Hello,
Entre cet été et fin janvier j'ai eu pas mal de soucis niveau sécu. Je fonctionne toujours avec 2 partition : / et /home.
Bêtement à chaque résintallation je réutilisais mes disques et partitions de données douteux, avec Wireshark j'ai noté que de multiples threads akonadi démarrés transmettaient en crypté sur le net alors que je n'avais rien configuré. En déconnectant le cable eth, quand je stoppais akonadi un truc prenait le relais avec rpc bind, à verifier toutes les heures si la connexion réseau était rétablie, et à certains moment quelque chose déclenchait une copie de ma partition de données dans un sous dossier de /var jusqu'au remplissage de la partition /, du coup machine bloquée, aucune commande possible et impossible de charger Kde par manque d'espace disque.
Fin janvier, j'ai fait une install à partir d'un dvd debian du commerce et sans réinsérer les volumes douteux, ça parait du coup mieux même si je n'en suis pas totalement certain. En tous cas rkhunter, chkrootkit, fprot, clamav, mis à jour juste avant examen ne trouvent rien. Le démarrage d'akonadi est inhibé dans son fichier akonadiserverrc et rpc bind est désintallé.
Maintenant j'aimerais pouvoir accéder à mon disque 2To ext4 où j'ai toutes mes données mais il est très probablement vérolé je ne sais où.
Je cherche donc un moyen de le monter, isoler et dégager le virus. Cependant je ne suis pas un crack en fonctionnement de Debian. Juste quelques notions du fonctionnement.
J'ai commencé par réfléchir un peu à l'endroit qui peut être vérolé : les fichiers cachés dans la partition /home ? les descripteurs qui seront exécutés au montage ext4 ?
En utilisant un OS type RiscOS s'il gère le ext4, pourrait-il bugger sur le déclenchement du virus qui j'imagine est codé pour linux et pas RiscOS excepté en cas de code portable (java, python...) ?
pour info, l'autre jour en cherchant à effacer une clé usb douteuse avec un liveCD de Tail 1.6 et le SSD débranché, mon pc a booté sur la clé pas encore effacée, je suis tombé sur un écran que je n'ai jamais eu en 15 ans d'info :
en mode texte visiblement, chaque "case" de l'écran avait une couleur de fond différente avec un caractère aléatoire d'une autre couleur, je n'ai pas pensé à faire de photo
je tenterais la manip avec d'autres clés douteuses voir...
Si quelqu'un a une piste de solution, formatage du 2To exclue, je suis preneur.
Merci
Partager