logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 11-05-2016 17:40:40

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

je repond aussi sur l'une des réponse de MICP :

Il reste encore plusieurs possibilités :
- que le fichier image ISO ait été corrompu au moment de sa "gravure" sur le support d'installation par le programme qui a copié ce fichier image ISO,
Non, j'ai verifier mon image en scannant avec rkhunter donc rien, propre de ce côté


- que le système de démarrage de ce support l'ait corrompu : Je pense à Multisystem, ou autre système de lancement (d'ailleurs superflu puisque les fichier image ISO n'en ont plus besoin),
non du tout je n'ai pas de multisystem ou autre systéme avec mon debian kali,   

- que l'installation ait été faîte en gardant un ancien répertoire ou système de fichiers (/home par exemple) qui était déjà corrompu.
Non du tout vu que je shred ou dd avant de reinstaller la nouvelle iso.

- qu'un multiboot avec Win ait corrompu la partition EFI
Non du tout

- que l'UEFI ait saboté le tout


- qu'un des MBR (si GPT) ait été déjà corrompu avant l'installation


- qu'un ou des fichiers "firmware" ait été corrompus (je pense au niveau réseau) et aient téléchargé le ou les "rootkits"
La pour ça je ne peut pas te dire

- qu'une personne mal intentionné ou/et inconsciente ait installé volontairement les rootkits en faisant une mauvaise manipulation
non du tout,

- que la navigation vers un site pas vraiment propre ait permis de télécharger ces rootkits
non, car ça fait sur ma deuxieme installation qui me fait la même chose, je pense pas du tous.

- Et tout ce que j'ai oublié comme possibilités…


le truc il faudrait que je fasse une installation que de debian sur mon pc et voir si ça proviendrai aussi de mon bios, mais comment mon bios pourrai être infecté Micp j'aimerai que tu m'envoie vers une explication afin de comprendre comment le bios peut être infecter.

Dernière modification par tux30 (11-05-2016 17:41:59)

Hors ligne

#27 11-05-2016 17:41:53

Severian
Membre
Distrib. : Debian GNU/Linux 9.4 (stretch)
Noyau : Linux 4.14.0-0.bpo.3-amd64
(G)UI : Openbox 3.6.1-4
Inscription : 13-12-2014

Re : Aide pour Rootkit

tux30 a écrit :

Et encore merci pour votre aide, si je n'etais pas encore bien précis dans ma demande veuillez m'en excussez vu que ces ma première situation dans un cas pareil, je  pense en tant que linuxiens comme vous, je cherche à comprendre d'ou vient la problème et comment ils sont rentrer, puis par la suite signaler ceux probleme pour ne pas que d'autre personne soit infecter par les même demarche que j'ai fait, voilà.


erreur, en tant que "linuxien" je pense qu'il est préférable de commencer par signaler le problème, donner la maximum d'info et ensuite avec l'aide d'autres utilisateurs / programmeur ... chercher la raison / provenance du problème smile

maintenant je pense que des personnes plus compétentes que moi vont pouvoir avancer un peu sur le problème smile

Hors ligne

#28 11-05-2016 17:43:50

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

Severian a écrit :

tux30 a écrit :

Et encore merci pour votre aide, si je n'etais pas encore bien précis dans ma demande veuillez m'en excussez vu que ces ma première situation dans un cas pareil, je  pense en tant que linuxiens comme vous, je cherche à comprendre d'ou vient la problème et comment ils sont rentrer, puis par la suite signaler ceux probleme pour ne pas que d'autre personne soit infecter par les même demarche que j'ai fait, voilà.


erreur, en tant que "linuxien" je pense qu'il est préférable de commencer par signaler le problème, donner la maximum d'info et ensuite avec l'aide d'autres utilisateurs / programmeur ... chercher la raison / provenance du problème smile

maintenant je pense que des personnes plus compétentes que moi vont pouvoir avancer un peu sur le problème smile





Biensur merci à toi, tu a tous à fait raison !!! biensur en tant que Linuxiens je cherche à comprendre, je ne me permet pas de dire que je suis un pro de linux mais je bidouille pas mal, mais bon voilà l'aide des autres sont trés bon, puis j'aime apprendre des personnes qui sont plus avancer que moi, voilà.

Dernière modification par tux30 (11-05-2016 17:46:40)

Hors ligne

#29 11-05-2016 18:29:13

Severian
Membre
Distrib. : Debian GNU/Linux 9.4 (stretch)
Noyau : Linux 4.14.0-0.bpo.3-amd64
(G)UI : Openbox 3.6.1-4
Inscription : 13-12-2014

Re : Aide pour Rootkit

tien de nouvelles questions qui me viennent à l'esprit (parfois ça peut faire mal tongue)
tu as utilisé quel type de média pour le support de ton installation (cd / dvd / clé usb) ?
quel outils / commande à tu utilisé pour la créer ton média d'installation et sous quel système d'exploitation ?

quels sont les outils kali que tu as installé ?

Hors ligne

#30 11-05-2016 19:21:06

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

Severian a écrit :

tien de nouvelles questions qui me viennent à l'esprit (parfois ça peut faire mal tongue)
tu as utilisé quel type de média pour le support de ton installation (cd / dvd / clé usb) ?
quel outils / commande à tu utilisé pour la créer ton média d'installation et sous quel système d'exploitation ?

quels sont les outils kali que tu as installé ?




Le type de support que j'ai utiliser et un cd je ne pense pas que ça vient du cd vu que j'ai scanner avec rkhunter mon iso à partir du cd , donc debian est propre me voilà rassurer que l'iso est bien propre.

J'utilise les  logiciels par default sur debian j'ai pris brasero pour graver  mon iso depuis un autre debian 8.3  jessie

les outils que j'ai installé sont :

maltego
ncat
thcping6
cisco
cisco-auditing-tool
sqlmap
jboss-autopwn-win
jboss-autopwn-linux
john
crackle
aircrack-ng
NASM shell

Dans outils exploitation :
armitage
beef xss framework
metasploit framework
shellnoob
social engineering social toolkit
ettercap-graphical
backdoor-factory ( je precise que j'ai enlever ce programme mais je trouve encore les rootkit )


Pas contre je pose encore une question car je sais que les programme kali linux tourne avec java certains et je sais que java est tres faillible dans les rootkit, car peut être lors de la mises à jour de java j'ai pu être infecter comme çà , reste encore à prouvé !!!

Dernière modification par tux30 (11-05-2016 19:37:57)

Hors ligne

#31 11-05-2016 19:49:01

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Aide pour Rootkit

Pour commencer, je n'ai aucune compétence particulière dans ce domaine. Je me met donc plus où moins à ta place (le stress en moins probablement wink ) en lisant les logs que tu as fournis (de l'intérêt de les donner wink )

Il semble que le warning  provenienne de l'existence de /dev/tux. Ce dossier est-il bien présent et que contient-il ? En effet, lorsque je fais une recherche avec ce motif, j’obtiens les log de rkhunter avec des trucs de ce genre

[11:00:43] Checking for AjaKit Rootkit...

[11:00:43]   Checking for file '/dev/tux/.addr'              [ Not found ]

[11:00:43]   Checking for file '/dev/tux/.proc'              [ Not found ]

[11:00:43]   Checking for file '/dev/tux/.file'              [ Not found ]

[11:00:43]   Checking for file '/lib/.libgh-gh/cleaner'      [ Not found ]

[11:00:43]   Checking for file '/lib/.libgh-gh/Patch/patch'  [ Not found ]

[11:00:44]   Checking for file '/lib/.libgh-gh/sb0k'         [ Not found ]

[11:00:44]   Checking for directory '/dev/tux'               [ Not found ]

[11:00:44]   Checking for directory '/lib/.libgh-gh'         [ Not found ]

[11:00:44] AjaKit Rootkit                                    [ Not found ]



J'en conclue (sans certitude hein), que la signature de tes 3 rootkits contient l'existence de ce dossier, mais qu'elle ne suffit pas à elle seul à prouver sa présence actuelle (peut-être simplement sa trace passée ?). Essaye avec un autre outil pour vérifier s'il dit la même chose ?


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

En ligne

#32 11-05-2016 20:28:40

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

Voilà j'ai essayer avec chkrootkit elle donne çà :


/usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/icedove/.autoreg /usr/lib/ruby/vendor_ruby/libv8/.location.yml /usr/lib/pymodules/python2.7/.path

Possible AjaKit rootkit installed
eth0: PACKET SNIFFER(/sbin/dhclient[1095])
1 deletion(s) between Wed May  4 18:52:48 2016 and Wed May  4 18:54:16 2016
user tux deleted or never logged from lastlog!
 The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         1072 tty7   /usr/bin/X :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
root@kalimintx:/home/tux# chkrootkit  
ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not found
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not infected
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not infected
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not infected
Checking `sshd'...                                          not infected
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          not infected
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not infected
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/icedove/.autoreg /usr/lib/ruby/vendor_ruby/libv8/.location.yml /usr/lib/pymodules/python2.7/.path

Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      Possible AjaKit rootkit installed
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for Linux/Ebury - Operation Windigo ssh...        nothing found
Searching for 64-bit Linux Rootkit ...                      nothing found
Searching for 64-bit Linux Rootkit modules...               nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[1095])
Checking `w55808'...                                        not infected
Checking `wted'...                                          1 deletion(s) between Wed May  4 18:52:48 2016 and Wed May  4 18:54:16 2016
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            user tux deleted or never logged from lastlog!
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         1072 tty7   /usr/bin/X :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not infected

 

Hors ligne

#33 11-05-2016 21:00:05

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

je trouve trois fichier qui ne sont pas normal  dans /dev/tux   qui sont = home racine swap  loque je l'ouvre avec gedit  il me dit :

mpossible d'ouvrir le fichier « /dev/tux/home ».
« /dev/tux/home » n'est pas un fichier standard.

Est ce que c'est fichier devrait être là au bon endroit, des que je l'ouvre avec un cat je voit des caractére pas normal, donc ces ofusquer , donc dite moi ce que vous en pensez ?

merci a bendia qui ma mis sur cette voie !!! puis je vient de m'apercevoir que en haut du terminal il devrait être ecrit Tux@...... mais il est ecrit avec des caractère bizarre lorque j'ai ouvert c'est trois fichier il est apparu en haut, en plus il joue un impact sur mon terminal tel la transformation pour lister une liste avec ls aussi lorque je veux ecrit avec gedit il n'ecrit pas donc je croit que tous cela vient d'ici,


voilà je pense effacer ces fichiers qui ne font pas partir des fichiers du systeme qu'en pensez vous ?

Dernière modification par tux30 (11-05-2016 21:25:26)

Hors ligne

#34 12-05-2016 10:45:34

Severian
Membre
Distrib. : Debian GNU/Linux 9.4 (stretch)
Noyau : Linux 4.14.0-0.bpo.3-amd64
(G)UI : Openbox 3.6.1-4
Inscription : 13-12-2014

Re : Aide pour Rootkit

que donne la commande

ls -la /dev/tux/home

Hors ligne

#35 12-05-2016 11:07:32

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

Severian a écrit :

que donne la commande




severian voilà en quoi me dirige t-il en faisant un ls -la :


ls -la home



lrwxrwxrwx 1 root root 7 mai   12 10:55 home -> ../dm-3


tux@kalimintx:/dev/tux$

ls -la



total 0
drwxr-xr-x  2 root root  100 mai   12 10:55 .
drwxr-xr-x 21 root root 3480 mai   12 10:59 ..
lrwxrwxrwx  1 root root    7 mai   12 10:55 home -> ../dm-3
lrwxrwxrwx  1 root root    7 mai   12 10:55 racine -> ../dm-1
lrwxrwxrwx  1 root root    7 mai   12 10:55 swap -> ../dm-2
 




ce touvant ici en faite:

ls -lrt /dev/dm*



brw-rw---- 1 root disk 254, 1 mai   12 10:55 /dev/dm-1
brw-rw---- 1 root disk 254, 0 mai   12 10:55 /dev/dm-0
brw-rw---- 1 root disk 254, 2 mai   12 10:55 /dev/dm-2
brw-rw---- 1 root disk 254, 3 mai   12 10:55 /dev/dm-3
 



Mais bon les fichier infecté sont home racine et swap qui redirige vers les ../dm (Device Mapper ) cryptage avec Lucks si je comprend bien.
Je ne crois pas qu'en cryptant mon disque avec luks  j'ai pu être infecté.

Edit à toto : Arrangé l'bazar des balises code... Juste pour une commande, utiliser code=user ou code= root et pour le résultat de cette commande, s'il y en a, code tout seul suffit.

Dernière modification par tux30 (12-05-2016 11:20:56)

Hors ligne

#36 12-05-2016 11:34:32

Severian
Membre
Distrib. : Debian GNU/Linux 9.4 (stretch)
Noyau : Linux 4.14.0-0.bpo.3-amd64
(G)UI : Openbox 3.6.1-4
Inscription : 13-12-2014

Re : Aide pour Rootkit

donc si je comprend bien, dans ta racine ( / ) tu as un fichier dm-1
si tu fais la commande

dpkg -S /dm-1



ça donne quoi ?
remarque ça devait fonctionner aussi avec

dpkg -S /dev/tux/racine/dm-1

Hors ligne

#37 12-05-2016 12:18:21

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

Voilà d'autre information

dpkg -S /dm-1



dpkg-query: aucun chemin ne correspond à /dm-1
/dev/tux# dpkg -S ../dm-1
dpkg-query: aucun chemin ne correspond à *../dm-1*
/dev/tux# dpkg -s ../dm-1
dpkg-query : erreur : --status requiert un nom de paquet légal. « ../dm-1 » ne l'est pas ; nom de paquet illégal dans la spécification « ../dm-1 » : doit commencer par un caractère alphanumérique

Utiliser --help pour de l'aide sur la recherche de paquets.
/dev/tux# dpkg --info  ../dm-1
dpkg-deb : erreur : `../dm-1 » n'est pas une archive de format Debian
:/dev/tux#
 

Dernière modification par tux30 (12-05-2016 12:20:04)

Hors ligne

#38 13-05-2016 11:28:09

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Aide pour Rootkit

Tu a certainement dû t'injecter ton propre rootkit avec un des outils kali. J'ai déjà eu un /dev/tux en utilisant metasploit, une injection involontaire dû à une soirée festive hmm J'avais pas cherché midi à quatorze heure, j'avais restauré la VM.

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#39 13-05-2016 17:32:30

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

kawer a écrit :

Tu a certainement dû t'injecter ton propre rootkit avec un des outils kali. J'ai déjà eu un /dev/tux en utilisant metasploit, une injection involontaire dû à une soirée festive hmm J'avais pas cherché midi à quatorze heure, j'avais restauré la VM.




En tous cas sur tu a peut être raison c'est pour que ça vienne des outils kali, mais bon tu me conseille quoi pour faire attention la prochaine fois et bloquer ça car j'utilise les outils kali, car je vais faire une réinstallation propre ,  puis j'aimerai que tu m'explique comment tu peut te faire injecter par metasploit je suis curieux de savoir, merci de même KAWER.

Hors ligne

#40 13-05-2016 18:09:06

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Aide pour Rootkit

Pour les outils kali, personne de censé utilise sa distribution principal, soit un live, soit une vm chiffré.

Pour ce qui est de metasploit suffit de ce tromper d'exploit sur un LHOST ou de ce tromper d'ip a exploiter sur un RHOST, s'est aussi bête que ça.

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#41 14-05-2016 01:54:47

tux30
Membre
Distrib. : Debian 8 (jessie)
Noyau : Linux 4.0.0-kali1-amd64
Inscription : 16-10-2015

Re : Aide pour Rootkit

kawer a écrit :

Pour les outils kali, personne de censé utilise sa distribution principal, soit un live, soit une vm chiffré.

Pour ce qui est de metasploit suffit de ce tromper d'exploit sur un LHOST ou de ce tromper d'ip a exploiter sur un RHOST, s'est aussi bête que ça.



Mais ma distribution principale c'est debian sur, donc tu me consseil d'utiliser une machine virtual pour utiliser les outils kali, mais pourquoi chiffré,  çà peux infecter le reste de ma machine(hors de la machine virtual si j'ai bien compris).


Quel est ton conseil ?

Hors ligne

Pied de page des forums