Page 1 sur 1
Virus? /bin.sh
Posté : mar. 6 mai 2025 17:59
par kikou
Bonjour à tous
depuis hier, lorsque j ouvre ma session, j ai une demande de mot de passe root pour lancer /bin.sh
Cela me semble suspect et je ne vois pas comment contrôler si c est du a fichier qui est défaillant (et pourquoi) ou si c est du a un virus
Avec sudo find / -type f -mtime -2 j ai fais une recherche des dernier fichiers modifiés depuis 2 jours mais a vu de nez il y en a plus de 2000 et ça va être fastidieux de tt vérifier.
quelqu'un a une idée ?
et en attendant des réponses je vais lancer clamav
Merci a vous
Re: Virus? /bin.sh
Posté : mar. 6 mai 2025 18:56
par kikou
je parle bien de bin.sh
pour la première
Code : Tout sélectionner
ls -l /bin/sh
lrwxrwxrwx 1 root root 4 5 janv. 2023 /bin/sh -> dash
pour la deuxième
quand a /etc/sudoers il contient
0pwfeedback
mintupdate
README
smartctl
Quand tu parles de l invite je ferais une copie dès que je me re-connect
Re: Virus? /bin.sh
Posté : mar. 6 mai 2025 19:11
par kikou
Code : Tout sélectionner
ls -l /bin/dash
-rwxr-xr-x 1 root root 125640 5 janv. 2023 /bin/dash
Excuse voici le contenu du fichier
Code : Tout sélectionner
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
# This fixes CVE-2005-4890 and possibly breaks some versions of kdesu
# (#1011624, https://bugs.kde.org/show_bug.cgi?id=452532)
Defaults use_pty
# This preserves proxy settings from user environments of root
# equivalent users (group sudo)
#Defaults:%sudo env_keep += "http_proxy https_proxy ftp_proxy all_proxy no_proxy"
# This allows running arbitrary commands, but so does ALL, and it means
# different sudoers have their choice of editor respected.
#Defaults:%sudo env_keep += "EDITOR"
# Completely harmless preservation of a user preference.
#Defaults:%sudo env_keep += "GREP_COLOR"
# While you shouldn't normally run git as root, you need to with etckeeper
#Defaults:%sudo env_keep += "GIT_AUTHOR_* GIT_COMMITTER_*"
# Per-user preferences; root won't have sensible values for them.
#Defaults:%sudo env_keep += "EMAIL DEBEMAIL DEBFULLNAME"
# "sudo scp" or "sudo rsync" should be able to use your SSH agent.
#Defaults:%sudo env_keep += "SSH_AGENT_PID SSH_AUTH_SOCK"
# Ditto for GPG agent
#Defaults:%sudo env_keep += "GPG_AGENT_INFO"
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "@include" directives:
@includedir /etc/sudoers.d
Re: Virus? /bin.sh
Posté : mar. 6 mai 2025 19:13
par kikou
Tu pourras m expliquer ce que font ces commandes que je meure poins bête
Re: Virus? /bin.sh
Posté : mar. 6 mai 2025 19:18
par kikou
ok merci, je te fais ça des que je me re-connect
ça sera demain je vais bosser
Merci
Re: Virus? /bin.sh
Posté : mer. 7 mai 2025 09:37
par kikou
tu as raison c est bien le mot de passe pour /bin/sh qui m'est demandé
J ai répondu trop vite
Je joint une image de la demande
Re: Virus? /bin.sh
Posté : mer. 7 mai 2025 12:36
par kikou
Au démarrage de ma session
mon bureau s affiche
ça me lance joplin
puis mon vpn (surfshark)
plank
puis conky
et le message apparaît après
tt ça en 10 secondes
Re: Virus? /bin.sh
Posté : mer. 7 mai 2025 14:46
par kikou
j avais plusieur programmes qui se lancent au démarage
plank
conky
surfshark
etc etc
celui qui pose problème et dropbox
j ai fais la manip plusieurs fois et c est tj lui qui pose problème
Donc résolu
reste a savoir quand a été faite la mise a jour(ou je vois ça?) pour envoyer un rapport de bug
Et ca tombe bien j'etais en train de changer dropbox par kdrve
Re: Virus? /bin.sh
Posté : mer. 7 mai 2025 16:12
par kikou
merci beaucoup