Comment savoir si mon système d'exploitation est compromis?
J'avais ouvert un dossier php à partir de l'hôte Web d'un ami. Je le lance sur le mien pour corriger quelques bugs.
J'ai ensuite essayé de joindre le code à envoyer par e-mail et GMAIL a déclaré que la pièce jointe était infectée par un virus.
Maintenant, j'ai peur si mon Apache ou mon OS (12.04) est infecté.
J'ai vérifié les fichiers php et trouvé un ensemble de code encodé en base64 en cours d'évaluation en haut de chaque fichier php. Le simple fait de l'inverser (écho avec htmlspecialchars) a montré un indice qu'il y avait des sockets en cours d'utilisation et quelque chose à voir avec les autorisations. Et il y avait aussi deux sites Web référencés ayant des extensions .ru.
Maintenant, j'ai peur si mon système Ubuntu est affecté ou compromis.
Tout conseil s'il vous plaît!
Voici ma deuxième série de rkhunter avec les options:
** Sudo rkhunter --check --rwo Avertissement: La commande '/usr/bin/unhide.rb' a été remplacée par un script: /usr/bin/unhide.rb: Ruby script, ASCII text ** ** Avertissement: répertoire caché trouvé: /dev/.udev** ** Avertissement: fichier caché trouvé: /dev/.initramfs: lien symbolique vers `/ run/initramfs '**
Le problème clé que vous avez est le suivant:
Vous ne savez pas exactement combien est compromis! Sans analyse médico-légale qualifiée, vous pouvez dire si l'attaquant vient d'insérer du code qui se joint aux documents sortants, a un rootkit qui capture vos informations personnelles, vos connexions, etc., ou utilise votre machine dans le cadre d'un botnet (ou de tout ce qui précède) )
Traitez-le comme mortellement compromis, essuyez entièrement les disques et réinstallez à partir de supports d'installation et de sauvegardes connus!