Malware qui espionne les systèmes Linux 64 bits

@MicP

Bien vu, ou il n’a jamais exité ou il est déjà mort ce qui sigiiifie qu’il n’était vraiment pas coriace …

peux-tu nous expliquer comment tu l’as vu.

La commande sans aucun retour pourrai être

ps aux | grep gvfsd-helper |grep -v gvfsd-helper

Oui, mais s’il existait bien un processus utilisé par une commande nommée gvfsd-helper
il ne serait pas retourné par cette ligne de commande

Il vaudrait mieux exclure de la liste retournée
toutes les lignes contenant grep :

ps aux | grep gvfsd-helper | grep -v grep 

Merci du fou-rire

user       17194  0.0  0.0  11604   664 pts/1    S+   14:56   0:00 grep --color=auto monVirusImaginaire

D’une part c’est plus dans pause café qu’il aurait fallu placé ce file, de deux l’article cité (certes en français est un torchon sans aucunes information réellement étayés), de trois le malware existe bien sous deux formes root et non-root.

Dans un cas vous n’aurez pas de processus gvfs-helper mais bien les communications via le port 443 chiffré et bien en place (lien probable avec le malware exploitant le botnet IOT TORII), de l’autre vous aurez ce fameux processus …

A l’heure actuelle c’est systemd-daemon qui est dans le collimateur mais il n’y a de publié pour l’instant aucune informations de comment, par qui et surtout pourquoi …

Article expliquant un peu plus en profondeur (mais en anglais) : https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/

2 J'aime

Et comment on chope cette cochonnerie ?

Opérer à chaud ne fonctionne pas ? Alors il faut opérer à froid.

Par exemple, faire le nettoyage depuis un système live sur clé usb.

j’ai rajouté ça à mon /etc/hosts

127.0.0.1 thaprior.net
127.0.0.1 eduelects.com
127.0.0.1 mirror-codes.net
127.0.0.1 sublineover.net

de 2013 à 2017 j’ai des
libsystemd-daemon0 sur 44 de mes systemes; 0 session-dbus ; 0 gvfsd-helper

BCO,
que donne
cat /proc/locks|grep $(ps -o pid= -C gvfsd-helper)
cat /proc/locks|grep $(ps -o pid= -C systemd-daemon)

J’ai lu https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/

Les fichiers suspects :
/bin/systemd/systemd-daemon
/usr/lib/systemd/systemd-daemon
ne sont pas présents dans ma machine.

Les dossiers :
$HOME/.config/au-tostart/
$HOME/.dbus/sessions/session-dbus
$HOME/.gvfsd/.profile/gvfsd-helper
ne sont pas présents non-plus.

Mon .bashrc ne contient pas la ligne :

${HOME}/.gvfsd/.profile/gvfsd-helper

# netstat -tpn
ne me renvoie pas de ligne contenant : systemd-daemon

j 'ai arrêté, à ce stade, j’estime ne pas être affecté par cet objet malveillant.

À la fin de l’article, est décrit le trafic détourné par l’objet malveillant :

news.thaprior.net:443
blog.eduelects.com:443
cdn.mirror-codes.net:443
status.sublineover.net:443

qui vient de :

176.107.176.16 Ukraine|Kiev|Unknown 42331|PE_Freehost

Dans les commentaires, un intervenant a fait cette recherche sur ces noms de domaine, par exemple :

https://domain.glass/status.sublineover.net

Cela vient de la société DELTAHOST-PTR basée aux USA, en Ukraine et aux Pays-Bas :

https://deltahost.com/

Capture d’écran_2021-05-02_10-28-53

Chez moi, ils sont injoignables (sauf le second qui est en 403).
Le cheval de trait serait-il mort ?

1 J'aime

C’est sûr comme la faille est divulguée, l’intérêt de maintenir les sites d’exploitation devient proche de 0, mais ce qui est intéressant, c’est la société DELTAHOST qui les hébergeait. Déjà opérer simultanément en Ukraine et aux États-Unis, cela donne une idée d’où peuvent venir les commanditaires.

D’autant qu’en plus le siège de cette société est basée au Panama, dont le canal est vital pour le trafic maritime US et le pays un paradis fiscal sous orbite US :

Je crois que c’est la meilleure question du fil surtout au vu du fait qu’il est theoriquement nécessaire d’avoir les droits root pour installer des packages, de plus si l’on ne télécharge - par exemple je dl de virtualbox - que de sites pro je vois mal comment une installe linux pourrait etre vérolée. Le probleme est que le dossier gvfs existe sur tous les bureaux cinnamon.

Je me demande si ce n’est pas de l’intox surtout au mois d’avril

Sauf si vous avez installé une version de systemd ne venant pas des dépôts officiels, ce logiciel malveillant ne vous concerne pas. Je pense d’ailleurs qu’il ne concerne personne en dehors des chercheurs en sécurité…
Les articles sensationnalistes sont erronés : il s’agit d’un logiciel malveillant qui se cache sous le nom de processus systemd et non d’un logiciel présent dans systemd.

1 J'aime

Et les sociétés qui proposent des scripts d’installation en root pour installer leur logiciels ?

Un exemple certains instituteurs de l’Académie de Versailles ont installé des solutions d’échange à distance de SVI E-SOLUTION avec le script root qui va bien :

Est-ce que l’on peut être sur que toutes les sociétés qui procèdent ainsi, partout dans le Monde, agissent à 100 % de leur temps de manière bienveillante ?

Je ne vois pas le rapport…

Un instituteur de ma connaissance a installé le script root de cette boîte québecoise mentionnée plus haut sans se poser la moindre question. Dans l’avenir, avec cette habitude, il pourrait se faire infecter par des objets malveillants du type du malware RotaJakiro.

Vérifier que l’on est pas infecté est plus prudent que d’écarter par avance et sans le moindre examen, l’idée de la menace.

Et donc, depuis au moins trois ans, il y aurait une « porte dérobée » dans les systèmes debian,
et cette porte dérobée aurait été détectée par Avast (???)

Et ni le CERT, ni aucun des utilisateurs pro du système debian ne s’en seraient rendu compte ou n’auraient transmis l’information?

Et bizarrement, ni Ubuntu ni tous les autres systèmes Linux qui utilisent aussi systemd ne seraient impactés par cette porte dérobée (vu qu’ils ne sont pas cités)

J’attends de voir la suite, mais à mon humble avis, il vaudrait mieux rester prudent et éviter de cliquer sur liens cités dans ces articles.

1 J'aime

Merci de me citer complètement :

Il n’y a pas de porte dérobée dans systemd, point barre.

En clair, on parle de O1net qui cite un marchand d’antivirus chinois…

:partying_face:

1 J'aime

Te fâche pas, il y a malentendu car je ne te citais pas du tout :
je reprenais les termes du titre de la page web (un de ces articles sensationnalistes) citée dans le message N°3 de ce fil.

Mais je n’avais pas envie de citer une fois de plus ce lien,
et n’avais pas du tout pensé, en rédigeant mon message que tu puisse croire que je te citais en déformant tes propos, avec lesquels je suis d’ailleurs tout-à fait en accord.

J’avais d’ailleurs cliqué sur le cœur dans ton message avant de rédiger mon précédent message.

1 J'aime