[Info Sécurité] Des nouveaux malwares ciblés pour Linux

Tawal · 08-10-2021 10:45:41

Hello,

J'ai lu ce billet : https://www.welivesecurity.com/2021/10/ … ecurity%29

Ils y parlent d'une nouvelle famille de malwares ciblés pour Linux contenant des trojans, backdoors et rootkits : FontOnLake.
Ils ne savent pas encore comment ces malwares sont arrivés sur les machines infectées (ssh, installation tierce ...).
La 1ère détection a été faite sur un fichier uploadé sur VirusTotal.

Bon, il ne faut pas être alarmiste non plus !
Mais quand même, je n'ai pas pu m’empêcher de vérifier la présence ou non de certains fichiers identifiés et la sha1 de certains binaires corrompus.
Évidemment, aucunes traces chez moi.
J'ai donc passé ces commandes :

sha1sum /usr/bin/cat /usr/bin/kill /usr/bin/sftp

0f2fcae1efe8f2405dc6cdf406275ec740ff4612  /usr/bin/cat

5aa65631bc74e59f12057a732a403af0c82d3e24  /usr/bin/kill

e0df77339b60e4837cdf7aa9761d63a47217789f  /usr/bin/sftp

et

find / -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print

pas de retour

C'est toujours rassurant

Les recommandations sont toujours les mêmes : avoir son système à jour et ne pas installer n'importe quoi de n'importe où !

Toujours est-il que les cybers-criminels pensent de plus en plus à attaquer les systèmes Linux.
Il faudra être de plus en plus prudent à l'avenir.

Herve33 · 12-10-2021 16:49:50

Salut,
merci pour l'info

https://www.clubic.com/linux-os/actuali … linux.html

malmsteen · 14-10-2021 20:23:05

salut
moi j ai un retour

find: ‘/run/user/1000/doc’: Permission non accordée

 

est ce grave???

smolski · 14-10-2021 20:28:59

malmsteen a écrit :

est ce grave???

À faire en root, pas sous user, comme l'indique la commande du post.

malmsteen · 14-10-2021 20:32:25

smolski a écrit :

malmsteen a écrit :
est ce grave???

À faire en root, pas sous user, comme l'indique la commande du post.

oui c est comme ca que j ai fait
en sudo -i et en su

malmsteen · 14-10-2021 20:33:48

pour info l installation date de ce matin

Roland05 · 14-10-2021 20:44:57

Bonsoir.
J'ai également le même retour que Malmsteen ... commande passée en root (su - et sudo su).

root@Debian:~# find / -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print

find: ‘/run/user/1000/gvfs’: Permission non accordée

Roland.

--gilles-- · 15-10-2021 08:17:07

À malmsteen et Roland05, c'est normal, c'est expliqué ici en anglais :

https://unix.stackexchange.com/question … -user-1000

Il n'y a pas à s'inquiéter de ne pas accéder à /run/user en root.

Dernière modification par --gilles-- (15-10-2021 08:54:09)

raleur · 15-10-2021 09:20:54

@Gilles :
Non, ce n'est pas normal. Cela s'explique, c'est pareil pour tout le monde mais ça ne veut pas dire que c'est normal.

Ton lien concerne seulement /run/user/$UID qui est un montage tmpfs dans lequel root a tous les droits. Il n'explique en rien pourquoi root ne peut pas accéder à /run/user/1000/doc ou /run/user/1000/gvfs.

Par exemple /run/user/$UID/gvfs est un montage gvfsd-fuse via FUSE et il apparaît que ce type de montage peut refuser l'accès même en root (UID 0). On peut observer la même chose avec des montages ntfs-3g ou exfat-fuse via FUSE.

Cf. ma réponse dans un autre sujet https://debian-facile.org/viewtopic.php … 82#p368482

Dernière modification par raleur (15-10-2021 12:38:19)

malmsteen · 15-10-2021 12:16:07

y a t il une solution???

Tawal · 15-10-2021 12:31:10

y a t il une solution???

As-tu vraiment besoin d'accéder en root à ces fichiers ?

raleur · 15-10-2021 12:41:32

Je n'ai pas ce répertoire sur ma machine mais tu peux regarder à quel système de fichiers il correspond avec

df -T /run/user/1000/doc

En tout cas il devrait être accessible pas l'utilisateur qui a l'UID 1000 (le premier utilisateur créé).

Dernière modification par raleur (15-10-2021 12:43:03)

Roland05 · 15-10-2021 12:48:39

--gilles-- a écrit :

À malmsteen et Roland05 ...
Il n'y a pas à s'inquiéter de ne pas accéder à /run/user en root.

Bonjour Gilles.
Je ne suis pas inquiet . En suivant la manip donnée par Tawal, ça fonctionne chez lui pourtant !!!
Roland.

Dernière modification par Roland05 (15-10-2021 12:50:56)

Roland05 · 15-10-2021 12:50:35

raleur a écrit :

Cf. ma réponse dans un autre sujet https://debian-facile.org/viewtopic.php … 82#p368482

Bonjour Raleur.
J'avais vu ta réponse dans l'autre post, "détail" que je connaissais à une époque mais que j'ai oublié depuis ... .
Merci pour tes explications.
Roland.

Roland05 · 15-10-2021 12:53:19

Tawal a écrit :

y a t il une solution???

As-tu vraiment besoin d'accéder en root à ces fichiers ?

Bonjour Tawal.
Pour ma part, je n'ai pas vraiment besoin d'accéder à ces fichiers ...
J'ai simplement voulu suivre la manip que tu donnes et qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.
C'est juste pour chercher à comprendre .
Roland.

Tawal · 15-10-2021 13:56:20

Roland05 a écrit :

qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.

Oui car je n'ai pas de montage gvfs, donc mon /run/user/1000/gvfs est vide.
Tout simplement

Roland05 · 15-10-2021 14:08:22

Tawal a écrit :

Roland05 a écrit :
qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.

Oui car je n'ai pas de montage gvfs, donc mon /run/user/1000/gvfs est vide.
Tout simplement

J'ai installé Buster et Bulseye en multi-boot après Steven.
Je doute fortement être en gvfs ne le connaissant pas mais je verifierai ce soir.
Roland.

raleur · 15-10-2021 14:16:45

gvfs est une dépendance courante des environnements de bureau et crée ce montage quand un utilisateur ouvre une session graphique.

Grégory1899 · 15-10-2021 14:32:06

root@debian:~# find / -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print

root@debian:~# 

Ouf !!!

Roland05 · 15-10-2021 16:02:32

raleur a écrit :

gvfs est une dépendance courante des environnements de bureau et crée ce montage quand un utilisateur ouvre une session graphique.

Ok. Le répertoire gvfs est donc présent chez tout un chaqu'un !
Chez moi, il est vide.
Roland.

Roland05 · 15-10-2021 16:11:41

Tawal a écrit :

Roland05 a écrit :
qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.

Oui car je n'ai pas de montage gvfs, donc mon /run/user/1000/gvfs est vide.
Tout simplement ;)

@Tawal : pour revenir à l'objet de ton sujet et comme tu m'inquiètes quelque peu ... :(.
En root, je ne peut accéder au rép. gvfs ; OK. Ta commande "find ........" me renvoie donc une permission non accordée ; OK.
Par contre, en user, cette commande me renvoie une "chiée plus une " de lignes avec toujours la mention "permission non accordée".
C'est grave car tu m'inquiètes ? Je l'ai déjà dit ? Ah bon ;).

Roland.
P.S. : certainement que je n'ai pas accès en user à ces répertoires mais le serpent se mord la queue puisque root ne peut accèder à gvfs !

Dernière modification par Roland05 (15-10-2021 20:09:12)

Tawal · 15-10-2021 17:11:42

La commande find cherche depuis la racine / et récursivement dans tous les dossiers.
Si tu veux chercher des fichiers (portant les noms donnés dans la commande find) dans le dossier /run/user/1000/gvfs, alors il faut changer la commande find en conséquence et pas besoin de se placer dans le répertoire /run/user/1000/gvfs :

find /run/user/1000/gvfs -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print

Mais il n'y a vraiment pas lieu de s'inquiéter !
Et pour corrompre des binaires comme cat ou kill, il faut des droits root qui ne s'acquièrent pas comme ça (si le mot de passe est assez costaud).
Je rappelle que les chercheurs ne savent pas comment les machines ont été infectées, mais je pense que ça vient d'une mauvaise utilisation comme par exemple une installation de paquets venus d'on se sait où (là les droits root sont donnés par l'utilisateur).

Roland05 · 15-10-2021 20:13:18

Tawal a écrit :

Mais il n'y a vraiment pas lieu de s'inquiéter !
Et pour corrompre des binaires comme cat ou kill, il faut des droits root qui ne s'acquièrent pas comme ça (si le mot de passe est assez costaud).
Je rappelle que les chercheurs ne savent pas comment les machines ont été infectées, mais je pense que ça vient d'une mauvaise utilisation comme par exemple une installation de paquets venus d'on se sait où (là les droits root sont donnés par l'utilisateur).

Oui, je pense que tu as raison et qu'il ne faut pas s'inquiéter outre mesure.
Concernant ta commande initiale, je ne comprends toujours pas pourquoi elle fonctionne chez toi et pas chez moi ...
Mais bon, j'ai tellement de choses à (réapprendre) apprendre sous linux, que je vais en rester là ;).
Bonne soirée.
Roland.

Tawal · 15-10-2021 20:26:48

Roland05 a écrit :

Concernant ta commande initiale, je ne comprends toujours pas pourquoi elle fonctionne chez toi et pas chez moi ...

Elle fonctionne chez toi, elle rencontre juste une erreur de droit sur le dossier /run/user/1000/gvfs et continue quand même à scruter le reste.
Tu as cette erreur parce que tu as des fichiers/dossiers dans /run/user/1000/gvfs et pas moi.

Roland05 · 15-10-2021 20:30:57

Tawal a écrit :

Roland05 a écrit :
Concernant ta commande initiale, je ne comprends toujours pas pourquoi elle fonctionne chez toi et pas chez moi ...

Elle fonctionne chez toi, elle rencontre juste une erreur de droit sur le dossier /run/user/1000/gvfs et continue quand même à scruter le reste.
Tu as cette erreur parce que tu as des fichiers/dossiers dans /run/user/1000/gvfs et pas moi.

Non non, j'ai rien .

roland@Debian:/run/user/1000/gvfs$ ls -lisa

total 0

    1 0 dr-x------ 2 roland roland   0 oct.  15 20:57 .

26612 0 drwx------ 9 roland roland 200 oct.  15 21:00 ..

roland@Debian:/run/user/1000/gvfs$

Roland.

Dernière modification par Roland05 (15-10-2021 20:31:39)

Debian-facile

#1 08-10-2021 10:45:41

[Info Sécurité] Des nouveaux malwares ciblés pour Linux

#2 12-10-2021 16:49:50

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#3 14-10-2021 20:23:05

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#4 14-10-2021 20:28:59

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#5 14-10-2021 20:32:25

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#6 14-10-2021 20:33:48

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#7 14-10-2021 20:44:57

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#8 15-10-2021 08:17:07

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#9 15-10-2021 09:20:54

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#10 15-10-2021 12:16:07

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#11 15-10-2021 12:31:10

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#12 15-10-2021 12:41:32

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#13 15-10-2021 12:48:39

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#14 15-10-2021 12:50:35

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#15 15-10-2021 12:53:19

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#16 15-10-2021 13:56:20

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#17 15-10-2021 14:08:22

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#18 15-10-2021 14:16:45

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#19 15-10-2021 14:32:06

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#20 15-10-2021 16:02:32

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#21 15-10-2021 16:11:41

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#22 15-10-2021 17:11:42

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#23 15-10-2021 20:13:18

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#24 15-10-2021 20:26:48

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

#25 15-10-2021 20:30:57

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Pied de page des forums