Possible infection ?

[Jennifer Lobèze]

Salutations aux Linuxiennes-zé-Linuxiens qui ne sont pas/plus en vacances,

De retour après des congés bienvenus, j'ai entrepris de télécharger quelques films (pas bien ça ) pour occuper mes soirées.
Alors que QBittorrent remplissait son office, le téléchargement a planté, de même que Mozilla et Linux. J'ai du éteindre manuellement l'ordi car le bouton "Eteindre" ne fonctionnait plus.

1/ Au rédemarrage, tous les lanceurs du tableau de bord utilisant l'internet sont devenus inopérants ; Seul Firefox fonctionne encore mais j'ai perdu tous les marque-pages...

2/ Impossible de faire des captures d'écran :

Code : Tout sélectionner

Erreur fatale dans le fichier d'image PNG : Write Error

3/ Impossible de rebooter ou éteindre, seul le bouton de mise en veille fonctionne

Code : Tout sélectionner

GDBus.Error.org.Xfce.SessionManager.Error.Failed: Le gestionnaire de sessions doit être en mode attente lors d'une requête de mise hors tension

4/Timeshift n'a pas amélioré les choses
J'ai lancé RkHunter et Chkrootkit qui donnent des résultats inquiétants. Je n'ai mis que les fichiers suspicieux

Chkrootkit

Code : Tout sélectionner

The following suspicious files and directories were found:
/usr/lib/modules/5.15.0-113-generic/vdso/.build-id
/usr/lib/modules/5.15.0-116-generic/vdso/.build-id
/usr/lib/libreoffice/share/.registry
/usr/lib/libreoffice/share/fonts/truetype/.uuid
/usr/lib/libreoffice/program/resource/common/fonts/.uuid
/usr/lib/debug/.build-id
/usr/lib/debug/.dwz
/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo
/usr/lib/python3/dist-packages/tldextract/.tld_set_snapshot
/usr/lib/ruby/gems/3.0.0/gems/minitest-5.14.2/.autotest
/usr/lib/ruby/gems/3.0.0/gems/power_assert-1.2.0/.travis.yml
/usr/lib/ruby/gems/3.0.0/gems/rbs-1.0.4/.rubocop.yml
/usr/lib/ruby/vendor_ruby/rubygems/optparse/.document
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document
/usr/lib/ruby/vendor_ruby/rubygems/tsort/.document
Searching for Linux.Xor.DDoS ...                            INFECTED: Possible Malicious Linux.Xor.DDoS installed/tmp/HY2TWk1I/2024-08-23_16-14-27/script.sh

Rkhunter

Code : Tout sélectionner

Performing file properties checks
Performing file properties checks
 Checking for prerequisites                               [ Warning ]
/usr/sbin/chroot                                         [ Warning ]
/usr/sbin/fsck                                           [ Warning ]
/usr/sbin/groupadd                                       [ Warning ]
/usr/sbin/groupdel                                       [ Warning ]
/usr/sbin/groupmod                                       [ Warning ]
/usr/sbin/grpck                                          [ Warning ]
/usr/sbin/ifdown                                         [ Warning ]
/usr/sbin/ifup                                           [ Warning ]
/usr/sbin/init                                           [ Warning ]
/usr/sbin/nologin                                        [ Warning ]
/usr/sbin/pwck                                           [ Warning ]
/usr/sbin/runlevel                                       [ Warning ]
/usr/sbin/sulogin                                        [ Warning ]
/usr/sbin/useradd                                        [ Warning ]
/usr/sbin/userdel                                        [ Warning ]
/usr/sbin/usermod                                        [ Warning ]
/usr/sbin/vipw                                           [ Warning ]
/usr/bin/basename                                        [ Warning ]
/usr/bin/bash                                            [ Warning ]
/usr/bin/cat                                             [ Warning ]
/usr/bin/chmod                                           [ Warning ]
/usr/bin/chown                                           [ Warning ]
/usr/bin/cp                                              [ Warning ]
/usr/bin/curl                                            [ Warning ]
/usr/bin/cut                                             [ Warning ]
/usr/bin/date                                            [ Warning ]
/usr/bin/df                                              [ Warning ]
/usr/bin/dirname                                         [ Warning ]
/usr/bin/dmesg                                           [ Warning ]
/usr/bin/dpkg                                            [ Warning ]
/usr/bin/dpkg-query                                      [ Warning ]
/usr/bin/du                                              [ Warning ]
/usr/bin/echo                                            [ Warning ]
/usr/bin/env                                             [ Warning ]
/usr/bin/groups                                          [ Warning ]
/usr/bin/head                                            [ Warning ]
/usr/bin/id                                              [ Warning ]
/usr/bin/ipcs                                            [ Warning ]
/usr/bin/last                                            [ Warning ]
/usr/bin/lastlog                                         [ Warning ]
/usr/bin/ldd                                             [ Warning ]
/usr/bin/less                                            [ Warning ]
/usr/bin/logger                                          [ Warning ]
/usr/bin/login                                           [ Warning ]
/usr/bin/ls                                              [ Warning ]
/usr/bin/md5sum                                          [ Warning ]
/usr/bin/mktemp                                          [ Warning ]
/usr/bin/more                                            [ Warning ]
/usr/bin/mount                                           [ Warning ]
/usr/bin/mv                                              [ Warning ]
/usr/bin/newgrp                                          [ Warning ]
/usr/bin/passwd                                          [ Warning ]
/usr/bin/pwd                                             [ Warning ]
/usr/bin/readlink                                        [ Warning ]
/usr/bin/runcon                                          [ Warning ]
/usr/bin/sha1sum                                         [ Warning ]
/usr/bin/sha224sum                                       [ Warning ]
/usr/bin/sha256sum                                       [ Warning ]
/usr/bin/sha384sum                                       [ Warning ]
/usr/bin/sha512sum                                       [ Warning ]
/usr/bin/size                                            [ Warning ]
/usr/bin/sort                                            [ Warning ]
/usr/bin/ssh                                             [ Warning ]
/usr/bin/stat                                            [ Warning ]
/usr/bin/strings                                         [ Warning ]
/usr/bin/su                                              [ Warning ]
/usr/bin/tail                                            [ Warning ]
/usr/bin/test                                            [ Warning ]
/usr/bin/touch                                           [ Warning ]
/usr/bin/tr                                              [ Warning ]
/usr/bin/uname                                           [ Warning ]
/usr/bin/uniq                                            [ Warning ]
/usr/bin/users                                           [ Warning ]
/usr/bin/wc                                              [ Warning ]
/usr/bin/wget                                            [ Warning ]   
/usr/bin/whereis                                         [ Warning ]
/usr/bin/who                                             [ Warning ]
/usr/bin/whoami                                          [ Warning ]
/usr/bin/numfmt                                          [ Warning ]
/usr/bin/systemd                                         [ Warning ]
/usr/bin/systemctl                                       [ Warning ]
/usr/bin/lwp-request                                     [ Warning ]
/usr/bin/x86_64-linux-gnu-size                           [ Warning ]
/usr/bin/x86_64-linux-gnu-strings                        [ Warning ]
 /usr/lib/systemd/systemd                                 [ Warning ]
Checking for suspicious (large) shared memory segments   [ Warning ]
Checking for passwd file changes                         [ Warning ]
    Checking for group file changes                          [ Warning ]
 Checking for hidden files and directories                [ Warning ]

Est-ce à dire que j'ai téléchargé un fichier vérolé qui a infecté l'ordi ??? C'est possible sous Linux
Merci de vos lumières z'et avis

[cyrille]

Salut Melle Lopez

Ce doit être un faux positif

Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed/tmp/HY2TWk1I/2024-08-23_16-14-27/script.sh

Tous les fichiers executables situés dans /tmp sont taggués Linux.Xor.DDoS par Chkrootkit

Pour Rkhunter, sans doute des faux positifs aussi, jette un oeil

https://wiki.archlinux.org/title/Rkhunter

Pour le reste, je dirai dans un premier temps de créer un nouvel utilisateur et voir si il y a des soucis ou non chez lui...

Et aussi avant d'éteindre, vire le cache

Code : Tout sélectionner

sudo swapoff -av

Peut être passer la commande 2 fois puis éteins , voir si mieux ou non

Biz Biz keupones

[Jennifer Lobèze]

Ola amigo,

Tu dégaines plus vite que ton ombre ! Je voulais te faire un petit mail d'accompagnement mais tu m'as devancé

Je suis rentré hier d'une longue balade à moto itinérante après presque quatre semaines de vacances ; du jamais vu ! Je ne me souviens pas d'être parti aussi longtemps depuis... Après plus de 6.000 bornes depuis fin juillet je suis revenu intact et la moto aussi. Pas de galère cette année sinon que j'ai du faire 1.000 bornes pour aller rechercher mon appareil respiratoire que j'avais oublié à Lille. Quand on n'a pas de tête, etc.

Je n'ai pas oublié le concert de Crass le 21 septembre (putain, c'est encore loin )mais j'espère avoir le plaisir de venir vous voir avant. Z'êtes visibles quand ?

Et le bonheur de retrouver son ordi dans les choux suite à une possible connerie
Je vais faire selon les instructions du chef et je te quoi très vite

Bisous bisous

[cyrille]

Z'êtes visibles quand ?

ça dépend : à poil ? Ou habillés ?

Je te mail demain , là je quitte BiZ

[Jennifer Lobèze]

ça ne s'arrage pas

J'ai vidé le swap deux fois , aucun résultat
Maintenant je n'ai plus d'internet, j'essaie de créer un nouveau profil Mozilla mais j'ai un message d'erreur

Code : Tout sélectionner

Profile couldn't be created. Probably the chosen folder isn't writable.
[Exception... "Component returned failure code : 0x80520010 (NS_ERROR-FILE_NO_DEVICE-SPACE)
[nsIToolkitProfileService.createProfile]" nsresult: "0x80520010 NS_ERROR-FILE_NO_DEVICE-SPACE)"
location: "JS frame :: chrome://mozapps / content / profile / createProfileWizard.js :: onFinish :: li,e 236" date:no]

Dans la panade...

[cyrille]

Tente:

Fermer firefox

Code : Tout sélectionner

mv ~/.mozilla/firefox/profiles.ini ~/.mozilla/firefox/profiles.ini.back

Et relance FF

Plus d'internet ?
Que retourne :

Code : Tout sélectionner

ping cbiot.fr -c3

[Jennifer Lobèze]

Firefox me demande toujours de créer un profil, puis échec avec le même message d'erreur que précédemment

Code : Tout sélectionner

ping cbiot.fr -c3
PING cbiot.fr (cbiot.fr (2001 : 41d0 : 302 : 2200 : :4fea)) 56 data bytes
64 bytes from cbiot.fr (2001 : 41d0 : 302 : 2200 : :4fea) icmp seq=1 ttl=48 time=17.9 ms
64 bytes from cbiot.fr (2001 : 41d0 : 302 : 2200 : :4fea) icmp seq=2 ttl=48 time=14.4 ms
64 bytes from cbiot.fr (2001 : 41d0 : 302 : 2200 : :4fea) icmp seq=3 ttl=48 time=12.7 ms

3 packets transmittend 3 received 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 12.741/15.011/17.876/2 .137 ms

[Jennifer Lobèze]

J'ai aussi oublié de préciser que j'ai créé un deuxième utilisateur mais quand je saisis le mdp, le système me dit qu'il est incorrect

[cyrille]

Bon, je ne connais pas cette erreur

Code : Tout sélectionner

NS_ERROR-FILE_NO_DEVICE-SPACE)"

Et que donne

Code : Tout sélectionner

mv ~/.mozilla/firefox/  ~/.mozilla/firefox-bak

Et relancer FF (bien sûr tu auras tout perdu, enfin pas tout ce sera dans mozilla-bak)

Maintenant je n'ai plus d'internet,

Si tu as toujours de la connexion, le ping te le dit

Code : Tout sélectionner

3 packets transmittend 3 received 0% packet loss, time 2004ms

[cyrille]

J'ai aussi oublié de préciser que j'ai créé un deuxième utilisateur mais quand je saisis le mdp

Essayons de ne pas mélanger les erreurs, tu es sûr de ton mdp ?