Aide pour Rootkit

tux30 · 07-05-2016 10:44:07

Salut à tous, voilà lors d'une installation iso debain 8, avec verification de l'empreinte iso correcte, apres une installation debian 8 jessie 8.4 , je m'apercois que il y a trois R00TKIT deja, alors que je voudrai savoir que represente ces trois rootkit qui sont deja installer sur le systeme iso je croit et si on peut les enlever, Rootkit trouver :

Possible rootkits: 3

    [b]Rootkit names : [/b]  AjaKit Rootkit, Optic Kit (Tux) Worm, Tuxtendo Rootkit

merci de votre aide ?

raleur · 07-05-2016 12:05:53

Comment as-tu obtenu ce résultat ?

kawer · 07-05-2016 20:51:45

Ché po comment vous faites les gars, en 18 ans de windows et linux j'ai jamais chopé de virus ou rootkit, pourtant les sites de warez j'y suis allé à gogo

smolski · 07-05-2016 21:28:00

Beaucoup de windowsiens débutants s'exclament qu'ils n'ont pas chopé de virus... Tant qu'ils n'en ont pas recherché sur leur système non plus !

kawer · 07-05-2016 21:32:03

Bah j'ai quand même fait partie de la première génération de helper en sécurité, on avait pas les moyens d'aujourd'hhui bien qu'inutile mais je scannais toutes les semaines mon système avec le fameux hikaclthis et jamais rien

En gros je pouvais m'amuser sur le pc des autres mais pas avec le mien

MicP · 08-05-2016 07:19:26

Bonjour

Pourrais-tu nous transmettre le lien vers le fichier image iso qui a servit à installer ce système debian ?

Merci

tux30 · 09-05-2016 18:41:28

En faite je l'ai pris de chez debian, ici : http://cdimage.debian.org/debian-cd/cur … so-hybrid/ (debian-live-8.4.0-amd64-cinnamon-desktop.iso 2016-04-02 22:59 1.1G )
J'ai donc bien verifier l'emprunte MD5 qui est celle là : a22ac3229291b6b14b26b6f53402a151 debian-live-8.4.0-amd64-cinnamon-desktop.iso elle correspond bien.
J'ai aussi verifier le SHA512 : 295c54f2e68deeec05fcc427cd52a484e0b1c352866ac4d3bade280c3951e78a280733552ee0972bf3723790de563e2ea9965e7dad356dc422cb9e95094dbc83 elle correspond bien a l'iso. voilà

tux30 · 09-05-2016 18:48:09

kawer a écrit :

Ché po comment vous faites les gars, en 18 ans de windows et linux j'ai jamais chopé de virus ou rootkit, pourtant les sites de warez j'y suis allé à gogo

salut à toi dejà je ne l'ai pas choper, c'est en installant l'iso depuis chez debian que je me suis aperçu de ces rootkit installer sur debian 8 jessie moi aussi je suis un fan de fan dans la secu, je scan ...etc. Apres personne est à l'abri même le système Linux est à çà propre vulnérabilité moins que win et mac.

Une derniere question , aurait t-il un tuto sur le forum savoir bien se protèger des rootkit sur Linux, car j'aimerai savoir comment faire , merci à vous ?

Et aussi je voudrai savoir quelle sont les rôle de ces trois rootkit, si vous savez, merci à vous ?

Dernière modification par tux30 (09-05-2016 18:54:22)

smolski · 09-05-2016 20:10:36

Un tuto générique sur la sécurité où peut-être tu trouveras quelques pistes :

https://debian-facile.org/doc:systeme:securite

Thuban · 09-05-2016 20:37:32

Salut

Comment as-tu obtenu ce rapport? Le debug complet serait pratique pour t'aider.
En effet, il est possible que de faux positifs soient détectés.

Il s'agit d'une machine de bureau ou de serveur? Car le risque d'être infecté n'est pas le même.

Quoi qu'il en soit, un bon rootkit n'est pas censé être détecté. Donc ne faisons pas trop les malins

C'est là qu'avec OpenBSD on se rend compte que c'est pratique : tous les jours root reçoit une liste des fichiers modifiés par mail (sous forme de diff). Il faut que je regarde si on peut faire de même sous debian. C'est imparable

bendia · 09-05-2016 20:41:13

Salut

de 2 choses l'une : soit l'iso est compromise, soit c'est un faux positif.

Dans tous les cas, il doit être possible de reproduire le phénomène, mais pour cela, il faut répondre à la question de raleur

raleur a écrit :

Comment as-tu obtenu ce résultat ?

De cette façon, on pourra ré-utiliser le même outils et comparer les résultats.

MicP · 09-05-2016 20:42:36

Bon, OK, le fichier image ISO + la vérification de la somme MD5 confirment que le problème vient d'ailleurs.

Il reste encore plusieurs possibilités :
- que le fichier image ISO ait été corrompu au moment de sa "gravure" sur le support d'installation par le programme qui a copié ce fichier image ISO,
- que le système de démarrage de ce support l'ait corrompu : Je pense à Multisystem, ou autre système de lancement (d'ailleurs superflu puisque les fichier image ISO n'en ont plus besoin),
- que l'installation ait été faîte en gardant un ancien répertoire ou système de fichiers (/home par exemple) qui était déjà corrompu.
- qu'un multiboot avec Win ait corrompu la partition EFI
- que l'UEFI ait saboté le tout
- qu'un des MBR (si GPT) ait été déjà corrompu avant l'installation
- qu'un ou des fichiers "firmware" ait été corrompus (je pense au niveau réseau) et aient téléchargé le ou les "rootkits"
- qu'une personne mal intentionné ou/et inconsciente ait installé volontairement les rootkits en faisant une mauvaise manipulation
- que la navigation vers un site pas vraiment propre ait permis de télécharger ces rootkits
- Et tout ce que j'ai oublié comme possibilités…

En tous les cas, tout le monde a intérêt a chercher à savoir au plus vite d'où vient ce problème
plutôt que de faire l'autruche ou/et de rejeter la faute sur l'inconscience d'un l'utilisateur qui a eu le très bon réflexe de prévenir publiquement la communauté.

Je pense même que s'il y a des personnes compétentes dans ce domaine, elles feraient bien de proposer le plus vite possible une démarche constructive pour chercher çà comprendre ce qu'il a bien pu se passer.
De plus, ce sera édifiant pour tout le monde.

=======
J'espère sincèrement que c'est du bruit pour rien.

J'ouvre un sujet sur debian-fr.org et debian-fr.xyz avec un lien vers ce fil

Merci d'avance à ceux qui transmettront l'info sur les autres fora étrangers.

Et bien sûr, un grand MERCI à tux30

Dernière modification par MicP (10-05-2016 00:34:24)

bendia · 09-05-2016 21:21:13

J'ai lancé le téléchargement de l'iso en question. Est-ce qu'une installation en VM est suffisamment sûre face à ce type de menace ?

Coconuts · 09-05-2016 21:29:56

Bonsoir à tous,

MicP a écrit :

En tous les cas, tout le monde a intérêt a chercher à savoir au plus vite d'où vient ce problème
plutôt que de faire l'autruche ou/et de rejeter la faute sur l'inconscience d'un l'utilisateur qui a eu le très bon réflexe de prévenir publiquement la communauté.

Je plussoie, mais je ne suis pas compétent

Un p’tit lien cela peu toujours servir , mais pour ma part, je n’aime pas les rootkits mais alors pas du tout et dans l’éventualité où je choperai une saloperie de RootKit, sur mon ordinateur desktop.
Je ne me pose même pas la question, remise à zéro et hop là.

MicP · 09-05-2016 22:13:40

@ tux30 Histoire de m'éviter de passer pour un ..., il faut quand même que tu répondes à :

raleur a écrit :

…Comment as-tu obtenu ce résultat ? …

et je pense reformuler sa question en te demandant : quelle est la commande qui t'a retourné le message que tu as posté
(c'est pour ça qu'on préfère toujours avoir : le prompt de départ avec sa ligne de commande avec le retour de la commande jusqu'au prompt de retour inclus.)

tuban a écrit :

- Comment as-tu obtenu ce rapport?
…
- Le debug complet serait pratique pour t'aider.
…
- machine de bureau ou de serveur?

De toutes façons, il ne sera pas possible de trouver une solution tant que ces informations ne seront pas fournies.

tux30 · 09-05-2016 23:22:56

MicP a écrit :

@ tux30 Histoire de m'éviter de passer pour un ..., il faut quand même que tu répondes à :

raleur a écrit :
…Comment as-tu obtenu ce résultat ? …

et je pense reformuler sa question en te demandant : quelle est la commande qui t'a retourné le message que tu as posté
(c'est pour ça qu'on préfère toujours avoir : le prompt de départ avec sa ligne de commande avec le retour de la commande jusqu'au prompt de retour inclus.)

tuban a écrit :
- Comment as-tu obtenu ce rapport?
…
- Le debug complet serait pratique pour t'aider.
…
- machine de bureau ou de serveur?

De toutes façons, il ne sera pas possible de trouver une solution tant que ces informations ne seront pas fournies.

ok je vais repondre a raleur, pas de probleme, en faite je suis comme vous j'aime la securité en informatique (surtout Linux) et le pentest sous Linux, en faite depuis 2 semaine sur la debian 8 jessie, evidement avant d'installer debian je fais un bon shred pour nettoyer ou dd le disque dur pour bien reinstaller par dessus mon nouveau système debian tous en le cryptant puis avec un LVM, puis j'installe les depôts de kali pour ajouter les outils de kali linux, afin que mon debian ressemble a celle de kali linux mais sans trop utiliser tous leurs outils en faite j'en prend quelqu'un seulement, mais je me suis aperçu quand telechargeant l'iso depuis plus deux semaine puis j'ai reinstaller l'iso et resintaller sur mon pc croyant que c'etait sur mon pc qui avait les rootkit, alors que sur la deuxième fois c'etait pareil alors que le debian 8 jessie vener d'être installer sur ma machine, voilà !

Dernière modification par tux30 (09-05-2016 23:23:35)

MicP · 10-05-2016 00:08:57

Merci pour ton message.

Si j'ai bien compris, je constate quand même que ce n'est plus tout-à fait une debian puisque des dépôts kali y auraient été ajoutés.

Mais Il est un peu tard, et je dois être un peu fatigué cari j'ai des difficultés à comprendre ce qui a été fait ensuite.

Dernière modification par MicP (10-05-2016 00:19:16)

kawer · 10-05-2016 00:24:51

Bon j'ai installé la dite iso dans une vm, une analyse chkrootkit et rkhunter ne retourne rien. Tes rootkits viennent sûrement des dépôts kali.

tux30 · 10-05-2016 00:45:27

kawer a écrit :

Bon j'ai installé la dite iso dans une vm, une analyse chkrootkit et rkhunter ne retourne rien. Tes rootkits viennent sûrement des dépôts kali.

Je vais essayez l'iso sur une virtuelle box demain sans ajouter les depôts kali, comme ça je serai sur que ça peut prevenir des depôts de kali merci je vous tiens au courant, pas contre tu a installer chkrootkit et rkhunter depuis apt ou tu a installer en .deb sur ta machine Kawer. Pas contre si ça vient des depôts de kali ces chiant pour quelle raison ils mettrai des rootkit sur les système Linux juste en ajoutant leurs depôts et leurs outils, c pas normal sur, merci !!! je vous tiens au courant demain.

Pas contre je voudrai bien savoir a quoi il servent ces trois rootkit si quelqu'un si connais bien(espionnage,autre...etc.), car demain quand je vais tester l'iso sans kali avec(rkhunter et chrootkit) et puis avec les depôts kali. Et je puis je verai vraimment si ça vient d'eux je vous donne les informations demain sur.

Dernière modification par tux30 (10-05-2016 00:59:54)

MicP · 10-05-2016 06:18:37

L'impression que j'ai en relisant tout ça c'est que si des test d'intrusion (pentest) ont été utilisés même une seule fois, il est bien possible que les rootkits aient réussit à s'installer quelque part, voire même se dupliquer partout où cela leur a été possible, un serveur de fichiers distant, un MBR le BIOS l'UEFI de la machine etc. tout ce qui a été en contact avec la machine depuis son infection.

Il reste à trouver une méthode de "nettoyage" efficace.

Pourrais-tu transmettre un copié/collé du contenu de ton fichier /etc/apt/sources.list

Merci.

Dernière modification par MicP (10-05-2016 16:06:08)

tux30 · 10-05-2016 18:19:05

MicP a écrit :

L'impression que j'ai en relisant tout ça c'est que si des test d'intrusion (pentest) ont été utilisés même une seule fois, il est bien possible que les rootkits aient réussit à s'installer quelque part, voire même se dupliquer partout où cela leur a été possible, un serveur de fichiers distant, un MBR le BIOS l'UEFI de la machine etc. tout ce qui a été en contact avec la machine depuis son infection.

Il reste à trouver une méthode de "nettoyage" efficace.

Pourrais-tu transmettre un copié/collé du contenu de ton fichier /etc/apt/sources.list

Merci.

MicP

Voilà, mon contenu de ma sources.list que j'ai pris du site officiels !!!

# deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main

#deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main

deb http://ftp.fr.debian.org/debian/ jessie main

deb-src http://ftp.fr.debian.org/debian/ jessie main

deb http://security.debian.org/ jessie/updates main

deb-src http://security.debian.org/ jessie/updates main

# jessie-updates, previously known as 'volatile'

deb http://ftp.fr.debian.org/debian/ jessie-updates main

deb-src http://ftp.fr.debian.org/debian/ jessie-updates main

deb http://http.kali.org/kali sana main non-free contrib

deb http://security.kali.org/kali-security sana/updates main contrib non-free

deb http://httpredir.debian.org/debian/ jessie main contrib non-free

je test si ça vient de kali ou debian je vous donne les informations aprés .

Severian · 10-05-2016 19:00:08

en plus du sources.list il faut vérifier si il y a des fichiers.list dans /sources.list.d/
le plus simple c'est

find /etc/apt -name '*.list*' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;

tux30 · 10-05-2016 21:02:22

Severian a écrit :

en plus du sources.list il faut vérifier si il y a des fichiers.list dans /sources.list.d/
le plus simple c'est
find /etc/apt -name '*.list*' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;

j'ai pris ta syntaxe mais la liste.d est pareille que celle que j'ai donner, mais bon je suis entrain de voir ou le problème pourrai venir sans installer kali et aprés une fois installer kali comme à dit Kawer je vais tester en virtualbox, sinon merci à toi !!!

Severian · 10-05-2016 22:21:36

je ne comprend pas ... tu parle de dépôt kali ??

ils sont où ?

les "rootkit" sont sur quelle machine ?
quels est le résultat de la commande

find /etc/apt -name '*.list*' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;

de la machine infecté

que ce soit raleur, Thuban ou bendia, ils t'ont demandé comment tu avais obtenu le rapport listant les "rootkits" (bref quel programme as tu utilisé pour les détecter)
et si possible, post un rapports complet.

il y a des questions très précises d'utilisateurs compétents qui veulent bien t'aider, répond précisément aux questions, quand c'est des résultats de commandes qui sont demandé, c'est ce que tu dois fournir, pas ton appréciations du résultat...

si tu aime la sécurité informatique je suis certain que tu comprendras

tux30 · 11-05-2016 17:17:00

Voilà, j'ai analyser l'iso que j'ai chez moi avec rkhunter donc je n'ai rien trouver dessus, pas contre comme dit KAWER : Bon j'ai installé la dite iso dans une vm, une analyse chkrootkit et rkhunter ne retourne rien. Tes rootkits viennent sûrement des dépôts kali. j'ai un doute sur la provenance de kali.

Pas contre vous ne serez comment on fait pour purger le kali en entier avec ces outils que j'ai mis à jour, puis d'avoir le debian seul !!! pour savoir si ça provient d'eux .

Severian apres la commande que tu ma donner :

/etc/apt/sources.list.d

nl: /etc/apt/sources.list.d: est un dossier

/etc/apt/sources.list~

/etc/apt/sources.list

     1  

     2  

     3  # deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main

     4  

     5  deb cdrom:[Debian GNU/Linux 8 _Jessie_ - Official Snapshot amd64 LIVE/INSTALL Binary 20160402-21:58]/ jessie main

     6  

     7  deb http://ftp.fr.debian.org/debian/ jessie main

     8  deb-src http://ftp.fr.debian.org/debian/ jessie main

     9  

    10  deb http://security.debian.org/ jessie/updates main

    11  deb-src http://security.debian.org/ jessie/updates main

    12  

    13  # jessie-updates, previously known as 'volatile'

    14  deb http://ftp.fr.debian.org/debian/ jessie-updates main

    15  deb-src http://ftp.fr.debian.org/debian/ jessie-updates main

    16  

    17  

    18  

    19  

    20  deb http://http.kali.org/kali sana main non-free contrib

    21  deb http://security.kali.org/kali-security sana/updates main contrib non-free

    22  

    23  

    24  

    25  deb http://httpredir.debian.org/debian/ jessie main contrib non-free

Mes rapport avec rkhunter : rkhunter -c

[ Rootkit Hunter version 1.4.2 ]

Checking system commands...

  Performing 'strings' command checks

    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks

    Checking for preloading variables                        [ None found ]

    Checking for preloaded libraries                         [ None found ]

    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks

    Checking for prerequisites                               [ OK ]

    /usr/sbin/adduser                                        [ OK ]

    /usr/sbin/chroot                                         [ OK ]

    /usr/sbin/cron                                           [ OK ]

    /usr/sbin/groupadd                                       [ OK ]

    /usr/sbin/groupdel                                       [ OK ]

    /usr/sbin/groupmod                                       [ OK ]

    /usr/sbin/grpck                                          [ OK ]

    /usr/sbin/nologin                                        [ OK ]

    /usr/sbin/pwck                                           [ OK ]

    /usr/sbin/rsyslogd                                       [ OK ]

    /usr/sbin/sshd                                           [ OK ]

    /usr/sbin/tcpd                                           [ OK ]

    /usr/sbin/useradd                                        [ OK ]

    /usr/sbin/userdel                                        [ OK ]

    /usr/sbin/usermod                                        [ OK ]

    /usr/sbin/vipw                                           [ OK ]

    /usr/sbin/unhide-linux                                   [ OK ]

    /usr/sbin/unhide-posix                                   [ OK ]

    /usr/sbin/unhide-tcp                                     [ OK ]

    /usr/bin/awk                                             [ OK ]

    /usr/bin/basename                                        [ OK ]

    /usr/bin/chattr                                          [ OK ]

    /usr/bin/curl                                            [ OK ]

    /usr/bin/cut                                             [ OK ]

    /usr/bin/diff                                            [ OK ]

    /usr/bin/dirname                                         [ OK ]

    /usr/bin/dpkg                                            [ OK ]

    /usr/bin/dpkg-query                                      [ OK ]

    /usr/bin/du                                              [ OK ]

    /usr/bin/env                                             [ OK ]

    /usr/bin/file                                            [ OK ]

    /usr/bin/find                                            [ OK ]

    /usr/bin/GET                                             [ OK ]

    /usr/bin/groups                                          [ OK ]

    /usr/bin/head                                            [ OK ]

    /usr/bin/id                                              [ OK ]

    /usr/bin/killall                                         [ OK ]

    /usr/bin/last                                            [ OK ]

    /usr/bin/lastlog                                         [ OK ]

    /usr/bin/ldd                                             [ OK ]

    /usr/bin/less                                            [ OK ]

    /usr/bin/locate                                          [ OK ]

    /usr/bin/logger                                          [ OK ]

    /usr/bin/lsattr                                          [ OK ]

    /usr/bin/lsof                                            [ OK ]

    /usr/bin/mail                                            [ OK ]

    /usr/bin/md5sum                                          [ OK ]

    /usr/bin/mlocate                                         [ OK ]

    /usr/bin/newgrp                                          [ OK ]

    /usr/bin/passwd                                          [ OK ]

    /usr/bin/perl                                            [ OK ]

    /usr/bin/pgrep                                           [ OK ]

    /usr/bin/pkill                                           [ OK ]

    /usr/bin/pstree                                          [ OK ]

    /usr/bin/rkhunter                                        [ OK ]

    /usr/bin/runcon                                          [ OK ]

    /usr/bin/sha1sum                                         [ OK ]

    /usr/bin/sha224sum                                       [ OK ]

    /usr/bin/sha256sum                                       [ OK ]

    /usr/bin/sha384sum                                       [ OK ]

    /usr/bin/sha512sum                                       [ OK ]

    /usr/bin/size                                            [ OK ]

    /usr/bin/sort                                            [ OK ]

    /usr/bin/ssh                                             [ OK ]

    /usr/bin/stat                                            [ OK ]

    /usr/bin/strings                                         [ OK ]

    /usr/bin/sudo                                            [ OK ]

    /usr/bin/tail                                            [ OK ]

    /usr/bin/telnet                                          [ OK ]

    /usr/bin/test                                            [ OK ]

    /usr/bin/top                                             [ OK ]

    /usr/bin/touch                                           [ OK ]

    /usr/bin/tr                                              [ OK ]

    /usr/bin/uniq                                            [ OK ]

    /usr/bin/users                                           [ OK ]

    /usr/bin/vmstat                                          [ OK ]

    /usr/bin/w                                               [ OK ]

    /usr/bin/watch                                           [ OK ]

    /usr/bin/wc                                              [ OK ]

    /usr/bin/wget                                            [ OK ]

    /usr/bin/whatis                                          [ OK ]

    /usr/bin/whereis                                         [ OK ]

    /usr/bin/which                                           [ OK ]

    /usr/bin/who                                             [ OK ]

    /usr/bin/whoami                                          [ OK ]

    /usr/bin/unhide                                          [ OK ]

    /usr/bin/gawk                                            [ OK ]

    /usr/bin/lwp-request                                     [ OK ]

    /usr/bin/bsd-mailx                                       [ OK ]

    /usr/bin/telnet.netkit                                   [ OK ]

    /usr/bin/w.procps                                        [ OK ]

    /sbin/depmod                                             [ OK ]

    /sbin/fsck                                               [ OK ]

    /sbin/ifconfig                                           [ OK ]

    /sbin/ifdown                                             [ OK ]

    /sbin/ifup                                               [ OK ]

    /sbin/init                                               [ OK ]

    /sbin/insmod                                             [ OK ]

    /sbin/ip                                                 [ OK ]

    /sbin/lsmod                                              [ OK ]

    /sbin/modinfo                                            [ OK ]

    /sbin/modprobe                                           [ OK ]

    /sbin/rmmod                                              [ OK ]

    /sbin/route                                              [ OK ]

    /sbin/runlevel                                           [ OK ]

    /sbin/sulogin                                            [ OK ]

    /sbin/sysctl                                             [ OK ]

    /bin/bash                                                [ OK ]

    /bin/cat                                                 [ OK ]

    /bin/chmod                                               [ OK ]

    /bin/chown                                               [ OK ]

    /bin/cp                                                  [ OK ]

    /bin/date                                                [ OK ]

    /bin/df                                                  [ OK ]

    /bin/dmesg                                               [ OK ]

    /bin/echo                                                [ OK ]

    /bin/egrep                                               [ OK ]

    /bin/fgrep                                               [ OK ]

    /bin/fuser                                               [ OK ]

    /bin/grep                                                [ OK ]

    /bin/ip                                                  [ OK ]

    /bin/kill                                                [ OK ]

    /bin/less                                                [ OK ]

    /bin/login                                               [ OK ]

    /bin/ls                                                  [ OK ]

    /bin/lsmod                                               [ OK ]

    /bin/mktemp                                              [ OK ]

    /bin/more                                                [ OK ]

    /bin/mount                                               [ OK ]

    /bin/mv                                                  [ OK ]

    /bin/netstat                                             [ OK ]

    /bin/ping                                                [ OK ]

    /bin/ps                                                  [ OK ]

    /bin/pwd                                                 [ OK ]

    /bin/readlink                                            [ OK ]

    /bin/sed                                                 [ OK ]

    /bin/sh                                                  [ OK ]

    /bin/su                                                  [ OK ]

    /bin/touch                                               [ OK ]

    /bin/uname                                               [ OK ]

    /bin/which                                               [ OK ]

    /bin/kmod                                                [ OK ]

    /bin/systemd                                             [ OK ]

    /bin/systemctl                                           [ OK ]

    /bin/dash                                                [ OK ]

    /lib/systemd/systemd                                     [ OK ]

[Press <ENTER> to continue]

Checking for rootkits...

  Performing check of known rootkit files and directories

    55808 Trojan - Variant A                                 [ Not found ]

    ADM Worm                                                 [ Not found ]

    AjaKit Rootkit                                           [ Warning ]

    Adore Rootkit                                            [ Not found ]

    aPa Kit                                                  [ Not found ]

    Apache Worm                                              [ Not found ]

    Ambient (ark) Rootkit                                    [ Not found ]

    Balaur Rootkit                                           [ Not found ]

    BeastKit Rootkit                                         [ Not found ]

    beX2 Rootkit                                             [ Not found ]

    BOBKit Rootkit                                           [ Not found ]

    cb Rootkit                                               [ Not found ]

    CiNIK Worm (Slapper.B variant)                           [ Not found ]

    Danny-Boy's Abuse Kit                                    [ Not found ]

    Devil RootKit                                            [ Not found ]

    Dica-Kit Rootkit                                         [ Not found ]

    Dreams Rootkit                                           [ Not found ]

    Duarawkz Rootkit                                         [ Not found ]

    Enye LKM                                                 [ Not found ]

    Flea Linux Rootkit                                       [ Not found ]

    Fu Rootkit                                               [ Not found ]

    Fuck`it Rootkit                                          [ Not found ]

    GasKit Rootkit                                           [ Not found ]

    Heroin LKM                                               [ Not found ]

    HjC Kit                                                  [ Not found ]

    ignoKit Rootkit                                          [ Not found ]

    IntoXonia-NG Rootkit                                     [ Not found ]

    Irix Rootkit                                             [ Not found ]

    Jynx Rootkit                                             [ Not found ]

    KBeast Rootkit                                           [ Not found ]

    Kitko Rootkit                                            [ Not found ]

    Knark Rootkit                                            [ Not found ]

    ld-linuxv.so Rootkit                                     [ Not found ]

    Li0n Worm                                                [ Not found ]

    Lockit / LJK2 Rootkit                                    [ Not found ]

    Mood-NT Rootkit                                          [ Not found ]

    MRK Rootkit                                              [ Not found ]

    Ni0 Rootkit                                              [ Not found ]

    Ohhara Rootkit                                           [ Not found ]

    Optic Kit (Tux) Worm                                     [ Warning ]

    Oz Rootkit                                               [ Not found ]

    Phalanx Rootkit                                          [ Not found ]

    Phalanx2 Rootkit                                         [ Not found ]

    Phalanx2 Rootkit (extended tests)                        [ Not found ]

    Portacelo Rootkit                                        [ Not found ]

    R3dstorm Toolkit                                         [ Not found ]

    RH-Sharpe's Rootkit                                      [ Not found ]

    RSHA's Rootkit                                           [ Not found ]

    Scalper Worm                                             [ Not found ]

    Sebek LKM                                                [ Not found ]

    Shutdown Rootkit                                         [ Not found ]

    SHV4 Rootkit                                             [ Not found ]

    SHV5 Rootkit                                             [ Not found ]

    Sin Rootkit                                              [ Not found ]

    Slapper Worm                                             [ Not found ]

    Sneakin Rootkit                                          [ Not found ]

    'Spanish' Rootkit                                        [ Not found ]

    Suckit Rootkit                                           [ Not found ]

    Superkit Rootkit                                         [ Not found ]

    TBD (Telnet BackDoor)                                    [ Not found ]

    TeLeKiT Rootkit                                          [ Not found ]

    T0rn Rootkit                                             [ Not found ]

    trNkit Rootkit                                           [ Not found ]

    Trojanit Kit                                             [ Not found ]

    Tuxtendo Rootkit                                         [ Warning ]

    URK Rootkit                                              [ Not found ]

    Vampire Rootkit                                          [ Not found ]

    VcKit Rootkit                                            [ Not found ]

    Volc Rootkit                                             [ Not found ]

    Xzibit Rootkit                                           [ Not found ]

    zaRwT.KiT Rootkit                                        [ Not found ]

    ZK Rootkit                                               [ Not found ]

[Press <ENTER> to continue]

  Performing additional rootkit checks

    Suckit Rookit additional checks                          [ OK ]

    Checking for possible rootkit files and directories      [ None found ]

    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks

    Checking running processes for suspicious files          [ None found ]

    Checking for login backdoors                             [ None found ]

    Checking for suspicious directories                      [ None found ]

    Checking for sniffer log files                           [ None found ]

    Suspicious Shared Memory segments                        [ None found ]

  Performing Linux specific checks

    Checking loaded kernel modules                           [ OK ]

    Checking kernel module names                             [ OK ]

[Press <ENTER> to continue]

Checking the network...

  Performing checks on the network ports

    Checking for backdoor ports                              [ None found ]

    Checking for hidden ports                                [ None found ]

  Performing checks on the network interfaces

    Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

  Performing system boot checks

    Checking for local host name                             [ Found ]

    Checking for system startup files                        [ Found ]

    Checking system startup files for malware                [ None found ]

  Performing group and account checks

    Checking for passwd file                                 [ Found ]

    Checking for root equivalent (UID 0) accounts            [ None found ]

    Checking for passwordless accounts                       [ None found ]

    Checking for passwd file changes                         [ None found ]

    Checking for group file changes                          [ None found ]

    Checking root account shell history files                [ OK ]

  Performing system configuration file checks

    Checking for an SSH configuration file                   [ Found ]

    Checking if SSH root access is allowed                   [ Warning ]

    Checking if SSH protocol v1 is allowed                   [ Not allowed ]

    Checking for a running system logging daemon             [ Found ]

    Checking for a system logging configuration file         [ Found ]

    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks

    Checking /dev for suspicious file types                  [ Warning ]

    Checking for hidden files and directories                [ Warning ]

[Press <ENTER> to continue]

System checks summary

=====================

File properties checks...

    Files checked: 146

    Suspect files: 0

Rootkit checks...

    Rootkits checked : 379

    Possible rootkits: 3

    Rootkit names    : AjaKit Rootkit, Optic Kit (Tux) Worm, Tuxtendo Rootkit

Applications checks...

    All checks skipped

The system checks took: 4 minutes and 51 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.

Please check the log file (/var/log/rkhunter.log)

Rapprot avec rkhunter -c --rwo :

Warning: AjaKit Rootkit                           [ Warning ]

         Directory '/dev/tux' found

Warning: Optic Kit (Tux) Worm                     [ Warning ]

         Directory '/dev/tux' found

Warning: Tuxtendo Rootkit                         [ Warning ]

         Directory '/dev/tux' found

Warning: The SSH and rkhunter configuration options should be the same:

         SSH configuration option 'PermitRootLogin': without-password

         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

Warning: Suspicious file types found in /dev:

         /dev/shm/pulse-shm-2227815365: data

         /dev/shm/pulse-shm-2612580420: data

         /dev/shm/pulse-shm-3531845609: data

         /dev/shm/pulse-shm-1661759697: data

         /dev/shm/pulse-shm-2311246649: data

         /dev/shm/pulse-shm-3364931653: AmigaOS bitmap font

Warning: Hidden directory found: /etc/.java

Et encore merci pour votre aide, si je n'etais pas encore bien précis dans ma demande veuillez m'en excussez vu que ces ma première situation dans un cas pareil, je pense en tant que linuxiens comme vous, je cherche à comprendre d'ou vient la problème et comment ils sont rentrer, puis par la suite signaler ceux probleme pour ne pas que d'autre personne soit infecter par les même demarche que j'ai fait, voilà.

Debian-facile

#1 07-05-2016 10:44:07

Aide pour Rootkit

#2 07-05-2016 12:05:53

Re : Aide pour Rootkit

#3 07-05-2016 20:51:45

Re : Aide pour Rootkit

#4 07-05-2016 21:28:00

Re : Aide pour Rootkit

#5 07-05-2016 21:32:03

Re : Aide pour Rootkit

#6 08-05-2016 07:19:26

Re : Aide pour Rootkit

#7 09-05-2016 18:41:28

Re : Aide pour Rootkit

#8 09-05-2016 18:48:09

Re : Aide pour Rootkit

#9 09-05-2016 20:10:36

Re : Aide pour Rootkit

#10 09-05-2016 20:37:32

Re : Aide pour Rootkit

#11 09-05-2016 20:41:13

Re : Aide pour Rootkit

#12 09-05-2016 20:42:36

Re : Aide pour Rootkit

#13 09-05-2016 21:21:13

Re : Aide pour Rootkit

#14 09-05-2016 21:29:56

Re : Aide pour Rootkit

#15 09-05-2016 22:13:40

Re : Aide pour Rootkit

#16 09-05-2016 23:22:56

Re : Aide pour Rootkit

#17 10-05-2016 00:08:57

Re : Aide pour Rootkit

#18 10-05-2016 00:24:51

Re : Aide pour Rootkit

#19 10-05-2016 00:45:27

Re : Aide pour Rootkit

#20 10-05-2016 06:18:37

Re : Aide pour Rootkit

#21 10-05-2016 18:19:05

Re : Aide pour Rootkit

#22 10-05-2016 19:00:08

Re : Aide pour Rootkit

#23 10-05-2016 21:02:22

Re : Aide pour Rootkit

#24 10-05-2016 22:21:36

Re : Aide pour Rootkit

#25 11-05-2016 17:17:00

Re : Aide pour Rootkit

Pied de page des forums