Vous n'êtes pas identifié(e).
Pages : 1
J'ai pas trouvé de renseignements sur le nommé "RH-Sharpe's Rootkit",
à part en tchèque et en chinois ....
Et je pige pas vraiment ce qu'est /usr/bin/slice ...
Un script perl appellé par des fichiers .slice ?
Comment je peux faire pour trouver et identifier le tocard, si y'a ?
Merci pour vos éclairages et avis,
...
résultat de chkrootkit , pareil :
Dernière modification par ubub (19-05-2022 12:38:23)
Hors ligne
Mais cela quand même assez sérieux puisque chkrootkit voit aussi la même menace.
Regarde aussi :
Dernière modification par --gilles-- (16-05-2022 21:33:47)
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
En ligne
Hors ligne
Est-ce tu pourrais effectuer une mise à jour et recommencer le diagnostic ?
Sinon, à première vue, sans chercher, je ne sais pas si le paquet slice influence le /usr/bin/slice du rootkit.
Dernière modification par --gilles-- (16-05-2022 21:57:47)
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
En ligne
Hors ligne
Si le diagnostic reste, à mon avis, il faudrait "jouer" avec le slice du paquet, mais peut-être que d'autres ont des avis plus éclairés. Je dois arrêter ici, j'espère que c'est un faux positif puisque tu dois navigateur en session utilisateur. Tu pourrais nous dire le site en question. Bonne nuit.
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
En ligne
Dernière modification par ubub (16-05-2022 22:22:27)
Hors ligne
Bonjour,
je me retrouve face à deux problèmes qui sont peut-être le même,
depuis que j'ai fait un achat sur un site, et que j'ai tout arrêté «no-script»,
je me retrouve avec une fenêtre surgissante, pop'up, infobulle qui "surgit"
aléatoirement.. C'est un lien/pub de ce site (qui ne connecte pas quand on clique dessus)[...]
royalqueenseeds donc à visiter soigneusement blindé !
Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.
Est-ce qu'il n'y aurait pas un lanceur caché un peu louche dans ta session ? Regarde les .desktop
Ou bien un script perl puisque slice est lié à perl ?
As-tu modifié, adapté /etc/rkhunter.conf ?
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
En ligne
Quand on a choppé des fenêtres surgissantes dues a de mauvaises fréquentations cela suffit parfois.
Dernière modification par nlancien (17-05-2022 16:41:31)
Hors ligne
Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.
Aussi @nlancien, c'est exprès le 's' de mosilla ou erreur de frappe ?
je vais essayé de regarder tout ça demain,
je sais pas trop comment lister les fichiers .machin, je voudrai bien aller chercher là dedans...(j'ai vu causer de ncd, vai voir)
Après, le paquet slice qui dépend de wml qui lui même dépend de slice,
je sais pas trop d'où il sort ni à qui il sert...
J'ai vu que la description du paquet wml est « une boîte à outil pour faire du HTML offline »; vu que j'en fais pas, je suis pas sur que ça me soit utile..
Après, tout n'est que suspicion, sauf cette fenêtre que j'ai vu surgir plusieurs fois .. Pour ça que j'aurai bien voulu trouver des infos sur les noms de rootkit...
Bonne soirée
Pas sûr que ça marche les fenêtres privées pour effectuer l'ordre d'achat, j'ai des doutes avec Tor aussi ...
Hors ligne
Bonsoir,
je suis trop naze ce soir pour continuer mes recherches,
dis gilles, comment t'en arrive à la conclusion que le truc est pas complet?
Parcequ'il s'est fait grillé sur un fichier slice (un morceau si j'ai bien saisi)
Ou parceque il crée bien un lanceur, mais qui marche pas?
Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.
Bonjour ! ( On va finir par m'appeler Mourousi ! Alors Marie-Laure quelles sont les nouvelles aujourd'hui ? )
1] On voit bien que le fichier /bin/lps, le fichier /usr/bin/lpstree du rootkit RH-Sharpe's n'est pas trouvé et ainsi de suite… :
2] Le code qu'il met en place pour lancer un site ne marche pas.
J'ai regardé extrêmement vite sur Internet : How to remove RH-Sharpe's Rootkit?, mais je n'ai rien trouvé qui fasse consensus. Rien que des gens qui listaient des actions à effectuer, mais leurs listes d'actions n'avaient rien en commun. Il faudrait creuser plus de ce côté voir si il est possible de trouver plus concluant.
On peut aussi essayer d'estimer plus profondément la dangerosité de l'objet.
A] Je pense que l'on peut faire l'hypothèse que si l'objet a une certaine virulence, il est capable de se manifester dans une nouvelle session utilisateur que tu créerais. Sinon, c'est qu'il assez inoffensif.
B] On peut faire aussi l'hypothèse un peu paranoïaque que sa vraie virulence restera cachée et que tu feras avoir au tournant …
Faute d'informations complètes, tu comprends que ceci reste spéculatif à ce stade. Je pencherais quand même plutôt pour l'hypothèse A.
?1] As-tu creusé : How to remove RH-Sharpe's Rootkit? ?
?2] Essaie de voir le comportement dans une autre session utilisateur.
Bon courage, j'ai une invitée, alors je n'ai pas trop le temps de creuser.
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
En ligne
je sais pas trop ce que sont les fichiers .final (est-ce le final d'une suite de .slice ?)
Je vais effacer ça, pas tout ~/.mozilla , y'a des trucs qui me servent dedans, puis je reverrai avec rkhunter ce qu'il dit ...
Moyennement cherché remove RHSharpe's , les seuls trucs que j'ai lu, il s'était fait grillé avec /usr/bin/.slice , mais sinon, c'était un forum linux mint écrit en tchèque... j'ai pas tout suivi, hormis les retours d'écran... Et un autre,qui avait l'air intérressant mais écrit en madarin...pfff
Puis au début de mes recherches , j'ai confondu slide et slice ...
Et là,ma connexion internet est tellement précaire, que je suis allé me connecter ailleurs pour finir mise à jour + poster sur le forum... D'ailleurs, la mise à jour a buggé par manque de connexion/temps de réponse ou d'attente trop long...
Un bon moyen d'être à l'abri des rootkit, quand la connexion peut déjà difficilement marcher, le surplus ne passe pas ....
Dernière modification par ubub (18-05-2022 13:33:46)
Hors ligne
Hors ligne
Hors ligne
Hors ligne
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
En ligne
Chez moi, comme il n'est pas installé, il ne dépend que de wml, et wml dépend de ... slice
Mais comme se sont 2 paquets légitimes du dépôt officiel de Debian, il n'y a pas de craintes à avoir (si le fichier /usr/bin/slice n'a pas été modifié [il faut des droits root pour ça ...]).
Et ça ne vient pas du site RoyalQueenSeeds, je l'ai déjà visité, et je te conseille Dutch Passion
Au pire, si tu as vraiment des doutes, désinstalle ces 2 paquets et utilise ton PC normalement pour voir s'il te manque une/des fonctionnalité(s).
Je persiste à dire que c'est un faux positif.
Dernière modification par Tawal (18-05-2022 20:59:48)
Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !
Hors ligne
Je persiste à dire que c'est un faux positif.
et comme le dirait mourousi, nous avons peut-être un gagnant !
voilà le résultat de rkhunter après avoir installé slice sur une bullseye ce matin :
ca me rappelle un truc .... j'ai rkhunter--propupdate juste avant, --update veut pas marcher, problème de WEB je sais plus quoi...
Je sais pas à quoi me sers slice ... J'ai essayé rdepends pour voir et c'est parti en boucle,
slice rdepends de wml et wml rdepends slice ...
Avec par contre, slice casse wml et le remplace, si mes souvenirs sont bons ..;
Ce matin, lors d l'install de slice, pas de wml en vue....
Je crois que le paquet slice et wml vont finir à la poubelle...
Mais j'ai regardé les rapports de bugs de slice et wml, voir si on parlait de vrai ou faux rootkit, rien...
Après, pour le site, c'est pas pour les dénigrer,
mais la fenêtre surgissante est bien à leur nom ....
/usr/bin/slice est fourni par le paquet slice.
Et c'est un script perl.
Pour quelle raison il est installé chez toi, je ne sais pas,
Beh moi non plus je sais pas, je pensais ça normal...
Il a pas été changé, celui qui est apparu avec l'install de slice sur la bullseye est le même que celui dans la Sid ...
Dernière modification par ubub (19-05-2022 10:22:57)
Hors ligne
Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !
Hors ligne
Allez, on bouzille tout:
puis slice en moins,
rkhunter a l'air radoucit :
.. normal, /usr/bin/slice a disparu ...
Hors ligne
mourousi, nous avons peut-être un gagnant !
Non ça, c'est Guy Lux !
Je pense plutôt que c'est le site qui est en cause, je le mets en webarchive :
https://web.archive.org/web/20220516134 … nseeds.fr/
Il y a eu une vulnérabilité de SliceWP ( pour WordPress ) :
https://patchstack.com/database/vulnerability/slicewp
https://duckduckgo.com/?q=slice+wp+wml+ … =h_&ia=web
Le site ne peut pas être vérifier à nouveau dans Trustcam :
https://trustscam.fr/royalqueenseeds.fr?analyzeNow=1
*********************
Édition :
En ce qui concerne TrustCam, on ne peut rien conclure : d'autres sites ne peuvent plus aussi vérifés à nouveau
Dernière modification par --gilles-- (20-05-2022 17:21:38)
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
En ligne
Pages : 1