Je travaillais sur ma "station de travail" Linux (elle n’a aucun son, je ne joue ni ne regarde de film: c’est purement une machine de travail, c’est pourquoi je l’appelle ma "station de travail") et tout à coup, quelque chose de très étrange s’est passé.
Je naviguais à l'aide d'un compte d'utilisateur temporaire (que je n'utilise que pour la navigation) et du navigateur Iceweasel. Je suis arrivé sur un site Web qui essayait évidemment d'installer des logiciels malveillants (des popups avec de fausses fenêtres indiquant que votre ordinateur est infecté, etc.). J'ai eu quelques problèmes en fermant ces pages web et j'ai fini par tuer le navigateur.
Puis la 4ème dimension a commencé: l’IP a changé automatiquement pour passer à une adresse IP de 169.xxx.xxx.xxx (je ne me souviens pas exactement). Mais cela n'aurait jamais dû arriver en tant que poste de travail en tant qu'IP statique qui, pensais-je, était gravé dans la pierre.
J'ai immédiatement débranché le câble Ethernet (et il n'y a pas de WiFi sur ce poste de travail) et interrogé les processus en cours d'exécution à l'aide de "ps auxf"
J'ai trouvé des processus très bizarres: "uml network switch" . Lors du redémarrage (le câble toujours débranché), un message de service "Démarrage du commutateur réseau en mode utilisateur" a été affiché . Je n'ai jamais installé ça et je suis presque sûr que ce truc n'y était pas avant.
J'ai aussi trouvé des tâches de "bureau libre" en cours d'exécution. Jamais jamais installé ça non plus.
J'ai commencé à supprimer le paquet lié à UML-thinggy et à redémarrer (toujours le câble débranché) et ... Le "/ usr / bin / uml_switch" (quelque chose comme ça) a commencé à réapparaître (même si j'ai vérifié qu'il n'y était pas plus après la suppression du paquet).
Que se passe-t-il?
S'agit-il d'une sorte de méga-SNAFU où une mise à jour automatisée du logiciel Debian a commencé à devenir balistique et à installer automatiquement des paquets pour lesquels je n'ai pas demandé ces dégâts ou est-ce que je viens d'être piraté?
Est-ce que l'un de vous a une idée de ce que je viens de vivre?
La prochaine étape est, juste au cas où, une nouvelle installation à partir d’un nouveau système sur un disque vierge vierge sur un disque vierge vierge, non?
la source
Réponses:
Pour plus de sécurité, vous pouvez toujours essayer de rechercher les rootkits. Consultez les réponses à cette question sur ServerFault concernant l'analyse de votre ordinateur à la recherche de rootkits et de logiciels malveillants. Consultez des outils tels que chkrootkit ou Rootkit Hunter pour rechercher les fichiers par défaut utilisés par les rootkits, les autorisations de fichiers incorrectes pour les fichiers binaires, les chaînes suspectes dans les modules LKM et KLD, les fichiers cachés, etc.
En passant, juste pour votre information, lorsque l'ordinateur est incapable d'atteindre un serveur DHCP et que la carte réseau n'est pas configurée manuellement, il peut utiliser une adresse de lien local. Le réseau 169.254 / 16 est réservé à cet effet. De Wikipedia :
la source