[Résolu]
Visiteur
Édité par Visiteur Le 26/02/2017 à 06h16
thierryR Membre non connecté
-
- Voir le profil du membre thierryR
- Inscrit le : 02/02/2010
- Site internet
Citation :
Dérives et usages malveillants
Les premières dérives sont apparues sur les réseaux IRC1 : des botnets IRC (Eggdrop en décembre 1993, puis GTbot en avril 1998) furent utilisés lors d'affrontements pour prendre le contrôle du canal.
Aujourd'hui, ce terme est très souvent utilisé pour désigner un réseau de machines zombies, car l'IRC fut un des premiers moyens utilisés par des réseaux malveillants pour communiquer entre eux, en détournant l'usage premier de l'IRC. Le premier d'entre eux qui fut référencé a été W32/Pretty.worm2, appelé aussi PrettyPark, ciblant les environnements Windows 32 bits, et reprenant les idées d'Eggdrop et de GTbot. À l'époque, ils ne furent pas considérés comme très dangereux, et ce n'est qu'à partir de 2002 que plusieurs botnets malveillants (Agobot, SDBot puis SpyBot en 2003) firent parler d'eux et que la menace prit de l'ampleur.
Toute machine connectée à internet est susceptible d'être une cible pour devenir une machine zombie : les machines Windows, qui représentent la majorité des machines contaminées, mais aussi, dans une moindre mesure, les machines Linux, Apple3, voire consoles de jeu4 ou des routeurs5.
En 2007, Vint Cerf considérait qu'un ordinateur sur quatre faisait partie d'un botnet6.
Depuis peu ce phénomène se développe sur les terminaux téléphonique de type smartphone et en particulier sur le système d'exploitation Android où le trojan chinois appelé "Geinimi" a fait son apparition en décembre 2010. 7
Les premières dérives sont apparues sur les réseaux IRC1 : des botnets IRC (Eggdrop en décembre 1993, puis GTbot en avril 1998) furent utilisés lors d'affrontements pour prendre le contrôle du canal.
Aujourd'hui, ce terme est très souvent utilisé pour désigner un réseau de machines zombies, car l'IRC fut un des premiers moyens utilisés par des réseaux malveillants pour communiquer entre eux, en détournant l'usage premier de l'IRC. Le premier d'entre eux qui fut référencé a été W32/Pretty.worm2, appelé aussi PrettyPark, ciblant les environnements Windows 32 bits, et reprenant les idées d'Eggdrop et de GTbot. À l'époque, ils ne furent pas considérés comme très dangereux, et ce n'est qu'à partir de 2002 que plusieurs botnets malveillants (Agobot, SDBot puis SpyBot en 2003) firent parler d'eux et que la menace prit de l'ampleur.
Toute machine connectée à internet est susceptible d'être une cible pour devenir une machine zombie : les machines Windows, qui représentent la majorité des machines contaminées, mais aussi, dans une moindre mesure, les machines Linux, Apple3, voire consoles de jeu4 ou des routeurs5.
En 2007, Vint Cerf considérait qu'un ordinateur sur quatre faisait partie d'un botnet6.
Depuis peu ce phénomène se développe sur les terminaux téléphonique de type smartphone et en particulier sur le système d'exploitation Android où le trojan chinois appelé "Geinimi" a fait son apparition en décembre 2010. 7
débusqueur de bugs et chercheur en améliorations
Amicalement vôtre.
Kernel: 4.4.92-desktop-1.mga5 x86_64 (64 bit) Desktop: KDE 4.14.35 Distro: Mageia 5 thornicroft
Machine: Mobo: ASUSTeK model: X751SA v: 1.0 Bios: American Megatrends v: X751SA.403
CPU: Quad core Intel Pentium N3710 (-MCP-) cache: 1024 KB Graphics: Card: Intel Atom/Celeron/Pentium Processor x5-E8000/J3xxx/N3xxx Integrated Graphics Controller
Amicalement vôtre.Kernel: 4.4.92-desktop-1.mga5 x86_64 (64 bit) Desktop: KDE 4.14.35 Distro: Mageia 5 thornicroft
Machine: Mobo: ASUSTeK model: X751SA v: 1.0 Bios: American Megatrends v: X751SA.403
CPU: Quad core Intel Pentium N3710 (-MCP-) cache: 1024 KB Graphics: Card: Intel Atom/Celeron/Pentium Processor x5-E8000/J3xxx/N3xxx Integrated Graphics Controller
wato Membre non connecté
-
- Voir le profil du membre wato
- Inscrit le : 15/05/2011
Bon mais demain c'est la saint GTbot, je ne travaille pas.
Papoteur Membre non connecté
-
- Voir le profil du membre Papoteur
- Inscrit le : 03/10/2011
- Groupes :
-
Modérateur
-
Équipe Mageia
-
Administrateur
-
Forgeron
wato Membre non connecté
-
- Voir le profil du membre wato
- Inscrit le : 15/05/2011
J'ai vu que Avira faisait des antivirus / antitout, ils sont connus pour windows, mais ils ont aussi une version unix / linux. Quelqu'un a un avis sur l'utilisation de ces programmes ? Est-ce applicable par nous ? Est-ce efficace ? Je serais bien tenté de faire un petit essai...
Papoteur Membre non connecté
-
- Voir le profil du membre Papoteur
- Inscrit le : 03/10/2011
- Groupes :
-
Modérateur
-
Équipe Mageia
-
Administrateur
-
Forgeron
vouf Membre non connecté
-
- Voir le profil du membre vouf
- Inscrit le : 16/08/2008
- Groupes :
Sinon, dans les dépôt il y a l'excellent antivirus libre clamav. On peux aussi installer l'anti rootkit "chkrootkit" qui est disponible dans les dépôts. Un chkrootkit dans la konsole suffit. Il y a également l'antirookit rkhunter.
./rkhunter --versioncheck -> pour vérifier que vous avez la dernière version.
./rkhunter --update -> mettre à jour rkhunter.
./rkhunter --check -> faire un scan de toute votre machine.
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
je viens de poster ici
http://www.mageialinux-online.org/forum/topic-13771.php#m133255
PaLmAs Membre non connecté
-
- Voir le profil du membre PaLmAs
- Inscrit le : 02/04/2007
- Groupes :
mdrr enfin bref .....
All results have been written to the log file (/var/log/rkhunter.log)
là vous avez vu ou il faut chercher ?
Un warning sans autres info bin ça sert à rien !
Un faux positif, un script dans /usr/bin (oui oui ça arrive!) enfin bref....
PaLmAs Membre non connecté
-
- Voir le profil du membre PaLmAs
- Inscrit le : 02/04/2007
- Groupes :
pas la peine d'écrire en tous petit ce que tu pense tous haut ! Je suis pas si méchant que ça et je suis loin d'être un savant, je t'indique juste ou chercher plus d'information sur les warnings !
Tu as les explications des warnings dans le fichier /var/log/rkhunter.log
Voici ce que l'on peut y trouver !
Code BASH :
/usr/sbin/unhide [ Warning ] [07:16:26] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file. [07:16:26] /usr/sbin/unhide-tcp [ Warning ] [07:16:26] Warning: The file '/usr/sbin/unhide-tcp' exists on the system, but it is not present in the rkhunter.dat file. [07:16:27] /usr/sbin/unhide-linux26 [ Warning ] [07:16:27] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.
Donc tu as 3 fichiers qui existe mais qui ne sont pas présent rkhunter.dat, donc surement des scripts créé par mageia pour différentes raison, hack etc...
Code BASH :
Warning: GasKit Rootkit [ Warning ] [07:17:31] Directory '/dev/dev' found
http://www.mageialinux-online.org/forum/topic-13771.php#m133255
Et voilà, le truc c'est que j'ai du mal à te cerner, tu n'ai plus un débutant sous linux, tu as déjà lu des fichiers log ?
Tu as bien lu le rkhunter --check ? tu as bien vu qu'il faisait référence au fichier log? tu sais bien que c'est dans un fichier log que l'on trouve les informations détaillés de bug et autres ?
Tu agis parfois comme un débutant et tu n'en es pas un alors ça me fait rire ! Je sais pas si c'est fait exprès ou pas ?
Maintenant il est vrai que tu anime bien la partie discussion libre et que tes sujets sont souvent intéressant.
Je prends ce sujet on parle d'infection dans des machines livré neuve, mais l'infection se fait lors de la chaine de montage, donc c'est pas du hacking à proprement parlé, mais une faille dans la société, qui cela peut intéresser ? a qui profite le crime ?
PaLmAs Membre non connecté
-
- Voir le profil du membre PaLmAs
- Inscrit le : 02/04/2007
- Groupes :
Citation :
Tu peux souligner d'une manière ou d'une autre mais pas la peine d'écrire si gros, malgré mon grand âge je ne suis pas totalement aveugle.
AH bin voilà, j'aime ça !
Citation :
Il m'est arrivé de jeter un oeil sur des fichiers log mais pour moi c'est du chinois, en l'occurrence le fichier log m'est impossible à interpréter de façon sûr, sa lecture ne m'amène à aucune conclusion que je sois en mesure d'exploiter. Les fichiers log m'ont toujours laissé perplexe et je considère que je n'ai pas les connaissances permettant de les exploiter correctement. Je ne suis pas un débutant mais il y a des trucs qui m'échappent irrémédiablement.
as tu regardé le lien que je te donne, http://www.mageialinux-online.org/forum/topic-13771.php#m133255
vu que tu m'as dit que tu avais un grand age (la mémoire
), plus sérieusement il y a les réponses à tes questions, les erreurs sont les mêmes !
wato Membre non connecté
-
- Voir le profil du membre wato
- Inscrit le : 15/05/2011
Mais tu as un peu raison PaLmAs, faut nous booster un peu pour qu'on lève le capot du moteur. J'ai moi aussi pas trop tendance à vouloir cambouiller.
Merci en tout cas de tes explications que j'apprécie souvent. Continue !
Pour avira, j'ai testé l'installation linux, je me suis cru revenu à windows, il fallait valider plein de conditions, il y a eu une procédure d'installation un peu complexe, et le tout s'est soldé par un échec car un module ne fonctionnait pas. En parallèle, au bureau, sous windows, depuis que j'ai installé le programme avira version gratuite, il m'est arrivé plein de pubs sauvages non sollicitées qui se sont ajoutées aux appels incessants à l'achat de la part d'avira, cela m'a gonflé très rapidement, alors côté linux ou windows, j'ai tout viré.
PaLmAs Membre non connecté
-
- Voir le profil du membre PaLmAs
- Inscrit le : 02/04/2007
- Groupes :
Citation :
merci pour les infos rkhunter chkrootkit. Je vais tester tout cela en faisant gaffe à pas me faire houspiller comme nmrk.n.
Mais tu as un peu raison PaLmAs, faut nous booster un peu pour qu'on lève le capot du moteur. J'ai moi aussi pas trop tendance à vouloir cambouiller.
Mais tu as un peu raison PaLmAs, faut nous booster un peu pour qu'on lève le capot du moteur. J'ai moi aussi pas trop tendance à vouloir cambouiller.
vi mais je suis pas méchant hein!
C'est juste que même si on pige que dalle au log, quand on sait qu'ils existent autant les poster, comment réussir à vous aider quand on à rien ? y a de plus en plus de poste comme ça sur mlo et quand c'est des vieux de la vielle bin je comprend pas ?
en tous cas merci pour ton commentaire.
PaLmAs Membre non connecté
-
- Voir le profil du membre PaLmAs
- Inscrit le : 02/04/2007
- Groupes :
Citation :
C'est peut-être évident pour toi mais je ne vois pas ce qui pourrait me conduire à cette conclusion, pourquoi pas créés par un pirate ?
Bin tu demande une explication, j'essaie d'en fournir une, qui de plus n'est pas la bonne ! puisque rkhunter detecte un warning sur un logiciel qui sert pour détecter les rootkits, c'est en comparant avec rkhunter.dat (je le comprend comme la base de donnée des rootkit), il existe chez toi mais pas dans sa base.
Citation :
1- Je reçois régulièrement des messages de mon routeur Netgear du genre :
UDP Packet - Source:8.8.4.4 Destination:192.168.0.3 - [PORT SCAN]
Et bien je ne vois pas comment les exploiter ni ne sais même si cela est inquiétant ou pas.
UDP Packet - Source:8.8.4.4 Destination:192.168.0.3 - [PORT SCAN]
Et bien je ne vois pas comment les exploiter ni ne sais même si cela est inquiétant ou pas.
Que ton routeur soit scanné (scanne de port), c'est normal cela peut être du à bot qui cherche une faille ou autres moins grave ..
Sans autre information je peux pas te dire !
http://www.commentcamarche.net/faq/7294-tcp-udp-quelles-differences
Donc oui sans doute un scan de port par un bot pour x raison. (c'est légion sur internet)
Citation :
2- Aujourd'hui je reçois des notifications m'avertissant de messages dans /var/spool/mail/root et si j'en crois Kwrite ce fichier d'environ 100 Mio a à cet instant 1.200.916 lignes : que puis-je faire de cela ? Ça me dépasse.
Par défaut le système envoie tous ses messages à root, avertissements et autres sur la machine en local.
Je crois que c'est la commande mail en root qui doit permettre de l'ouvrir.
Citation :
Je crois vraiment que je suis plutôt nul en ce qui concerne tout ce qui touche à la sécurité.
Faut pas être parano non plus, on risque pas grand chose sous linux en tant que simple user (serveur autres problème), on représente un peu plus de 1% du marché. Un parfeu et zou, en plus mageia fournit une interface graphique pour le configurer.
Citation :
Oui et merci, mais j'ai du mal à digérer ces informations.
La question qui se pose c'est que l'on espère (secrètement et inconsciemment) être des quasi-professionnels mais que bien sûr nous n'en sommes pas !
Alors je peux croire ce que je lis, mais de la à dire que j'en comprends toutes les implications sûrement pas.
La question qui se pose c'est que l'on espère (secrètement et inconsciemment) être des quasi-professionnels mais que bien sûr nous n'en sommes pas !
Alors je peux croire ce que je lis, mais de la à dire que j'en comprends toutes les implications sûrement pas.
Que tu comprenne pas est une chose, mais que tu ne nous passe pas les informations pour t'aider en es une autre !
enfin j'insiste pas!
Citation :
Par exemple je ne vois pas pourquoi ce qui concerne "/dev/dev" est plus inquiétant que le reste ?
Par exemple je ne vois pas pourquoi ce qui concerne "/dev/dev" est plus inquiétant que le reste ?
C'est pas inquiétant, c'est pas jolie donc pas propre enfin moi je l'ai compris comme ça.
PaLmAs Membre non connecté
-
- Voir le profil du membre PaLmAs
- Inscrit le : 02/04/2007
- Groupes :
ip 8.8.4.4 un petit whois et hop :
Code BASH :
NetRange: 8.0.0.0 - 8.255.255.255 CIDR: 8.0.0.0/8 OriginAS: NetName: LVLT-ORG-8-8 NetHandle: NET-8-0-0-0-1 Parent: NetType: Direct Allocation RegDate: 1992-12-01 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-8-0-0-0-1 OrgName: Level 3 Communications, Inc. OrgId: LVLT Address: 1025 Eldorado Blvd. City: Broomfield StateProv: CO PostalCode: 80021 Country: US RegDate: 1998-05-22 Updated: 2012-01-30 Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE Ref: http://whois.arin.net/rest/org/LVLT OrgTechHandle: IPADD5-ARIN OrgTechName: ipaddressing OrgTechPhone: +1-877-453-8353 OrgTechEmail: ipaddressing@level3.com OrgTechRef: http://whois.arin.net/rest/poc/IPADD5-ARIN OrgAbuseHandle: APL8-ARIN OrgAbuseName: Abuse POC LVLT OrgAbusePhone: +1-877-453-8353 OrgAbuseEmail: abuse@level3.com OrgAbuseRef: http://whois.arin.net/rest/poc/APL8-ARIN OrgNOCHandle: NOCSU27-ARIN OrgNOCName: NOC Support OrgNOCPhone: +1-877-453-8353 OrgNOCEmail: noc.coreip@level3.com OrgNOCRef: http://whois.arin.net/rest/poc/NOCSU27-ARIN # end # start NetRange: 8.8.4.0 - 8.8.4.255 CIDR: 8.8.4.0/24 OriginAS: NetName: LVLT-GOOGL-1-8-8-4 NetHandle: NET-8-8-4-0-1 Parent: NET-8-0-0-0-1 NetType: Reassigned RegDate: 2009-11-10 Updated: 2009-11-10 Ref: http://whois.arin.net/rest/net/NET-8-8-4-0-1 OrgName: Google Incorporated OrgId: GOOGL-1 Address: Google Information Technology Address: 1600 Amphitheatre Parkway City: Mountain View StateProv: CA PostalCode: 94043 Country: US RegDate: 2005-12-06 Updated: 2011-09-24 Ref: http://whois.arin.net/rest/org/GOOGL-1 OrgAbuseHandle: MAX1-ARIN OrgAbuseName: AXELROD, Michael OrgAbusePhone: +1-650-253-0000 OrgAbuseEmail: axelrod@google.com OrgAbuseRef: http://whois.arin.net/rest/poc/MAX1-ARIN OrgTechHandle: MAX1-ARIN OrgTechName: AXELROD, Michael OrgTechPhone: +1-650-253-0000 OrgTechEmail: axelrod@google.com OrgTechRef: http://whois.arin.net/rest/poc/MAX1-ARIN OrgTechHandle: ZG39-ARIN OrgTechName: Google Inc OrgTechPhone: +1-650-253-0000 OrgTechEmail: arin-contact@google.com OrgTechRef: http://whois.arin.net/rest/poc/ZG39-ARIN OrgAbuseHandle: NEC10-ARIN OrgAbuseName: Network Engineering Corp OrgAbusePhone: +1-650-214-6513 OrgAbuseEmail: ir-contact-netops-corp@google.com OrgAbuseRef: http://whois.arin.net/rest/poc/NEC10-ARIN OrgTechHandle: NEC10-ARIN OrgTechName: Network Engineering Corp OrgTechPhone: +1-650-214-6513 OrgTechEmail: ir-contact-netops-corp@google.com OrgTechRef: http://whois.arin.net/rest/poc/NEC10-ARIN OrgTechHandle: KKC9-ARIN OrgTechName: Chittimaneni, Kiran Kumar OrgTechPhone: +1-650-253-3000 OrgTechEmail: kk@google.com OrgTechRef: http://whois.arin.net/rest/poc/KKC9-ARIN OrgAbuseHandle: ZG39-ARIN OrgAbuseName: Google Inc OrgAbusePhone: +1-650-253-0000 OrgAbuseEmail: arin-contact@google.com OrgAbuseRef: http://whois.arin.net/rest/poc/ZG39-ARIN OrgAbuseHandle: KKC9-ARIN OrgAbuseName: Chittimaneni, Kiran Kumar OrgAbusePhone: +1-650-253-3000 OrgAbuseEmail: kk@google.com OrgAbuseRef: http://whois.arin.net/rest/poc/KKC9-ARIN
c'est juste le bot de google !
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie