j’ai rajouté ça à mon /etc/hosts
127.0.0.1 thaprior.net
127.0.0.1 eduelects.com
127.0.0.1 mirror-codes.net
127.0.0.1 sublineover.net
de 2013 à 2017 j’ai des
libsystemd-daemon0 sur 44 de mes systemes; 0 session-dbus ; 0 gvfsd-helper
BCO,
que donne
cat /proc/locks|grep $(ps -o pid= -C gvfsd-helper)
cat /proc/locks|grep $(ps -o pid= -C systemd-daemon)
J’ai lu https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/
Les fichiers suspects :
/bin/systemd/systemd-daemon
/usr/lib/systemd/systemd-daemon
ne sont pas présents dans ma machine.
Les dossiers :
$HOME/.config/au-tostart/
$HOME/.dbus/sessions/session-dbus
$HOME/.gvfsd/.profile/gvfsd-helper
ne sont pas présents non-plus.
Mon .bashrc ne contient pas la ligne :
${HOME}/.gvfsd/.profile/gvfsd-helper
# netstat -tpn
ne me renvoie pas de ligne contenant : systemd-daemon
j 'ai arrêté, à ce stade, j’estime ne pas être affecté par cet objet malveillant.
À la fin de l’article, est décrit le trafic détourné par l’objet malveillant :
news.thaprior.net:443
blog.eduelects.com:443
cdn.mirror-codes.net:443
status.sublineover.net:443
qui vient de :
176.107.176.16 Ukraine|Kiev|Unknown 42331|PE_Freehost
Dans les commentaires, un intervenant a fait cette recherche sur ces noms de domaine, par exemple :
https://domain.glass/status.sublineover.net
Cela vient de la société DELTAHOST-PTR basée aux USA, en Ukraine et aux Pays-Bas :
https://deltahost.com/
Chez moi, ils sont injoignables (sauf le second qui est en 403).
Le cheval de trait serait-il mort ?
C’est sûr comme la faille est divulguée, l’intérêt de maintenir les sites d’exploitation devient proche de 0, mais ce qui est intéressant, c’est la société DELTAHOST qui les hébergeait. Déjà opérer simultanément en Ukraine et aux États-Unis, cela donne une idée d’où peuvent venir les commanditaires.
D’autant qu’en plus le siège de cette société est basée au Panama, dont le canal est vital pour le trafic maritime US et le pays un paradis fiscal sous orbite US :
Je crois que c’est la meilleure question du fil surtout au vu du fait qu’il est theoriquement nécessaire d’avoir les droits root pour installer des packages, de plus si l’on ne télécharge - par exemple je dl de virtualbox - que de sites pro je vois mal comment une installe linux pourrait etre vérolée. Le probleme est que le dossier gvfs existe sur tous les bureaux cinnamon.
Je me demande si ce n’est pas de l’intox surtout au mois d’avril
Sauf si vous avez installé une version de systemd ne venant pas des dépôts officiels, ce logiciel malveillant ne vous concerne pas. Je pense d’ailleurs qu’il ne concerne personne en dehors des chercheurs en sécurité…
Les articles sensationnalistes sont erronés : il s’agit d’un logiciel malveillant qui se cache sous le nom de processus systemd et non d’un logiciel présent dans systemd.
Et les sociétés qui proposent des scripts d’installation en root pour installer leur logiciels ?
Un exemple certains instituteurs de l’Académie de Versailles ont installé des solutions d’échange à distance de SVI E-SOLUTION avec le script root qui va bien :
Est-ce que l’on peut être sur que toutes les sociétés qui procèdent ainsi, partout dans le Monde, agissent à 100 % de leur temps de manière bienveillante ?
Je ne vois pas le rapport…
Un instituteur de ma connaissance a installé le script root de cette boîte québecoise mentionnée plus haut sans se poser la moindre question. Dans l’avenir, avec cette habitude, il pourrait se faire infecter par des objets malveillants du type du malware RotaJakiro.
Vérifier que l’on est pas infecté est plus prudent que d’écarter par avance et sans le moindre examen, l’idée de la menace.
Et donc, depuis au moins trois ans, il y aurait une « porte dérobée » dans les systèmes debian,
et cette porte dérobée aurait été détectée par Avast (???)
Et ni le CERT, ni aucun des utilisateurs pro du système debian ne s’en seraient rendu compte ou n’auraient transmis l’information?
Et bizarrement, ni Ubuntu ni tous les autres systèmes Linux qui utilisent aussi systemd ne seraient impactés par cette porte dérobée (vu qu’ils ne sont pas cités)
J’attends de voir la suite, mais à mon humble avis, il vaudrait mieux rester prudent et éviter de cliquer sur liens cités dans ces articles.
Merci de me citer complètement :
Il n’y a pas de porte dérobée dans systemd, point barre.
En clair, on parle de O1net qui cite un marchand d’antivirus chinois…
Te fâche pas, il y a malentendu car je ne te citais pas du tout :
je reprenais les termes du titre de la page web (un de ces articles sensationnalistes) citée dans le message N°3 de ce fil.
Mais je n’avais pas envie de citer une fois de plus ce lien,
et n’avais pas du tout pensé, en rédigeant mon message que tu puisse croire que je te citais en déformant tes propos, avec lesquels je suis d’ailleurs tout-à fait en accord.
J’avais d’ailleurs cliqué sur le cœur dans ton message avant de rédiger mon précédent message.
Je ne suis pas fâché, même si je peux parfois en donner l’impression 
J’ai simplement cru que ton message était une réponse au mien.
Pas de problèmes, et de mon côté, il y a aussi la fatigue.
Désolé 
j’ai eu le même résultat
mais si aujourd’hui ils ne sont pas joignables, rien ne dit qu’ils ne vont pas le redevenir demain, ou pendants quelques heures certains jours ( les dns sont maintenant très rapides à se propager )
la bienveillance est relative
il y a aussi la question des dockers et des github qui me pose problème
est-ce que libsystemd-daemon0 pose aussi problème? Car dans ce cas j’ai eu plein d’infections, et je pourrais peut etre retrouver le programme zéro
Il n’existe à ma connaissance aucun paquet de ce nom sur Debian.
Ni aucun fichier fourni par un quelconque paquet des dépôts officiels Debian dont le nom inclut « libsystemd-daemon0 ».
libsystemd0 - bibliothèque d'utilitaire systemd
libsystemd-dev - bibliothèque d'utilitaire systemd — fichiers de développement
libsystem-command-perl - Perl class for running system commands
libsystem-info-perl - package to obtain basic system information
libsystem-sub-perl - wrap external command with a DWIM sub
libsystemc - SystemC library
libsystemc-dev - Development files for SystemC library
libsystemc-doc - Documentation for SystemC library
bonsoir,
bah j’ai trop étonnait ! 
Ben on est plutôt sur du brouteur que sur du hackeur de services secrets, non ?
~]$ whois thaprior.net
Domain Name: THAPRIOR.NET
Registry Domain ID: 1986355180_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.web4africa.net
Registrar URL: http://web4africa.com
Updated Date: 2020-12-03T07:24:32Z
Creation Date: 2015-12-09T06:24:13Z
Registry Expiry Date: 2021-12-09T06:24:13Z
Registrar: Web4Africa (Pty) Ltd
Registrar IANA ID: 664
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS2.HE.NET
Name Server: NS3.HE.NET
Name Server: NS4.HE.NET
Name Server: NS5.HE.NET
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2021-05-02T20:33:56Z <<<
For more information on Whois status codes, please visit https://icann.org/epp
NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.
TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name: THAPRIOR.NET
Registry Domain ID: 1986355180_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.web4africa.net
Registrar URL: http://www.web4africa.net
Updated Date: 2020-12-03T07:24:33Z
Creation Date: 2015-12-09T06:24:13Z
Registrar Registration Expiration Date: 2021-12-09T06:24:13Z
Registrar: Web4Africa Inc.
Registrar IANA ID: 664
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID: GDPR Masked
Registrant Name: GDPR Masked
Registrant Organization: GDPR Masked
Registrant Street: GDPR Masked
Registrant City: GDPR Masked
Registrant State/Province: Loir-et-Cher
Registrant Postal Code: GDPR Masked
Registrant Country: FR
Registrant Phone: GDPR Masked
Registrant Phone Ext:
Registrant Fax: GDPR Masked
Registrant Fax Ext:
Registrant Email: gdpr-masking@gdpr-masked.com
Registry Admin ID: GDPR Masked
Admin Name: GDPR Masked
Admin Organization: GDPR Masked
Admin Street: GDPR Masked
Admin City: GDPR Masked
Admin State/Province: GDPR Masked
Admin Postal Code: GDPR Masked
Admin Country: GDPR Masked
Admin Phone: GDPR Masked
Admin Phone Ext:
Admin Fax: GDPR Masked
Admin Fax Ext:
Admin Email: gdpr-masking@gdpr-masked.com
Registry Tech ID: GDPR Masked
Tech Name: GDPR Masked
Tech Organization: GDPR Masked
Tech Street: GDPR Masked
Tech City: GDPR Masked
Tech State/Province: GDPR Masked
Tech Postal Code: GDPR Masked
Tech Country: GDPR Masked
Tech Phone: GDPR Masked
Tech Phone Ext:
Tech Fax: GDPR Masked
Tech Fax Ext:
Tech Email: gdpr-masking@gdpr-masked.com
Name Server: ns2.he.net
Name Server: ns3.he.net
Name Server: ns4.he.net
Name Server: ns5.he.net
DNSSEC: Unsigned
Registrar Abuse Contact Email: abuse@web4africa.net
Registrar Abuse Contact Phone: +1-646-666-9664
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2021-05-02T20:34:08Z <<<
For more information on Whois status codes, please visit https://icann.org/epp
Registration Service Provided By: WEB4AFRICA