Besoin d'aide

Salut

Qu'appelles tu bloqué ?

Bonjour,

j'ai un doute sur chkrootkit il me parait "vieux" : il te désigne le système d'init qui justement vient de passer à systemd (sous ubuntu). Du coup je suis pas sur qu'il ne confonde pas systemd avec un virus :saispas:

j'ai demandé des explications, on m'a dit que mon ordinateur était infecté.

Ce qui ne veut strictement rien dire, ils doivent te dire au minimum ce que fait ton ip contre leur site (500 connexions, scan, ddos, span, tu upload chez eux des virus, tu te connectes avec 36 ip différentes etc...) ca peut être simplement un service ou logiciel mal configuré.

chez toi bien sur

Mais si ils ne te donnent pas d'infos et toi tu ne nous en donne pas les chances d'avancer sont proches de zéro.

Tu as peut-être télécharger chez eux un virus windows (dans un document word par exemple) du coup ils ont bien détecté que tu leurs envoie un virus mais ta machine (linux) n'est pas infectée.
Certains sites web vont te bannir car tu tentes de te connecter trop souvent chez eux avec un mauvais mot de passe ou qu'une fois connecté tu retournes trop d'erreur 404 ou 500 ...
Ils ont un problème (?) avec ton ip mais pas particulièrement avec ta machine (oops me rappelle que tu n'as pas de wifi! ) ...

mais étant donné l'interdiction,

ce qui compte c'est AVANT l'interdiction !

J'ai qu'une seule adresse IP.

moi aussi mais avec un proxy ou une extention dans mon navigateur, je peut avoir aussi une ip à l'étranger. Et un site peut-alors trouver très louche que je me connecte avec les bons identifiants en même temps d'Auvergne et du texas !

MAIS
franchement qu'un site web puisse détecter que ta machine Linux soit infectée est proche de zéro (a moins que ta machine attaque le site)

un bon point de départ serait de donner l'adresse du site, qu'on puisse voir par nous même...
parce qu'il arrive (souvent) qu'un site te dise que ton ordi est infecté, pour te vendre un logiciel de désinfection (ou soi-disant).

sans que tu aies donné ton accord pour un scan, un serveur web ne peut pas voir si ta machine est infectée. et de toute façon, sauf erreur, je ne connais pas de scan en ligne compatible Linux.
par contre, les navigateurs modernes (Firefox, Chrome...etc) ont tendance à précharger les liens des pages (censé accélérer la navigation) un peu brutalement, et certains serveurs peuvent confondre avec autre chose. ce sera surtout flagrant dans une page qui contient beaucoup de liens.

les fichiers trouvés par Rkhunter sont légitimes sur une Ubuntu/Mint

Par curiosité j'ai installé rkunter et lancé un scan de mon PC, voici le résultat :

[andson@asus ~]$ sudo rkhunter --checkall --report-warnings-only
Warning: Checking for prerequisites               [ Warning ]
         The file of stored file properties (rkhunter.dat) does not exist, and should be created. To do this type in 'rkhunter --propupd'.
Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
         is used, all the files on their system are known to be genuine, and installed from a
         reliable source. The rkhunter '--check' option will compare the current file properties
         against previously stored values, and report if any values differ. However, rkhunter
         cannot determine what has caused the change, that is for the user to do.
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
Warning: Unable to check for passwd file differences: no copy of the passwd file exists.
Warning: Unable to check for group file differences: no copy of the group file exists.
Warning: The SSH configuration option 'PermitRootLogin' has not been set.
         The default value may be 'yes', to allow root access.
Warning: The SSH configuration option 'Protocol' has not been set.
         The default value may be '2,1', to allow the use of protocol version 1.
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-3748944484: data
         /dev/shm/pulse-shm-4156121698: data
         /dev/shm/pulse-shm-3592104208: data
         /dev/shm/pulse-shm-138532199: data
         /dev/shm/pulse-shm-3644225230: data
         /dev/shm/pulse-shm-3272181437: AmigaOS bitmap font
Warning: Hidden file found: /etc/.updated: ASCII text
Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, max compression, from Unix
Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, max compression, from Unix
Warning: Hidden file found: /usr/share/man/man3/.3ssl.gz: symbolic link to SSL_CTX_use_serverinfo.3ssl.gz
Warning: Hidden file found: /usr/bin/.vglrun.vars64: ASCII text

Qu'en pensez-vous ?

As-tu essayé avec ton second ordinateur ?

Ce qui voudrait peut-être dire que ce n'est pas dû à un ordinateur infecté, mais uniquement en rapport avec ton ip.
As-tu la possibilité d'attraper une autre connexion proche de chez toi via la wifi publique ?

Cath a bien dit que c'était l'ip qui était bloquée :

CathPazou a écrit :
pascaldanel a écrit :Qu'appelles tu bloqué ?
Bloqué mon adresse IP pour que je n'aille plus dessus...

Pour faire un test (ou contournement) il est possible d'utiliser un plugin qui permet de prendre une ip étrangère par exemple anonymox et pour contrôle du changement d'ip : un site
ou utiliser un site de proxy online (PAS pour un accès a sa banque)

Salut papajoke

Quand tu parles d'ip, c'est bien d'ip publique que tu parles ? Avec certains opérateurs, le fait de relancer la box donne une nouvelle ip.
Cath, as-tu essayé ça ?

je ne vois pas comment le fait de changer d'IP t'interdirait l'accès à un forum: l'identification n'est pas basée là dessus, et heureusement, parce que sinon, le simple fait que ton FAI change ton IP (ce qui est fréquent chez certains FAI) t'empêcherait d'accéder à ce forum.
la Neufbox peut changer d'IP, mais ce n'est pas toi qui décide, c'est ton FAI; et comme te l'a dit ewolnux, le simple fait de rebooter cette Neufbox provoque bien souvent le changement d'adresse, que bien sûr tu ne vois pas, mais les serveurs web, eux, voient cette adresse; pour voir ton adresse IP publique (celle que voient les serveurs), il te suffit de te rendre dans l'interface d'administration de ta Neufbox, à l'adresse http://192.168.1.1/ : l'adresse est en haut à droite (dans le cas d'une NB4).

pour accéder à un forum, tu as un identifiant et un mot de passe, et une connexion automatique passe par un cookie placé sur ton ordinateur...

Quand j'avais encore SFR et donc la neufbox, à chaque relance de la box j'avais une nouvelle ip publique que je voyais facilement avec ExternalIP.

Peut-être qu'ils ne :saispas:

ou qu'ils n'ont pas la moindre :idee:

ou pire ... ils m'ont zapé. :pleure:

viewtopic.php?f=2015&t=5823#p71787

andson a écrit :Peut-être qu'ils ne ou qu'ils n'ont pas la moindre
ou pire ... ils m'ont zapé.
viewtopic.php?f=2015&t=5823#p71787

J'avais vu et puis je suis passé à autre chose ; RAS, tu peux aller :trinquer:

CathPazou a écrit :[code]cath@cath:~ > sudo rkhunter --checkall --report-warnings-only

http://doc.ubuntu-fr.org/rkhunter
De part l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements son bénins et peuvent être ignorés

Sur ta mint, donne un peu le retour de

sudo apt-get update

pour voir

CathPazou a écrit :Merci waitnsea, gros toutou poilu !

Je rajouterai : les sites qui te disent que tu es infecté(e), en général mentent pour te faire acheter un anti-n'importequoi ou pire te faire installer un faux-outil qui est au mieux un malware, au pire un très méchant virus. Ouaf !
Edit : Ce n'est pas en général qu'ils mentent mais toujours et obligatoirement : tu ne leur a quand même pas ouvert toutes grandes les portes de ta bécane pour qu'ils fouillent partout, non ?

CathPazou a écrit :Comme j'en ai eu marre de ce blocage, j'ai installé le plugin anonymox et j'ai pu retrouver mon site favori ! Merci pour l'info !
J'ai vu qu'il y a une limitation de 500 MB, je ne sais pas ce que ça veut dire... ou payer 5€/mois pour illimité.

Tu peux télécharger jusqu'à 500MB par jour gratuitement, pour un volume de téléchargement illimité il t'en coûtera 5 euros/mois

J'ai testé ce plugins et je constate que certain site refuse toute connexion quand il est activé. (erreur 520)

CathPazou a écrit :Quand tu dis "télécharger", tu veux dire quoi exactement ? Aller sur des pages ou bien vraiment télécharger quelque chose des sites ?

Pour le site en question, tu rajoute une exception en cliquant sur le profil, tu désactives anonymox et c'est tout ! On va au même endroit

Vraiment télécharger quelque chose donc les trucs à plus de 500 mb tu peux oublier. Je vais tester ton astuce, mais si u désactives anonymox il n'y a plus aucun intérêt à linstaller. Ou j'ai pas bien compris le truc .

Ok. Je vais suivre ta procédure.
:merci: