Quelle est la bonne pratique pour récupérer des fichiers à partir d'une machine Ubuntu infectée?
J'ai été informé par notre service informatique de l'université que mon ordinateur portable exécutant Ubuntu 16.04 a été infecté par un virus/cheval de Troie, en particulier: https://security.web.cern.ch/security/advisories/busywinman/BusyWinman.shtml
Apparemment, ma machine établit des connexions avec des adresses IP connues pour être contactées en cas d'infection. Je voudrais récupérer des fichiers du disque dur infecté d'une manière sauvegardée avant de formater le disque.
Malheureusement, notre responsable informatique/administrateur du réseau vient de quitter son emploi, donc je n'ai actuellement aucune indication de nos ressources internes disponibles. La communauté linux semble en grande partie considérer les virus linux comme un non-problème - comme je l'ai fait il y a quelques jours - donc il n'y a pas de bonnes écritures que je puisse trouver en ligne.
J'apprécierais donc quelques conseils.
Jusqu'à présent, mon plan est de
1) Exécutez Ubuntu à partir d'une clé USB en direct.
2) Désactivez le montage automatique à l'aide de l'éditeur dconf.
3) Montez le disque dur en mode lecture seule.
4) Détectez les fichiers infectés à l'aide de clamAV et supprimez-les.
5) Copiez tous les autres documents sur un nouveau disque dur.
Comme je ne me suis jamais retrouvé dans cette situation, j'apprécierais toute suggestion sur la façon d'améliorer ce plan.
De plus, je voudrais vérifier s'il y a des définitions de virus pertinentes dans la base de données clamAV avant l'étape 4. Est-ce possible/faisable et si oui, comment puis-je le faire?
Votre plan semble solide. Les médias en direct ne montent pas automatiquement, même les disques internes, d'après mon expérience, vous ne devriez donc pas avoir besoin de modifier les paramètres pour cela. Vous pouvez mettre à jour ClamAV après l'installation pour vous assurer qu'il est à jour en termes de définitions.
À moins que vous ne puissiez terminer le travail en une seule session, cependant, vous pouvez rencontrer des problèmes lors de l'installation de ClamAV sur le support Live - l'installation ne se poursuivra pas lors d'un redémarrage. Vous voudrez peut-être rechercher "persistance" et "installations frugales" pour en savoir plus sur une méthode qui permet d'installer le logiciel sur une installation USB d'une manière qui restera présente et configurée de session en session.
Je recommanderais également de ne transférer que des documents réels (images, musique, fichiers de traitement de texte, etc.), pas tout ce qui pourrait être exécutable (c'est là que résideraient les logiciels malveillants). Si vous ne prenez que des documents de dossiers non cachés dans/home, vous devez éviter de transmettre des fichiers infectés à votre nouvelle installation.