Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 08-10-2021 11:45:41

Tawal
Membre
Distrib. : Debian 11 Bullseye
Noyau : Linux 5.10.0-9-amd64
(G)UI : Xfce
Inscription : 25-02-2021

[Info Sécurité] Des nouveaux malwares ciblés pour Linux

Hello,

J'ai lu ce billet : https://www.welivesecurity.com/2021/10/ … ecurity%29

Ils y parlent d'une nouvelle famille de malwares ciblés pour Linux contenant des trojans, backdoors et rootkits : FontOnLake.
Ils ne savent pas encore comment ces malwares sont arrivés sur les machines infectées (ssh, installation tierce ...).
La 1ère détection a été faite sur un fichier uploadé sur VirusTotal.

Bon, il ne faut pas être alarmiste non plus !
Mais quand même, je n'ai pas pu m’empêcher de vérifier la présence ou non de certains fichiers identifiés et la sha1 de certains binaires corrompus.
Évidemment, aucunes traces chez moi.
J'ai donc passé ces commandes :

sha1sum /usr/bin/cat /usr/bin/kill /usr/bin/sftp


0f2fcae1efe8f2405dc6cdf406275ec740ff4612  /usr/bin/cat
5aa65631bc74e59f12057a732a403af0c82d3e24  /usr/bin/kill
e0df77339b60e4837cdf7aa9761d63a47217789f  /usr/bin/sftp


et

find / -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print


pas de retour



C'est toujours rassurant tongue

Les recommandations sont toujours les mêmes : avoir son système à jour et ne pas installer n'importe quoi de n'importe où !

Toujours est-il que les cybers-criminels pensent de plus en plus à attaquer les systèmes Linux.
Il faudra être de plus en plus prudent à l'avenir.


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#2 12-10-2021 17:49:50

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 11 Xfce
Inscription : 21-09-2016

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux


Acer Aspire 5733 - Debian 11 Xfce

Hors ligne

#3 14-10-2021 21:23:05

malmsteen
Membre
Distrib. : Linux debian 10
Noyau : 4.19.0-8-amd64
(G)UI : MATE
Inscription : 26-01-2016

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

salut
moi j ai un retour

find: ‘/run/user/1000/doc’: Permission non accordée
 


est ce grave???

Hors ligne

#4 14-10-2021 21:28:59

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

malmsteen a écrit :

est ce grave???


À faire en root, pas sous user, comme l'indique la commande du post.

big_smile


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#5 14-10-2021 21:32:25

malmsteen
Membre
Distrib. : Linux debian 10
Noyau : 4.19.0-8-amd64
(G)UI : MATE
Inscription : 26-01-2016

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

smolski a écrit :

malmsteen a écrit :

est ce grave???


À faire en root, pas sous user, comme l'indique la commande du post.

big_smile


oui c est comme ca que j ai fait
en sudo -i et en su

Hors ligne

#6 14-10-2021 21:33:48

malmsteen
Membre
Distrib. : Linux debian 10
Noyau : 4.19.0-8-amd64
(G)UI : MATE
Inscription : 26-01-2016

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

pour info l installation date de ce matin

Hors ligne

#7 14-10-2021 21:44:57

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Bonsoir.
J'ai également le même retour que Malmsteen ... commande passée en root (su - et sudo su).


root@Debian:~# find / -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print
find: ‘/run/user/1000/gvfs’: Permission non accordée
 


Roland.

Hors ligne

#8 15-10-2021 09:17:07

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-9-amd64
(G)UI : mutter 3.38.6-2~deb11u1
Inscription : 15-02-2016

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

À malmsteen et Roland05, c'est normal, c'est expliqué ici en anglais :

https://unix.stackexchange.com/question … -user-1000

Il n'y a pas à s'inquiéter de ne pas accéder à /run/user en root.

Dernière modification par --gilles-- (15-10-2021 09:54:09)


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#9 15-10-2021 10:20:54

raleur
Membre
Inscription : 03-10-2014

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

@Gilles :
Non, ce n'est pas normal. Cela s'explique, c'est pareil pour tout le monde mais ça ne veut pas dire que c'est normal.

Ton lien concerne seulement /run/user/$UID qui est un montage tmpfs dans lequel root a tous les droits. Il n'explique en rien pourquoi root ne peut pas accéder à /run/user/1000/doc ou /run/user/1000/gvfs.

Par exemple /run/user/$UID/gvfs est un montage gvfsd-fuse via FUSE et il apparaît que ce type de montage peut refuser l'accès même en root (UID 0). On peut observer la même chose avec des montages ntfs-3g ou exfat-fuse via FUSE.

Cf. ma réponse dans un autre sujet https://debian-facile.org/viewtopic.php … 82#p368482

Dernière modification par raleur (15-10-2021 13:38:19)


Il vaut mieux montrer que raconter.

Hors ligne

#10 15-10-2021 13:16:07

malmsteen
Membre
Distrib. : Linux debian 10
Noyau : 4.19.0-8-amd64
(G)UI : MATE
Inscription : 26-01-2016

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

y a t il une solution???

Hors ligne

#11 15-10-2021 13:31:10

Tawal
Membre
Distrib. : Debian 11 Bullseye
Noyau : Linux 5.10.0-9-amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

y a t il une solution???


As-tu vraiment besoin d'accéder en root à ces fichiers ?


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#12 15-10-2021 13:41:32

raleur
Membre
Inscription : 03-10-2014

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Je n'ai pas ce répertoire sur ma machine mais tu peux regarder à quel système de fichiers il correspond avec

df -T /run/user/1000/doc


En tout  cas il devrait être accessible pas l'utilisateur qui a l'UID 1000 (le premier utilisateur créé).

Dernière modification par raleur (15-10-2021 13:43:03)


Il vaut mieux montrer que raconter.

Hors ligne

#13 15-10-2021 13:48:39

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

--gilles-- a écrit :

À malmsteen et Roland05 ...
Il n'y a pas à s'inquiéter de ne pas accéder à /run/user en root.



Bonjour Gilles.
Je ne suis pas inquiet smile. En suivant la manip donnée par Tawal, ça fonctionne chez lui pourtant !!!
Roland.

Dernière modification par Roland05 (15-10-2021 13:50:56)

Hors ligne

#14 15-10-2021 13:50:35

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

raleur a écrit :


Cf. ma réponse dans un autre sujet https://debian-facile.org/viewtopic.php … 82#p368482



Bonjour Raleur.
J'avais vu ta réponse dans l'autre post, "détail" que je connaissais à une époque mais que j'ai oublié depuis ... wink.
Merci pour tes explications.
Roland.

Hors ligne

#15 15-10-2021 13:53:19

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Tawal a écrit :

y a t il une solution???


As-tu vraiment besoin d'accéder en root à ces fichiers ?



Bonjour Tawal.
Pour ma part, je n'ai pas vraiment besoin d'accéder à ces fichiers ...
J'ai simplement voulu suivre la manip que tu donnes et qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.
C'est juste pour chercher à comprendre smile.
Roland.

Hors ligne

#16 15-10-2021 14:56:20

Tawal
Membre
Distrib. : Debian 11 Bullseye
Noyau : Linux 5.10.0-9-amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Roland05 a écrit :

qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.


Oui car je n'ai pas de montage gvfs, donc mon /run/user/1000/gvfs est vide.
Tout simplement wink


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#17 15-10-2021 15:08:22

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Tawal a écrit :

Roland05 a écrit :

qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.


Oui car je n'ai pas de montage gvfs, donc mon /run/user/1000/gvfs est vide.
Tout simplement wink



J'ai installé Buster et Bulseye en multi-boot après Steven.
Je doute fortement être en gvfs ne le connaissant pas mais je verifierai ce soir.
Roland.

Hors ligne

#18 15-10-2021 15:16:45

raleur
Membre
Inscription : 03-10-2014

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

gvfs est une dépendance courante des environnements de bureau et crée ce montage quand un utilisateur ouvre une session graphique.

Il vaut mieux montrer que raconter.

Hors ligne

#19 15-10-2021 15:32:06

Grégory1899
Membre
Lieu : Lille
Distrib. : Debian GNU/Linux 11.1 (bullseye)
Noyau : Linux 5.10.0-9-amd64
(G)UI : GNOME 3.38.5
Inscription : 20-10-2019

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

root@debian:~# find / -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print
root@debian:~#



Ouf !!!yes.gif

Hors ligne

#20 15-10-2021 17:02:32

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

raleur a écrit :

gvfs est une dépendance courante des environnements de bureau et crée ce montage quand un utilisateur ouvre une session graphique.


Ok. Le répertoire gvfs est donc présent chez tout un chaqu'un !
Chez moi, il est vide.
Roland.

Hors ligne

#21 15-10-2021 17:11:41

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Tawal a écrit :

Roland05 a écrit :

qui me retourne un : "permission non accordée" alors que cela fonctionne chez toi.


Oui car je n'ai pas de montage gvfs, donc mon /run/user/1000/gvfs est vide.
Tout simplement ;)



@Tawal : pour revenir à l'objet de ton sujet et comme tu m'inquiètes quelque peu ... :(.
En root, je ne peut accéder au rép. gvfs ; OK. Ta commande "find ........" me renvoie donc une permission non accordée ; OK.
Par contre, en user, cette commande me renvoie une "chiée plus une " de lignes avec toujours la mention "permission non accordée".
C'est grave car tu m'inquiètes ? Je l'ai déjà dit ? Ah bon ;).

Roland.
P.S. : certainement que je n'ai pas accès en user à ces répertoires mais le serpent se mord la queue puisque root ne peut accèder à gvfs !

Dernière modification par Roland05 (15-10-2021 21:09:12)

Hors ligne

#22 15-10-2021 18:11:42

Tawal
Membre
Distrib. : Debian 11 Bullseye
Noyau : Linux 5.10.0-9-amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

La commande find cherche depuis la racine / et récursivement dans tous les dossiers.
Si tu veux chercher des fichiers (portant les noms donnés dans la commande find) dans le dossier /run/user/1000/gvfs, alors il faut changer la commande find en conséquence et pas besoin de se placer dans le répertoire /run/user/1000/gvfs :

find /run/user/1000/gvfs -iname "ati_remote3.ko" -o -iname "ati_remote3.modules" -o -iname "inject.so" -o -iname "\.in1" -o -iname "\.dot3" -print



Mais il n'y a vraiment pas lieu de s'inquiéter !
Et pour corrompre des binaires comme cat ou kill, il faut des droits root qui ne s'acquièrent pas comme ça (si le mot de passe est assez costaud).
Je rappelle que les chercheurs ne savent pas comment les machines ont été infectées, mais je pense que ça vient d'une mauvaise utilisation comme par exemple une installation de paquets venus d'on se sait où (là les droits root sont donnés par l'utilisateur).


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#23 15-10-2021 21:13:18

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Tawal a écrit :


Mais il n'y a vraiment pas lieu de s'inquiéter !
Et pour corrompre des binaires comme cat ou kill, il faut des droits root qui ne s'acquièrent pas comme ça (si le mot de passe est assez costaud).
Je rappelle que les chercheurs ne savent pas comment les machines ont été infectées, mais je pense que ça vient d'une mauvaise utilisation comme par exemple une installation de paquets venus d'on se sait où (là les droits root sont donnés par l'utilisateur).



Oui, je pense que tu as raison et qu'il ne faut pas s'inquiéter outre mesure.
Concernant ta commande initiale, je ne comprends toujours pas pourquoi elle fonctionne chez toi et pas chez moi ...
Mais bon, j'ai tellement de choses à (réapprendre) apprendre sous linux, que je vais en rester là ;).
Bonne soirée.
Roland.

Hors ligne

#24 15-10-2021 21:26:48

Tawal
Membre
Distrib. : Debian 11 Bullseye
Noyau : Linux 5.10.0-9-amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Roland05 a écrit :

Concernant ta commande initiale, je ne comprends toujours pas pourquoi elle fonctionne chez toi et pas chez moi ...


Elle fonctionne chez toi, elle rencontre juste une erreur de droit sur le dossier /run/user/1000/gvfs et continue quand même à scruter le reste.
Tu as cette erreur parce que tu as des fichiers/dossiers dans /run/user/1000/gvfs et pas moi.


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#25 15-10-2021 21:30:57

Roland05
Membre
Distrib. : Debian Buster
Noyau : Linux 4.19.0-6-amd64
(G)UI : Xfce
Inscription : 06-01-2020

Re : [Info Sécurité] Des nouveaux malwares ciblés pour Linux

Tawal a écrit :

Roland05 a écrit :

Concernant ta commande initiale, je ne comprends toujours pas pourquoi elle fonctionne chez toi et pas chez moi ...


Elle fonctionne chez toi, elle rencontre juste une erreur de droit sur le dossier /run/user/1000/gvfs et continue quand même à scruter le reste.
Tu as cette erreur parce que tu as des fichiers/dossiers dans /run/user/1000/gvfs et pas moi.



Non non, j'ai rien big_smile.

roland@Debian:/run/user/1000/gvfs$ ls -lisa
total 0
    1 0 dr-x------ 2 roland roland   0 oct.  15 20:57 .
26612 0 drwx------ 9 roland roland 200 oct.  15 21:00 ..
roland@Debian:/run/user/1000/gvfs$

 


Roland.

Dernière modification par Roland05 (15-10-2021 21:31:39)

Hors ligne

Pied de page des forums