{fini} suspicion de rootkit [/usr/bin/slice]

ubub · 16-05-2022 19:36:55

Bonjour,
je me retrouve face à deux problèmes qui sont peut-être le même,
depuis que j'ai fait un achat sur un site, et que j'ai tout arrêté «no-script»,
je me retrouve avec une fenêtre surgissante, pop'up, infobulle qui "surgit"
aléatoirement.. C'est un lien/pub de ce site (qui ne connecte pas quand on clique dessus)
Comme je sais pas trop vers où aller fouiner, j'ai installé rick hunter...
Voilà son résultat:

Checking for RH-Sharpe's Rootkit...

[19:55:17]   Checking for file '/bin/lps'                    [ Not found ]

[19:55:17]   Checking for file '/usr/bin/lpstree'            [ Not found ]

[19:55:17]   Checking for file '/usr/bin/ltop'               [ Not found ]

[19:55:17]   Checking for file '/usr/bin/lkillall'           [ Not found ]

[19:55:17]   Checking for file '/usr/bin/ldu'                [ Not found ]

[19:55:17]   Checking for file '/usr/bin/lnetstat'           [ Not found ]

[19:55:17]   Checking for file '/usr/bin/wp'                 [ Not found ]

[19:55:17]   Checking for file '/usr/bin/shad'               [ Not found ]

[19:55:17]   Checking for file '/usr/bin/vadim'              [ Not found ]

[19:55:17]   Checking for file '/usr/bin/slice'              [ Found ]

[19:55:17]   Checking for file '/usr/bin/cleaner'            [ Not found ]

[19:55:17]   Checking for file '/usr/include/rpcsvc/du'      [ Not found ]

[19:55:17] Warning: RH-Sharpe's Rootkit                      [ Warning ]

[19:55:17]          File '/usr/bin/slice' found

J'ai pas trouvé de renseignements sur le nommé "RH-Sharpe's Rootkit",
à part en tchèque et en chinois ....
Et je pige pas vraiment ce qu'est /usr/bin/slice ...
Un script perl appellé par des fichiers .slice ?
Comment je peux faire pour trouver et identifier le tocard, si y'a ?
Merci pour vos éclairages et avis,
...
résultat de chkrootkit , pareil :

Searching for rootkit RH-Sharpe's default files...          Possible RH-Sharpe rootkit installed:

 /usr/bin/slice

Dernière modification par ubub (19-05-2022 12:38:23)

--gilles-- · 16-05-2022 21:28:49

Bonsoir !

Pour éviter des faux diagnostics, est-ce que tu as mis à jour les bases de données des menaces et de la signature des paquets avant de lancer le diagnostic :

rkhunter --update

rkhunter --propupdate

Mais cela quand même assez sérieux puisque chkrootkit voit aussi la même menace.

Regarde aussi :

apt show slice

Dernière modification par --gilles-- (16-05-2022 21:33:47)

ubub · 16-05-2022 21:32:35

Salut,
oui oui, j'ai fait,

--gilles-- · 16-05-2022 21:38:46

Personnellement, je n'ai pas le paquet, si je simule sa désinstallation :

apt -s remove slice

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances... Fait

Lecture des informations d'état... Fait      

Le paquet « slice » n'est pas installé, et ne peut donc être supprimé

0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.

Est-ce tu pourrais effectuer une mise à jour et recommencer le diagnostic ?

Sinon, à première vue, sans chercher, je ne sais pas si le paquet slice influence le /usr/bin/slice du rootkit.

Dernière modification par --gilles-- (16-05-2022 21:57:47)

ubub · 16-05-2022 21:49:42

Bah moi, il y est :

Les paquets suivants seront ENLEVÉS :

  slice wml

0 mis à jour, 0 nouvellement installés, 2 à enlever et 2 non mis à jour.

Remv wml [2.32.0~ds1-1]

Remv slice [2.32.0~ds1-1]

slice:

  Installé : 2.32.0~ds1-1

  Candidat : 2.32.0~ds1-1

--gilles-- · 16-05-2022 22:16:51

Pour éviter le plus possible un faux diagnostic, est-ce que tu pourrais mettre à jour et ensuite redémarrer et refaire le diagnostic ?

Personnellement, je ne l'ai pas, mais cela doit te faire une belle jambe :

ROOTDIR is `/'

Checking `aliens'...                                        no suspect files

Searching for sniffer's logs, it may take a while...        nothing found

Searching for rootkit HiDrootkit's default files...         nothing found

Searching for rootkit t0rn's default files...               nothing found

Searching for t0rn's v8 defaults...                         nothing found

Searching for rootkit Lion's default files...               nothing found

Searching for rootkit RSHA's default files...               nothing found

Searching for rootkit RH-Sharpe's default files...          nothing found

Si le diagnostic reste, à mon avis, il faudrait "jouer" avec le slice du paquet, mais peut-être que d'autres ont des avis plus éclairés. Je dois arrêter ici, j'espère que c'est un faux positif puisque tu dois navigateur en session utilisateur. Tu pourrais nous dire le site en question. Bonne nuit.

ubub · 16-05-2022 22:21:21

J'ai fait la m.a.j du système et de rick hunter, avant de poster...
> royalqueenseeds
merci, bonne soirée, mais si ça fait plaisir que t'ai pas chopé RHSharpe's .....

Dernière modification par ubub (16-05-2022 22:22:27)

--gilles-- · 17-05-2022 08:21:51

Bonjour.

ubub a écrit :

Bonjour,
je me retrouve face à deux problèmes qui sont peut-être le même,
depuis que j'ai fait un achat sur un site, et que j'ai tout arrêté «no-script»,
je me retrouve avec une fenêtre surgissante, pop'up, infobulle qui "surgit"
aléatoirement.. C'est un lien/pub de ce site (qui ne connecte pas quand on clique dessus)[...]

royalqueenseeds donc à visiter soigneusement blindé !

Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.

Est-ce qu'il n'y aurait pas un lanceur caché un peu louche dans ta session ? Regarde les .desktop

Ou bien un script perl puisque slice est lié à perl ?

As-tu modifié, adapté /etc/rkhunter.conf ?

nlancien · 17-05-2022 16:41:17

Si je dois arrêter noscript, je le fait sur un firefox profil privé. Déjà ca limite les soucis.

As tu aussi essayé un petit :

rm -rf ~/.mosilla

 

Quand on a choppé des fenêtres surgissantes dues a de mauvaises fréquentations cela suffit parfois.

Dernière modification par nlancien (17-05-2022 16:41:31)

ubub · 17-05-2022 19:26:04

Bonsoir,
je suis trop naze ce soir pour continuer mes recherches,
dis gilles, comment t'en arrive à la conclusion que le truc est pas complet?
Parcequ'il s'est fait grillé sur un fichier slice (un morceau si j'ai bien saisi)
Ou parceque il crée bien un lanceur, mais qui marche pas?

Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.

Aussi @nlancien, c'est exprès le 's' de mosilla ou erreur de frappe ?
je vais essayé de regarder tout ça demain,
je sais pas trop comment lister les fichiers .machin, je voudrai bien aller chercher là dedans...(j'ai vu causer de ncd, vai voir)
Après, le paquet slice qui dépend de wml qui lui même dépend de slice,
je sais pas trop d'où il sort ni à qui il sert...
J'ai vu que la description du paquet wml est « une boîte à outil pour faire du HTML offline »; vu que j'en fais pas, je suis pas sur que ça me soit utile..
Après, tout n'est que suspicion, sauf cette fenêtre que j'ai vu surgir plusieurs fois .. Pour ça que j'aurai bien voulu trouver des infos sur les noms de rootkit...
Bonne soirée
Pas sûr que ça marche les fenêtres privées pour effectuer l'ordre d'achat, j'ai des doutes avec Tor aussi ...

--gilles-- · 18-05-2022 12:24:05

ubub a écrit :

Bonsoir,
je suis trop naze ce soir pour continuer mes recherches,
dis gilles, comment t'en arrive à la conclusion que le truc est pas complet?
Parcequ'il s'est fait grillé sur un fichier slice (un morceau si j'ai bien saisi)
Ou parceque il crée bien un lanceur, mais qui marche pas?

Si on mets provisoirement de côté le seul fichier '/usr/bin/slice' du rootkit RH-Sharpe's puisque le rootkit n'apparaît pas comme complet en ayant tous ses fichiers.

Bonjour ! ( On va finir par m'appeler Mourousi ! Alors Marie-Laure quelles sont les nouvelles aujourd'hui ? )

1] On voit bien que le fichier /bin/lps, le fichier /usr/bin/lpstree du rootkit RH-Sharpe's n'est pas trouvé et ainsi de suite… :

Checking for RH-Sharpe's Rootkit...

[19:55:17]   Checking for file '/bin/lps'                    [ Not found ]

[19:55:17]   Checking for file '/usr/bin/lpstree'            [ Not found ]

[19:55:17]   Checking for file '/usr/bin/ltop'               [ Not found ]

[19:55:17]   Checking for file '/usr/bin/lkillall'           [ Not found ]

[19:55:17]   Checking for file '/usr/bin/ldu'                [ Not found ]

[19:55:17]   Checking for file '/usr/bin/lnetstat'           [ Not found ]

[19:55:17]   Checking for file '/usr/bin/wp'                 [ Not found ]

[19:55:17]   Checking for file '/usr/bin/shad'               [ Not found ]

[19:55:17]   Checking for file '/usr/bin/vadim'              [ Not found ]

[19:55:17]   Checking for file '/usr/bin/slice'              [ Found ]

[19:55:17]   Checking for file '/usr/bin/cleaner'            [ Not found ]

[19:55:17]   Checking for file '/usr/include/rpcsvc/du'      [ Not found ]

[19:55:17] Warning: RH-Sharpe's Rootkit                      [ Warning ]

[19:55:17]          File '/usr/bin/slice' found

2] Le code qu'il met en place pour lancer un site ne marche pas.

J'ai regardé extrêmement vite sur Internet : How to remove RH-Sharpe's Rootkit?, mais je n'ai rien trouvé qui fasse consensus. Rien que des gens qui listaient des actions à effectuer, mais leurs listes d'actions n'avaient rien en commun. Il faudrait creuser plus de ce côté voir si il est possible de trouver plus concluant.

On peut aussi essayer d'estimer plus profondément la dangerosité de l'objet.

A] Je pense que l'on peut faire l'hypothèse que si l'objet a une certaine virulence, il est capable de se manifester dans une nouvelle session utilisateur que tu créerais. Sinon, c'est qu'il assez inoffensif.

B] On peut faire aussi l'hypothèse un peu paranoïaque que sa vraie virulence restera cachée et que tu feras avoir au tournant …

Faute d'informations complètes, tu comprends que ceci reste spéculatif à ce stade. Je pencherais quand même plutôt pour l'hypothèse A.

?1] As-tu creusé : How to remove RH-Sharpe's Rootkit? ?

?2] Essaie de voir le comportement dans une autre session utilisateur.

Bon courage, j'ai une invitée, alors je n'ai pas trop le temps de creuser.

ubub · 18-05-2022 13:31:22

Ok, j'y vois mieux pourquoi tu dis qu'il est pas complet ,
faudrait quand même que j'apprenne à lire ce que j'ai sous les yeux .;

Mah, effectivement, en allant zoner dans ~/.mozilla , je pense l'avoir débusqué, le lanceur squatteur en tout cas... Même si j'arrive pas à voir de quoi il est composé...

~/.mozilla/firefox/pcsd3t37.default-esr/storage/default/https+++www.royalqueenseeds.fr$ tree cache

cache

├── caches.sqlite

└── morgue

    ├── 5

    │   └── {b959316a-b8ec-4922-b83f-7e3e3fd90305}.final

    └── 59

        └── {46d3df9e-d75b-4477-8354-827f8ab2f53b}.final

3 directories, 3 files

je sais pas trop ce que sont les fichiers .final (est-ce le final d'une suite de .slice ?)

~/.mozilla/firefox/pcsd3t37.default-esr/storage/default/https+++www.royalqueenseeds.fr/cache$ file caches.sqlite

bloc à supprimer si la commande n’affiche rien

caches.sqlite: SQLite 3.x database, user version 28, last written using SQLite version 3036000, writer version 2, read version 2, file counter 7, database pages 18, cookie 0xa, schema 4, largest root page 14, UTF-8, vacuum mode 1, version-valid-for 7

Je vais effacer ça, pas tout ~/.mozilla , y'a des trucs qui me servent dedans, puis je reverrai avec rkhunter ce qu'il dit ...
Moyennement cherché remove RHSharpe's , les seuls trucs que j'ai lu, il s'était fait grillé avec /usr/bin/.slice , mais sinon, c'était un forum linux mint écrit en tchèque... j'ai pas tout suivi, hormis les retours d'écran... Et un autre,qui avait l'air intérressant mais écrit en madarin...pfff
Puis au début de mes recherches , j'ai confondu slide et slice ...
Et là,ma connexion internet est tellement précaire, que je suis allé me connecter ailleurs pour finir mise à jour + poster sur le forum... D'ailleurs, la mise à jour a buggé par manque de connexion/temps de réponse ou d'attente trop long...
Un bon moyen d'être à l'abri des rootkit, quand la connexion peut déjà difficilement marcher, le surplus ne passe pas ....

Dernière modification par ubub (18-05-2022 13:33:46)

plegrand · 18-05-2022 13:36:59

Comme sous entend nlancien c'est clairement un soucis au niveau de ton navigateur et je doute que rkhunter te soit vraiment utile dans ce cas.
Plutot que de supprimer ton profil firefox, tu peux déjà le renommer pour que firefox en crée un nouveau, tu verras si ton problème revient

plegrand · 18-05-2022 13:39:48

Maintenant, pour le profil de Firefox, les informations importantes sont stockées dans quelques fichiers à conserver donc:
Marque page
places.sqlite
favicons.sqlite
Mots de passe
key4.db
logins.json

Si tu sauvegardes ces fichiers, que tu crées un nouveau profil, que tu copies ces fichiers dans le nouveau profil et que tu réinstalles tes extensions ça devrait le faire.

ubub · 18-05-2022 15:23:09

Bah, la suppression de ce fichier https++++www.machin, a rien changé aux diagnostics de rkhunter et chkrootkit .... Peut-être que ça m'a viré le lanceur innopiné, mais ça je verrai à la longue vu que c'est aléatoire.
Et puis je doute que RHSharpe's ne serve quà créer des lanceurs qui ne marchent d'ailleurs pas..
Mais pas de doc sur sa classification/définition

--gilles-- · 18-05-2022 16:46:51

Avec un rootkit, si tu supprimes un de ses effets, souvent il le recrée.

J'en avais eu un avec un Mac et qui me créait un lanceur vers le site de pixmania, dès que je le supprimais, il revenait.

Tawal · 18-05-2022 20:58:38

Hello,

Je pense sérieusement que ce n'est qu'un faux positif.
/usr/bin/slice est fourni par le paquet slice.
Et c'est un script perl.
Pour quelle raison il est installé chez toi, je ne sais pas, regarde ses dépendances inverses avec :

apt-cache rdepends slice

Chez moi, comme il n'est pas installé, il ne dépend que de wml, et wml dépend de ... slice

Mais comme se sont 2 paquets légitimes du dépôt officiel de Debian, il n'y a pas de craintes à avoir (si le fichier /usr/bin/slice n'a pas été modifié [il faut des droits root pour ça ...]).
Et ça ne vient pas du site RoyalQueenSeeds, je l'ai déjà visité, et je te conseille Dutch Passion

Au pire, si tu as vraiment des doutes, désinstalle ces 2 paquets et utilise ton PC normalement pour voir s'il te manque une/des fonctionnalité(s).

Je persiste à dire que c'est un faux positif.

Dernière modification par Tawal (18-05-2022 20:59:48)

ubub · 19-05-2022 10:14:41

Tawal a écrit :

Je persiste à dire que c'est un faux positif.

et comme le dirait mourousi, nous avons peut-être un gagnant !
voilà le résultat de rkhunter après avoir installé slice sur une bullseye ce matin :

Checking for RH-Sharpe's Rootkit...

[10:54:02]   Checking for file '/bin/lps'                    [ Not found ]

[10:54:02]   Checking for file '/usr/bin/lpstree'            [ Not found ]

[10:54:02]   Checking for file '/usr/bin/ltop'               [ Not found ]

[10:54:02]   Checking for file '/usr/bin/lkillall'           [ Not found ]

[10:54:02]   Checking for file '/usr/bin/ldu'                [ Not found ]

[10:54:02]   Checking for file '/usr/bin/lnetstat'           [ Not found ]

[10:54:02]   Checking for file '/usr/bin/wp'                 [ Not found ]

[10:54:02]   Checking for file '/usr/bin/shad'               [ Not found ]

[10:54:02]   Checking for file '/usr/bin/vadim'              [ Not found ]

[10:54:02]   Checking for file '/usr/bin/slice'              [ Found ]

[10:54:02]   Checking for file '/usr/bin/cleaner'            [ Not found ]

[10:54:02]   Checking for file '/usr/include/rpcsvc/du'      [ Not found ]

[10:54:02] Warning: RH-Sharpe's Rootkit                      [ Warning ]

[10:54:02]          File '/usr/bin/slice' found

ca me rappelle un truc .... j'ai rkhunter--propupdate juste avant, --update veut pas marcher, problème de WEB je sais plus quoi...
Je sais pas à quoi me sers slice ... J'ai essayé rdepends pour voir et c'est parti en boucle,
slice rdepends de wml et wml rdepends slice ...
Avec par contre, slice casse wml et le remplace, si mes souvenirs sont bons ..;
Ce matin, lors d l'install de slice, pas de wml en vue....
Je crois que le paquet slice et wml vont finir à la poubelle...
Mais j'ai regardé les rapports de bugs de slice et wml, voir si on parlait de vrai ou faux rootkit, rien...
Après, pour le site, c'est pas pour les dénigrer,
mais la fenêtre surgissante est bien à leur nom ....

/usr/bin/slice est fourni par le paquet slice.
Et c'est un script perl.
Pour quelle raison il est installé chez toi, je ne sais pas,

Beh moi non plus je sais pas, je pensais ça normal...
Il a pas été changé, celui qui est apparu avec l'install de slice sur la bullseye est le même que celui dans la Sid ...

Dernière modification par ubub (19-05-2022 10:22:57)

Tawal · 19-05-2022 11:08:20

Si sur une installation fraîche de slice, il est détecté par rkhunter, à 99,9% c'est un faux positif.

ubub · 19-05-2022 12:37:08

Bien d'accord, d'où le test..
Parce que comme je disais, c'est plutôt flou :

apt rdepends slice

slice

Reverse Depends:

  Dépend: wml (>= 2.20)

apt rdepends wml

wml

Reverse Depends:

  Casse: slice (<< 2.28.0~ds1-2)

  Remplace: slice (<< 2.28.0~ds1-2)

apt policy slice

slice:

  Installé : 2.32.0~ds1-1

  Candidat : 2.32.0~ds1-1

 apt policy wml

wml:

  Installé : 2.32.0~ds1-1

  Candidat : 2.32.0~ds1-1

Allez, on bouzille tout:

apt remove wml

puis slice en moins,
rkhunter a l'air radoucit :

Rootkit checks...

    Rootkits checked : 477

    Possible rootkits: 0

.. normal, /usr/bin/slice a disparu ...

--gilles-- · 19-05-2022 14:18:10

Affaire résolue !

ubub a écrit :

mourousi, nous avons peut-être un gagnant !

Non ça, c'est Guy Lux !

Je pense plutôt que c'est le site qui est en cause, je le mets en webarchive :

https://web.archive.org/web/20220516134 … nseeds.fr/

Il y a eu une vulnérabilité de SliceWP ( pour WordPress ) :

https://patchstack.com/database/vulnerability/slicewp

https://duckduckgo.com/?q=slice+wp+wml+ … =h_&ia=web

Le site ne peut pas être vérifier à nouveau dans Trustcam :

https://trustscam.fr/royalqueenseeds.fr?analyzeNow=1

*********************

Édition :

En ce qui concerne TrustCam, on ne peut rien conclure : d'autres sites ne peuvent plus aussi vérifés à nouveau

Dernière modification par --gilles-- (20-05-2022 17:21:38)

Debian-facile

#1 16-05-2022 19:36:55

{fini} suspicion de rootkit [/usr/bin/slice]

#2 16-05-2022 21:28:49

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#3 16-05-2022 21:32:35

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#4 16-05-2022 21:38:46

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#5 16-05-2022 21:49:42

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#6 16-05-2022 22:16:51

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#7 16-05-2022 22:21:21

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#8 17-05-2022 08:21:51

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#9 17-05-2022 16:41:17

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#10 17-05-2022 19:26:04

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#11 18-05-2022 12:24:05

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#12 18-05-2022 13:31:22

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#13 18-05-2022 13:36:59

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#14 18-05-2022 13:39:48

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#15 18-05-2022 15:23:09

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#16 18-05-2022 16:46:51

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#17 18-05-2022 20:58:38

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#18 19-05-2022 10:14:41

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#19 19-05-2022 11:08:20

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#20 19-05-2022 12:37:08

Re : {fini} suspicion de rootkit [/usr/bin/slice]

#21 19-05-2022 14:18:10

Re : {fini} suspicion de rootkit [/usr/bin/slice]

Pied de page des forums