Discussion :

[constitution]

Bonjour,
Je pense très fortement avoir un malware sous ma machine sous debian, qui me prend tout mon l'espace de mon dossier /tmp, j'ai essayé de le purger plusieurs fois en usermode et root mais il se replie toujours et j'ai aussi essayer un redémarrage
J'aimerais savoir comment procéder, concernant windows j'ai de très bonne connaissance (dump de l'espace d'adressage du processus, regarder les dll chargée etc) concernant linux je n'ai que de très faible connaissance
Clamscan en root en recursif sur toute la machine indique que tout les fichiers sont sain
Chkrootkit a indiquer quelque fichier suspect que j'ai uploder sur virustotal et pour être franc il n'ont pas l'air d'être la cause du problème (0/50 virustotal)

Contenu du dossier /tmp (1.0kb restant) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
root@desktop:/tmp# ls -als
total 15
3 drwxrwxrwt  9 root root 3072 Mar 15 23:17 .
4 drwxr-xr-x 22 root root 4096 Feb 16 21:45 ..
1 drwxrwxrwt  2 root root 1024 Mar 15 22:25 .font-unix
1 drwxrwxrwt  2 root root 1024 Mar 15 22:26 .ICE-unix
1 drwx------  2 user user 1024 Jan  1  1970 orbit-user
1 drwx------  2 user user 1024 Mar 15 23:02 plugtmp
1 drwxrwxrwt  2 root root 1024 Mar 15 22:25 .Test-unix
1 -r--r--r--  1 root root   11 Mar 15 22:26 .X0-lock
1 drwxrwxrwt  2 root root 1024 Mar 15 22:26 .X11-unix
1 drwxrwxrwt  2 root root 1024 Mar 15 22:25 .XIM-unix

Dont un fichier non listé mais qui apparait dans mon UI en usermode : (il vient de disparaitre)
Processus :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
root@desktop:/tmp# ps -e
  PID TTY          TIME CMD
    1 ?        00:00:01 systemd
    2 ?        00:00:00 kthreadd
    3 ?        00:00:01 ksoftirqd/0
    5 ?        00:00:00 kworker/0:0H
    7 ?        00:00:03 rcu_sched
    8 ?        00:00:00 rcu_bh
    9 ?        00:00:00 migration/0
   10 ?        00:00:00 watchdog/0
   11 ?        00:00:00 watchdog/1
   12 ?        00:00:00 migration/1
   13 ?        00:00:00 ksoftirqd/1
   15 ?        00:00:00 kworker/1:0H
   16 ?        00:00:00 khelper
   17 ?        00:00:00 kdevtmpfs
   18 ?        00:00:00 netns
   19 ?        00:00:00 khungtaskd
   20 ?        00:00:00 writeback
   21 ?        00:00:00 ksmd
   22 ?        00:00:00 khugepaged
   23 ?        00:00:00 crypto
   24 ?        00:00:00 kintegrityd
   25 ?        00:00:00 bioset
   26 ?        00:00:00 kblockd
   29 ?        00:00:00 kswapd0
   30 ?        00:00:00 fsnotify_mark
   36 ?        00:00:00 kthrotld
   37 ?        00:00:00 ipv6_addrconf
   39 ?        00:00:00 deferwq
   78 ?        00:00:00 khubd
   79 ?        00:00:00 acpi_thermal_pm
   80 ?        00:00:00 ata_sff
   85 ?        00:00:00 scsi_eh_0
   86 ?        00:00:00 scsi_tmf_0
   87 ?        00:00:00 scsi_eh_1
   88 ?        00:00:00 scsi_tmf_1
   89 ?        00:00:00 scsi_eh_2
   90 ?        00:00:00 scsi_tmf_2
   91 ?        00:00:00 scsi_eh_3
   92 ?        00:00:00 scsi_tmf_3
   93 ?        00:00:00 scsi_eh_4
   94 ?        00:00:00 scsi_tmf_4
   95 ?        00:00:00 scsi_eh_5
   96 ?        00:00:00 scsi_tmf_5
  107 ?        00:00:00 kworker/1:1H
  110 ?        00:00:00 kworker/0:1H
  146 ?        00:00:00 kdmflush
  148 ?        00:00:00 bioset
  149 ?        00:00:00 kcryptd_io
  151 ?        00:00:00 kcryptd
  152 ?        00:00:00 bioset
  158 ?        00:00:00 kdmflush
  159 ?        00:00:00 bioset
  161 ?        00:00:00 kdmflush
  162 ?        00:00:00 bioset
  163 ?        00:00:00 kdmflush
  167 ?        00:00:00 bioset
  169 ?        00:00:00 kdmflush
  173 ?        00:00:00 bioset
  175 ?        00:00:00 kdmflush
  176 ?        00:00:00 bioset
  206 ?        00:00:00 jbd2/dm-1-8
  207 ?        00:00:00 ext4-rsv-conver
  240 ?        00:00:00 kauditd
  246 ?        00:00:01 systemd-udevd
  255 ?        00:00:00 systemd-journal
  308 ?        00:00:00 irq/45-mei_me
  314 ?        00:00:00 cfg80211
  315 ?        00:00:00 kmemstick
  351 ?        00:00:00 kpsmoused
  356 ?        00:00:00 hd-audio0
  390 ?        00:00:00 ttm_swap
  395 ?        00:00:00 kvm-irqfd-clean
  409 ?        00:00:00 led_workqueue
  437 ?        00:00:00 ext4-rsv-conver
  448 ?        00:00:01 jbd2/dm-4-8
  449 ?        00:00:00 ext4-rsv-conver
  451 ?        00:00:00 jbd2/dm-2-8
  452 ?        00:00:00 ext4-rsv-conver
  469 ?        00:00:00 jbd2/dm-5-8
  470 ?        00:00:00 ext4-rsv-conver
  489 ?        00:00:00 rdnssd
  490 ?        00:00:00 rdnssd
  625 ?        00:00:00 rpcbind
  634 ?        00:00:00 rpc.statd
  639 ?        00:00:00 rpciod
  641 ?        00:00:00 nfsiod
  648 ?        00:00:00 rpc.idmapd
  651 ?        00:00:00 accounts-daemon
  653 ?        00:00:10 NetworkManager
  654 ?        00:00:00 ModemManager
  656 ?        00:00:00 atd
  658 ?        00:00:02 freshclam
  659 ?        00:00:00 cron
  661 ?        00:00:00 systemd-logind
  667 ?        00:00:00 avahi-daemon
  668 ?        00:00:02 dbus-daemon
  684 ?        00:00:00 iprt
  689 ?        00:00:00 minissdpd
  706 ?        00:00:00 avahi-daemon
  710 ?        00:00:00 rsyslogd
  713 ?        00:00:00 cupsd
  714 ?        00:00:00 cups-browsed
  716 ?        00:00:00 acpid
  718 ?        00:00:12 clamd
  728 ?        00:00:00 polkitd
  731 tty1     00:00:00 agetty
  736 ?        00:00:00 gdm3
  812 tty7     00:02:52 Xorg
  902 ?        00:00:00 wpa_supplicant
 1001 ?        00:00:00 exim4
 1040 ?        00:00:00 dhclient
 1071 ?        00:00:00 systemd
 1072 ?        00:00:00 (sd-pam)
 1137 ?        00:00:00 upowerd
 1162 ?        00:00:00 colord
 1168 ?        00:00:00 pulseaudio
 1170 ?        00:00:00 rtkit-daemon
 1202 ?        00:00:00 packagekitd
 1214 ?        00:00:00 gdm-session-wor
 1219 ?        00:00:00 systemd
 1220 ?        00:00:00 (sd-pam)
 1224 ?        00:00:00 gnome-keyring-d
 1227 ?        00:00:00 x-session-manag
 1265 ?        00:00:00 ssh-agent
 1268 ?        00:00:00 dbus-launch
 1269 ?        00:00:00 dbus-daemon
 1272 ?        00:00:00 at-spi-bus-laun
 1276 ?        00:00:00 dbus-daemon
 1279 ?        00:00:00 at-spi2-registr
 1288 ?        00:00:02 gnome-settings-
 1305 ?        00:01:26 pulseaudio
 1307 ?        00:00:00 gvfsd
 1315 ?        00:00:00 gvfsd-fuse
 1325 ?        00:00:00 start-pulseaudi
 1326 ?        00:00:00 xprop
 1329 ?        00:00:00 gvfs-udisks2-vo
 1331 ?        00:00:00 udisksd
 1340 ?        00:00:00 gvfs-mtp-volume
 1344 ?        00:00:00 gvfs-gphoto2-vo
 1348 ?        00:00:00 gvfs-goa-volume
 1351 ?        00:00:01 goa-daemon
 1357 ?        00:00:03 mission-control
 1360 ?        00:00:00 gvfs-afc-volume
 1375 ?        00:00:00 gsd-printer
 1384 ?        00:00:00 gnome-shell-cal
 1391 ?        00:00:00 evolution-sourc
 1402 ?        00:00:00 evolution-alarm
 1406 ?        00:00:00 tracker-miner-a
 1409 ?        00:00:03 tracker-store
 1419 ?        00:00:00 tracker-extract
 1421 ?        00:00:02 evolution-calen
 1422 ?        00:00:01 tracker-miner-f
 1423 ?        00:00:00 zeitgeist-datah
 1428 ?        00:00:00 applet.py
 1438 ?        00:00:00 tracker-miner-u
 1443 ?        00:00:00 zeitgeist-daemo
 1444 ?        00:00:01 nm-applet
 1454 ?        00:00:00 zeitgeist-fts
 1476 ?        00:00:00 cat
 1481 ?        00:00:00 gconfd-2
 1530 ?        00:01:50 gnome-shell
 1595 ?        00:00:00 gvfsd-burn
 1793 ?        00:00:00 gvfsd-metadata
 1845 ?        00:19:50 iceweasel
 1881 ?        00:00:00 gvfsd-trash
 1945 ?        00:00:00 dconf-service
 1993 ?        00:00:13 gnome-terminal-
 2109 ?        00:00:00 gnome-pty-helpe
 2110 pts/0    00:00:00 bash
 2132 pts/0    00:00:00 su
 2133 pts/0    00:00:00 bash
 2257 ?        00:01:59 plugin-containe
 2609 pts/0    00:01:24 iotop
 2687 ?        00:00:00 kworker/0:2
 2772 ?        00:00:00 kworker/1:2
 2776 ?        00:00:00 kworker/u4:2
 2783 pts/1    00:00:00 bash
 2788 pts/1    00:00:00 su
 2789 pts/1    00:00:00 bash
 2846 ?        00:00:00 kworker/u4:1
 2855 ?        00:00:00 kworker/0:1
 2905 ?        00:00:00 kworker/1:0
 2929 ?        00:00:00 kworker/u4:0
 2949 ?        00:00:00 kworker/0:0
 2981 pts/1    00:00:00 ps

Le dossier orbit a l'air très suspect, je pense que aussi on essaie de faire perdre mon temps avec le fait l'utilisation de lien symbolique et dossier caché...

Je pense qu'il a obtenu le root cependant voilà merci pour votre aide !

[papajoker]

Bonjour,

Contenu du dossier /tmp (1.0kb restant) :

mais pourquoi tu nous parles de /tmp et nous affiche un répertoire vide ! il serait 1000 fois plus judicieux de nous montrer quel est le(s) fichier coupable.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo find /tmp -size +800 | xargs ls -l

Je trouve que tu t'emballes vite avec un virus. Cela doit plutot provenir d'un plantage à répétition d'un programme, d'un service. Il faudrait consulter tes logs pour chercher un éventuel plantage.

[constitution]

Je fait ça comment alors ? (je n'ai que de très mince connaisance sous linux...) "Montrer quel est le(s) fichier coupable."
Je connais la suite... les malwares sous linux n'existe pas

Voilà le résultat de ta commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
root@desktop:/tmp# du -mh /tmp |sort
1.0K	/tmp/.font-unix
1.0K	/tmp/.ICE-unix
1.0K	/tmp/orbit-user
1.0K	/tmp/plugtmp
1.0K	/tmp/.Test-unix
1.0K	/tmp/.X11-unix
1.0K	/tmp/.XIM-unix
11K	/tmp

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
root@desktop:/tmp# find /tmp -size +800 | xargs ls -l
total 2
srwxr-xr-x 1 user user    0 Mar 15 23:34 gpk-375_dbacddcb.socket
drwx------ 2 user user 1024 Jan  1  1970 orbit-user
drwx------ 2 user user 1024 Mar 15 23:46 plugtmp

[papajoker]

donc il est bien vide ton /tmp

avec ce code tu vas chercher les 4 plus gros dossiers dans ton dossier /var/ (retour en ko)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

du -mhk /var | sort -n | tail -n 5

[constitution]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
root@desktop:/# du -mhk /var | sort -n | tail -n 5
191840	/var/cache/apt
209164	/var/cache
277536	/var/lib/clamav
486680	/var/lib
758724	/var

Il est vide mais il y a 20 minutes une fenêtre s'affichait en bas qu'il manque de l'espace dans ce fichier etc

Est-ce que tu connaitrais des outils pour voir les libraries chargée, les fichiers au démarrage etc ?

[papajoker]

mais peux être que ton disque dur est plein, ou que ton dossier /tmp est monté en ram (sans doute)
pour + d'infos sur ton système :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

df -h

htop est pas mal comme outil, mais entre linux + ton gnome, ca fait beaucoup