Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 23-01-2015 12:34:37

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Jessie/ Stretch/Sid
Noyau : Linux Version 3.16.0-4-amd64/ Linux version 4.2.0-
(G)UI : GNOME/ Version 3.14.1/LXDM-MATE
Inscription : 29-06-2014

[Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Bonjour A tous,

J'ai fais un test avec la commande chkrootkit -q sur mon système Debian Jessie, fraîchement installé sur un SSD tout neuf. J'ai un gros doute quant au résultat de cette commande que je soumets à votre analyse, car avec la commande  sudo chkrootkit j'obtiens [Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED].
Petite précision, au moment de l'installation du système j'ai choisi de ne pas créer de compte ROOT, donc le premier utilisateur créé obtient les droits administrateur avec la commande sudo.
C'est peut-être un faux positif mais dans le doute ?

Voici le retour de commande neutral

patrick@debian8:~$  sudo chkrootkit -q
[sudo] password for patrick:

/usr/lib/pymodules/python2.7/.path /usr/lib/icedove/.autoreg /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo

Warning: /sbin/init INFECTED
eth0: PACKET SNIFFER(/sbin/dhclient[1063])
user patrick deleted or never logged from lastlog!
The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID          PID TTY    CMD
! root          705 tty7   /usr/bin/Xorg :0 -novtswitch -background none -noreset -verbose 3 -auth /var/run/gdm3/auth-for-Debian-gdm-w92AmH/database -seat seat0 -nolisten tcp vt7



Merci par avance wink

Dernière modification par Coconuts (24-01-2015 10:20:45)


Le chocolat a un effet anti-fatigue et anti-déprime, n’hésitez pas à craquer pour un carré de chocolat, c’est bon pour le moral et pour l'esprit en général.
Des points-choco faciles pour piller la cassette à Smolski – Merci qui ? Merci bendia

Hors ligne

#2 23-01-2015 15:05:33

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS/Antix/Slackware
Noyau : 4.8.12/4.4.10/4.4.32
(G)UI : Plasma5/Fluxbox/KDE4/Trinity
Inscription : 05-03-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

J'ai déjà eu ce désagrément par le passé, je me suis inquièté...... Et finalement, c'était un bug de chkrootkit.

Fait un test avec rkhunter, moi je le trouve plus fiable.

PcLinuxOs KDE Plasma 5.8.4 / Slackware -current KDE 4.14.21 sur workstation bi-processeur AMD Opteron 4234 32 Go DDR-3
antiX 16 rox/fluxbox sur laptop Toshiba Satellite C-660-2D6 Intel core I3 8Go DDR-3
PcLinuxOs Trinity Desktop+Kodi sur media-center HP Intel Celeron 2Go DDR-3

Hors ligne

#3 23-01-2015 17:07:09

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Jessie/ Stretch/Sid
Noyau : Linux Version 3.16.0-4-amd64/ Linux version 4.2.0-
(G)UI : GNOME/ Version 3.14.1/LXDM-MATE
Inscription : 29-06-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

yoshi a écrit :

J'ai déjà eu ce désagrément par le passé, je me suis inquièté...... Et finalement, c'était un bug de chkrootkit.

Fait un test avec rkhunter, moi je le trouve plus fiable.


Salut yoshi
Et merci pour ta réponse smile

Retour de commande de  sudo chkrootkit -d pour debug
retour trop long désolé ! pour être posté.................................

Suite à debug toujours le même problème .

J'ai donc installé  rkhunter avec la commande suivante :

 sudo apt-get install  rkhunter



Puis lancer la commande update pour la mise à jour de rkhunter

sudo rkhunter --update



Retour:

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update



Puis la commande suivante rkhunter --checkall --report-warnings-only, me donne:

patrick@debian8:~$  sudo rkhunter --checkall --report-warnings-only
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-960456257: data
         /dev/shm/pulse-shm-4025730798: data
         /dev/shm/pulse-shm-588215130: data
         /dev/shm/pulse-shm-3437233306: data
         /dev/shm/pulse-shm-1029239924: data
         /dev/shm/pulse-shm-4146955817: data
         /dev/shm/pulse-shm-1561592778: data
         /dev/shm/pulse-shm-629776553: data
Warning: Hidden directory found: /etc/.java]
patrick@debian8:~$



Toujours un doute? wink

Dernière modification par Coconuts (23-01-2015 17:10:56)


Le chocolat a un effet anti-fatigue et anti-déprime, n’hésitez pas à craquer pour un carré de chocolat, c’est bon pour le moral et pour l'esprit en général.
Des points-choco faciles pour piller la cassette à Smolski – Merci qui ? Merci bendia

Hors ligne

#4 23-01-2015 17:15:22

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

On dirait bien que les scanners de rootkits manquent de mise à jour smile

A priori, je pense que c'est un faux positif qui râle parce qu'il détecte un symlink au lieu de sysvinit…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#5 23-01-2015 18:05:18

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Jessie/ Stretch/Sid
Noyau : Linux Version 3.16.0-4-amd64/ Linux version 4.2.0-
(G)UI : GNOME/ Version 3.14.1/LXDM-MATE
Inscription : 29-06-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

captnfab a écrit :

On dirait bien que les scanners de rootkits manquent de mise à jour smile

A priori, je pense que c'est un faux positif qui râle parce qu'il détecte un symlink au lieu de sysvinit…



Salut captnfad wink cool
Plaisanterie :

Les faux positifs, c'est comme chez le médecin qui te soigne pour une grippe, alors que tu as une pneumopathie, ça fait un peu peur, non !!!!
J'espère que Jessie n'est pas malade, parce qu'avec touts les bisous que je lui ai fait je ne suis pas tranquille pour l'hiver !
Ok je vais classer le poste en résolu demain matin en attente de voir si ma fièvre est retombée, avec les quelques cachets d'aspirine avalés!

big_smile big_smile big_smile big_smile big_smile


Le chocolat a un effet anti-fatigue et anti-déprime, n’hésitez pas à craquer pour un carré de chocolat, c’est bon pour le moral et pour l'esprit en général.
Des points-choco faciles pour piller la cassette à Smolski – Merci qui ? Merci bendia

Hors ligne

#6 23-01-2015 19:00:28

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Coconuts a écrit :

Les faux positifs, c'est comme chez le médecin qui te soigne pour une grippe, alors que tu as une pneumopathie, ça fait un peu peur, non !!!!

C'est plutôt qu'il te soigne pour de l'arythmie alors que tu viens de voir passer une jolie donzelle.  big_smile


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#7 23-01-2015 19:30:18

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS/Antix/Slackware
Noyau : 4.8.12/4.4.10/4.4.32
(G)UI : Plasma5/Fluxbox/KDE4/Trinity
Inscription : 05-03-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Ahhh Paskal !!!! Parle pas d' arythmie, j'en ai fait une en 2007, arythmie auriculaire heureusement quand même.
48 heures en cardio, la trouille de ma vie .....

PcLinuxOs KDE Plasma 5.8.4 / Slackware -current KDE 4.14.21 sur workstation bi-processeur AMD Opteron 4234 32 Go DDR-3
antiX 16 rox/fluxbox sur laptop Toshiba Satellite C-660-2D6 Intel core I3 8Go DDR-3
PcLinuxOs Trinity Desktop+Kodi sur media-center HP Intel Celeron 2Go DDR-3

Hors ligne

#8 23-01-2015 19:34:07

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Oups, désolé : je peux imaginer l'angoisse ...  hmm

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#9 23-01-2015 19:59:51

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS/Antix/Slackware
Noyau : 4.8.12/4.4.10/4.4.32
(G)UI : Plasma5/Fluxbox/KDE4/Trinity
Inscription : 05-03-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Pas grave, tu ne pouvais pas savoir ...... Eh oui, tachy-arythmie avec fibrillation auriculaire, réduite par médicaments. Maintenant j'ai un cacheton à vie, jamais eu de récidive ...
Les cardios m'ont dit à l'époque que c'était assez courant et pas plus dangereux que ça, mais ça fout une trouille bleue .....

PcLinuxOs KDE Plasma 5.8.4 / Slackware -current KDE 4.14.21 sur workstation bi-processeur AMD Opteron 4234 32 Go DDR-3
antiX 16 rox/fluxbox sur laptop Toshiba Satellite C-660-2D6 Intel core I3 8Go DDR-3
PcLinuxOs Trinity Desktop+Kodi sur media-center HP Intel Celeron 2Go DDR-3

Hors ligne

#10 24-01-2015 10:23:28

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Jessie/ Stretch/Sid
Noyau : Linux Version 3.16.0-4-amd64/ Linux version 4.2.0-
(G)UI : GNOME/ Version 3.14.1/LXDM-MATE
Inscription : 29-06-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Bonjour et merci aux intervenants sur ce poste. smile

Restant en attente du bonus, 1 point pour un carré de chocolat.
Et ce au péril d'une bonne crise de rire, dont j'espère bientôt être décoré: big_smile

http://debian-facile.org/manuel:resolu

Le chocolat a un effet anti-fatigue et anti-déprime, n’hésitez pas à craquer pour un carré de chocolat, c’est bon pour le moral et pour l'esprit en général.
Des points-choco faciles pour piller la cassette à Smolski – Merci qui ? Merci bendia

Hors ligne

#11 24-01-2015 10:56:39

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Coconuts a écrit :

Restant en attente du bonus, 1 point pour un carré de chocolat.


Ah non. Ah non. Ah non !
Le point choco ne s'attribue pas lorsque tu mets toi-même le résolu à ton post, il se chasse, tapis, en guettant tout intervenant qui oublie de le mettre au sien et en lui prodiguant alors l'url fatidique... tongue

Il y en a plein d'autres à acquérir, voir :
Détail de la chasse aux points choco df. C'est là.

Bienvenue sur le terrain du jeu df, Coconuts ! lol


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums