logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-05-2016 10:44:07

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Aide pour Rootkit

Salut à tous, voilà lors d'une installation iso debain 8, avec verification de l'empreinte iso correcte, apres une installation debian 8 jessie 8.4 ,  je m'apercois que il y a trois R00TKIT deja, alors que je voudrai savoir que represente ces trois rootkit qui sont deja installer sur le systeme iso je croit  et si on peut les enlever, Rootkit trouver :




Possible rootkits: 3
    [b]Rootkit names : [/b]  AjaKit Rootkit, Optic Kit (Tux) Worm, Tuxtendo Rootkit
 




merci de votre aide ?

Hors ligne

#2 07-05-2016 12:05:53

raleur
Membre
Inscription : 03-10-2014

Re : Aide pour Rootkit

Comment as-tu obtenu ce résultat ?

Il vaut mieux montrer que raconter.

Hors ligne

#3 07-05-2016 20:51:45

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Aide pour Rootkit

Ché po comment vous faites les gars, en 18 ans de windows et linux j'ai jamais chopé de virus ou rootkit, pourtant les sites de warez j'y suis allé à gogo lol

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#4 07-05-2016 21:28:00

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Aide pour Rootkit

Beaucoup de windowsiens débutants s'exclament qu'ils n'ont pas chopé de virus... Tant qu'ils n'en ont pas recherché sur leur système non plus ! wink

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#5 07-05-2016 21:32:03

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Aide pour Rootkit

Bah j'ai quand même fait partie de la première génération de helper en sécurité, on avait pas les moyens d'aujourd'hhui bien qu'inutile mais je scannais toutes les semaines mon système avec le fameux hikaclthis et jamais rien sad

En gros je pouvais m'amuser sur le pc des autres mais pas avec le mien tongue

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#6 08-05-2016 07:19:26

MicP
Membre
Inscription : 29-02-2016

Re : Aide pour Rootkit

Bonjour

Pourrais-tu nous transmettre le lien vers le fichier image iso qui a servit à installer ce système debian ?

Merci

Hors ligne

#7 09-05-2016 18:41:28

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

En faite je l'ai pris de chez debian, ici : http://cdimage.debian.org/debian-cd/cur … so-hybrid/    (debian-live-8.4.0-amd64-cinnamon-desktop.iso          2016-04-02 22:59  1.1G  )
J'ai donc bien verifier l'emprunte MD5 qui est celle là : a22ac3229291b6b14b26b6f53402a151  debian-live-8.4.0-amd64-cinnamon-desktop.iso elle correspond bien.
J'ai aussi verifier le SHA512 : 295c54f2e68deeec05fcc427cd52a484e0b1c352866ac4d3bade280c3951e78a280733552ee0972bf3723790de563e2ea9965e7dad356dc422cb9e95094dbc83 elle correspond bien a l'iso. voilà

Hors ligne

#8 09-05-2016 18:48:09

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

kawer a écrit :

Ché po comment vous faites les gars, en 18 ans de windows et linux j'ai jamais chopé de virus ou rootkit, pourtant les sites de warez j'y suis allé à gogo lol



salut à toi dejà je ne l'ai pas choper, c'est en installant l'iso depuis chez debian que je me suis aperçu de ces rootkit installer sur debian 8 jessie moi aussi je suis un fan de fan dans la secu, je scan ...etc. Apres personne est à l'abri même le système Linux est à çà propre vulnérabilité moins que win et mac.

Une derniere question , aurait t-il un tuto sur le forum savoir bien se protèger des rootkit sur Linux, car j'aimerai savoir comment faire , merci à vous ?

Et aussi je voudrai savoir quelle sont les rôle de ces trois rootkit, si vous savez, merci à vous ?

Dernière modification par tux30 (09-05-2016 18:54:22)

Hors ligne

#9 09-05-2016 20:10:36

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Aide pour Rootkit

Un tuto générique sur la sécurité où peut-être tu trouveras quelques pistes :

https://debian-facile.org/doc:systeme:securite

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#10 09-05-2016 20:37:32

Thuban
aka prx
Distrib. : OpenBSD
Noyau : current
(G)UI : cwm
Inscription : 09-01-2009
Site Web

Re : Aide pour Rootkit

Salut smile
Comment as-tu obtenu ce rapport? Le debug complet serait pratique pour t'aider.
En effet, il est possible que de faux positifs soient détectés.

Il s'agit d'une machine de bureau ou de serveur? Car le risque d'être infecté n'est pas le même.

Quoi qu'il en soit, un bon rootkit n'est pas censé être détecté. Donc ne faisons pas trop les malins big_smile
C'est là qu'avec OpenBSD on se rend compte que c'est pratique : tous les jours root reçoit une liste des fichiers modifiés par mail (sous forme de diff). Il faut que je regarde si on peut faire de même sous debian. C'est imparable smile

Hors ligne

#11 09-05-2016 20:41:13

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Aide pour Rootkit

Salut smile

de 2 choses l'une : soit l'iso est compromise, soit c'est un faux positif.

Dans tous les cas, il doit être possible de reproduire le phénomène, mais pour cela, il faut répondre à la question de raleur

raleur a écrit :

Comment as-tu obtenu ce résultat ?

De cette façon, on pourra ré-utiliser le même outils et comparer les résultats.


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#12 09-05-2016 20:42:36

MicP
Membre
Inscription : 29-02-2016

Re : Aide pour Rootkit

Bon, OK, le fichier image ISO + la vérification de la somme MD5 confirment que le problème vient d'ailleurs.

Il reste encore plusieurs possibilités :
- que le fichier image ISO ait été corrompu au moment de sa "gravure" sur le support d'installation par le programme qui a copié ce fichier image ISO,
- que le système de démarrage de ce support l'ait corrompu : Je pense à Multisystem, ou autre système de lancement (d'ailleurs superflu puisque les fichier image ISO n'en ont plus besoin),
- que l'installation ait été faîte en gardant un ancien répertoire ou système de fichiers (/home par exemple) qui était déjà corrompu.
- qu'un multiboot avec Win ait corrompu la partition EFI
- que l'UEFI ait saboté le tout
- qu'un des MBR (si GPT) ait été déjà corrompu avant l'installation
- qu'un ou des fichiers "firmware" ait été corrompus (je pense au niveau réseau) et aient téléchargé le ou les "rootkits"
- qu'une personne mal intentionné ou/et inconsciente ait installé volontairement les rootkits en faisant une mauvaise manipulation
- que la navigation vers un site pas vraiment propre ait permis de télécharger ces rootkits
- Et tout ce que j'ai oublié comme possibilités…

En tous les cas, tout le monde a intérêt a chercher à savoir au plus vite d'où vient ce problème
plutôt que de faire l'autruche ou/et de rejeter la faute sur l'inconscience d'un l'utilisateur qui a eu le très bon réflexe de prévenir publiquement la communauté.

Je pense même que s'il y a des personnes compétentes dans ce domaine, elles feraient bien de proposer le plus vite possible une démarche constructive pour chercher çà comprendre ce qu'il a bien pu se passer.
De plus, ce sera édifiant pour tout le monde.

=======
J'espère sincèrement que c'est du bruit pour rien.

J'ouvre un sujet sur debian-fr.org et debian-fr.xyz avec un lien vers ce fil

Merci d'avance à ceux qui transmettront l'info sur les autres fora étrangers.

Et bien sûr, un grand MERCI à tux30

Dernière modification par MicP (10-05-2016 00:34:24)

Hors ligne

#13 09-05-2016 21:21:13

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Aide pour Rootkit

J'ai lancé le téléchargement de l'iso en question. Est-ce qu'une installation en VM est suffisamment sûre face à ce type de menace ?

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#14 09-05-2016 21:29:56

Coconuts
Membre
Lieu : Ici dans un Rucher d'abeilles
Distrib. : Debian GNU/Linux bullseye/sid
Noyau : Linux debian 5.4.0-4-amd64
(G)UI : Gnome
Inscription : 29-06-2014

Re : Aide pour Rootkit

Bonsoir à tous,

MicP a écrit :

En tous les cas, tout le monde a intérêt a chercher à savoir au plus vite d'où vient ce problème
plutôt que de faire l'autruche ou/et de rejeter la faute sur l'inconscience d'un l'utilisateur qui a eu le très bon réflexe de prévenir publiquement la communauté.


Je plussoie, mais je ne suis pas compétent sad

Un p’tit lien cela peu toujours servir , mais pour ma part, je n’aime pas les rootkits mais alors pas du tout et dans l’éventualité où je choperai une saloperie de RootKit, sur mon ordinateur desktop.
Je ne me pose même pas la question, remise à zéro et hop là. sad

Hors ligne

#15 09-05-2016 22:13:40

MicP
Membre
Inscription : 29-02-2016

Re : Aide pour Rootkit

@ tux30 Histoire de m'éviter de passer pour un ..., il faut quand même que tu répondes à :

raleur a écrit :

…Comment as-tu obtenu ce résultat ? …


et je pense reformuler sa question en te demandant : quelle est la commande qui t'a retourné le message que tu as posté
(c'est pour ça qu'on préfère toujours avoir : le prompt de départ avec sa ligne de commande avec le retour de la commande jusqu'au prompt de retour inclus.)

tuban a écrit :

- Comment as-tu obtenu ce rapport?

- Le debug complet serait pratique pour t'aider.

- machine de bureau ou de serveur?


De toutes façons, il ne sera pas possible de trouver une solution tant que ces informations ne seront pas fournies.

Hors ligne

#16 09-05-2016 23:22:56

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

MicP a écrit :

@ tux30 Histoire de m'éviter de passer pour un ..., il faut quand même que tu répondes à :

raleur a écrit :

…Comment as-tu obtenu ce résultat ? …


et je pense reformuler sa question en te demandant : quelle est la commande qui t'a retourné le message que tu as posté
(c'est pour ça qu'on préfère toujours avoir : le prompt de départ avec sa ligne de commande avec le retour de la commande jusqu'au prompt de retour inclus.)

tuban a écrit :

- Comment as-tu obtenu ce rapport?

- Le debug complet serait pratique pour t'aider.

- machine de bureau ou de serveur?


De toutes façons, il ne sera pas possible de trouver une solution tant que ces informations ne seront pas fournies.



ok je vais repondre a raleur, pas de probleme, en faite je suis  comme vous j'aime la securité en informatique (surtout Linux) et le pentest sous Linux, en faite depuis 2 semaine sur la debian 8 jessie, evidement avant d'installer debian je fais un bon shred pour nettoyer ou dd le disque dur pour bien reinstaller par dessus mon nouveau système debian tous en le cryptant puis avec un LVM, puis j'installe les depôts de kali pour ajouter les outils de kali linux, afin que mon debian  ressemble a celle de kali linux mais sans trop utiliser tous leurs outils en faite j'en prend quelqu'un seulement, mais je me suis aperçu quand telechargeant l'iso depuis plus deux semaine puis j'ai reinstaller l'iso et resintaller sur mon pc croyant que c'etait sur mon pc qui avait les rootkit, alors que sur la deuxième fois c'etait pareil alors que le debian 8 jessie vener d'être installer sur ma machine, voilà !

Dernière modification par tux30 (09-05-2016 23:23:35)

Hors ligne

#17 10-05-2016 00:08:57

MicP
Membre
Inscription : 29-02-2016

Re : Aide pour Rootkit

Merci pour ton message.

Si j'ai bien compris, je constate quand même que ce n'est plus tout-à fait une debian puisque des dépôts kali y auraient été ajoutés.

Mais Il est un peu tard, et je dois être un peu fatigué cari j'ai des difficultés à comprendre ce qui a été fait ensuite.

Dernière modification par MicP (10-05-2016 00:19:16)

Hors ligne

#18 10-05-2016 00:24:51

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Aide pour Rootkit

Bon j'ai installé la dite iso dans une vm, une analyse chkrootkit et rkhunter ne retourne rien. Tes rootkits viennent sûrement des dépôts kali.

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#19 10-05-2016 00:45:27

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

kawer a écrit :

Bon j'ai installé la dite iso dans une vm, une analyse chkrootkit et rkhunter ne retourne rien. Tes rootkits viennent sûrement des dépôts kali.




Je vais essayez  l'iso sur une virtuelle box demain sans ajouter les depôts kali, comme ça je serai sur que ça peut prevenir des depôts de kali merci je vous tiens au courant, pas contre tu a installer chkrootkit et rkhunter depuis apt ou tu a installer en .deb sur ta machine Kawer. Pas contre si ça vient des depôts de kali ces chiant pour quelle raison ils mettrai des rootkit sur les système Linux juste en ajoutant leurs depôts et leurs outils, c pas normal sur, merci !!! je vous tiens au courant demain.


Pas contre je voudrai bien savoir a quoi il servent ces trois rootkit si quelqu'un si connais bien(espionnage,autre...etc.), car demain quand je vais tester l'iso sans kali avec(rkhunter et chrootkit) et puis avec les depôts kali. Et je puis je verai vraimment si ça vient d'eux je vous donne les informations demain sur.

Dernière modification par tux30 (10-05-2016 00:59:54)

Hors ligne

#20 10-05-2016 06:18:37

MicP
Membre
Inscription : 29-02-2016

Re : Aide pour Rootkit

L'impression que j'ai en relisant tout ça c'est que si des test d'intrusion (pentest) ont été utilisés même une seule fois, il est bien possible que les rootkits aient réussit à s'installer quelque part, voire même se dupliquer partout où cela leur a été possible, un serveur de fichiers distant, un MBR le BIOS l'UEFI de la machine etc. tout ce qui a été en contact avec la machine depuis son infection.

Il reste à trouver une méthode de "nettoyage" efficace.

Pourrais-tu transmettre un copié/collé du contenu de ton fichier /etc/apt/sources.list

Merci.

Dernière modification par MicP (10-05-2016 16:06:08)

Hors ligne

#21 10-05-2016 18:19:05

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

MicP a écrit :

L'impression que j'ai en relisant tout ça c'est que si des test d'intrusion (pentest) ont été utilisés même une seule fois, il est bien possible que les rootkits aient réussit à s'installer quelque part, voire même se dupliquer partout où cela leur a été possible, un serveur de fichiers distant, un MBR le BIOS l'UEFI de la machine etc. tout ce qui a été en contact avec la machine depuis son infection.

Il reste à trouver une méthode de "nettoyage" efficace.

Pourrais-tu transmettre un copié/collé du contenu de ton fichier /etc/apt/sources.list

Merci.



MicP

Voilà, mon contenu de ma sources.list que j'ai pris du site officiels !!!




# deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main

#deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main

deb http://ftp.fr.debian.org/debian/ jessie main
deb-src http://ftp.fr.debian.org/debian/ jessie main

deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

# jessie-updates, previously known as 'volatile'
deb http://ftp.fr.debian.org/debian/ jessie-updates main
deb-src http://ftp.fr.debian.org/debian/ jessie-updates main




deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security sana/updates main contrib non-free



deb http://httpredir.debian.org/debian/ jessie main contrib non-free


 



je test si ça vient de kali ou debian je vous donne les informations aprés .

Hors ligne

#22 10-05-2016 19:00:08

Severian
Membre
Distrib. : Debian GNU/Linux 9.4 (stretch)
Noyau : Linux 4.14.0-0.bpo.3-amd64
(G)UI : Openbox 3.6.1-4
Inscription : 13-12-2014

Re : Aide pour Rootkit

en plus du sources.list il faut vérifier si il y a des fichiers.list dans /sources.list.d/
le plus simple c'est

find /etc/apt -name '*.list*' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;

Hors ligne

#23 10-05-2016 21:02:22

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

Severian a écrit :

en plus du sources.list il faut vérifier si il y a des fichiers.list dans /sources.list.d/
le plus simple c'est

find /etc/apt -name '*.list*' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;



j'ai pris ta syntaxe mais la liste.d est pareille que celle que j'ai donner, mais bon je suis entrain de voir ou le problème pourrai venir sans installer kali et aprés une fois installer kali comme à dit Kawer je vais tester en virtualbox, sinon merci à toi !!!

Hors ligne

#24 10-05-2016 22:21:36

Severian
Membre
Distrib. : Debian GNU/Linux 9.4 (stretch)
Noyau : Linux 4.14.0-0.bpo.3-amd64
(G)UI : Openbox 3.6.1-4
Inscription : 13-12-2014

Re : Aide pour Rootkit

je ne comprend pas ... tu parle de dépôt kali ??

ils sont où ?

les "rootkit" sont sur quelle machine ?
quels est le résultat de la commande

find /etc/apt -name '*.list*' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;


de la machine infecté

que ce soit raleur, Thuban ou bendia, ils t'ont demandé comment tu avais obtenu le rapport listant les "rootkits" (bref quel programme as tu utilisé pour les détecter)
et si possible, post un rapports complet.

il y a des questions très précises d'utilisateurs compétents qui veulent bien t'aider, répond précisément aux questions, quand c'est des résultats de commandes qui sont demandé, c'est ce que tu dois fournir, pas ton appréciations du résultat...

si tu aime la sécurité informatique je suis certain que tu comprendras smile

Hors ligne

#25 11-05-2016 17:17:00

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

Voilà, j'ai analyser l'iso que j'ai chez moi avec rkhunter donc je n'ai rien trouver dessus, pas contre comme dit KAWER : Bon j'ai installé la dite iso dans une vm, une analyse chkrootkit et rkhunter ne retourne rien. Tes rootkits viennent sûrement des dépôts kali. j'ai un doute sur la provenance de kali.

Pas contre vous ne serez comment on fait pour purger le kali en entier avec ces outils que j'ai mis à jour, puis d'avoir le debian seul !!! pour savoir si ça provient d'eux .



Severian apres la commande que tu ma donner :


/etc/apt/sources.list.d

nl: /etc/apt/sources.list.d: est un dossier

/etc/apt/sources.list~


/etc/apt/sources.list

    1 
    2 
    3  # deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main
    4 
    5  deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main
    6 
    7  deb http://ftp.fr.debian.org/debian/ jessie main
    8  deb-src http://ftp.fr.debian.org/debian/ jessie main
    9 
    10  deb http://security.debian.org/ jessie/updates main
    11  deb-src http://security.debian.org/ jessie/updates main
    12 
    13  # jessie-updates, previously known as 'volatile'
    14  deb http://ftp.fr.debian.org/debian/ jessie-updates main
    15  deb-src http://ftp.fr.debian.org/debian/ jessie-updates main
    16 
    17 
    18 
    19 
    20  deb http://http.kali.org/kali sana main non-free contrib
    21  deb http://security.kali.org/kali-security sana/updates main contrib non-free
    22 
    23 
    24 
    25  deb http://httpredir.debian.org/debian/ jessie main contrib non-free




 




Mes rapport avec rkhunter : rkhunter  -c


[ Rootkit Hunter version 1.4.2 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/sshd                                           [ OK ]
    /usr/sbin/tcpd                                           [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/sbin/unhide-linux                                   [ OK ]
    /usr/sbin/unhide-posix                                   [ OK ]
    /usr/sbin/unhide-tcp                                     [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/GET                                             [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/locate                                          [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mlocate                                         [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/ssh                                             [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/telnet                                          [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/unhide                                          [ OK ]
    /usr/bin/gawk                                            [ OK ]
    /usr/bin/lwp-request                                     [ OK ]
    /usr/bin/bsd-mailx                                       [ OK ]
    /usr/bin/telnet.netkit                                   [ OK ]
    /usr/bin/w.procps                                        [ OK ]
    /sbin/depmod                                             [ OK ]
    /sbin/fsck                                               [ OK ]
    /sbin/ifconfig                                           [ OK ]
    /sbin/ifdown                                             [ OK ]
    /sbin/ifup                                               [ OK ]
    /sbin/init                                               [ OK ]
    /sbin/insmod                                             [ OK ]
    /sbin/ip                                                 [ OK ]
    /sbin/lsmod                                              [ OK ]
    /sbin/modinfo                                            [ OK ]
    /sbin/modprobe                                           [ OK ]
    /sbin/rmmod                                              [ OK ]
    /sbin/route                                              [ OK ]
    /sbin/runlevel                                           [ OK ]
    /sbin/sulogin                                            [ OK ]
    /sbin/sysctl                                             [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
    /bin/dmesg                                               [ OK ]
    /bin/echo                                                [ OK ]
    /bin/egrep                                               [ OK ]
    /bin/fgrep                                               [ OK ]
    /bin/fuser                                               [ OK ]
    /bin/grep                                                [ OK ]
    /bin/ip                                                  [ OK ]
    /bin/kill                                                [ OK ]
    /bin/less                                                [ OK ]
    /bin/login                                               [ OK ]
    /bin/ls                                                  [ OK ]
    /bin/lsmod                                               [ OK ]
    /bin/mktemp                                              [ OK ]
    /bin/more                                                [ OK ]
    /bin/mount                                               [ OK ]
    /bin/mv                                                  [ OK ]
    /bin/netstat                                             [ OK ]
    /bin/ping                                                [ OK ]
    /bin/ps                                                  [ OK ]
    /bin/pwd                                                 [ OK ]
    /bin/readlink                                            [ OK ]
    /bin/sed                                                 [ OK ]
    /bin/sh                                                  [ OK ]
    /bin/su                                                  [ OK ]
    /bin/touch                                               [ OK ]
    /bin/uname                                               [ OK ]
    /bin/which                                               [ OK ]
    /bin/kmod                                                [ OK ]
    /bin/systemd                                             [ OK ]
    /bin/systemctl                                           [ OK ]
    /bin/dash                                                [ OK ]
    /lib/systemd/systemd                                     [ OK ]

[Press <ENTER> to continue]


Checking for rootkits...

  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Warning ]
    Adore Rootkit                                            [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    cb Rootkit                                               [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    Fu Rootkit                                               [ Not found ]
    Fuck`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    IntoXonia-NG Rootkit                                     [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Jynx Rootkit                                             [ Not found ]
    KBeast Rootkit                                           [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    ld-linuxv.so Rootkit                                     [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Warning ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx2 Rootkit                                         [ Not found ]
    Phalanx2 Rootkit (extended tests)                        [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    'Spanish' Rootkit                                        [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    trNkit Rootkit                                           [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Warning ]
    URK Rootkit                                              [ Not found ]
    Vampire Rootkit                                          [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    Xzibit Rootkit                                           [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]
    ZK Rootkit                                               [ Not found ]

[Press <ENTER> to continue]


  Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]
    Suspicious Shared Memory segments                        [ None found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]

[Press <ENTER> to continue]


Checking the network...

  Performing checks on the network ports
    Checking for backdoor ports                              [ None found ]
    Checking for hidden ports                                [ None found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for an SSH configuration file                   [ Found ]
    Checking if SSH root access is allowed                   [ Warning ]
    Checking if SSH protocol v1 is allowed                   [ Not allowed ]
    Checking for a running system logging daemon             [ Found ]
    Checking for a system logging configuration file         [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

[Press <ENTER> to continue]



System checks summary
=====================

File properties checks...
    Files checked: 146
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 379
    Possible rootkits: 3
    Rootkit names    : AjaKit Rootkit, Optic Kit (Tux) Worm, Tuxtendo Rootkit

Applications checks...
    All checks skipped

The system checks took: 4 minutes and 51 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

 



Rapprot avec rkhunter -c --rwo :


Warning: AjaKit Rootkit                           [ Warning ]
         Directory '/dev/tux' found
Warning: Optic Kit (Tux) Worm                     [ Warning ]
         Directory '/dev/tux' found
Warning: Tuxtendo Rootkit                         [ Warning ]
         Directory '/dev/tux' found
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': without-password
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-2227815365: data
         /dev/shm/pulse-shm-2612580420: data
         /dev/shm/pulse-shm-3531845609: data
         /dev/shm/pulse-shm-1661759697: data
         /dev/shm/pulse-shm-2311246649: data
         /dev/shm/pulse-shm-3364931653: AmigaOS bitmap font
Warning: Hidden directory found: /etc/.java


 



Et encore merci pour votre aide, si je n'etais pas encore bien précis dans ma demande veuillez m'en excussez vu que ces ma première situation dans un cas pareil, je  pense en tant que linuxiens comme vous, je cherche à comprendre d'ou vient la problème et comment ils sont rentrer, puis par la suite signaler ceux probleme pour ne pas que d'autre personne soit infecter par les même demarche que j'ai fait, voilà.

Hors ligne

Pied de page des forums