Malware qui espionne les systèmes Linux 64 bits

BCO · Mai 1, 2021, 1:06pm

La revue « 01net » vient de publier qu’un malware se cache dans le processus systemd-daemon, gvfsd-helper sur les environnements linux 64 bits. Sous Debian, j’ai voulu tuer ce processus avec kill -9 et je n’y arrive pas. Est-ce que quelqu’un pourrait me conseiller?
merci

Zargos · Mai 1, 2021, 10:52am

Ne s’agirait-il pas plutot de libprocesshider qui utiliserait systemd pour faire de la persistance?

PmGs · Mai 1, 2021, 11:05am

A priori c’est https://www.01net.com/actualites/une-porte-derobee-infecte-des-systemes-linux-depuis-des-annees-2042142.html

En 30ans d’utilisation de Linux je n’ai eu à faire qu’à un virus, mais il était particulièrement coriace, il faudrait retrouver les échanges sur ce forum*. Ce que je recommande c’est de ne plus utiliser le PC infecté et le couper d’internet.

*c’est fait : Virus ?

BCO · Mai 1, 2021, 11:10am

Le problème c’est que c’est une version Debian que j’ai installé il y a à peine un mois et que je n’ai pas eu le temps de faire grand chose avec. J’ai bien vérifier la signature de l’ISO avant l’installation. Il faut que je vérifie si ce processus (gvfsd-helper) est natif. Je vous mets le lien de l’article en question pour information:

BCO · Mai 1, 2021, 11:11am

Je ne sais pas trop, j’ai mis le lien de l’article en question dans le fil de discussion. Je vous remercie pour votre réponse.

PmGs · Mai 1, 2021, 11:16am

Je viens de vérifier sur 3 machines, il n’est pas présent.

nicola · Mai 1, 2021, 11:21am

Moi non plus, je n’ai pas gvfsd-helper mais j’ai encore une machine en i386.

grandtoubab · Mai 1, 2021, 11:26am

un truc qui aurait 3 ans et qu’a jamais fait de mal à personne, maman j"ai peur de mon ombre

BCO · Mai 1, 2021, 11:39am

J’ai la dernière release et ce processus est présent.

dindoun · Mai 1, 2021, 12:03pm

chez moi rien :
buster , bullseye

c’est plutot la page 01.net qu iest plein de mauvais codes

nam1962 · Mai 1, 2021, 12:06pm

L’ennui du cheval de trait, qui a déjà été étudié (il y a plus de 3 ans d’ailleurs) c’est qu’il peut écraser un disque dur et même un SSD. (par mégarde, certes, mais c’est lourd, un cheval de trait, aussi…)

Maintenant, si on parle de l’alerte d’un vendeur d’antivirus chinois, on est plus sur le cheval de trait, ou alors tout petit. On est plutôt sur le pékinois (c’est moins lourd).

Sinon, c’est ennuyeux d’avoir des process communs pleins de cheval de trait et de porte dérobée (qui a fauché la porte ?)

~]$ ps axu | grep gvfsd
sum         1199  0.0  0.0 236892  7448 ?        Ssl  avril30   0:12 /usr/lib/gvfsd
sum         1204  0.0  0.0 453824  5640 ?        Sl   avril30   0:00 /usr/lib/gvfsd-fuse /run/user/1000/gvfs -f
sum         1624  0.0  0.0 310832  7156 ?        Sl   avril30   0:00 /usr/lib/gvfsd-trash --spawner :1.8 /org/gtk/gvfs/exec_spaw/0
sum         1631  0.0  0.0 160392  7112 ?        Ssl  avril30   0:00 /usr/lib/gvfsd-metadata
sum        12443  0.0  0.0 277076  8964 ?        Sl   avril30   0:00 /usr/lib/gvfsd-http --spawner :1.8 /org/gtk/gvfs/exec_spaw/1
sum        28602  0.0  0.0 384928  7592 ?        Sl   avril30   0:00 /usr/lib/gvfsd-network --spawner :1.8 /org/gtk/gvfs/exec_spaw/2
sum        28631  0.0  0.0 312648  7188 ?        Sl   avril30   0:00 /usr/lib/gvfsd-dnssd --spawner :1.8 /org/gtk/gvfs/exec_spaw/4
sum       359472  0.0  0.0   6424  2324 pts/0    S+   13:59   0:00 grep --colour=auto gvfsd

Tiens, dis donc… faut-il s’alerter ?

dindoun · Mai 1, 2021, 12:08pm

on est d’accord pour la commande ?
ps aux |egrep 'systemd-daemon|gvfsd-helper'

dindoun · Mai 1, 2021, 12:12pm

bco :
peux tu préciser ce que tu as fait

pour l’installation
la vérification de l’iso
le « gravage » de l’iso
la découverte des processus espions

MicP · Mai 1, 2021, 12:15pm

Bonjour

Donne nous aussi le retour de la ligne de commandes suivante :

find /etc/apt -name '*.list' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;

BCO · Mai 1, 2021, 2:45pm

Erreur!!

BCO · Mai 1, 2021, 12:19pm

root@SRVHOST:/home/georges# find /etc/apt -name '*.list' -exec bash -c 'echo -e "\n$1\n"; nl -ba "$1"' _ '{}' \;

/etc/apt/sources.list

     1	# 
     2	
     3	# deb cdrom:[Debian GNU/Linux 10.3.0 _Buster_ - Official i386 DVD Binary-1 20200208-13:42]/ buster contrib main
     4	
     5	# deb cdrom:[Debian GNU/Linux 10.3.0 _Buster_ - Official i386 DVD Binary-1 20200208-13:42]/ buster contrib main
     6	
     7	deb http://deb.debian.org/debian/ buster main non-free contrib
     8	deb-src http://deb.debian.org/debian/ buster main non-free contrib
     9	
    10	deb http://security.debian.org/debian-security buster/updates main contrib non-free
    11	deb-src http://security.debian.org/debian-security buster/updates main contrib non-free
    12	
    13	# buster-updates, previously known as 'volatile'
    14	deb http://deb.debian.org/debian/ buster-updates main contrib non-free
    15	deb-src http://deb.debian.org/debian/ buster-updates main contrib non-free

dindoun · Mai 1, 2021, 12:23pm

et dpkg -S gvfsd-helper

BCO · Mai 1, 2021, 12:40pm

root@SRVHOST:/home/georges# dpkg -S gvfsd-helper
dpkg-query: aucun chemin ne correspond à *gvfsd-helper*

BCO · Mai 1, 2021, 2:32pm

Désolé, la capture est le processus grep…
merci

MicP · Mai 1, 2021, 12:50pm

Non, il n’y a aucun processus utilisé par une commande nommée gvfsd-helper sur ta machine.

Ce que cette ligne de commande t’a retourné,
c’est une ligne concernant le processus de la commande grep que tu viens de lancer
avec la ligne de commande entière qui a lancé l’exécution de grep <=> avec le paramètre que tu avais donné à cette commande grep

Ça aurait fonctionné exactement pareil avec un nom de virus imaginaire :

root@debsid:~# ps aux | grep monVirusImaginaire
root        3189  0.0  0.0   6328   708 pts/0    S+   14:36   0:00 grep monVirusImaginaire
root@debsid:~#