Debian-facile

bnabe

Membre

Distrib. : debian 8 mate

Noyau : Linux 3.16.0-4-686-pae

(G)UI : mate

Inscription : 17-08-2014

votre systeme est infecté

Bonjour,

après moult installation de debian 9 mate uniquement en 32 bits sur 4 ordi différents, 2 portables (lenovo 64 bits intel et un très vieux samsung 32 bits intel) et deux tours intel 64 bits en utilisant la commande suivannte :

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

cette commande je l'ai récupérée auprès de CEP, tuto et autres, dont ci-dessous un extrait de 2014 :
******************************************************************************
EXTRAIT

10.000 serveurs Linux compromis par des malware ? tsunami ?
Posted on 19 mars 2014 by cep   

Une campagne d’infection de serveurs Unix et Linux par des malwares serait en cours. On parle de « tsunami de spam et exploits ». Voir l’article de Arstechica.com : http://arstechnica.com/security/2014/03 … -exploits/

On en discute aussi sur le forum Manjaro anglophone et des machines seraient compromises. Des isos aussi ? : http://forum.manjaro.org/index.php?topi … ;topicseen

Un premier test (léger) est conseillé par la commande :

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Attention tout de même à avoir un client SSH installé sinon vous pourriez avoir un faux résultat. Et je pense que c’est la raison principale des résultats positifs sur Manjaro. Des faux positifs donc. Bah, ils s’en rendront bien compte.

Mais bien sûr en cas de doute des recherches plus approfondies sont nécessaires avec des outils sérieux.

En ce qui me concerne mes Debian sont clean

cep

FIN
***************************************************************************
1 - mais voilà en utilisant cette commande toutes les installations me disent que le système est infecté.
2 - les installations jessie, message clean
3 - clamav pas de virus
4 - RK hunter, trouve des trojan
5 - install faite comme suit - SDA 1 / RACINE ENVIRON 17 GB
                                                     SDA2 HOME Suivant disque dur
                                                     SDA3 SWAP  environ 14 a 16 gb

Je n'ose plus faire d'install, je n'ai pas mis à jour aucun bios faille SPECTRE et autres, tous les bios sont d'origine
voilà, là je suis coincé, auriez vous une idée,
merci encore pour votre aide, désolé pour BBCode,
Bonne journée

bnabe

bendia

Chadministrateur

Distrib. : openSUSE Tumbleweed, Buster

Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64

(G)UI : Gnome + Console et un peu Fluxbox

Inscription : 20-03-2012

Site Web

Re : votre systeme est infecté

Salut

Je ne vois pas comment cette commande peut te dire qu'un système est infecté ou pas Il me semble qu'elle teste pour savoir si l'option -G existe ou non. Ça donne l'impression qu'on veut vérifier la version du client SSH, uniquement pour savoir si le système est (était) potentiellement infectable ou non.

Il est bien indiqué qu'il faut un client ssh installé pour éviter les faux positifs, ce qui n'est peut-être pas ton cas. De plus, une faille sur SSH publié doit fort probablement corrigé depuis 2014. Je suis assez étonné qu'on ne voit pas de référence à cette faille dans l'article

---

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

bnabe

Membre

Distrib. : debian 8 mate

Noyau : Linux 3.16.0-4-686-pae

(G)UI : mate

Inscription : 17-08-2014

Re : votre systeme est infecté

bonjour Monsieur Bendia,

merci, pour votre réponse effectivement celà est tellement vieux, j'ai essayé de retrouver l'original du texte, qui figurait sur le forum de http://www.cyrille-borne.com/
cep donnait une information, mais le blog a changé moult fois, et je n'y ai pas accès, voila pour ce point.

mais par contre voilà l'analyse après mise à jour de debian mate 9

1 - rk hunter

a -message pour mise à jour
/home/debian# rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"


b -commande  rkhunter --check

/usr/bin/lwp-request                                     [ Warning ]

Checking for hidden files and directories                [ Warning ]

System checks summary
=====================

File properties checks...
    Files checked: 144
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 364
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 56 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

2 - commande chkrootkit

resulat :  not infected
3 - commande malware précitée précédemment

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

4 - commande clamscan -r /

----------- SCAN SUMMARY -----------
Known viruses: 6398744
Engine version: 0.99.2
Scanned directories: 26001
Scanned files: 176672
Infected files: 0
Total errors: 13214
Data scanned: 7923.62 MB
Data read: 6680.28 MB (ratio 1.19:1)
Time: 1674.786 sec (27 m 54 s)

l*******************************************************************************
Alors là je suis dépassé, je ne sais qu'en penser
installation à conserver, refaire une install,
merci pour une éventuelle réponse,
bonne journée

Tristan07

Membre

Distrib. : Debian 12, Bookworm

Noyau : Linux 6.1.0-11-amd64

(G)UI : KDE Plasma

Inscription : 21-05-2016

Site Web

Re : votre systeme est infecté

Salut,
Je ne connais pas ces outils il faudrait attendre un "barbu" pour y voir plus clair. Mais clamav par exemple trouve souvent des menaces, surtout si tu as des .exe comme moi pour utiliser dans virtualbox ou via Wine. As tu tenter des recherches web avec ces résultats ?

---

Debian Stable est ce qui rend la vie plus intéressante que l'informatique ( voir Robert Filliou pour l'origine de cette citation
Debian c'est pas difficile !
https://lescahiersdudebutant.fr/
Pour une aide efficace sur le forum : https://debian-facile.org/viewtopic.php?id=13352

otyugh

CA Debian-Facile

Lieu : Quimperlé/Arzano

Distrib. : Debian Stable

Inscription : 20-09-2016

Site Web

Re : votre systeme est infecté

T'as un "suspected file" de tous les scans que tu as fait.

Bon.
Si j'ai un conseil : arrête de te prendre la tête.

Je bourlingue un peu chez des utilisateurs GNU/Linux (en tant que pro autoproclamé) et fait tourner quelques serveurs exposés h24 au net, et je n'ai pas encore vu d'ordi debian à jour perdre une plume - c'est théoriquement toujours possible bien entendu (même que j'ai été doublé et que je ne sache pas avoir été "eu"). D'ailleurs le principe de précaution est roi, mais te casse pas le cul sur quelque chose d'aussi peu probable, surtout si tu vois rien qui ne te porte à croire que t'es infecté ; c'est pas le cas ? Connais bien ton système et tu remarquera *probablement* ce genre de chose.

Les vraies mesure de sécurité c'est apprendre *toi* ce qui est risqué de faire sur un ordinateur - si tu veux de la paranoïa, commence par ne pas télécharger n'importe quoi n'import où, ne pas exécuter n'importe quel javascript, etc.
Y a énormement de bonnes pratiques quotidiennes à avoir beaucoup plus élémentaires et gagne-temps que de tout scanner à l'antivirus.

Fais toi un backup à froid de tes données les plus chères par exemple.

Bref. Tout ce que j'avais à dire sur la question.

Dernière modification par otyugh (29-01-2018 18:45:25)

---

bnabe

Membre

Distrib. : debian 8 mate

Noyau : Linux 3.16.0-4-686-pae

(G)UI : mate

Inscription : 17-08-2014

Re : votre systeme est infecté

bonjour bendia, tristan07, otyugh,

Merci pour vos réponses, excusez-moi, je n'ai pas vos connaissances techniques, ni votre
savoir, j'essaye pourtant,
Donc la dizaine d'installations de Debian Stretch sont bonnes, merci encore
et bonne journée à vous

bnabe