[Linux] Ordi compromis (rootkit inside) ?
François DREYFÜRST
francois.dreyfuerst@::1
Sam 14 Sep 09:19:05 CEST 2013
Le 12/09/2013 12:20, Kevin Hagner a écrit :
> Si tu penses que t'as un rootkit sur ton ordi, tu peux toujours
> installer wireshark et scruter le moindre de tes paquets sortant jusqu'à
> ce que tu trouves quelque chose de probant. ^^
>
> Si non plus simplement, tu peux aussi lancer la commande `netstat
> -atepn` en root. Celle-ci te listera tous les programmes ayant un socket
> d'ouvert sur le PC, donc ton potentiel rootkit devrait être de la
> partie. ;-)
>
>
Bonjour à tous
Voici ce que ça donne, sachant qu'à ce moment-là je n'avais que mon
client mail ouvert :
netstat -atepn
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante
Etat User Inode PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:*
LISTEN 0 5205 1383/portmap
tcp 0 0 0.0.0.0:48787 0.0.0.0:*
LISTEN 102 5242 1395/rpc.statd
tcp 0 0 127.0.0.1:631 0.0.0.0:*
LISTEN 0 10443 1865/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:*
LISTEN 0 6731 2137/exim4
tcp6 0 0 ::1:631 :::*
LISTEN 0 10442 1865/cupsd
Bon, ça semble normal, ou bien ?
FD
> On 12/09/2013 10:43, François DREYFÜRST wrote:
>
>> Bonjour à tous
>>
>> Encore une fois, je débarque avec mes problèmes frisant (un peu ?) la parano, désolé ...
>> Merci à ceux qui s'y intéresseront, pardon aux autres. Par ailleurs, ce message a été
>> envoyé en Webmail, d'où les bizarreries decaractères dans l'en-tête.
>>
>> Voilà le contexte.
>>
>> Je possède deux ordis :
>> -- une station de bureau montée sur mesure par un pro, avec toutefois une CM qui a été
>> changée sur laquelle a été remise le disque dur récupéré, d'où une intération pas 100%
>> réussie (carte graphique), ordi qui tourne en Debian 6 Squeeze : c'est celui qui connaît
>> des soucis à l'extinction et sur lequel je me plains du débit de connexion avec des
>> alertes Firewall qui probablement de « faux positifs » (voir fils de discussion
>> spécifiques) ;
>>
>> -- un portable Lenovo, où cohabitent une Debian 7 Wheezy et un Win7pro : c'est celui où il
>> avait fallu ruser pour installer Grub, et que je n'avais pratiquement pas utilisé de l'été.
>>
>> De plus, j'ai une clé USB de travail, que je branche selon les besoins sur les deux ordis.
>>
>> Hier soir, utilisation du portable sans connexion Internet, pour prendre des notes durant
>> une réunion, sous Win7 avec OpenOffice3 ; à l'instant même où je branche ma clé USB,
>> l'antivirus AvAst pique une crise et m'explique qu'il a bloqué un RootKit (description en
>> annexe). La réunion se déroule, je lance des scans qui tournent pendant que je prends des
>> notes ; rien d'autre n'est signalé.
>> A l'extinction du portable, des mises à jour Windows me demandent de patienter ... ça doit
>> dater d'une précédente utilisation de Win7 avec connexion au Net.
>>
>>
>> C'est là que j'entre en mode parano : même si rationnellement je connais les arguments qui
>> me disent que cela n'est (en principe ?) pas possible, je n'arrive pas à m'empêcher de
>> craindre que les soucis de mon ordi principal seraient dûs au fait qu'il est compromis ...
>> rootkit, le mot est lâché.
>>
>> Questions :
>> -- qu'en pensez-vous ?
>> -- quelles vérifications faire ?
>> -- Corollaire, quelles précautions, outre de tenter de ne pas utiliser ma station de bureau
>> au-delà du strict nécessaire ?
>> -- si problème avéré, que faire ?
>>
>> Merci pour vos lumières.
>> FD
>> ______________________________________________
>> Message/log de l'antivirus
>> G:\iexplorer.exe Menace : Win32:Rootkit-gen[Rtk] mise en quarantaine
>> à noter que le fichier cité n'était pas/plus visible sur la clé, y compris avec affichage
>> des ficiers cachés.
>>
>
Plus d'informations sur la liste de diffusion linux