me débarrasser des rootkits sous ubuntu 13.10 Fermé

Question

Bonjour,

Je viens de m'apercevoir Que mes Pc étaient infectés par des rootkits.
J'ai fait un scan
Résultat d'analyse RKHUNTER du 11/01/2014


jcj@jcj-MS-7808:~$  sudo rkhunter --checkall --report-warnings-only
[sudo] password for jcj: 
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to '/run/initramfs'
jcj@jcj-MS-7808:~$ 

jcj @ jcj-MS-7808: ~ $ sudo rkhunter - CheckAll - Rapport-garde seule
[sudo] mot de passe pour JCJ:
Attention: La commande "/ usr / bin / unhide.rb» a été remplacé par un script: / usr / bin / unhide.rb: un script Ruby, texte ASCII
Avertissement: L'utilisateur "postfix" a été ajoutée au fichier passwd.
Attention: 'postfix' Groupe a été ajouté au fichier de groupe.
Attention: 'postdrop' Groupe a été ajouté au fichier de groupe.
Types de fichiers suspect trouvé dans / dev: avertissement:
          / dev / .udev / rules.d / root.rules: texte ASCII
Attention: le répertoire caché trouvé: "/ dev / .udev '
Attention: Hidden fichier trouvé: / dev / .initramfs: lien symbolique vers '/ run / initramfs»

je voudrais pouvoir me débarrasser de ces merdes.
meci de m'aider

JCJ

jegouzetjegoujc · Answer

Merci de ta promptitude.

oui j'en suis sur car mon problème à commencer il y a plusieurs mois.j'ai réinstallé,formater bas niveau mes DD,flasher mon bios ,et changé de carte mère.et en définitif je n'ai pas évolué.
j'ai du dernièrement remettre mon bios aux paramètres usine car un hacker l'avais chiffré  .Ensuite j'ai réinstallé mon PC en ayant au préalable effectué un double formatage de bas niveau mais sans résultat.
Mon problème risque de me coûter très cher mais je n'en parle pas pour l'instant.Je dirais simplement que la cybercriminalité est un fléau de plus en plus  grave qu'il ne faut pas négliger.
Je suis parfaitement conscient qu'il est très difficile voir impossible de se débarrasser de ces programmes malveillants.La seule solution consisterait à changer carte mère et disque dur en même  temps.

JCJ

dsy73 · Answer

Le rapport de rkhunter ne me semble pas indiquer une infection, il faudrait pouvoir visualiser les fichiers mises en cause dans le rapport pour se faire une meilleure idée.

Je suppose qu'il s'agit de serveurs. Sont-ils chez un hébergeur ?


"j'en suis sur car mon problème à commencer il y a plusieurs mois"
Quels étaient les 1ier symptomes ? Sur ce même serveur ?

J'ai du mal à croire qu'un hacker ait chiffré ton BIOS. Si c'était le cas ton PC ne démarrerait tout simplement pas. Peut-être que tu veux indiquer qu'un mot de passe  a été affecté au niveau du BIOS ?

jegouzetjegoujc · Answer

En principe je ne code pas mon bios car je pense que  ça ne sert à rien.
Je m'en suis rendu compte en voulant enter dans le sétup pour modifier l'ordre de boot. car je ne pouvais plus rien installer ( je voulais réinstaller mon Ubuntu) .Alors pourquoi fallait il un mot de passe ?
Les 2 PC dont je dispose je les ai monté moi même.Ce ne sont pas du haut de gamme mais bien suffisant pour moi.(71 ans).
J'avait de nombreux dysfonctionnements et plantages.
C'est surtout après m'être rendu compte d'un problème dont je ne veux pas parler ici que j'ai acquis la conviction que des hackers me suivaient à la trace.
Je ne suis pas ferré pour intervenir dans les fichiers (je ne suis pas informaticien)mais dans l-immédiat il m'est urgent de vérifier si aucune malversation ou usurpation n'a pas eu lieu au niveau de mes caisses de retraite.(12 jours de retard dans le paiement de ma retraite complémentaire de janvier ce qui n'arrive jamais)

dsy73 · Answer

Peut-être que le mot de passe du bios a toujours existé ?

Concernant les retards de paiement, vous devriez vous adressez en 1ier lieu à l'organisation concernée. D'ailleurs je ne vois pas trop le rapport entre les fichiers indiqués.

Si vous gérer vos comptes bancaires ou d'autres comptes important depuis votre PC alors vous devriez changer vos mots de passe.

Comme il s'agit d'un problème de sécurité, je vous propose d'écrire sur le forum sécurité de CCM. Je ne sais pas s'ils ont des outils pour Linux mais ils ont plus l'habitude que moi.

jns55 · Answer

Bonjour,
Pour le mot de passe du bios, voir ici pour le supprimer :
https://www.commentcamarche.net/informatique/composants/1659-reinitialiser-le-bios-d-un-pc/

Pour le retard de paiement, c'est très facile de vérifier : un simple coup de téléphone à l'organisme payeur te rassurera sans aucun doute.

Il n'y a pas trace de rootkit dans le rapport que tu soumets, ce ne sont que des warning à propos de fichiers qui se trouvent à un emplacement inattendu. Ce n'est pas forcément suite à une intervention malveillante ! Il suffit de consulter le contenu pour le vérifier.

A moins d'avoir un mot de passe root (donc utilisateur dans ton cas) réduit à sa plus simple expression et d'avoir ouvert intentionnellement des quantités de ports, il n'est pas si aisé de  s'infiltrer dans un système linux et encore moins de toucher au bios.

Les dysfonctionnements et Les plantages n'ont rien à voir avec des rootkits car justement ces programmes sont conçus pour se faire oublier et passer totalement inaperçus. Les dysfonctionnements et plantages ont très probablement une explication peut-être dans les paramétrages de ton système ; de plus, Ubuntu 13.10 est une version intermédiaire pas exempte de défauts.

Si tu as formaté ton disque dur, réinitialisé le bios et réinstallé le système, je pense que la piste du hacker est hautement improbable.

Claude · Answer

"Comme il s'agit d'un problème de sécurité, je vous propose d'écrire sur le forum sécurité de CCM. Je ne sais pas s'ils ont des outils pour Linux mais ils ont plus l'habitude que moi."


Le problème c'est qu'il n'y en a pas d'outils d'analyse pour Linux, on n'est quand même pas obligé de croire éternellement qu'il n'y a pas de virus chez Linux.

jegouzetjegoujc · Answer

bonjour à tous,

Merci de votre aide.

Mes craintes de détournement de pension s'estompent.Bizarrement j'ai été crédité au 2 janvier du montant de ma complémentaire alors que je suis certain qu'il n'y avait rien de fait le 10.
Pour ce qui est de mes pc je voudrais les nettoyer efficacement  car l'ombre des hackers m'inquiète  un peu.

jegouzetjegoujc · Answer

Bonjour,

Je reviens sur mon problème car depuis mon dernier message j'ai pas mal galéré.
Je suis arrivé à la conclusion suivante:Mes 2 PC sont très fortement infectés par des rootkits et il  m'est pratiquement impossible de nettoyer mes PC.J'ai reformaté  bas niveau le DD en plusieurs passes  sur l'un des PC,j'ai remis le bios aux paramètres usine mais rien à faire,les rootkits sont toujours là.J'ai même essayé avec drweb en live cd (le seul anti rootkit que j'ai trouvé pour Linux) mais plantage des le premier malware trouvé J'ai aussi de nombreux dysfonctionnements (clavier qui passe fréquemment  en qwerty,souris qui se désactive ou impossibilité d'installer certain logiciels.  Par conséquent je ne vois qu'une solution.Me débarrasser de tout mes disques dur,mes cartes mère et toutes mes sauvegardes sur DVD.C'est dur à accepter mais je ne veux pas courir le risque d'être piraté par ces cybercriminels sans scrupules. 
Sincères salutations
JCJ

jegouzetjegoujc · Answer

merci pour ta réponse cpadur.

Je suis d'accord avec toi mais quand tu te retrouve avec tes PC hyper infectés tu as de quoi avoir les boules au point de craindre au moindre achat sur le web ou à la moindre consultation des compte bancaire.Pour être tranquille il faudrait revenir 15 ans en arrière
JCJ.

jns55 · Answer

Salut,
Tes dysfonctionnements n'ont rien à voir avec des rootkits qui justement pour être efficaces doivent passer totalement inaperçus.
Débarrasse-toi d'ubuntu 13.10 et reviens vers Ubuntu 12.04 ou mieux Xubuntu 12.04 et je parie que pas mal de tes dysfonctionnement auront disparu.
Ubuntu 13.10 est une version de développement pas exempte de bogues.
Ubuntu 12.04 est une version LTS (Long Time Support) destinée à la production donc beaucoup plus stable et aboutie.

jegouzetjegoujc · Answer

Bonjour,

J'ai fais le pas pour me débarrasser de ces malwares de merde car j'étais bien inffecté de ces pourritures.
Sur l'une de mes machine j'ai changé DD et carte mère.
J'avais de plus en plus de pbs et le fait de ne plus pouvoir installer Windows m'a convaincu (celui-ci ne signalait des erreurs et refusait de s'installer.
Mais maintenant sur cette machine je rencontre d'autres problème qui me semble ressembler à des bugs.Je ne peu plus lancer un programme.je suis obligé de passer par un sudo et je ne peu plus aller sur un site en cliquant sur le lien dans mes mails.
C'est plus que désagréable.
Salutations
JCJ

jegouzetjegoujc · Answer

Bonjour et merci pour la réponse

J'ai déjà essayé de mettre à jour le bios dans le passé avec un formatage bas niveau du DD,sans résultat.
Je pense que j'ai récupéré un ou plusieurs malwares de boot lorsque j'ai monté mon premier PC (il y a environ 2 ans).
A l'époque quand j'ai voulu installer Ubuntu j'avais oublié de me déconnecter de ma box.je n'ai pas pu terminer l'installation,celle ci s'est arrêté à 30%. et depuis c'est la galère.J'ai même été piraté de ma carte bancaire.J'ai immédiatement fait opposition et changé de carte.Je m'en suis tiré sans mal.
Dernièrement j'ai voulu installé Windows pour récupérer un anti rootkit et créer un CD de boot avec.Windows mais impossible d'installer ce windows,il me signalait des erreurs et l'installation s,arrêtait.
C'est pour cela, après avoir bien réfléchi,j'ai décidé de changer carte mère et DD sur un des PC en espérant ne pas avoir d'autres ponts d'infection.
Salutations

JCJ

PS: ma deuxième machine est également infectée et je ne sais pas comment ça c'est fait.
Probablement en transférant des fichiers d'une machine à l'autre.

jegouzetjegoujc · Answer

Merci pour tes renseignements;

Je vais essayer Fédora mais depuis que j' ai changé DD et carte mère je pense avoir résolu mon problème de Rootkits sur mon premier PC mais je rencontre d'autres problèmes qui je pense sont des buggs de la 13.10.J'ai pourtant pris un maximum de précautions pour installer Ubuntu 13.10.j'ai d'abord installé une 13.04 à partir d' un CD propre et effectué une mise à niveau via le web.
Je n'ose plus utiliser mes archives ni transférer des fichiers depuis ma deuxième machine.je vais devoir tout nettoyer et c'est pour cela que j'ai installer Windows XP.
Salutations

JCJ

jegouzetjegoujc · Answer

Tous les logiciels (ou presque) anti  Rootkits sont pour windows. 
Je veux essayer de créer un CD bootable  sous windows et l'utiliser en live ensuite.
C'est uniquement pour cela que j'ai installé mon vieil XP.  Je le supprimerais ensuite.
J'ai déjà essayé Dr.web mais çà n'a pas marché.Il s'arrête à moins de 10%..
Faut dire que je l'avais téléchargé sur ma machine vérolée.
:la solution bac à sable me parait bonne aussi

Salutations


JCJ

Me débarrasser des rootkits sous ubuntu 13.10

14 réponses

Discussions similaires