Virus ?

Support Debian
#41

Pas de problème je le ferai ce soir ( vérifie bien tes mails et accuse réception car nos précédents échanges hors du forum ont été laborieux )

A noter que je peux ( voir précédents posts ) également :

  • l’envoyer à AnonymousCoward s’il me le demande à l’exclusion de toute autre personne.
  • vous ouvrir à tous les deux un accès au PC en question que je garde dispo qq temps pour des tests complémentaires.
#42

Hello fran.b,

as-tu reçu mon mail, je n’ai reçu aucun accusé de réception de ta part ? ( comme mon 1er envoi ! )

PmGs

#43

Non aucun, c’est vraiment curieux car je vérifiais les spams. Tu peux reessayer en mettant en copie la deuxième adresse que je te donne en MP

#44

C’est fait.

Bizarre, car de mon côté je n’ai aucun retour d’erreur ! ?

PmGs

#45

Bon effectivement comme tu l’as dit dans ton message il a mis une ligne dans le cron.d, le virus lui même est lancé par cron.sh, il doit également avoir mis un lien vers /etc/rc?.d/S90??? vers /etc/init.d/???, ??? égal cron peut être, regarde sur ta machine.

Le vers est Unix.Trojan.DDoS_XOR-1. Il intègre ta machine dans un Botnet.

Vérifie que ton /etc/resolv.conf n’est pas été modifié. L’IP 103.25.9.228 joue un role important (IP de Honk Kong) et a peut être été rajouté dans ton DNS. C’est un serveur DNS qui proclame être dns.google.com ce qui est évidemment faux. D’après ce que j’ai lu c’est piaoxuedy.com.

D’après Avast, le rootkit est sous /boot

Vérifies si tu as un de ces processus surtout ce indiqué louche (je ne les ai pas chez moi)

/proc/self/exe
/proc/rs_dev        <--------- très louche
/proc/net/tcp
/proc
/proc/%d/fd
/proc/%s/fd/%s
/proc/cpuinfo
/proc/meminfo
/proc/sys/kernel/version <----------------- vérifie si ça correspond
/proc/sys/kernel/osrelease
/proc/self/maps
/proc/sys/kernel/ngroups_max
/proc/sys/kernel/rtsig-max <--------------- louche
/proc/stat

(J’ai extrait tout ça du virus). Tu dois pouvoir avoir des indications supplémentaires en recherchant
Unix.Trojan.DDoS_XOR-1 sur le net
[à suivre]

#46

Merci pour ton retour.

Actuellement le virus est désactivé et je reprendrais les tests que tu préconises lorsque j’aurai un peu plus de temps. Le passage de mon 1er poste sous Jessie est ( un peu ) plus long que prévu. Comme je l’ai écrit dans mon post sur Gnome 3, je trouve cette version appropriée mais c’est bien compliqué de retrouver ses marques, par exemple ce soir je cherche comment retrouver la fonction ‘dupliquer’ de Nautilus ?

A suivre …