partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-04-2013 à 14:38:29    

Je navigue dans mes répertoires partagés et là je découvre un partage samba que je ne connais pas.
Bizarre. Je ne sais pas comment faire pour savoir d'où ça vient. Je stoppe toutes les machines potentiellement en partage (syno, partages freebox désactivés) enfin ce que je sais faire.
 
Le partage est toujours là. Mode parano ON.
Je vais sans doute passer pour un niais m'enfin on ne sait jamais.
Pas de screenshot du partage en question parce que je n'y ai pas pensé à ce moment ; je n'ai retenu que le nom : LINUX-ESCOUADE.
Comme, de mémoire, je n'avais aucun partage avec un tel nom ...
 
Après reboot de mon PC, plus de partage en vue ...
 
Donc j'ai déjà entendu parler de rootkit ; je viens de passer rkhunter :
 

sudo rkhunter --checkall --report-warnings-only
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'


 
et chkrootkit :
 

sudo chkrootkit -q
 
/usr/lib/jvm/.java-1.6.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
 
eth0: PACKET SNIFFER(/sbin/dhclient[6072])


 
est-ce que ça vous paraît normal ?
 
Merci de votre coup de main =)
 


---------------
un instant monsieur ça-va-chier
Reply

Marsh Posté le 12-04-2013 à 14:38:29   

Reply

Marsh Posté le 12-04-2013 à 14:51:43    

Bon visiblement d'après ce que j'ai trouvé sur le net, rien de bizarre au niveau de mon pc.
En revanche je porte une attention particulière à mon NAS Synology ...
Je viens de me rendre compte que lorsque j'allais dans mon WORKGROUP, j'avais, avant le problème, "FREEBOX" et "SYNOLOGY" et que pendant le problème, j'avais "FREEBOX" et "LINUX-ESCOUADE".
 
:|


---------------
un instant monsieur ça-va-chier
Reply

Marsh Posté le 12-04-2013 à 15:49:30    

Il y a une escouade qui vient en renfort :o

 

Sinon je ne vois rien de spécial à tes 2 commandes non plus... étrange.


Message édité par Van Winkle le 12-04-2013 à 15:50:13

---------------
SAINT DENIS, SAINT DENIS, FON-FONKY FRESH
Reply

Marsh Posté le 12-04-2013 à 19:17:16    

Je trouve ça tout même particulièrement étrange ... :o
Pourtant mes mots de passes sont costauds, même pour de l'intranet. Mon syno est branché uniquement sur le web en tant que client, pas serveur. Bref, risque tout petit de se prendre une quenelle numérique.
 
Putain skynet quoi :o

Message cité 1 fois

---------------
un instant monsieur ça-va-chier
Reply

Marsh Posté le 12-04-2013 à 21:09:09    

muzah a écrit :

Putain skynet quoi :o


Zut, ça s'est repéré [:s@ms:2]  
 
Ton Syno est d'origine ? Tu as ajouté quelque chose dessus ?


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 17-04-2013 à 09:30:08    

Mon syno n'est pas d'origine ; j'ai posé des dépots tiers dessus ; en revanche je n'ai pas installé de machins ipkg :)


---------------
un instant monsieur ça-va-chier
Reply

Marsh Posté le 17-04-2013 à 12:06:21    

/usr/bin/unhide.rb contient quoi ?


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 17-04-2013 à 12:52:27    

je n'ai pas ce fichier :/
 


ls -l
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 [ -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 [[ -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 arping -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 awk -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 basename -> ../../bin/busybox
-rwxr-xr-x    1 root     root          7760 Mar  1 04:11 cksum
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 clear -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 cmp -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 cut -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 diff -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 dirname -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 du -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 dumpleases -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 env -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 ether-wake -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 expr -> ../../bin/busybox
-rwxr-xr-x    1 root     root         62808 Mar  1 04:12 faad
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 find -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 flock -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 free -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 head -> ../../bin/busybox
-rwxr-xr-x    1 root     root        501620 Mar  1 04:12 hostapd
-rwxr-xr-x    1 root     root         28720 Mar  1 04:12 hostapd_cli
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 id -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 ipcs -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 killall -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 logger -> ../../bin/busybox
-rwxr-xr-x    1 root     root         92868 Mar  1 04:12 memcached
-rwxr-xr-x    1 root     root         11156 Mar  1 04:11 ndisc6
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 nohup -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 nslookup -> ../../bin/busybox
-rwxr-xr-x    1 root     root       6140560 Mar  1 04:12 php
-rwxr-xr-x    1 root     root          3395 Mar  1 04:12 poff
-rwxr-xr-x    1 root     root          2123 Mar  1 04:12 pon
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 printf -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 readlink -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 realpath -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 renice -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 reset -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 seq -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 sort -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 tail -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 taskset -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 tee -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 telnet -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 test -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 time -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 top -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 traceroute -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 traceroute6 -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 tty -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 uniq -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 unxz -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 uptime -> ../../bin/busybox
-rwxr-xr-x    1 root     root          3400 Mar  1 04:12 uuidgen
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 wc -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 which -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 who -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 whoami -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 xargs -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 xz -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 xzcat -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Mar  6 09:18 yes -> ../../bin/busybox


 
stou.


Message édité par muzah le 17-04-2013 à 12:54:09

---------------
un instant monsieur ça-va-chier
Reply

Marsh Posté le 23-05-2013 à 16:25:57    

Concernant le warning "Unhide"
http://doc.ubuntu-fr.org/rkhunter

Citation :

Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]
Dans ce cas lancez : sudo rkhunter --propupd


et
http://ubuntuforums.org/showthread.php?t=1931897

Citation :

rkhunter: Should I be concerned about any of these warnings?  
/usr/bin/unhide.rb                              [ Warning ]
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: a /usr/bin/ruby -w script text executable
This is just saying you have a script that is in your path -- this is often the sign of compromise (hooking a command), however in this particular case that's not true this application just happens to be a ruby script.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed