compilers like restricting access to root user only [HRDN-7222]
https://cisofy.com/controls/HRDN-7222/
Follow-up:
----------------------------
- Check the logfile for more details (less /var/log/lynis.log)
- Read security controls texts (https://cisofy.com)
- Use --upload to upload data (Lynis Enterprise users)
================================================================================
Lynis security scan details:
Hardening index : 62 [############ ]
Tests performed : 197
Plugins enabled : 1
Quick overview:
- Firewall [X] - Malware scanner [V]
Lynis Modules:
- Heuristics Check [NA] - Security Audit [V]
- Compliance Tests [X] - Vulnerability Scan [V]
Files:
- Test and debug information : /var/log/lynis.log
- Report data : /var/log/lynis-report.dat
================================================================================
Tip: Disable all tests which are not relevant or are too strict for the
purpose of this particular machine. This will remove unwanted suggestions
and also boost the hardening index. Each test should be properly analyzed
to see if the related risks can be accepted, before disabling the test.
================================================================================
Lynis 2.1.1
Auditing, hardening and compliance for BSD, Linux, Mac OS and Unix
Copyright 2007-2015 - CISOfy, https://cisofy.com
Enterprise support and plugins available via CISOfy
================================================================================Contenu de /var/log/lynis.log
- Report data : /var/log/lynis-report.dat
Que faut-il que je fasse pour résoudre les problèmes ?
D'avance merci
Dernière modification par Arnold59 (Le 20/01/2016, à 21:32)
Hors ligne
#2 Le 20/01/2016, à 22:05
- J5012
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
1/ qu'est-ce donc cette generation parano ?
2/ on n'utilise pas les outils quand on ne sait pas les analyser
3/ tu utilises chrome/chromium ?
4/ installé à partir du net ? quelle procedure as-tu suivi ?
Hors ligne
#3 Le 20/01/2016, à 22:30
- tiramiseb
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
C'est clair, on a une recrudescence de paranos ici ces derniers jours !
En tout cas, Arnold59, ce que ces deux outils disent c'est qu'il n'y a rien de problématique sur ton PC.
À la limite tu peux virer Postfix, ça n'a rien à faire sur un poste de travail...
Ce qu'il faudrait voir plutôt, pour commencer, c'est quels sont les trucs en écoute... que donne cette commande ?
sudo netstat -tlnpuSébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#4 Le 20/01/2016, à 23:52
- Arnold59
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Bonsoir,
Merci à tous les 2.
Ce n'est pas de la parano, juste que j'ai "warning", je me pose la question si c'est normal ?
Egalement j'en profites pour faire du nettoyage.
Coté sécurité ; Pare-feu, Antivirus, filtrage spam mail, blocage e pub sur mes navigateurs ( Google Chrome, Firefox, ).
Je me connecte parfois sur des réseaux publics, je souhaiterais sécurisé au mieux Linux ;-)
Merci
Dernière modification par Arnold59 (Le 20/01/2016, à 23:52)
Hors ligne
#5 Le 20/01/2016, à 23:59
- tiramiseb
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Pour se protéger au mieux sur un réseau public : ne rien installer qui soit en écoute 
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#6 Le 21/01/2016, à 08:35
- J5012
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Bonsoir,
Merci à tous les 2.
Ce n'est pas de la parano, juste que j'ai "warning", je me pose la question si c'est normal ?
Egalement j'en profites pour faire du nettoyage.
Coté sécurité ; Pare-feu, Antivirus, filtrage spam mail, blocage e pub sur mes navigateurs ( Google Chrome, Firefox, ).
Je me connecte parfois sur des réseaux publics, je souhaiterais sécurisé au mieux Linux ;-)
Merci
utiliser des outils comme rkhunter, chkrootkit ou meme lynis ... c'est faire apologie de la parano 
serieusement tu devrais plutot faire attention à :
- ne pas installer hors depots officiels sans que tu n'aies atteint un certain niveau d'expertise
- ne pas utiliser d'outils à double tranchant comme les analyseurs et autres detecteurs ...
- il te serait vachement plus utile d'apprendre le noyau linux !
se jeter sur les bling bling de la secu au lieu de monter en competences sur le systeme ? 
Hors ligne
#7 Le 21/01/2016, à 21:44
- Arnold59
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Bonsoir,
Merci pour vos réponses.
J'ai lancé ces logiciels rkhunter, chkrootkit, Lynis et ce matin Tiger afin de voir si présence de malware "keylogger".
La raison étant que récemment une clé USB a été montée sur le système et un fichier contenait un script malveillant du genre page web ).
Le noyau Linux de Ubuntuj est 4.2.0-25
uname -a
Linux 4.2.0-25-generic #30-Ubuntu
Quant à Linux, j'apprends chaque jour de nouvelle fonctionnalités.
Si vous avez des astuces pour détecter rapidement présence de logiciels malveillants ..., indiqué moi la méthode.
D'avance merci
Hors ligne
#8 Le 21/01/2016, à 21:58
- J5012
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
et ta cle usb avait-elle un fichier autorun.inf ou autorun.ini ?
le system gvfs/fuse ou mount/fuse est fait de telle facon que par defaut aucun executable quel qu'il soit ne peut s'executer tout seul ...
Hors ligne
#9 Le 21/01/2016, à 22:03
- Arnold59
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Bonjour,
Je ne pense pas que la cle usb avait un fichier autorun.inf ou autorun.ini.
C'est un ami qui m'avait partager une source via sa clé USB.
La source me parait vérolé. Comment détecter si présence d'un keylogger sur la clé et système Linux ?
Dernière modification par Arnold59 (Le 21/01/2016, à 22:05)
Hors ligne
#10 Le 21/01/2016, à 22:11
- J5012
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
si c'est une page web, et que le script malveillant est un js
tu peux l'editer et lire ce qu'il fait ... la page web tu peux l'ouvrir en mode edition ...
si c'est un binaire, il faut que celui-ci soit du code pour linux dans une certaine forme : meme un fichier binaire en langage assembleur si son code est incorrectement ciblé, echouera ... par ex si il est ciblé pour w il ne s'executera pas sans une config correcte de wine ...
pour lire le binaire il suffit de l'editer avec une editeur hexa, et un entete elf pour linux ou msw32 pour w se verra en clair ...
Dernière modification par J5012 (Le 21/01/2016, à 22:12)
Hors ligne
#11 Le 21/01/2016, à 22:25
- Arnold59
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Merci de ta remarque,
Il me semble que c'était un script js, malveillant je ne sais pas, mais j'ai supprimé la page html ainsi que les répertoires contenant php et js.
Je souhaites m'assurer que rien ne s'est installé.
Hors ligne
#12 Le 21/01/2016, à 22:37
- J5012
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
il ne peuvent s'installer sans droits d'ecriture ! et firefox n'en donne pas ...
pour ecrire à partir d'un code html/js/etc... , il faudrait que tu aies la bonne configuration serveur http + modules d'execution !
Hors ligne
#13 Le 21/01/2016, à 23:17
- Arnold59
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
En clair tu me confirme que rien ne peut se lancer depuis une page web
Est-ce le cas pour tous les navigateurs Google Chrome, Opera ?
J'ai également une question, comment vérifie-ton les processus actifs sous Linux ?
Une fois ça la non présence de processus "douteux", je pense que le problème sera résolu 
Dernière modification par Arnold59 (Le 21/01/2016, à 23:18)
Hors ligne
#14 Le 21/01/2016, à 23:25
- smokeh
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
juste par curiosité pourquoi tu te poses autant de questions sur la sécurité de ton système d'exploitation? si tu veux tester des choses trivial il existe les sandbox sous windows et linux...
Hors ligne
#15 Le 23/01/2016, à 11:48
- chinois02
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Google chrome a une carractéristique désagréable: il accepte l'installation de modules à la volée sans que tu ne sois averti.
D'où: https://forum.ubuntu-fr.org/viewtopic.php?id=1792111
N'importe qui peut voir ce que tu sembles être; quelques rares seulement peuvent tâter ce que tu est. Et ces derniers n'osent contredire l'opinion du grand nombre, renforcés par toute la majesté de l'État. Machiavel-Le Prince.
Hors ligne
#16 Le 23/01/2016, à 14:21
- J5012
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
En clair tu me confirme que rien ne peut se lancer depuis une page web
Est-ce le cas pour tous les navigateurs Google Chrome, Opera ?
J'ai également une question, comment vérifie-ton les processus actifs sous Linux ?
Une fois ça la non présence de processus "douteux", je pense que le problème sera résolu
je ne confirme pas que rien ne peut se lancer depuis une page web, parce que ce n'est pas ce que j'ai dit ...
si tu ne comprends ce que j'ai dit, tu ferais mieux de faire ce que j'ai suggeré : tu dois monter en competences !
chaque application sous gnulinux s'execute dans un contexte bien defini, et ne peut en sortir sans autorisation; si il y a attaque , elle restera confinée à ce contexte ...
le moniteur systeme, mais je crains que la liste des taches te donne davantage d'inquietudes que d'assurances, en effet sans competences idoines, tu seras enclin à la plus grande paranoia , tout simplement parce que c'est la reaction la plus facile ...
le seul moyen de te rassurer c'est de combattre l'ignorance qui est le terrain fertile aux campagnes de fud (peur, doute incertitude)
Hors ligne
#17 Le 23/03/2016, à 01:43
- Arnold59
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Bonsoir,
Merci à tous, tiramiseb j'obtiens avec la commane netstat -tlnpu le résultat suivant
netstat -tlnpu
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 481/rpcbind
tcp 0 0 0.0.0.0:52658 0.0.0.0:* LISTEN 517/rpc.statd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 853/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 850/exim4
tcp6 0 0 :::39815 :::* LISTEN 517/rpc.statd
tcp6 0 0 :::111 :::* LISTEN 481/rpcbind
tcp6 0 0 ::1:631 :::* LISTEN 853/cupsd
tcp6 0 0 ::1:25 :::* LISTEN 850/exim4
udp 0 0 0.0.0.0:35585 0.0.0.0:* 563/avahi-daemon: r
udp 0 0 0.0.0.0:1900 0.0.0.0:* 579/minissdpd
udp 0 0 0.0.0.0:29037 0.0.0.0:* 5993/dhclient
udp 0 0 0.0.0.0:68 0.0.0.0:* 5993/dhclient
udp 0 0 0.0.0.0:111 0.0.0.0:* 481/rpcbind
udp 0 0 0.0.0.0:631 0.0.0.0:* 854/cups-browsed
udp 0 0 0.0.0.0:639 0.0.0.0:* 481/rpcbind
udp 0 0 0.0.0.0:47768 0.0.0.0:* 517/rpc.statd
udp 0 0 127.0.0.1:693 0.0.0.0:* 517/rpc.statd
udp 0 0 0.0.0.0:5353 0.0.0.0:* 563/avahi-daemon: r
udp6 0 0 :::37715 :::* 517/rpc.statd
udp6 0 0 :::43432 :::* 563/avahi-daemon: r
udp6 0 0 :::35807 :::* 5993/dhclient
udp6 0 0 :::111 :::* 481/rpcbind
udp6 0 0 :::639 :::* 481/rpcbind
udp6 0 0 :::5353 :::* 563/avahi-daemon: rEst-ce normal ?
D'avance merci
Hors ligne
#18 Le 23/03/2016, à 03:37
- Rufus T. Firefly
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Attention, il y a un virus développé par Apple Inc. pour Mac OS® X
tcp6 0 ::1:631 :::* LISTEN 853/cupsd Pour le voir de plus près, tape ceci dans ton navigateur (ça ne risque plus rien, puisqu'il est déjà partout...) :
localhost:631Dernière modification par Rufus T. Firefly (Le 23/03/2016, à 03:39)
La provocation est une façon de remettre la réalité sur ses pieds. (Bertolt Brecht)
Il n'y a pas de route royale pour la science et ceux-là seulement ont chance d'arriver à ses sommets lumineux qui ne craignent pas de se fatiguer à gravir ses sentiers escarpés. (Karl Marx)
Il est devenu plus facile de penser la fin du monde que la fin du capitalisme
Hors ligne
#19 Le 23/03/2016, à 07:45
- Compte supprimé
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Se moquer est une forme d'aide assez particulière.. Tu appliques ta théorie sur la provocation ?
Dernière modification par Compte supprimé (Le 23/03/2016, à 08:12)
#20 Le 23/03/2016, à 12:23
- Rufus T. Firefly
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Se moquer est une forme d'aide assez particulière.. Tu appliques ta théorie sur la provocation ?
Un peu... Parce qu'il y a quand même 5 496 279 messages sur le forum, et à ma connaissance pas un seul virus ou autre cochonnerie n'a jamais été dûment confirmé. En outre, presque chaque fois qu'un virus, jamais confirmé donc, a été signalé, c'était suite au genre d'essais que fait Arnold59, sans pourtant que le système présente la moindre anomalie de fonctionnement qui permettrait éventuellement d'en suspecter un (il n'y a qu'à regarder à quoi ressemble un w$ vérolé, pour avoir une idée ! 
)...
Enfin, la plupart des gens n'ont installé ni anti-virus, ni pare-feu ni quoi que ce soit de ce genre... Et ils ne s'en portent pas plus mal...
Ce qui m'énerve un peu, c'est qu'il y a ces derniers temps une vague d'articles alarmistes de (mauvaise) presse sur l'insécurité prétendue de linux (souvent écrits par des fabricants d'anti-virus, qui voient sans doute là un marché même relativement petit à conquérir) et que cette "paranoïa" commence à diffuser.
Dernière modification par Rufus T. Firefly (Le 23/03/2016, à 13:15)
La provocation est une façon de remettre la réalité sur ses pieds. (Bertolt Brecht)
Il n'y a pas de route royale pour la science et ceux-là seulement ont chance d'arriver à ses sommets lumineux qui ne craignent pas de se fatiguer à gravir ses sentiers escarpés. (Karl Marx)
Il est devenu plus facile de penser la fin du monde que la fin du capitalisme
Hors ligne
#21 Le 23/03/2016, à 13:04
- nam1962
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Tiens, par contre le retour de
sudo apt update
cat /etc/apt/sources.list
ls /etc/apt/sources.list.dserait intéressant
Dernière modification par nam1962 (Le 23/03/2016, à 13:04)
[ Modéré ]
Hors ligne
#22 Le 23/03/2016, à 18:06
- jean-luc5629
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Arnold59:
Actuellement j'avais antivirus Clamav/ Clamtk et pare-feu (iptable et Gufw ) activé et bloque les ports par défaut.
Aujourd'hui j'ai installé rkhunter, chkrootkit, Lynis
Pour une sécurité optimale sur ton poste de travail, il te manque :
Portsentry, Fail2ban, DenyHost,...
à ta panoplie
Hors ligne
#23 Le 23/03/2016, à 18:37
- choops
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Question idiote ... Qu'est-ce qui justifie le titre alarmiste de ce thread, sinon une parano mal placée ?
Même en plongeant fastidieusement dans les logs présentés (oui, c'est fastidieux, parce que éplucher ça c'est long et souvent, comme ici, pour rien), il n'y a rien qui peut faire croire à la présence d'un keylogger.
Un "warning", n'est qu'un "warning", ce n'est pas un problème évident démasqué. Ca peut simplement tenir au degré de sécurité de ton mot de passe de session, par exemple, ce qui ne veut pas dire que tu as été infecté.
... et je ne sais même pas pourquoi je réponds si ce n'est que cette parano sur du vide est tout à fait hallucinante ...
Ceci dit, je suis curieux d'avoir la réponse à la question de nam1962, juste pour voir si la peur de faire des choses pas propres sur un système passe aussi par le fait de ne pas utiliser des ppa pour quelqu'un qui bricole avec des outils complexes de sécurité sans en comprendre les retours.
Hors ligne
#24 Le 24/04/2016, à 23:05
- Arnold59
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
Bonjour à tous,
Merci pour vos précisions.
La base était de vérifier si le système était propore.
1) Mise à jour régulière : apt-get update , apt-get upgrade
cat /etc/apt/sources.list
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# Installation depuis DVD Ubuntu 15.05 - Vivid Vervet
# deb cdrom:[Ubuntu 15.04 _Vivid Vervet_ - Release i386 (20150422)]/ vivid main restricted
# Dépots Main (libres) et Restricted (non-libres) maintenues par les développeurs d'Ubuntu
deb http://archive.ubuntu.com/ubuntu wily main restricted
deb-src http://archive.ubuntu.com/ubuntu/ wily main restricted
deb-src http://fr.archive.ubuntu.com/ubuntu/ wily main restricted
# Dépots Universe et Multiverse, maintenues par les MOTU
deb http://archive.ubuntu.com/ubuntu wily universe multiverse
deb-src http://fr.archive.ubuntu.com/ubuntu/ wily universe multiverse
deb-src http://archive.ubuntu.com/ubuntu/ wily universe multiverse
# Dépôt pour les mises à jour
deb http://archive.ubuntu.com/ubuntu/ wily-updates main restricted universe multiverse
deb-src http://fr.archive.ubuntu.com/ubuntu/ wily-updates main restricted universe multiverse
deb-src http://archive.ubuntu.com/ubuntu/ wily-updates main restricted universe multiverse
# Dépots lié à sécurité
deb http://archive.ubuntu.com/ubuntu wily-security main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu wily-security main restricted universe multiverse
deb-src http://archive.ubuntu.com/ubuntu wily-security main restricted universe multiverse
deb-src http://security.ubuntu.com/ubuntu/ wily-security main restricted universe multiverse
# backports ou rétro-portage
deb http://archive.ubuntu.com/ubuntu wily-backports main restricted universe multiverse
deb-src http://archive.ubuntu.com/ubuntu wily-backports main restricted universe multiverse
deb-src http://fr.archive.ubuntu.com/ubuntu/ wily-backports main restricted universe multiverse
# Dépôt partenaire ou Dépôt commercial
deb http://archive.canonical.com/ubuntu wily partner
deb-src http://archive.canonical.com/ubuntu wily partner
# Proposed
# deb http://archive.ubuntu.com/ubuntu vivid-proposed main restricted universe multiverse
# Autres logiciels
##Opera Browser (Final release
deb http://deb.opera.com/opera stable non-free
# Google Chrome 32 bits ( abandonné par Google)
## Google earth
deb http://dl.google.com/linux/earth/deb stable mainls /etc/apt/sources.list.d --> Google Chrome : Google ne maintient plus son navigateur pour LInux 32 Bits
2) Un minimum de sécurité :
Pare-feu : iptables,
Antivirus ClamAV ( maintenu à ce jour par Google )
Et l'analyse des logs pour voir si tout est normal.
Ce n'est pas être parano, juste vérifier que Linux Ubuntu soit sain :-)
Dernière modification par Arnold59 (Le 24/04/2016, à 23:35)
Hors ligne
#25 Le 28/04/2016, à 09:58
- J5012
Re : [Ubuntu 15.10] Présence de logiciels malveillants keyloggers ...
imaginer, penser que ubuntu ne soit pas sain c'est justement de la parano ...
Hors ligne