Aller au contenu principal
Sujet: revenir à un kernel ancien ( précédent ) (Lu 3663 fois) sujet précédent - sujet suivant

revenir à un kernel ancien ( précédent )

Bonjour à toutes et tous
Une petite question me trotte dans ma petite tête
Par ces temps de virus , et comme il n'y a pas vraiment d'anti virus dédier à Linux . Je me demandais si il y a soupçon de malware , revenir sur un kernel précédent et supprimer le kernel en place au moment de cette supposée infection ,nettoierait le dit malware
Bonne journée

Re : revenir à un kernel ancien ( précédent )

Répondre #1
Bonjour :)
Ça dépend où est logé le Malware je pense.

Re : revenir à un kernel ancien ( précédent )

Répondre #2
Bonjour Chalu
Merci
 Effectivement , mais comment le savoir , sur win  par exemple avec ctrl+alt+supp  ,tu ouvres le gestionnaire de tâches , et tu vois tout ce qui tourne au moment ou tu l'ouvres ( enfin c'était comme ça avec XP ou 2000) , et si tu voyais un truc qui ne te paraissait pas clair , tu pouvais l’arrêter  , voir aller dans explorateur windows  et regedit  , et virer tout ce qui concernait ce fichier " douteux "
Sur tumbleweed , j'ai " centre d'information , mais je ne vois pas où je peux trouver les tâches en court
Je pense que pour éviter les malware , il faudrait configurer  AppArmor ou le pare feu , mais je ne l'ai jamais fait   :-[

Re : revenir à un kernel ancien ( précédent )

Répondre #3
Ksysguard te permet de voir les processus qui tournent.
Maintenant faut pas supprimer un truc qui te dit rien, les noms ne sont pas forcément explicites.

Re : revenir à un kernel ancien ( précédent )

Répondre #4
Je sais Chalu , avec wind ce sont des N° et des noms impossibles , Linux ,malgré tout , même si les noms sont parfois un peu " poétiques "  on arrive quand même à s'y retrouver un peu .
Mais je ne supprime rien maintenant ,sans avoir au préalable demandé l'avis de ceux qui s'y connaissent  sur le forum , mauvais souvenir ,l'autre jour en suppriment un logiciel installé avec Yast et supprimé aussi avec Yast , je me suis retrouvé avec écran noir , parce qu'avec ce que je supprimais , il y avait des dépendances avec KDE Plasma

Re : revenir à un kernel ancien ( précédent )

Répondre #5
Pour qu'un malware puisse se loger dans le kernel, il faut soit:
- que le noyau que tu installes ait été construit en inclus ce code malveillant
- que le code malveillant soit inclus dans un module du noyau ou se fasse passer pour lui
Dans les deux cas, si tu n'installes que les noyaux officiels, c'est extrêmement peu probable.

Les principaux vecteurs de saloperies que j'ai vu sur Linux sont des applications PHP (Wordpress en tête) qui se sont faites trouer et lancent des process de minage de crypto-monnaie ou bien des injections SQL ou encore des tentatives d'obtenir un shell sur la machine. C'est rare d'arriver à en prendre le contrôle en admin. Dans ce genre de cas, ça n'a strictement aucun rapport avec le noyau et revenir à une version précédente ne servira à rien.

Re : revenir à un kernel ancien ( précédent )

Répondre #6
Bonjour Sogal
Merci
Je pensais ( mal ) , que lorsque tu démarres sur un kernel précédent , tu redémarres  avec une  " image " précédente .Pour essayer de m'expliquer un peu plus clairement ,je me souviens sur wind , tu pouvais faire une sauvegarde d'une image disque à l'instant " T "  , et si tu soupçonnais une intrusion , en redémarrant sur cette image " ancienne " ,tu éliminais la menace , donc dans ma petite tête , je pensais que tu pouvais approximativement faire la même chose avec le kernel
Sinon , je pensais que sous Linux , rien ne pouvait s'installer sans le PW de root , donc , que si quelque chose voulait s'installer tout seul c'était quasiment impossible . Certains malware arriveraient malgré tout à contourner ce passage par le PW ?
Bonne et belle journée ensoleillée

Re : revenir à un kernel ancien ( précédent )

Répondre #7
Bonjour,
Tu sembles mélanger plusieurs choses.

Sur le kernel:

Ce qu'on appelle kernel (noyau en français) est le méta-logiciel (modulaire dans le cas de Linux, c'est-à-dire qu'on peut lui ajouter des briques supplémentaires) qui sert d'interface entre le matériel (écran, carte graphique, clavier, souris, mémoire, disque dur, carte réseau...) et les autres logiciels présents sur la machine. C'est une couche d'abstraction.
Toi tu parles (ou semble parler) de snapshots (instantanés en français). Il s'agît d'une capture à un instant T de l'état des données (système d'exploitation, logiciels, configuration, logs...) présentes sur un disque. Cette possibilité est une fonctionnalité du système de fichiers utilisé pour formater le disque ou la partition. BTRFS et ZFS dispose de cette fonctionnalité. EXT3, EXT4 ou encore XFZ n'en dispose pas.
Sur mon PC en Tumbleweed, ma partition système est formatée en BTRFS. À chaque installation, mise à jour (donc modification) ou suppression d'un logiciel (d'un paquet donc), SNAPPER se charge de réaliser un cliché (snapshots) de cette partition. Si le logiciel nouvellement installé provoque un problème, je peux revenir à un version précédente de mon système (en sélectionnant le cliché d'avant la modification au démarrage). Si besoin je peux aussi créer un cliché à la main.

Sur l'installation de logiciel:

Il faut définir ce que tu entends par logiciel. Tu sembles parler de paquets. Dans ce cas, c'est vrai, seul root (ou un utilisateur disposant des droits adéquats) peut utiliser le gestionnaire de paquets (zypper sous openSUSE) pour en installer/supprimer.
Mais un logiciel peut être aussi un script. Personne ne peut empêcher un utilisateur d'écrire un script et de l'exécuter. Bien sûr si ce script comporte une commande nécessitant des droits root, cette commande échouera.
Mais imagine un site Web Wordpress mal sécurisé ou présentant une faille permettant de déposer un fichier (un script) sur un serveur et de l'appeler simplement en visitant son URL (http://mon-site-trouée.fr/script-malware.php). Le script se lancera pour, par exemple (mais je connais mal en pratique ces malwares), lancer des calculs pour miner des crypto-monnaies, ce qui ne nécessite pas de droits root.

 

Re : revenir à un kernel ancien ( précédent )

Répondre #8
Bonsoir Sogal
Merci pour toutes ces précisions
Oui , je mélange peut être un peu tout , mais lorsque j'avais eu des problèmes ( de connexion internet , entre autre ) sur un autre ordi , avec une autre distrib , pour régler le problème , je redémarrais sur une autre version du kernel et le problème disparaissait , d'où cette idée ( cette demande ) ,savoir si en démarrant sur un autre kernel on pouvait " effacer " le défaut ( infestation )
Snapshots et donc cette sauvegarde d'image disque  qui se faisait manuellement sur wind , et qui est automatisée avec TbWd . Au démarrage , j'ai 3 choix , 1) démarre Tumb  , 2)  démarrage avec un système " réduit "  et 3) démarrer avec snapshots  , je suppose que si je clique  ( je ne l'ai jamais fait ) sur l'option 3 , j'aurais une liste d'images sur laquelle je veux démarrer , ce qui ferait revenir le système à une " version "antérieure "
OK , là grosse confusion ( pour moi ) entre logiciel et script . Je pensais que tu ne pouvais infecter une machine qu'en installant un logiciel
Mais une image ( photo ) étant une suite de caractères , tu pourrais très bien insérer dedans une suite de caractères  qui s'activerait toute seule lors du visionnage de la photo . Mais , tous ces malwares étant souvent destinés à wind , si ils sont écrit en python , https ,  java  etc , il pourraient tout aussi bien s'activer sous Linux ? , et là est ce que tu as une parade ,puisqu'ils n'ont pas besoin de root pour se mettre en route , tu ne peux pas , sauf à installer un logiciel ( ce coup ci ) type Ksysguard ou CHKrootKit  ou un autre du même type , et à lui demander de faire une recherche