logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 23-01-2015 11:34:37

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Debian GNU/Linux bullseye/sid
Noyau : Linux debian 5.4.0-4-amd64
(G)UI : Gnome
Inscription : 29-06-2014

[Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Bonjour A tous,

J'ai fais un test avec la commande chkrootkit -q sur mon système Debian Jessie, fraîchement installé sur un SSD tout neuf. J'ai un gros doute quant au résultat de cette commande que je soumets à votre analyse, car avec la commande  sudo chkrootkit j'obtiens [Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED].
Petite précision, au moment de l'installation du système j'ai choisi de ne pas créer de compte ROOT, donc le premier utilisateur créé obtient les droits administrateur avec la commande sudo.
C'est peut-être un faux positif mais dans le doute ?

Voici le retour de commande neutral

patrick@debian8:~$  sudo chkrootkit -q
[sudo] password for patrick:

/usr/lib/pymodules/python2.7/.path /usr/lib/icedove/.autoreg /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo

Warning: /sbin/init INFECTED
eth0: PACKET SNIFFER(/sbin/dhclient[1063])
user patrick deleted or never logged from lastlog!
The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID          PID TTY    CMD
! root          705 tty7   /usr/bin/Xorg :0 -novtswitch -background none -noreset -verbose 3 -auth /var/run/gdm3/auth-for-Debian-gdm-w92AmH/database -seat seat0 -nolisten tcp vt7



Merci par avance wink

Dernière modification par Coconuts (24-01-2015 09:20:45)

Hors ligne

#2 23-01-2015 14:05:33

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

J'ai déjà eu ce désagrément par le passé, je me suis inquièté...... Et finalement, c'était un bug de chkrootkit.

Fait un test avec rkhunter, moi je le trouve plus fiable.

Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#3 23-01-2015 16:07:09

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Debian GNU/Linux bullseye/sid
Noyau : Linux debian 5.4.0-4-amd64
(G)UI : Gnome
Inscription : 29-06-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

yoshi a écrit :

J'ai déjà eu ce désagrément par le passé, je me suis inquièté...... Et finalement, c'était un bug de chkrootkit.

Fait un test avec rkhunter, moi je le trouve plus fiable.


Salut yoshi
Et merci pour ta réponse smile

Retour de commande de  sudo chkrootkit -d pour debug
retour trop long désolé ! pour être posté.................................

Suite à debug toujours le même problème .

J'ai donc installé  rkhunter avec la commande suivante :

 sudo apt-get install  rkhunter



Puis lancer la commande update pour la mise à jour de rkhunter

sudo rkhunter --update



Retour:

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update



Puis la commande suivante rkhunter --checkall --report-warnings-only, me donne:

patrick@debian8:~$  sudo rkhunter --checkall --report-warnings-only
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-960456257: data
         /dev/shm/pulse-shm-4025730798: data
         /dev/shm/pulse-shm-588215130: data
         /dev/shm/pulse-shm-3437233306: data
         /dev/shm/pulse-shm-1029239924: data
         /dev/shm/pulse-shm-4146955817: data
         /dev/shm/pulse-shm-1561592778: data
         /dev/shm/pulse-shm-629776553: data
Warning: Hidden directory found: /etc/.java]
patrick@debian8:~$



Toujours un doute? wink

Dernière modification par Coconuts (23-01-2015 16:10:56)

Hors ligne

#4 23-01-2015 16:15:22

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

On dirait bien que les scanners de rootkits manquent de mise à jour smile

A priori, je pense que c'est un faux positif qui râle parce qu'il détecte un symlink au lieu de sysvinit…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#5 23-01-2015 17:05:18

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Debian GNU/Linux bullseye/sid
Noyau : Linux debian 5.4.0-4-amd64
(G)UI : Gnome
Inscription : 29-06-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

captnfab a écrit :

On dirait bien que les scanners de rootkits manquent de mise à jour smile

A priori, je pense que c'est un faux positif qui râle parce qu'il détecte un symlink au lieu de sysvinit…



Salut captnfad wink cool
Plaisanterie :

Les faux positifs, c'est comme chez le médecin qui te soigne pour une grippe, alors que tu as une pneumopathie, ça fait un peu peur, non !!!!
J'espère que Jessie n'est pas malade, parce qu'avec touts les bisous que je lui ai fait je ne suis pas tranquille pour l'hiver !
Ok je vais classer le poste en résolu demain matin en attente de voir si ma fièvre est retombée, avec les quelques cachets d'aspirine avalés!

big_smile big_smile big_smile big_smile big_smile

Hors ligne

#6 23-01-2015 18:00:28

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Coconuts a écrit :

Les faux positifs, c'est comme chez le médecin qui te soigne pour une grippe, alors que tu as une pneumopathie, ça fait un peu peur, non !!!!

C'est plutôt qu'il te soigne pour de l'arythmie alors que tu viens de voir passer une jolie donzelle.  big_smile


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#7 23-01-2015 18:30:18

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Ahhh Paskal !!!! Parle pas d' arythmie, j'en ai fait une en 2007, arythmie auriculaire heureusement quand même.
48 heures en cardio, la trouille de ma vie .....

Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#8 23-01-2015 18:34:07

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Oups, désolé : je peux imaginer l'angoisse ...  hmm

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#9 23-01-2015 18:59:51

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Pas grave, tu ne pouvais pas savoir ...... Eh oui, tachy-arythmie avec fibrillation auriculaire, réduite par médicaments. Maintenant j'ai un cacheton à vie, jamais eu de récidive ...
Les cardios m'ont dit à l'époque que c'était assez courant et pas plus dangereux que ça, mais ça fout une trouille bleue .....

Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#10 24-01-2015 09:23:28

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Debian GNU/Linux bullseye/sid
Noyau : Linux debian 5.4.0-4-amd64
(G)UI : Gnome
Inscription : 29-06-2014

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Bonjour et merci aux intervenants sur ce poste. smile

Restant en attente du bonus, 1 point pour un carré de chocolat.
Et ce au péril d'une bonne crise de rire, dont j'espère bientôt être décoré: big_smile

http://debian-facile.org/manuel:resolu

Hors ligne

#11 24-01-2015 09:56:39

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [Résolu]Suckit rootkit...Warning: /sbin/init INFECTED]

Coconuts a écrit :

Restant en attente du bonus, 1 point pour un carré de chocolat.


Ah non. Ah non. Ah non !
Le point choco ne s'attribue pas lorsque tu mets toi-même le résolu à ton post, il se chasse, tapis, en guettant tout intervenant qui oublie de le mettre au sien et en lui prodiguant alors l'url fatidique... tongue

Il y en a plein d'autres à acquérir, voir :
Détail de la chasse aux points choco df. C'est là.

Bienvenue sur le terrain du jeu df, Coconuts ! lol


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums