Station de travail Linux: comment savoir s’il est enraciné?

3

Je travaillais sur ma "station de travail" Linux (elle n’a aucun son, je ne joue ni ne regarde de film: c’est purement une machine de travail, c’est pourquoi je l’appelle ma "station de travail") et tout à coup, quelque chose de très étrange s’est passé.

Je naviguais à l'aide d'un compte d'utilisateur temporaire (que je n'utilise que pour la navigation) et du navigateur Iceweasel. Je suis arrivé sur un site Web qui essayait évidemment d'installer des logiciels malveillants (des popups avec de fausses fenêtres indiquant que votre ordinateur est infecté, etc.). J'ai eu quelques problèmes en fermant ces pages web et j'ai fini par tuer le navigateur.

Puis la 4ème dimension a commencé: l’IP a changé automatiquement pour passer à une adresse IP de 169.xxx.xxx.xxx (je ne me souviens pas exactement). Mais cela n'aurait jamais dû arriver en tant que poste de travail en tant qu'IP statique qui, pensais-je, était gravé dans la pierre.

J'ai immédiatement débranché le câble Ethernet (et il n'y a pas de WiFi sur ce poste de travail) et interrogé les processus en cours d'exécution à l'aide de "ps auxf"

J'ai trouvé des processus très bizarres: "uml network switch" . Lors du redémarrage (le câble toujours débranché), un message de service "Démarrage du commutateur réseau en mode utilisateur" a été affiché . Je n'ai jamais installé ça et je suis presque sûr que ce truc n'y était pas avant.

J'ai aussi trouvé des tâches de "bureau libre" en cours d'exécution. Jamais jamais installé ça non plus.

J'ai commencé à supprimer le paquet lié à UML-thinggy et à redémarrer (toujours le câble débranché) et ... Le "/ usr / bin / uml_switch" (quelque chose comme ça) a commencé à réapparaître (même si j'ai vérifié qu'il n'y était pas plus après la suppression du paquet).

Que se passe-t-il?

S'agit-il d'une sorte de méga-SNAFU où une mise à jour automatisée du logiciel Debian a commencé à devenir balistique et à installer automatiquement des paquets pour lesquels je n'ai pas demandé ces dégâts ou est-ce que je viens d'être piraté?

Est-ce que l'un de vous a une idée de ce que je viens de vivre?

La prochaine étape est, juste au cas où, une nouvelle installation à partir d’un nouveau système sur un disque vierge vierge sur un disque vierge vierge, non?

linux security workstation rootkit Weezy
la source
Cela devrait être déplacé vers le superutilisateur. Btw, vous n'êtes pas "piraté"
Je n'ai jamais vu de virus / programme malveillant sous Linux, même si je sais qu'ils existent. le changement d'adresse IP semble plus étrange que tout (169.254.xx correspond à la plage de configuration automatique IPv4; principalement MS uniquement). Essuyer est le seul moyen de s’assurer qu’il est parti à 100%. Je doute encore que vous ayez été piraté.
Chris S
@Chris S: Oui, il s'agissait bien d'une IP de style 169.254.xx. Mais comment se fait-il que ce poste de travail ait soudainement commencé à utiliser des éléments de commutation réseau en mode utilisateur ? Je n'arrêtais pas de faire ifconfig down / ifconfig 192.168.1.33 et le truc auto-réseau (que je n'ai jamais installé et que je n'aurais jamais dû lancer) a continué de réinitialiser l'adresse IP à 169.254.xx. Que se passe-t-il !?
Weezy
@Chris S: C'est la première fois depuis presque dix ans d'utilisation de Linux tous les jours que je vois une chose pareille :( Je suis vraiment profondément confuscruit par ce qui vient de se passer: honnêtement, je n'ai aucune idée effrayante de ce qui vient de se passer. L'adresse IP Il n'y avait aucune raison pour qu'il passe à 169.254.xx sans que je modifie un paramètre en tant que root. Quelque chose s'est passé, je ne sais pas quoi :(
Weezy

Réponses:

1

Pour plus de sécurité, vous pouvez toujours essayer de rechercher les rootkits. Consultez les réponses à cette question sur ServerFault concernant l'analyse de votre ordinateur à la recherche de rootkits et de logiciels malveillants. Consultez des outils tels que chkrootkit ou Rootkit Hunter pour rechercher les fichiers par défaut utilisés par les rootkits, les autorisations de fichiers incorrectes pour les fichiers binaires, les chaînes suspectes dans les modules LKM et KLD, les fichiers cachés, etc.

En passant, juste pour votre information, lorsque l'ordinateur est incapable d'atteindre un serveur DHCP et que la carte réseau n'est pas configurée manuellement, il peut utiliser une adresse de lien local. Le réseau 169.254 / 16 est réservé à cet effet. De Wikipedia :

Un autre type de réseau privé utilise la plage d’adresses lien-local codifiée dans les RFC 5735 et 3927. L’utilité de ces adresses est en autoconfiguration automatique par les périphériques réseau lorsque les services DHCP (Dynamic Host Configuration Protocol) ne sont pas disponibles et la configuration manuelle par administrateur réseau n'est pas souhaitable.

Dans IPv4, le bloc 169.254 / 16 est réservé à cet effet, à l'exception du premier et du dernier / 24 sous-réseau de la plage. Si un hôte sur un réseau IEEE 802 (Ethernet) ne peut pas obtenir une adresse réseau via DHCP, une adresse comprise entre 169.254.1.0 et 169.254.254.255 peut être affectée de manière pseudo-aléatoire. La norme prescrit que les collisions d'adresse doivent être traitées avec élégance. L'architecture d'adressage IPv6 met de côté le bloc fe80 :: / 10 pour la configuration automatique de l'adresse IP.

runlevelsix
la source
mais comme je l'ai écrit, l'adresse IP a toujours été configurée de manière statique. Je pensais que cela était "gravé dans le marbre" et que, d’une manière ou d’une autre, quelques mois plus tard, quelque chose s’est passé et a modifié ma configuration IP manuelle / statique.
Weezy