[Linux-bruxelles] Suis-je parano ?

Laurent Peuch psycojoker at gmail.com
Mer 27 Juin 04:30:58 CEST 2018


Salut,

J'ai testé et j'ai pareil, apparemment c'est l'outil qui n'est pas à
jour et il y a une commande pour effectivement tester ça ici :
https://askubuntu.com/questions/709545/chkrootkit-says-searching-for-linux-ebury-operation-windigo-ssh-possible-l

On Tue, Jun 26, 2018 at 09:00:15PM +0000, Harpo wrote:
> Salut les linuxiens émérites,
> 
> Embêté par des spams, je cherche la petite bête.
> J'installe chkrootkit dans l'idée de voir si je ne serais pas victime d'un malware.
> 
> J'obtiens :
> 
>  The following suspicious files and directories were found:
> /usr/lib/debug/.build-id
> /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/4.13.0-45-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id
> /usr/lib/debug/.build-id
> /lib/modules/4.13.0-45-generic/vdso/.build-id
> /lib/modules/4.10.0-38-generic/vdso/.build-id
> 
> ...puis plus loin :
> 
> Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd
> 
> Je deviens un peu plus parano, tout en me demandant comment je peux vérifier qu'il ne s'agit pas d'un faux positif.
> 
> Quand je me renseigne sur Windingo, je tombe sur https://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf
> "This document details a large and sophisticated operation, code named “Windigo”, in which a malicious group has compromised thousands of Linux and Unix servers. The compromised servers are used to steal SSH credentials, redirect web visitors to malicious content and send spam."
> 
> C'est un peu comme quand on met son nez dans un dictionnaire de médecine, on attrape toutes les maladies.
> 
> Si mon ordi est infecté, je n'ai pas non plus envie de répandre ce machin autour de moi sans le savoir. en effet, je cite :
> 
> "SSH user credentials leaks is the only technique we observed for expanding the Windigo operation.
> 
> There are two typical scenarios where SSH credentials get stolen. The first scenario is when a user
> successfully logs into an infected server. The second scenario is when a user uses a compromised
> server to log on any other system."
> 
> Ceci étant, de quelle façon, je pourrais évaluer la faux positivité du phénomène, sa réalité et ses conséquences?
> Si la présence de ce Fantomas informatique est avérée, comment l'éradiquer?
> Si au contraire, ma parano est un peu disproportionnée, j'aimerais connaître vos recettes santé pour éviter la pollution spammeuse (sans me vanter, je n'ai pas besoin de "blue pills", ni de défribilateur, ni d'acountments avec d'accortes girls).
> 
> Merci pour votre expertise et votre sang froid.
> 
> --
> 
> Harpo
> 

> _______________________________________________
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> https://listes.domainepublic.net/listinfo/linux-bruxelles


-- 

Laurent Peuch -- Bram



Plus d'informations sur la liste de diffusion Linux-bruxelles