Journal Un virus sous mon nunux .... :(

Posté par Caeies le 30 septembre 2003 à 09:12.

Étiquettes : aucune

sept.

2003

Bonjour tout le monde !
Suite à une fausse manip (honte sur moi) je me suis fait infecté par un virus qui me semble t' il est une variante du fameux RST.b.
J'ai redémarré sur le CD d'install, j'ai écrasé les fichiers dans le /bin et j'ai mis le flag i dessus pour éviter de continuer à tout polluer. (mais j'ai encore pas mal de problème au démarrage)
La question que je me pose, c'est est-ce que ce foutu virus peux aussi infecter les librairies (style ls /lib :) et donc me corrompre le système...
En tout cas ça m'apprendra ;)
=> NE JAMAIS UTILISER LE COMPTE ROOT (même avec un sudo :).
Surtout pour les newbies qui veullent à tout pris que tout marche sans comprendre pourquoi en étant root (ou assimilé).

Bon je doute qu'un newbie fasse la bétise que j'ai faîte m'enfin ...
Je ferais peut être un CLEANING-VIRUS-HOWTO si certain sont intéressés...
Caeies, qui a marché dedans ...

PS: ma copine ce moque de moi parce que je tapes sur windows et ces virus et
que la je me trouve bien ... N'empêche, avec linux on peut espérer nettoyer le système sans avoir tout à réinstaller (pas le cas pour windows pour les "gros" virus.

# Re: Un virus sous mon nunux .... :(

Posté par Richard Hébert (site web personnel) le 30 septembre 2003 à 09:34. Évalué à 5.

Allez, je sais que ça fait mal, mais tu peux quand même dire ce que c'était, la "fausse manip", histoire d'en faire profiter tout le monde !?
- [^] # Re: Un virus sous mon nunux .... :(
  
  Posté par Sébastien le 30 septembre 2003 à 09:49. Évalué à 1.
  
  Ouai, je serai curieux de savoir ce que c'est comme "fausse manip".
  
  Au fait, il en existe baucoup des virus sur Unix/linux ??
  Je pensais que les seuls virus existants ont été créé seulement dans le but de montrer qu'il est possible d'infecter un système de type unix.
  - [^] # Re: Un virus sous mon nunux .... :(
    
    Posté par Caeies le 30 septembre 2003 à 09:58. Évalué à 4.
    
    ...
    /o\
    j'ai oublié de faire tourner des binaires suspects (que j'étudie à coup de gdb et de désassembleur de mon cru) dans une VM au lieu de ma machine de test.
    /o\
    je me cache.
    Caeies.
    - [^] # Re: Un virus sous mon nunux .... :(
      
      Posté par tuiu pol le 30 septembre 2003 à 10:35. Évalué à 3.
      
      ahhhh ok
      effectivement, il faut reconnaitre que ce n'est pas un newbie qui va faire ça .
# Re: Un virus sous mon nunux .... :(

Posté par Brunus le 30 septembre 2003 à 10:23. Évalué à 1.

Et c'est quoi les "binaires douteux" que tu analysais ?

Analyse d'une infection par RST.B: http://lists.insecure.org/lists/incidents/2001/Dec/0259.html(...)

" it changes directories to /bin and attempts to
infect the files there as well. Then it opens up /dev/hdx1 and /dev/hdx2
and calls mknod followed by fcntl() "

Ils ne parle pas de tentatives d'accès à /lib...mais faudrai pas que tu sois tombé sur une variante capable de le faire.
- [^] # Re: Un virus sous mon nunux .... :(
  
  Posté par Caeies le 30 septembre 2003 à 11:05. Évalué à 1.
  
  Oui mais celui-ci il est détectable par un strings -a le_foutu_binaire |grep gov
  si la réponse est positive il est infesté, ce qui n'est pas mon cas.
  Par contre, je suis au courant pour les /dev/hdx, mais j'ai pas encore eu le temps d'aller y voir (surtout que si c'est une variante (ce que je pense), il ne doit pas faire les mêmes fichiers).
  Caeies, qui va bientôt retourner chez lui pour achever le virus
  - [^] # Re: Un virus sous mon nunux .... :(
    
    Posté par Caeies le 30 septembre 2003 à 11:08. Évalué à 1.
    
    Arf rectification
    snortdos et tory sont présent (de mémoire).
    Donc je ne suis qu'un bleu :)
    J'avais déja le lien, mais ça fait pas de mal de le relire :)
    Caeies, hop c parti
    - [^] # Re: Un virus sous mon nunux .... :(
      
      Posté par Brunus le 30 septembre 2003 à 11:26. Évalué à 1.
      
      Ha ouai...pas bon ça...là c'est presque sur que t'as pas tout bien dévérolé.
      
      Mais si non excuse moi d'insister...c'est quoi ton binaire vérolé et d'ou il vient ? Loin de moi l'idée de critiquer une pratique qui consiste à récupérer un truc douteux pour l'étudier...c'est juste par curiosité.
      
      <joke du jour pour te détendre>
      Nan parceque si il vient du ftp de Zataz...dont on connait la réputation (:D)...faut se méfier ils ont été piratés...
      http://www.isecurelabs.com/news/119(...)
      </joke du jour pour te détendre>
      - [^] # Re: Un virus sous mon nunux .... :(
        
        Posté par Caeies le 30 septembre 2003 à 11:34. Évalué à 1.
        
        Nop,
        Ca vient d'un Honeypot.
        [faut vraiment être bête pour faire ce que j'ai fais :)]
        M'enfin chuis pas trop tendu. Certe c chiant mais ca m'apprendra à aller vite.
        
        Bon => http://www.honeynet.org(...) sotm29 (mais il fallait rendre les copies hier).
        En plus, le plus bête c'est que je me suis autoinfecté après avoir rendu la copie :(
        Bref ...
        caeies, qui va aller manger du virus
# Re: Un virus sous mon nunux .... :(

Posté par kapouik le 30 septembre 2003 à 10:45. Évalué à 1.

La fausse manipulation était donc une session root en tant que ton utilisateur de travail : la morale de ton histoire est qu'un système a beau être ultra sécurisé, à part s'il demande une authentification à chaque touche pressée, le plus gros virus contre lequel aucun système ne pourra jamais rien, c'est l'utilisateur lui-même ...
# Re: Un virus sous mon nunux .... :(

Posté par Ontologia (site web personnel) le 30 septembre 2003 à 11:31. Évalué à 1.

Dit à ta copine que c'est al preière fois que j'entend parler d'un virus sous linux ;o)
« Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker
- [^] # Re: Un virus sous mon nunux .... :(
  
  Posté par Jak le 30 septembre 2003 à 12:35. Évalué à 3.
  
  Et surtout que c'est pas à la portée de n'importe qui que de se faire infecter. Il faut y mettre du sien :)
- [^] # Re: Un virus sous mon nunux .... :(
  
  Posté par Anonyme le 30 septembre 2003 à 15:51. Évalué à 3.
  
  Ca non, c'est pas la 1ere fois, les fabriquants d'antivirus adorent en parler. Et quand ils reussissent a en decouvrir/fabriquer un, c'est la grande fete, avec annonce un peu partout ou c'est possible ! Mais pas de chance, les gens ne se font pas encore infecter, c'est pas encore aujourd'hui qu'ils pourront vendre leur antivirus.
  Alors ils se rattrappent avec des articles pour dire que "le nombre de failles sous Linux est 257 fois plus important que sous Windows", "Les nombre d'attaques reussies est beaucoup plus important sous Linux". Ca serait vraiment dommage en effet que les gens migrent sous Linux, qui acheterait alors ces antivirus ?
# Re: Un virus sous mon nunux .... :(

Posté par vga1523 le 30 septembre 2003 à 11:32. Évalué à 1.

j'en profite pour vous demander ce que vous pensez de www.openantivirus.org

est-ce une alternative efficace ?
- [^] # Re: Un virus sous mon nunux .... :(
  
  Posté par Caeies le 30 septembre 2003 à 11:43. Évalué à 1.
  
  Me semble mort ce projet (en tout cas une partie)
  ....
# Re: Un virus sous mon nunux .... :(

Posté par poil le 30 septembre 2003 à 14:27. Évalué à 1.

sinon, le labo de recherche qui avait créé rst (et qui se l'est fait voler) avait mis des outils dispo pour enlever le virus (la 1ère version) et rendre les exécutables immunisés contre rst.

ça peut toujours te servir :
http://cert.uni-stuttgart.de/archive/bugtraq/2001/09/msg00100.html(...)
# Re: Un virus sous mon nunux .... :(

Posté par TheBreton le 01 avril 2004 à 14:00. Évalué à 1.

Trop gros comme poisson d'avril....tout le monde sait qu'un virus sous linux est toujours localisé entre la chaise et le clavier

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.