[résolu] malware sous ubuntu

azer2010 · Le 11/04/2021, à 12:35

hello comment peut ton vérifier que sous ubuntu nous sommes bien en sécurité sans un logiciel malveillant installé a notre insu?

il y a t'il des moyens pour vérifier que notre machine est clean

merci

Dernière modification par azer2010 (Le 10/06/2021, à 14:15)

iznobe · Le 11/04/2021, à 13:02

Bonjour , il suffit d ' eplucher le code source de chaque fichier .
vu qu ' il n' y a pas de fichier binaire ( sauf si tu en as installé ) , tous les fichiers sont verifiables .

Beta Pictoris · Le 11/04/2021, à 13:17

Tu peux commencer avec ces outils :
L'antivirus clamav: https://doc.ubuntu-fr.org/clamav
Le script rkhunter: https://doc.ubuntu-fr.org/rkhunter

Dernière modification par Beta Pictoris (Le 11/04/2021, à 13:17)

bruno · Le 13/04/2021, à 16:36

Bon, encore une fois il n'y pas, ou c'est absolument rarissime, de logiciel malveillant sous GNU/Linux qui s'installent à ton insu.
Donc pas besoin d'antitruc et anti-machins. On n'est pas sous Windows.

iznobe a écrit :

vu qu ' il n' y a pas de fichier binaire

Celle-là je la conserve pour mon bêtisier personnel.

L'antivirus clamav: https://doc.ubuntu-fr.org/clamav

Clamav ne sert pratiquement que pour détecter des menaces concernant Windows.

Le script rkhunter: https://doc.ubuntu-fr.org/rkhunter

Totalement inutile sur une machine de bureau avec un usage normal. C'est un outil réservé aux spécialistes essentiellement destiné aux analyses post-mortem.

iznobe · Le 13/04/2021, à 16:52

deja , il faut pas tirer une partie de phrase , la phrase complete est :

iznobe a écrit :

vu qu ' il n' y a pas de fichier binaire ( sauf si tu en as installé ) , tous les fichiers sont verifiables .

le principe a la base de l' open souce , c' est pas justement de n' avoir que du code et donc pas de fichier binaires ilisible humainement et lisible uniquement par les ordis ?

qui veut dire " code ouvert " en traduction litteralle ne s' apllique pas a ubuntu et au noyau ?

https://fr.wikipedia.org/wiki/Open_source

moi je crois ce qu on me dit ( a tort peut etre ) et a la philosophie open source en tout cas .

Dernière modification par iznobe (Le 13/04/2021, à 16:56)

erresse · Le 13/04/2021, à 17:27

iznobe a écrit :

moi je crois ce qu on me dit ( a tort peut etre ) et a la philosophie open source en tout cas .

Tu as bien raison d'y croire, mais pour autant, le fait que la majeure partie des applications de l'univers Linux soient "open-source" ne signifie pas qu'il n'y a pas de fichier binaire dans ton système... Et les exécutables, alors, tu crois qu'ils sont en langage humainement lisible ?
C'est vrai que pour un exécutable en binaire, rien n'empêche de se procurer le code source de ce programme s'il est open-source, mais ce n'est pas le fichier source qui fait fonctionner la machine, c'est bien le fichier binaire.
Je pense que c'est là tout ce que voulait dire bruno avec sa remarque, et je ne pense pas que c'était méchamment dit.

Dernière modification par erresse (Le 13/04/2021, à 17:27)

bruno · Le 13/04/2021, à 18:38

Il n'y avait aucune méchanceté, juste un peu d'ironie.
Effectivement la majorité des logiciels fournis par Ubuntu l'est sous forme de programmes et bibliothèques compilés, donc de fichiers binaires.

Avoir accès au code source ne te garanti pas que le binaire fourni a été compilé à partir de ce code source. En l'occurrence tu fais confiance à Ubuntu pour te fournir des binaires dans lesquels rien de malveillant n'a été introduit.

D'où l'importance pour garder un système sécurisé de :
- n'utiliser que les dépôts officiels Ubuntu ;
- si on doit utiliser autre chose pour installer un logiciel le faire avec la plus grande prudence (y compris avec les snaps) ;
- faire régulièrement les mises à jour qui sont proposées.
Et c'est amplement suffisant sans installer des trucs inutiles auquel l'utilisateur de base ne va rien comprendre ou qui vont lui donner un faux sentiment de sécurité.

iznobe · Le 13/04/2021, à 18:53

oui c' est sur que sans compilation , l' ordi ne peut rien comprendre , mais theoriquement , avec les fichiers source , il est possible de verifier que ca correspond .
il suffit de compiler a partir des sources données et de verifier les checksum des fichiers obtenus avant de les copier dans /opt ou /usr/bin par exemple . evidemment personne ne fait ca , il faudrait passer sa vie avant d' installer ubuntu par exemple , mais c ' est logiquement verifiable .

et c ' est d' ailleurs le open source qui donne toute sa force au noyau linux et a ubuntu , tout le monde peut ameliorer , ajouter des fonctions ou corriger des bugs sur l' appli de son choix ( si on a les connaissances ) .

c ' est parfois pas evident de ne pas rajouter des depots , ou de ne pas installer de pilotes proprietaires selon les besoins .

Bref j ' essayais de faire simple , mais c ' est rater pour dire que ca n' etait pas tres utile de se preoccuper de malwares ou autres car logiquement tout le monde peut verifier le contenu des paquets open source ...

Dernière modification par iznobe (Le 13/04/2021, à 19:00)

bruno · Le 13/04/2021, à 19:37

Nous sommes a peu près d'accord.
Le caractère open source ou plutôt libre est l'un des facteurs qui qu'il n'y a pas de logiciel malveillant sous GNU/Linux. Mais ce n'est pas le seul, loin de là.
Il y a aussi toute la chaîne de confiance qui va du dépôt de code source jusqu'à la fourniture de paquets logiciels par la distribution. Cette confiance étant renforcée par divers mécanismes, notamment la signature des dépôts (clés).
Cette chaîne de confiance peut être cassée, et donc la sécurité diminuée, par certains systèmes de distribution des logiciels : snap ou flatpak pour les plus connus.
Un autre facteur très important est la conception même du système qui rend le développement de logiciels malveillants extrêmement difficile.

Un article assez ancien mais qui a toujours son intérêt, y compris certains avis de tiers en fin d'article :
http://pjarillon.free.fr/redac/virus.html

iznobe · Le 13/04/2021, à 19:49

c sur que tout ca y contribue tres fortement

merci pour le lien , je regarderais ca ce soir apres manger , @ +

Beta Pictoris · Le 13/04/2021, à 20:50

bruno a écrit :

Clamav ne sert pratiquement que pour détecter des menaces concernant Windows.

Je l'utilise sous linux pour analyser des programmes tierces (compilés ou pas d'ailleurs) avant de les lancer.

bruno a écrit :

Le script rkhunter: https://doc.ubuntu-fr.org/rkhunter
Totalement inutile sur une machine de bureau avec un usage normal. C'est un outil réservé aux spécialistes essentiellement destiné aux analyses post-mortem.

J'installe ça sur des serveurs avec l'activation de la notification par mail. Exceptionnellement, je peux lancer sur une station de travail vérifier qu'il n'y ait pas de problème.
Rkhunter compare le hashage des fichiers binaires aux informations trouvées dans la base dpkg. De plus, il donne des conseils.

Dernière modification par Beta Pictoris (Le 13/04/2021, à 20:51)

Caribou22 · Le 13/04/2021, à 21:15

Bonjour

Il me semble que aussi fiable soit Ubuntu ou n'importe quelle distribution Linux, il peut y avoir le risque d'installer une extension malveillante dans son navigateur web.
Mais sous Ubuntu, c'est très improbable que ça arrive à notre insu.

bruno · Le 18/04/2021, à 08:16

Caribou22 a écrit :

il peut y avoir le risque d'installer une extension malveillante dans son navigateur web

Je n'en ai jamais vu sous Linux avec Firefox mais cela existe bel et bien (au moins pour Windows).
Évidemment, comme pour le reste, il ne faut installer que des extensions « officielles », testées et reconnues et pas pêchées n'importe où sur l'Internet.
Il n'y a pas de protection efficace contre les mauvaises manipulations de l'utilisateur

Pending... · Le 23/05/2021, à 00:13

iznobe a écrit :

Bonjour , il suffit d ' eplucher le code source de chaque fichier .
vu qu ' il n' y a pas de fichier binaire ( sauf si tu en as installé ) , tous les fichiers sont verifiables .

La vache, ça c'est du conseil ! En théorie, c'est simple effectivement, il "suffirait" d'éplucher le code source.

En pratique, malgré tous ceux qui y bossent dessus et qui sont suffisamment compétents pour le faire, il continue à y avoir noir de bugs et de failles de sécurité. On pourrait même pousser le vice à dire qu'il doit être tout à fait possible d'écrire volontairement des erreurs dans le code afin de laisser une "backdoor" qui soit en fait une simple erreur d'écriture (de type "race conditions" par exemple) parfaitement exploitable et parfaitement invisible.

L'esprit humain n'est pas assez intelligent pour écrire du code parfait, on est forcé de commettre des erreurs d'écriture au moins proportionnelles dans leur nombre à la complexité et à la longueur du code en question. On n'est donc pas assez intelligent pour lire du code et détecter toutes les erreurs : à un certain niveau, ça devient trop complexe pour que notre esprit puisse modéliser toutes les interactions qu'implique le programme, et raisonner dessus. Donc, que l'on écrive ou que l'on ne fasse que lire du code, on laissera forcément passer des erreurs. Et certaines de ces erreurs seront critiques et exploitables.

Maintenant, exploiter ces erreurs, ce n'est évidemment pas donner à tout le monde : il faut pouvoir détecter les bugs critiques, et ensuite écrire de quoi les utiliser pour compromettre le système visé. Et ça, c'est AVANT de pouvoir faire installer un trojan ou un rootkit !

Dit autrement, pour quelqu'un qui a une bonne "hygiène informatique" sur Linux, c'est assez hors de propos, bien qu'il reste dans ces cas-là encore quelques possibilités d'être piraté, mais là, ça sera ciblé ("evil maid attack" par exemple) : combien d'entre nous sont suffisamment "paranos" pour avoir un mot de passe Bios et de la cire sur les vis de son ordinateur ? Et combien d'entre nous seront la cible d'une "femme de ménage diabolique" ?

Concernant les malwares sur Linux ou Ubuntu, ça existe évidemment, mais comme indiqué dans le paragraphe précédent, qui va en être la cible ? Si moi, je me suis personnellement construit mon propre rootkit, est-ce que je vais l'utiliser tout azimut à l'aveugle ? Ou plutôt le garder dans mes archives... si je devais un jour cibler quelqu'un en particulier ? Et combien de personnes aurait la malchance de devenir MA cible ? Statistiquement, c'est très très improbable, d'autant plus qu'il est tellement admis qu'il n'existe pas de trojans ou de rootkits en circulation sur Ubuntu que si l'on devait en avoir un d'installé, on ne s'en rendrait jamais compte, tout simplement, car sur les forums, tout le monde nous dirait que ça n'existe pas ou que c'est trop improbable pour tout éplucher. Au pire, la réinstallation serait conseillé, et le rootkit en question supprimé, comme s'il n'avait jamais existé !

Je vais même ajouter ceci : si je devais personnellement concevoir un rootkit, je fréquenterais sans doute ce genre de forums afin de savoir quelles sont les méthodes utilisées pour détecter les malwares afin d'adapter le mien pour qu'il contourne ces méthodes précises. Du coup, on tourne en rond : si l'on n'a pas la compétence pour en écrire un, on n'a possiblement pas la compétence pour en détecter un, malgré ce que l'on aimerait croire.

Pour clore, et concernant rkhunter : d'après ce que je viens d'écrire, et si l'on se penche sur le fonctionnement de rkhunter, on conclue que l'on peut donc écrire des malwares EN FONCTION du fonctionnement de rkhunter, comme on peut écrire un malware EN FONCTION des méthodes de détection préconisées sur les forums Linux ou Ubuntu. Je serais un âne d'écrire un rootkit ou un trojan si rkhunter (ou d'autres programmes de ce type) ou si les méthodes classiques permettaient de le détecter en 2 minutes, non ?

Dernière chose concernant rkhunter : il s'agit d'un script qui détecte si le système a été compromis d'après un certain nombre de modifications "types". Deux possibilités : il a été compromis mais le malware fonctionne en mode user et dans ce cas, il ne détectera pas grand chose, voir rien du tout, ou il a été compromis et le malware a les droits root, et dans ce cas, il peut, AU MINIMUM, patcher rkhunter pour se rendre invisible à ses yeux.

Ça fait beaucoup de serpents qui se mordent la queue !

azer2010 · Le 24/05/2021, à 23:51

Pending... a écrit :

iznobe a écrit :
Bonjour , il suffit d ' eplucher le code source de chaque fichier .
vu qu ' il n' y a pas de fichier binaire ( sauf si tu en as installé ) , tous les fichiers sont verifiables .
......

merci pour l'attention et de cette belle explication, bravo bravo !!!!

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 11/04/2021, à 12:35

[résolu] malware sous ubuntu

#2 Le 11/04/2021, à 13:02

Re : [résolu] malware sous ubuntu

#3 Le 11/04/2021, à 13:17

Re : [résolu] malware sous ubuntu

#4 Le 13/04/2021, à 16:36

Re : [résolu] malware sous ubuntu

#5 Le 13/04/2021, à 16:52

Re : [résolu] malware sous ubuntu

#6 Le 13/04/2021, à 17:27

Re : [résolu] malware sous ubuntu

#7 Le 13/04/2021, à 18:38

Re : [résolu] malware sous ubuntu

#8 Le 13/04/2021, à 18:53

Re : [résolu] malware sous ubuntu

#9 Le 13/04/2021, à 19:37

Re : [résolu] malware sous ubuntu

#10 Le 13/04/2021, à 19:49

Re : [résolu] malware sous ubuntu

#11 Le 13/04/2021, à 20:50

Re : [résolu] malware sous ubuntu

#12 Le 13/04/2021, à 21:15

Re : [résolu] malware sous ubuntu

#13 Le 18/04/2021, à 08:16

Re : [résolu] malware sous ubuntu

#14 Le 23/05/2021, à 00:13

Re : [résolu] malware sous ubuntu

#15 Le 24/05/2021, à 23:51

Re : [résolu] malware sous ubuntu

Pied de page des forums