[Linux-bruxelles] Suis-je parano ?

Harpo harpo_bzh at hotmail.com
Mar 26 Juin 23:00:15 CEST 2018


Salut les linuxiens émérites,

Embêté par des spams, je cherche la petite bête.
J'installe chkrootkit dans l'idée de voir si je ne serais pas victime d'un malware.

J'obtiens :

 The following suspicious files and directories were found:
/usr/lib/debug/.build-id
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/4.13.0-45-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id
/usr/lib/debug/.build-id
/lib/modules/4.13.0-45-generic/vdso/.build-id
/lib/modules/4.10.0-38-generic/vdso/.build-id

...puis plus loin :

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Je deviens un peu plus parano, tout en me demandant comment je peux vérifier qu'il ne s'agit pas d'un faux positif.

Quand je me renseigne sur Windingo, je tombe sur https://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf
"This document details a large and sophisticated operation, code named “Windigo”, in which a malicious group has compromised thousands of Linux and Unix servers. The compromised servers are used to steal SSH credentials, redirect web visitors to malicious content and send spam."

C'est un peu comme quand on met son nez dans un dictionnaire de médecine, on attrape toutes les maladies.

Si mon ordi est infecté, je n'ai pas non plus envie de répandre ce machin autour de moi sans le savoir. en effet, je cite :

"SSH user credentials leaks is the only technique we observed for expanding the Windigo operation.

There are two typical scenarios where SSH credentials get stolen. The first scenario is when a user
successfully logs into an infected server. The second scenario is when a user uses a compromised
server to log on any other system."

Ceci étant, de quelle façon, je pourrais évaluer la faux positivité du phénomène, sa réalité et ses conséquences?
Si la présence de ce Fantomas informatique est avérée, comment l'éradiquer?
Si au contraire, ma parano est un peu disproportionnée, j'aimerais connaître vos recettes santé pour éviter la pollution spammeuse (sans me vanter, je n'ai pas besoin de "blue pills", ni de défribilateur, ni d'acountments avec d'accortes girls).

Merci pour votre expertise et votre sang froid.

--

Harpo

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://listes.domainepublic.net/pipermail/linux-bruxelles/attachments/20180626/31adc537/attachment.html>


Plus d'informations sur la liste de diffusion Linux-bruxelles