[Linux] Ordi compromis (rootkit inside) ?

Kevin Hagner ml@::1
Jeu 12 Sep 12:20:21 CEST 2013


Si tu penses que t'as un rootkit sur ton ordi, tu peux toujours
installer wireshark et scruter le moindre de tes paquets sortant jusqu'à
ce que tu trouves quelque chose de probant. ^^

Si non plus simplement, tu peux aussi lancer la commande `netstat
-atepn` en root. Celle-ci te listera tous les programmes ayant un socket
d'ouvert sur le PC, donc ton potentiel rootkit devrait être de la
partie. ;-)


On 12/09/2013 10:43, François DREYFÜRST wrote:
> Bonjour à tous
>
> Encore une fois, je débarque avec mes problèmes frisant (un peu ?) la parano, désolé ... 
> Merci à ceux qui s'y intéresseront, pardon aux autres. Par ailleurs, ce message a été 
> envoyé en Webmail, d'où les bizarreries decaractères dans l'en-tête.
>
> Voilà le contexte.
>
> Je possède deux ordis :
> -- une station de bureau montée sur mesure par un pro, avec toutefois une CM qui a été 
> changée sur laquelle a été remise le disque dur récupéré, d'où une intération pas 100% 
> réussie (carte graphique), ordi qui tourne en Debian 6 Squeeze : c'est celui qui connaît 
> des soucis à l'extinction et sur lequel je me plains du débit de connexion avec des 
> alertes Firewall qui probablement de « faux positifs » (voir fils de discussion 
> spécifiques) ;
>
> -- un portable Lenovo, où cohabitent une Debian 7 Wheezy et un Win7pro : c'est celui où il 
> avait fallu ruser pour installer Grub, et que je n'avais pratiquement pas utilisé de l'été.
>
> De plus, j'ai une clé USB de travail, que je branche selon les besoins sur les deux ordis.
>
> Hier soir, utilisation du portable sans connexion Internet, pour prendre des notes durant 
> une réunion, sous Win7 avec OpenOffice3 ; à l'instant même où je branche ma clé USB, 
> l'antivirus AvAst pique une crise et m'explique qu'il a bloqué un RootKit (description en 
> annexe). La réunion se déroule, je lance des scans qui tournent pendant que je prends des 
> notes ; rien d'autre n'est signalé.
> A l'extinction du portable, des mises à jour Windows me demandent de patienter ... ça doit 
> dater d'une précédente utilisation de Win7 avec connexion au Net.
>
>
> C'est là que j'entre en mode parano : même si rationnellement je connais les arguments qui 
> me disent que cela n'est (en principe ?) pas possible, je n'arrive pas à m'empêcher de 
> craindre que les soucis de mon ordi principal seraient dûs au fait qu'il est compromis ... 
> rootkit, le mot est lâché.
>
> Questions :
> -- qu'en pensez-vous ?
> -- quelles vérifications faire ?
> -- Corollaire, quelles précautions, outre de tenter de ne pas utiliser ma station de bureau 
> au-delà du strict nécessaire ?
> -- si problème avéré, que faire ?
>
> Merci pour vos lumières.
> FD
> ______________________________________________
> Message/log de l'antivirus
> G:\iexplorer.exe Menace : Win32:Rootkit-gen[Rtk] mise en quarantaine
> à noter que le fichier cité n'était pas/plus visible sur la clé, y compris avec affichage 
> des ficiers cachés.


Plus d'informations sur la liste de diffusion linux