Ubuntu-fr

roder

comment savoir si mon pc est piraté ?

salut,

depuis peu dès que j'efface les traces sous firefox 3.0.14, j'ai le pointeur de la souris qui se balade tout seul d'un point à l'autre de mon écran, des clique gauche, cube qui tourne...

J'ai cru a un mauvais fonctionnement de ma souris mais non.

Je me demande s'il est possible de prendre la main à distance sur mon pc et si oui comment je pourrai m'en apercevoir.
J'ai l'impression que qu'un manipule la souris à ma place

Je suis peut-être parano mais c'est une question de sécurité importante.

mon pc est régulièrement mise à jour, j'ai peut-être installé un pakage peu fiable sans faire attention.
si on peut m'aider

merci

Dernière modification par roder (Le 09/10/2009, à 00:07)

herberts

Re : comment savoir si mon pc est piraté ?

as tu installé vnc par hasard ?

freaxmind

Re : comment savoir si mon pc est piraté ?

Linux dipose de plusieurs logiciel qui permette de détécter les intrusions comme snort.

Pour voir si ton pc est piraté, tu peux effectuer des actions très simple:
- regarder les services lancés
- regarder les processus lancé
- écouter le trafics, les ports ouverts, les fichiers ouverts

...

Si tu n'as pas executé de script étrange, tu ne devrais pas avoir d'infection. As tu un serveur ssh par exemple ? Un serveur web mal configuré ?

Sinon, regarde simplement sous google si tu vois un cas semblable

roder

Re : comment savoir si mon pc est piraté ?

Linux dipose de plusieurs logiciel qui permette de détécter les intrusions comme snort.

Pour voir si ton pc est piraté, tu peux effectuer des actions très simple:
- regarder les services lancés
- regarder les processus lancé
- écouter le trafics, les ports ouverts, les fichiers ouverts

ok je veux bien comment on fait?

Si tu n'as pas executé de script étrange, tu ne devrais pas avoir d'infection. As tu un serveur ssh par exemple ? Un serveur web mal configuré ?

pas de serveur web, mais executer un scropt étrage possible sans trop savoir, le dernier package que j'ai installé était pour installer des apparances wallpaper...

Sinon, regarde simplement sous google si tu vois un cas semblable

ok
autrement pas d'installation de vnc

Dernière modification par roder (Le 09/10/2009, à 00:18)

roder

Re : comment savoir si mon pc est piraté ?

j'ai bien installer snort suivant la documentation ubuntu,

ensuite comme indiqué :

sudo aptitude install logcheck logcheck-database rkhunter binutils

Ensuite lancez RootKit Hunter:

sudo -s

rkhunter -c

il est écrit dans la doc:

Et veillez à prendre chaque message de mise en garde au sérieux…

Le pb c'est que j'ai des ([warning] mais je ne sais pas quoi faire?

roder

Re : comment savoir si mon pc est piraté ?

pas de réponse?

l'utilisation de snort me parît trop compliqé

zapple

Re : comment savoir si mon pc est piraté ?

Ben si tu nous donnais tes messages de warning ?

mydjey

Re : comment savoir si mon pc est piraté ?

Si tu te déconnectes du réseau ta souris continue à bouger ?

Dernière modification par mydjey (Le 09/10/2009, à 20:57)

---

Mon site : http://mydjey.eu/

roder

Re : comment savoir si mon pc est piraté ?

bonjour merci de vos réponses

voila:

/usr/sbin/unhide                 [ Warning ]
/usr/sbin/unhide-linux26       [ Warning ]
Checking /dev for suspicious file types                  [ Warning ]

autrement je vais essayer de déconnecter le wifi et voir si le problème persiste

...

Dernière modification par roder (Le 09/10/2009, à 21:26)

zapple

Re : comment savoir si mon pc est piraté ?

Il faut aussi copier la ligne juste après le warning : elle donne le pourquoi du warning. Mais, pour les deux fichiers unhide et unhide-linux26, je sais déjà : le message te dis que d'après la liste des fichiers de rkhunter, ces fichiers ne devraient pas etre dans le répertoire /usr/sbin. Tu n'as rien à craindre pour ca : ces fichiers sont bien à leur place.

roder

Re : comment savoir si mon pc est piraté ?

voila,

/usr/sbin/unhide                                         [ Warning ]
    /usr/sbin/useradd                                        [ OK ]

/usr/sbin/unhide-linux26                                 [ Warning ]
rien en dessous

Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ None found]

zapple

Re : comment savoir si mon pc est piraté ?

Excuse-moi, j'avais oublié de préciser que le détail (l'explication) n'apparait que dans le fichier de log. Par défaut, ce fichier de log se trouve dans /var/log/rkhunter.log.

De toute facon, je pense que tu n'as rien : pour le warning sur /dev, à mon avis c'est /dev/shm/pulse-shm-XXXx : ces fichiers ont été créés par Pulse Audio.

Dernière modification par zapple (Le 09/10/2009, à 22:22)

roder

Re : comment savoir si mon pc est piraté ?

je crois que tu as raison

[21:21:02] /usr/sbin/unhide                                  [ Warning ]
[21:21:02] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file.

[21:21:03] /usr/sbin/unhide-linux26                          [ Warning ]
[21:21:03] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.

Checking /dev for suspicious file types         [ Warning ]
[21:23:51] Warning: Suspicious file types found in /dev:
[21:23:51]          /dev/shm/pulse-shm-334361220: data
[21:23:51]          /dev/shm/pulse-shm-1026166626: data
[21:23:51]   Checking for hidden files and directories       [ None found ]
[21:23:59]

autrement j'ai aussi ça:

[21:23:17]     Checking for hidden file extensions           [ None found ]
[21:23:17]     Running skdet command                         [ Skipped ]
[21:23:17] Info: Unable to find the 'skdet' command
[21:23:17]   Suckit Rookit additional checks                 [ OK ]

[21:23:26]   Checking for enabled xinetd services            [ Skipped ]
[21:23:26] Info: Check skipped - file '/etc/xinetd.conf' does not exist.

[21:23:25]   Checking for software intrusions                [ Skipped ]
[21:23:25] Info: Check skipped - tripwire not installed