Re: [Linux-31] linux malware

[Albert ARIBAUD <albert AT aribaud.net>]

Le mardi 02 mars 2021 à 19:58 +0100, jdd AT dodin.org a écrit :
> Je viens pour la première fois de suivre un fil parlant d'un cas
> réel 
> d'infection d'un PC linux par un malware.
> 
> Il s'agit d'un fichier ".dhcpd", situé dans ~/test
> 
> https://lists.opensuse.org/archives/list/users AT lists.opensuse.org/thread/JFOBMEKN6QAZROLHP3CKV5FYEFO64XXE/
> 
> c'est un "bitcoin miner" qui utilise votre PC pour créer du
> bitcoin...
> 
> Il semble capable de modifier le fichier /etc/shadow !!!
> 
> si vous avez un répertoire /home/test ou un utilisateur "test" dans 
> passwd ou shadow, inquiétez-vous :-(
> 
> jdd
> -- 

Euh, on ne va pas foncer aussi vite : dans l'URL que tu donnes, le
demandeur dit qu'il a constaté un changement dans /etc/shadow au même
moment où ce fichier .dhcpd est apparu, mais il ne dit pas que l'un est
la cause de l'autre.

Par ailleurs, il y a bien trop peu d'infos dans cette page (et dans
celle de askubuntu où elle renvoie, plus vieille de 2 ans environ) pour
pouvoir en déduire qu'il y a malware (plutôt par exemple qu'intrusion).

Par ailleurs, une recherche sur dhcpd et test et linux n'a rien remonté
de concret.

Amicalement,
Albert.