J'ai exécuté l'interface graphique du gestionnaire de mise à jour. Lorsque je lui ai demandé d'installer tous les packages, il m'a demandé de m'assurer que je voulais installer. Il y avait 3 listes déroulantes de packages, dont l'une était nommée "NON AUTORISÉ". Je suis donc revenu en arrière et j'ai essayé d'installer les packages un par un. J'en ai sélectionné un appelé "ca-certificates", parce que je pensais que si je faisais celui-là, les autres pourraient s'installer sans avertissement, et je pensais avoir une chance de dire non. Mais quand je l'ai exécuté avec un seul paquet, il a continué et s'est installé sans me le demander. Et je pense que l'on aurait pu être sur la liste des vilains la première fois. Alors maintenant, j'ai une mise à jour potentiellement malveillante.
Comment savoir si c'était légitime ? Et si ce n'était pas le cas, comment puis-je le supprimer ?
Je ne vois rien de suspect dans la sortie de la console ou dans /var/log/dpkg.log , mais je peux publier l'un ou l'autre si cela est utile.
J'utilise Linux Mint version 1.17.3 avec dpkg version 1.17.5. Je ne connais pas la version de Update Manager (mais c'est un fichier nommé /usr/lib/linuxmint/mintUpdate/mintUpdate.py ).
/var/log/dpkg.log :
2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1
sortie console de la mise à jour :
(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.
Réponse acceptée :
Si le paquet était malveillant, il avait déjà la possibilité d'exécuter du code avec les privilèges root, y compris l'effacement des journaux et des traces de ce qu'il a fait, vous devrez donc peut-être simplement considérer le serveur comme compromis, peu importe si vous trouvez des preuves de cela ou non, selon sur vos politiques.
Connexe :texte de recherche sur la sortie du terminal ?
Si ce n'est pas le cas, et si vous n'avez que les dépôts officiels configurés sur /etc/apt/sources.list et /etc/apt/sources.d (comme commenté par @roaima), vous pouvez supposer que rien ne s'est mal passé car ces packages sont signés et leurs signatures vérifiées avant de les installer.
Néanmoins, si vous souhaitez vérifier quelque chose maintenant, vous pouvez vérifier les hachages répertoriés ici par rapport au fichier que vous avez sur /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb . Pour cela, exécutez sha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb et comparez la chaîne, caractère par caractère, avec ce que vous voyez sur la page Ubuntu. S'ils correspondent exactement, vous pouvez dire qu'il s'agit du fichier que vous avez installé et qu'il provient d'Ubuntu (Mint ne fournit pas son propre package de certificats, comme vous pouvez le confirmer en effectuant une recherche ici).
Pour votre commodité, le hachage que j'ai obtenu de cette page est 3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14 .
Encore une fois, si le paquet était malveillant, il est trop tard, sinon, laissez-le là ou supprimez-le comme d'habitude avec apt-get remove ca-certificates .
Si vous ne trouvez pas ce fichier, peut-être que j'ai obtenu la mauvaise version de vos journaux ou que le cache apt a déjà été nettoyé sur votre machine, ce qui rendrait très difficile la vérification de ce que vous avez téléchargé.