Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-05-2022 20:36:55

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

{fini} suspicion de rootkit [/usr/bin/slice]

Bonjour,
je me retrouve face à deux problèmes qui sont peut-être le même,
depuis que j'ai fait un achat sur un site, et que j'ai tout arrêté «no-script»,
je me retrouve avec une fenêtre surgissante, pop'up, infobulle qui "surgit"
aléatoirement.. C'est un lien/pub de ce site (qui ne connecte pas quand on clique dessus)
Comme je sais pas trop vers où aller fouiner, j'ai installé rick hunter...
Voilà son résultat:

Checking for RH-Sharpe's Rootkit...
[19:55:17]   Checking for file '/bin/lps'                    [ Not found ]
[19:55:17]   Checking for file '/usr/bin/lpstree'            [ Not found ]
[19:55:17]   Checking for file '/usr/bin/ltop'               [ Not found ]
[19:55:17]   Checking for file '/usr/bin/lkillall'           [ Not found ]
[19:55:17]   Checking for file '/usr/bin/ldu'                [ Not found ]
[19:55:17]   Checking for file '/usr/bin/lnetstat'           [ Not found ]
[19:55:17]   Checking for file '/usr/bin/wp'                 [ Not found ]
[19:55:17]   Checking for file '/usr/bin/shad'               [ Not found ]
[19:55:17]   Checking for file '/usr/bin/vadim'              [ Not found ]
[19:55:17]   Checking for file '/usr/bin/slice'              [ Found ]
[19:55:17]   Checking for file '/usr/bin/cleaner'            [ Not found ]
[19:55:17]   Checking for file '/usr/include/rpcsvc/du'      [ Not found ]
[19:55:17] Warning: RH-Sharpe's Rootkit                      [ Warning ]
[19:55:17]          File '/usr/bin/slice' found


J'ai pas trouvé de renseignements sur le nommé "RH-Sharpe's Rootkit",
à part en tchèque et en chinois ....
Et je pige pas vraiment ce qu'est /usr/bin/slice  ...
Un script perl appellé par des fichiers .slice  ?
Comment je peux faire pour trouver et identifier le tocard, si y'a ?
Merci pour vos éclairages et avis,
                                                     ...
résultat de chkrootkit , pareil :

Searching for rootkit RH-Sharpe's default files...          Possible RH-Sharpe rootkit installed:
 /usr/bin/slice

Dernière modification par ubub (19-05-2022 13:38:23)

Hors ligne

#2 16-05-2022 22:28:49

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-13-amd64
(G)UI : mutter 3.38.6-2~deb11u2
Inscription : 15-02-2016

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Bonsoir ! smile

Pour éviter des faux diagnostics, est-ce que tu as mis à jour les bases de données des menaces et de la signature des paquets avant de lancer le diagnostic :


rkhunter --update




rkhunter --propupdate




Mais cela quand même assez sérieux puisque chkrootkit voit aussi la même menace.


Regarde aussi :


apt show slice

Dernière modification par --gilles-- (16-05-2022 22:33:47)


« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

Hors ligne

#3 16-05-2022 22:32:35

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Salut,
  oui oui, j'ai fait,

Hors ligne

#4 16-05-2022 22:38:46

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-13-amd64
(G)UI : mutter 3.38.6-2~deb11u2
Inscription : 15-02-2016

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Personnellement, je n'ai pas le paquet, si je simule sa désinstallation :


apt -s remove slice

Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait      
Le paquet « slice » n'est pas installé, et ne peut donc être supprimé
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
 



Est-ce tu pourrais effectuer une mise à jour et recommencer le diagnostic ?


Sinon, à première vue, sans chercher, je ne sais pas si le paquet slice influence le /usr/bin/slice du rootkit.

Dernière modification par --gilles-- (16-05-2022 22:57:47)


« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

Hors ligne

#5 16-05-2022 22:49:42

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Bah moi, il y est :

Les paquets suivants seront ENLEVÉS :
  slice wml
0 mis à jour, 0 nouvellement installés, 2 à enlever et 2 non mis à jour.
Remv wml [2.32.0~ds1-1]
Remv slice [2.32.0~ds1-1]



slice:
  Installé : 2.32.0~ds1-1
  Candidat : 2.32.0~ds1-1

Hors ligne

#6 16-05-2022 23:16:51

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-13-amd64
(G)UI : mutter 3.38.6-2~deb11u2
Inscription : 15-02-2016

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Pour éviter le plus possible un faux diagnostic, est-ce que tu pourrais mettre à jour et ensuite redémarrer et refaire le diagnostic ?

Personnellement, je ne l'ai pas, mais cela doit te faire une belle jambe :

ROOTDIR is `/'
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found




Si le diagnostic reste, à mon avis, il faudrait "jouer" avec le slice du paquet, mais peut-être que d'autres ont des avis plus éclairés. Je dois arrêter ici, j'espère que c'est un faux positif puisque tu dois navigateur en session utilisateur. Tu pourrais nous dire le site en question. Bonne nuit.


« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

Hors ligne

#7 16-05-2022 23:21:21

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

J'ai fait la m.a.j du système et de rick hunter, avant de poster...
> royalqueenseeds
     merci, bonne soirée, mais si ça fait plaisir que t'ai pas chopé RHSharpe's .....

Dernière modification par ubub (16-05-2022 23:22:27)

Hors ligne

#8 17-05-2022 09:21:51

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-13-amd64
(G)UI : mutter 3.38.6-2~deb11u2
Inscription : 15-02-2016

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Bonjour.

ubub a écrit :

Bonjour,
je me retrouve face à deux problèmes qui sont peut-être le même,
depuis que j'ai fait un achat sur un site, et que j'ai tout arrêté «no-script»,
je me retrouve avec une fenêtre surgissante, pop'up, infobulle qui "surgit"
aléatoirement.. C'est un lien/pub de ce site (qui ne connecte pas quand on clique dessus)[...]



royalqueenseeds  donc à visiter soigneusement blindé !

Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.

Est-ce qu'il n'y aurait pas un lanceur caché un peu louche dans ta session ? Regarde les .desktop

Ou bien un script perl puisque slice est lié à perl  ?

As-tu modifié, adapté /etc/rkhunter.conf ?


« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

Hors ligne

#9 17-05-2022 17:41:17

nlancien
Membre
Distrib. : Debian Stable
Noyau : Linux 4.19.0-12-amd64
(G)UI : Openbox
Inscription : 17-07-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Si je dois arrêter noscript, je le fait sur un firefox profil privé. Déjà ca limite les soucis.

As tu aussi essayé un petit :


rm -rf ~/.mosilla
 


Quand on a choppé des fenêtres surgissantes dues a de mauvaises fréquentations cela suffit parfois.

Dernière modification par nlancien (17-05-2022 17:41:31)

Hors ligne

#10 17-05-2022 20:26:04

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Bonsoir,
je suis trop naze ce soir pour continuer mes recherches,
dis gilles, comment t'en arrive à la conclusion que le truc est pas complet?
Parcequ'il s'est fait grillé sur un fichier slice (un morceau si j'ai bien saisi)
Ou parceque il crée bien un lanceur, mais qui marche pas?

Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.



Aussi @nlancien, c'est exprès le 's' de mosilla ou erreur de frappe ?
je vais essayé de regarder tout ça demain,
je sais pas trop comment lister les fichiers .machin, je voudrai bien aller chercher là dedans...(j'ai vu causer de ncd, vai voir)
Après, le paquet slice qui dépend de wml qui lui même dépend de slice,
je sais pas trop d'où il sort ni à qui il sert...
J'ai vu que la description du paquet wml est « une boîte à outil pour faire du HTML offline »; vu que j'en fais pas, je suis pas sur que ça me soit utile..
Après, tout n'est que suspicion, sauf cette fenêtre que j'ai vu surgir plusieurs fois .. Pour ça que j'aurai bien voulu trouver des infos sur les noms de rootkit...
       Bonne soirée
Pas sûr que ça marche les fenêtres privées pour effectuer l'ordre d'achat, j'ai des doutes avec Tor aussi ...

Hors ligne

#11 18-05-2022 13:24:05

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-13-amd64
(G)UI : mutter 3.38.6-2~deb11u2
Inscription : 15-02-2016

Re : {fini} suspicion de rootkit [/usr/bin/slice]

ubub a écrit :

Bonsoir,
je suis trop naze ce soir pour continuer mes recherches,
dis gilles, comment t'en arrive à la conclusion que le truc est pas complet?
Parcequ'il s'est fait grillé sur un fichier slice (un morceau si j'ai bien saisi)
Ou parceque il crée bien un lanceur, mais qui marche pas?



Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.




Bonjour ! ( On va finir par m'appeler Mourousi ! Alors Marie-Laure quelles sont les nouvelles aujourd'hui ? big_smile)

1] On voit bien que le fichier /bin/lps, le fichier /usr/bin/lpstree du rootkit RH-Sharpe's n'est pas trouvé et ainsi de suite… :

Checking for RH-Sharpe's Rootkit...
[19:55:17]   Checking for file '/bin/lps'                    [ Not found ]
[19:55:17]   Checking for file '/usr/bin/lpstree'            [ Not found ]
[19:55:17]   Checking for file '/usr/bin/ltop'               [ Not found ]
[19:55:17]   Checking for file '/usr/bin/lkillall'           [ Not found ]
[19:55:17]   Checking for file '/usr/bin/ldu'                [ Not found ]
[19:55:17]   Checking for file '/usr/bin/lnetstat'           [ Not found ]
[19:55:17]   Checking for file '/usr/bin/wp'                 [ Not found ]
[19:55:17]   Checking for file '/usr/bin/shad'               [ Not found ]
[19:55:17]   Checking for file '/usr/bin/vadim'              [ Not found ]
[19:55:17]   Checking for file '/usr/bin/slice'              [ Found ]
[19:55:17]   Checking for file '/usr/bin/cleaner'            [ Not found ]
[19:55:17]   Checking for file '/usr/include/rpcsvc/du'      [ Not found ]
[19:55:17] Warning: RH-Sharpe's Rootkit                      [ Warning ]
[19:55:17]          File '/usr/bin/slice' found



2] Le code qu'il met en place pour lancer un site ne marche pas.

J'ai regardé extrêmement vite sur Internet : How to remove RH-Sharpe's Rootkit?, mais je n'ai rien trouvé qui fasse consensus. Rien que des gens qui listaient des actions à effectuer, mais leurs listes d'actions n'avaient rien en commun. Il faudrait creuser plus de ce côté voir si il est possible de trouver plus concluant.


On peut aussi essayer d'estimer plus profondément la dangerosité de l'objet.

A] Je pense que l'on peut faire l'hypothèse que si l'objet a une certaine virulence, il est capable de se manifester dans une nouvelle session utilisateur que tu créerais. Sinon, c'est qu'il assez inoffensif.

B] On peut faire aussi l'hypothèse un peu paranoïaque que sa vraie virulence restera cachée et que tu feras avoir au tournant …

Faute d'informations complètes, tu comprends que ceci reste spéculatif à ce stade. Je pencherais quand même plutôt pour l'hypothèse A.

?1] As-tu creusé : How to remove RH-Sharpe's Rootkit? ?

?2] Essaie de voir le comportement dans une autre session utilisateur.

Bon courage, j'ai une invitée, alors je n'ai pas trop le temps de creuser.


« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

Hors ligne

#12 18-05-2022 14:31:22

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Ok, j'y vois mieux pourquoi tu dis qu'il est pas complet ,
faudrait quand même que j'apprenne à lire ce que j'ai sous les yeux .;

Mah, effectivement, en allant zoner dans ~/.mozilla , je pense l'avoir débusqué, le lanceur squatteur en tout cas... Même si j'arrive pas à voir de quoi il est composé...

~/.mozilla/firefox/pcsd3t37.default-esr/storage/default/https+++www.royalqueenseeds.fr$ tree cache
cache
├── caches.sqlite
└── morgue
    ├── 5
    │   └── {b959316a-b8ec-4922-b83f-7e3e3fd90305}.final
    └── 59
        └── {46d3df9e-d75b-4477-8354-827f8ab2f53b}.final

3 directories, 3 files


je sais pas trop ce que sont les fichiers .final (est-ce le final d'une suite de .slice ?)

~/.mozilla/firefox/pcsd3t37.default-esr/storage/default/https+++www.royalqueenseeds.fr/cache$ file caches.sqlite


bloc à supprimer si la commande n’affiche rien


caches.sqlite: SQLite 3.x database, user version 28, last written using SQLite version 3036000, writer version 2, read version 2, file counter 7, database pages 18, cookie 0xa, schema 4, largest root page 14, UTF-8, vacuum mode 1, version-valid-for 7





Je vais effacer ça, pas tout ~/.mozilla , y'a des trucs qui me servent dedans, puis je reverrai avec rkhunter ce qu'il dit ...
Moyennement cherché remove RHSharpe's , les seuls trucs que j'ai lu, il s'était fait grillé avec /usr/bin/.slice , mais sinon, c'était un forum linux mint écrit en tchèque... j'ai pas tout suivi, hormis les retours d'écran... Et un autre,qui avait l'air intérressant mais écrit en madarin...pfff
Puis au début de mes recherches , j'ai confondu slide et slice ...
Et là,ma connexion internet est tellement précaire, que je suis allé me connecter ailleurs pour finir mise à jour + poster sur le forum... D'ailleurs, la mise à jour a buggé par manque de connexion/temps de réponse ou d'attente trop long...
Un bon moyen d'être à l'abri des rootkit, quand la connexion peut déjà difficilement marcher, le surplus ne passe pas ....

Dernière modification par ubub (18-05-2022 14:33:46)

Hors ligne

#13 18-05-2022 14:36:59

plegrand
Membre
Distrib. : Debian SID
Noyau : Linux 5.17.0-2-amd64
(G)UI : Gnome
Inscription : 25-09-2013

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Comme sous entend nlancien c'est clairement un soucis au niveau de ton navigateur et je doute que rkhunter te soit vraiment utile dans ce cas.
Plutot que de supprimer ton profil firefox, tu peux déjà le renommer pour que firefox en crée un nouveau, tu verras si ton problème revient

Hors ligne

#14 18-05-2022 14:39:48

plegrand
Membre
Distrib. : Debian SID
Noyau : Linux 5.17.0-2-amd64
(G)UI : Gnome
Inscription : 25-09-2013

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Maintenant, pour le profil de Firefox, les informations importantes sont stockées dans quelques fichiers à conserver donc:
Marque page
places.sqlite
favicons.sqlite
Mots de passe
key4.db
logins.json

Si tu sauvegardes ces fichiers, que tu crées un nouveau profil, que tu copies ces fichiers dans le nouveau profil et que tu réinstalles tes extensions ça devrait le faire.

Hors ligne

#15 18-05-2022 16:23:09

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Bah, la suppression de ce fichier https++++www.machin, a rien changé aux diagnostics de rkhunter et chkrootkit .... Peut-être que ça m'a viré le lanceur innopiné, mais ça je verrai à la longue vu que c'est aléatoire.
Et puis je doute que RHSharpe's ne serve quà créer des lanceurs qui ne marchent d'ailleurs pas..
Mais pas de doc sur sa classification/définition

Hors ligne

#16 18-05-2022 17:46:51

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-13-amd64
(G)UI : mutter 3.38.6-2~deb11u2
Inscription : 15-02-2016

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Avec un rootkit, si tu supprimes un de ses effets, souvent il le recrée.

J'en avais eu un avec un Mac et qui me créait un lanceur vers le site de pixmania, dès que je le supprimais, il revenait.

« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

Hors ligne

#17 18-05-2022 21:58:38

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Hello,

Je pense sérieusement que ce n'est qu'un faux positif.
/usr/bin/slice est fourni par le paquet slice.
Et c'est un script perl.
Pour quelle raison il est installé chez toi, je ne sais pas, regarde ses dépendances inverses avec :

apt-cache rdepends slice


Chez moi, comme il n'est pas installé, il ne dépend que de wml, et wml dépend de ... slice lol

Mais comme se sont 2 paquets légitimes du dépôt officiel de Debian, il n'y a pas de craintes à avoir (si le fichier /usr/bin/slice n'a pas été modifié [il faut des droits root pour ça ...]).
Et ça ne vient pas du site RoyalQueenSeeds, je l'ai déjà visité, et je te conseille Dutch Passion wink

Au pire, si tu as vraiment des doutes, désinstalle ces 2 paquets et utilise ton PC normalement pour voir s'il te manque une/des fonctionnalité(s).

Je persiste à dire que c'est un faux positif.

Dernière modification par Tawal (18-05-2022 21:59:48)


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#18 19-05-2022 11:14:41

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Tawal a écrit :

Je persiste à dire que c'est un faux positif.



et comme le dirait mourousi, nous avons peut-être un gagnant !
voilà le résultat de rkhunter après avoir installé slice sur une bullseye ce matin :

Checking for RH-Sharpe's Rootkit...
[10:54:02]   Checking for file '/bin/lps'                    [ Not found ]
[10:54:02]   Checking for file '/usr/bin/lpstree'            [ Not found ]
[10:54:02]   Checking for file '/usr/bin/ltop'               [ Not found ]
[10:54:02]   Checking for file '/usr/bin/lkillall'           [ Not found ]
[10:54:02]   Checking for file '/usr/bin/ldu'                [ Not found ]
[10:54:02]   Checking for file '/usr/bin/lnetstat'           [ Not found ]
[10:54:02]   Checking for file '/usr/bin/wp'                 [ Not found ]
[10:54:02]   Checking for file '/usr/bin/shad'               [ Not found ]
[10:54:02]   Checking for file '/usr/bin/vadim'              [ Not found ]
[10:54:02]   Checking for file '/usr/bin/slice'              [ Found ]
[10:54:02]   Checking for file '/usr/bin/cleaner'            [ Not found ]
[10:54:02]   Checking for file '/usr/include/rpcsvc/du'      [ Not found ]
[10:54:02] Warning: RH-Sharpe's Rootkit                      [ Warning ]
[10:54:02]          File '/usr/bin/slice' found



ca me rappelle un truc .... j'ai rkhunter--propupdate juste avant, --update veut pas marcher, problème de WEB je sais plus quoi...
Je sais pas à quoi me sers slice ... J'ai essayé rdepends pour voir et c'est parti en boucle,
slice rdepends de wml et wml rdepends slice ...
Avec par contre, slice casse wml et le remplace, si mes souvenirs sont bons ..;
Ce matin, lors d l'install de slice, pas de wml en vue....
Je crois que le paquet slice et wml vont finir à la poubelle...
Mais j'ai regardé les rapports de bugs de slice et wml, voir si on parlait de vrai ou faux rootkit, rien...
Après, pour le site, c'est pas pour les dénigrer,
mais la fenêtre surgissante est bien à leur nom ....

/usr/bin/slice est fourni par le paquet slice.
Et c'est un script perl.
Pour quelle raison il est installé chez toi, je ne sais pas,


Beh moi non plus je sais pas, je pensais ça normal...
Il a pas été changé, celui qui est apparu avec l'install de slice sur la bullseye est le même que celui dans la Sid ...

Dernière modification par ubub (19-05-2022 11:22:57)

Hors ligne

#19 19-05-2022 12:08:20

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Si sur une installation fraîche de slice, il est détecté par rkhunter, à 99,9% c'est un faux positif.

Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#20 19-05-2022 13:37:08

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Bien d'accord, d'où le test..
Parce que comme je disais, c'est plutôt flou :

apt rdepends slice


slice
Reverse Depends:
  Dépend: wml (>= 2.20)



apt rdepends wml


wml
Reverse Depends:
  Casse: slice (<< 2.28.0~ds1-2)
  Remplace: slice (<< 2.28.0~ds1-2)



apt policy slice


slice:
  Installé : 2.32.0~ds1-1
  Candidat : 2.32.0~ds1-1



 apt policy wml


wml:
  Installé : 2.32.0~ds1-1
  Candidat : 2.32.0~ds1-1



Allez, on bouzille tout:

apt remove wml


puis slice en moins,
rkhunter a l'air radoucit :

Rootkit checks...
    Rootkits checked : 477
    Possible rootkits: 0



  .. normal, /usr/bin/slice a disparu ...

Hors ligne

#21 19-05-2022 15:18:10

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-13-amd64
(G)UI : mutter 3.38.6-2~deb11u2
Inscription : 15-02-2016

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Affaire résolue !

ubub a écrit :

mourousi, nous avons peut-être un gagnant !


Non ça, c'est Guy Lux ! big_smile

Je pense plutôt que c'est le site qui est en cause, je le mets en webarchive :

https://web.archive.org/web/20220516134 … nseeds.fr/

Il y a eu une vulnérabilité de SliceWP ( pour WordPress ) :

https://patchstack.com/database/vulnerability/slicewp

https://duckduckgo.com/?q=slice+wp+wml+ … =h_&ia=web


Le site ne peut pas être vérifier à nouveau dans Trustcam :

https://trustscam.fr/royalqueenseeds.fr?analyzeNow=1


*********************

Édition :

En ce qui concerne TrustCam, on ne peut rien conclure : d'autres sites ne peuvent plus aussi vérifés à nouveau

Dernière modification par --gilles-- (20-05-2022 18:21:38)


« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

Hors ligne

Pied de page des forums