partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

muzah

Bal Musette @ HFR depuis 1997

Je navigue dans mes répertoires partagés et là je découvre un partage samba que je ne connais pas.
Bizarre. Je ne sais pas comment faire pour savoir d'où ça vient. Je stoppe toutes les machines potentiellement en partage (syno, partages freebox désactivés) enfin ce que je sais faire.

Le partage est toujours là. Mode parano ON.
Je vais sans doute passer pour un niais m'enfin on ne sait jamais.
Pas de screenshot du partage en question parce que je n'y ai pas pensé à ce moment ; je n'ai retenu que le nom : LINUX-ESCOUADE.
Comme, de mémoire, je n'avais aucun partage avec un tel nom ...

Après reboot de mon PC, plus de partage en vue ...

Donc j'ai déjà entendu parler de rootkit ; je viens de passer rkhunter :

sudo rkhunter --checkall --report-warnings-only
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

et chkrootkit :

sudo chkrootkit -q

/usr/lib/jvm/.java-1.6.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit

eth0: PACKET SNIFFER(/sbin/dhclient[6072])

est-ce que ça vous paraît normal ?

Merci de votre coup de main =)

---------------
un instant monsieur ça-va-chier

Publicité

muzah

Bal Musette @ HFR depuis 1997

Bon visiblement d'après ce que j'ai trouvé sur le net, rien de bizarre au niveau de mon pc.
En revanche je porte une attention particulière à mon NAS Synology ...
Je viens de me rendre compte que lorsque j'allais dans mon WORKGROUP, j'avais, avant le problème, "FREEBOX" et "SYNOLOGY" et que pendant le problème, j'avais "FREEBOX" et "LINUX-ESCOUADE".

:|

---------------
un instant monsieur ça-va-chier

Van Winkle

Tchic tcha

Il y a une escouade qui vient en renfort

Sinon je ne vois rien de spécial à tes 2 commandes non plus... étrange.

Message édité par Van Winkle le 12-04-2013 à 15:50:13

---------------
SAINT DENIS, SAINT DENIS, FON-FONKY FRESH

muzah

Bal Musette @ HFR depuis 1997

Je trouve ça tout même particulièrement étrange ...
Pourtant mes mots de passes sont costauds, même pour de l'intranet. Mon syno est branché uniquement sur le web en tant que client, pas serveur. Bref, risque tout petit de se prendre une quenelle numérique.

Putain skynet quoi

Message cité 1 fois

---------------
un instant monsieur ça-va-chier

bardiel

Debian powa !

muzah a écrit :

Putain skynet quoi

Zut, ça s'est repéré [:s@ms:2]

Ton Syno est d'origine ? Tu as ajouté quelque chose dessus ?

---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D

muzah

Bal Musette @ HFR depuis 1997

Mon syno n'est pas d'origine ; j'ai posé des dépots tiers dessus ; en revanche je n'ai pas installé de machins ipkg

---------------
un instant monsieur ça-va-chier

black_lord

Modérateur
Truth speaks from peacefulness

/usr/bin/unhide.rb contient quoi ?

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me

muzah

Bal Musette @ HFR depuis 1997

je n'ai pas ce fichier

ls -l
lrwxrwxrwx 1 root root 17 Mar 6 09:18 [ -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 [[ -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 arping -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 awk -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 basename -> ../../bin/busybox
-rwxr-xr-x 1 root root 7760 Mar 1 04:11 cksum
lrwxrwxrwx 1 root root 17 Mar 6 09:18 clear -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 cmp -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 cut -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 diff -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 dirname -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 du -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 dumpleases -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 env -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 ether-wake -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 expr -> ../../bin/busybox
-rwxr-xr-x 1 root root 62808 Mar 1 04:12 faad
lrwxrwxrwx 1 root root 17 Mar 6 09:18 find -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 flock -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 free -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 head -> ../../bin/busybox
-rwxr-xr-x 1 root root 501620 Mar 1 04:12 hostapd
-rwxr-xr-x 1 root root 28720 Mar 1 04:12 hostapd_cli
lrwxrwxrwx 1 root root 17 Mar 6 09:18 id -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 ipcs -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 killall -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 logger -> ../../bin/busybox
-rwxr-xr-x 1 root root 92868 Mar 1 04:12 memcached
-rwxr-xr-x 1 root root 11156 Mar 1 04:11 ndisc6
lrwxrwxrwx 1 root root 17 Mar 6 09:18 nohup -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 nslookup -> ../../bin/busybox
-rwxr-xr-x 1 root root 6140560 Mar 1 04:12 php
-rwxr-xr-x 1 root root 3395 Mar 1 04:12 poff
-rwxr-xr-x 1 root root 2123 Mar 1 04:12 pon
lrwxrwxrwx 1 root root 17 Mar 6 09:18 printf -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 readlink -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 realpath -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 renice -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 reset -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 seq -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 sort -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 tail -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 taskset -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 tee -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 telnet -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 test -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 time -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 top -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 traceroute -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 traceroute6 -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 tty -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 uniq -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 unxz -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 uptime -> ../../bin/busybox
-rwxr-xr-x 1 root root 3400 Mar 1 04:12 uuidgen
lrwxrwxrwx 1 root root 17 Mar 6 09:18 wc -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 which -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 who -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 whoami -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 xargs -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 xz -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 xzcat -> ../../bin/busybox
lrwxrwxrwx 1 root root 17 Mar 6 09:18 yes -> ../../bin/busybox

stou.

Message édité par muzah le 17-04-2013 à 12:54:09

---------------
un instant monsieur ça-va-chier

Ismond

Concernant le warning "Unhide"
http://doc.ubuntu-fr.org/rkhunter

Citation :

Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]
Dans ce cas lancez : sudo rkhunter --propupd

et
http://ubuntuforums.org/showthread.php?t=1931897

Citation :

rkhunter: Should I be concerned about any of these warnings?
/usr/bin/unhide.rb [ Warning ]
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: a /usr/bin/ruby -w script text executable
This is just saying you have a script that is in your path -- this is often the sign of compromise (hooking a command), however in this particular case that's not true this application just happens to be a ruby script.

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

Sujets relatifs
[Kernel Linux]Configuration de votre matériel	compiler Linux pour l'adapter à son matériel à t'il encore un sens ?
Lecteur de musiques sous linux	Installation Apache 2.4.4 sous Linux à partir de Zéro
Problème: clé usb non reconnus sous linux	Besoin d'aide. Installation puis problème ...
Rapidité et performance au développement sur Windows ou linux	Linux - faire que 2 applis aient leur /lib et /include en commun
Empêcher la copie/impression d'un pdf (Linux) ?	QUelle taille pour une partition Linux
Plus de sujets relatifs à : partage LINUX-ESCOUADE louche - aide au décriptage de rootkit needed

Page générée en 0.051 secondes