[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Infection supposee LKM Trojan: besoin d'aide.

Bonsoir,

Je crois bien que ma machine est infectée.
(Je suis sous debian/instable: noyau 2.4.22
J'ai installe un environnement graphique avec gnome et puis xfce3
parceque j'ai pas reussi a faire marche la version 4)
Un comportement suppect m'a interpellé:
Je suis sous xfce et j'ecoute la radio (fip)
et alors que je dinais a table je constate
que le proc se met soudainement a mouliner sans raison.
Je fait un ps aux et je vois que le proc est occupe a 60%
Je regarde le process en question (inconnu et sur le compte
de mon ami qui s'est loggue en graphique sous gnome il y 2 heures.
Je me rends sur son bureau: aucune appli est lance.
Tout revient a la normale: tres louche.
Bref!! 
Un petit coup de apt-get chkrootkit plus tard
je lance la commande: tout est clair jusqu'en fin de log:
-----------------------------------
Checking `bindshell'... not infected
Checking `lkm'... You have     4 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted
-----------------------------------
AYe Je crois que ca ne fait plus de doute.
Je me lance sur le net: 2 pages plus tard:
je fais un
#cd /usr/sbin
et je lance un:
# ./chkrootkit -x lkm
---------------------------------
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID     3: not in ps output
CWD     3: /
EXE     3: /
PID     4: not in ps output
CWD     4: /
EXE     4: /
PID     5: not in ps output
CWD     5: /
EXE     5: /
PID     6: not in ps output
CWD     6: /
EXE     6: /
You have     4 process hidden for ps command
---------------------------------

Bref je crois bien que je suis infecte.
J'ai fait un check sur ma passerelle qui elle est en debian/stable
et tout est en ordre.
Je suis relativement nouveau dans le monde unix gnu/linux
Quelle est la procedure a suivre maintenant pour eradiquer ce mal,
sachant que s'il le faut je peux tres bien et relativement rapidement
sauvegarder quelques fichiers de données et formater ma partition racine.

Merci de votre aide precieuse (et si possible rapide).
J.C 

P.S: j'ai poste le meme message sur fr.comp.os.linux.moderated
Reply to: