Logkeys : un keylogger sous Linux

Par Sébastien Bilbeau, publié le 8 avril 2010

clavier noir
Logkeys est un keylogger pour Linux. Il s'agit d'un logiciel malveillant capable d'enregistrer tout ce qu'un utilisateur saisit au clavier. Ce dernier est souvent utilisé pour faire de l'espionnage ou récupérer des mots de passe facilement.

Il existe aujourd'hui plusieurs logiciels de keylogger sous Linux, comme Lkl ou encore Uberkey. Mais ces derniers sont assez vieux et ne prennent en charge que les claviers PS/2. Logkey est donc un projet un peu plus récent qui, en plus, prend en charge les claviers USB.

1. Installation de Logkeys

Allez sur le site officiel et téléchargez la dernière version disponible. Ouvrez ensuite un terminal en root et lancez les commandes suivantes :

tar zxvf logkeys-*.tar.gz && rm -f logkeys-*.tar.gz && cd logkeys*
./configure
make
make install

2. Exemple d'utilisation de Logkeys

Logkeys a la particularité de fonctionner sous la forme d'un démon. Voici un exemple de commande pour le lancer. Attention, dans certains cas, il faudra adapter le chemin de /dev/input/event. N'hésitez pas à tous les tester si cela ne fonctionne pas (event0, event1, ... event6) :

logkeys --start --device=/dev/input/event4

Les logs seront alors visibles dans le fichier /var/log/logkeys.log :

tail -f /var/log/logkeys.log

Si, par la suite, vous souhaitez arrêter le démon, vous pourrez le faire avec la commande suivante :

logkeys --kill

Autres articles du même sujet

38 Commentaires pour "Logkeys : un keylogger sous Linux"

Flux des commentaires de cet article Ajouter un commentaire

Très bien merci il va y avoir des victimes.... :p
Répondre

GanGan , le 12 avril 2010 à 13:36
Le keylogger fait une erreur à la compilation. Dommage j'aurai bien aimer le tester.

Edit: c'est seulement la version alpha qui bug. La version stable à l'air de bien compilé
Répondre

Fugitif , le 10 avril 2011 à 14:01
Juste pour info le keylogger fonctionne super bien.
Pour le lancer des script ont été copier dans /usr/local/bin/
lkl pour lancer le keylogger qui contient :

#!/bin/bash
logkeys --start

Et lklk pour le kill qui contient :

#!/bin/bash
logkeys --kill

Voici un extrait des logs du keylogger pendant que j'ai rédiger se post.

Logging stopped at 2011-04-10 14:19:04+0200

Logging started ...

2011-04-10 14:19:16+0200 > Juste pour info le keylogger fonctionne super bien
2011-04-10 14:20:05+0200 > Pour le lancer des script ont été copier dans usrbilocalbin
2011-04-10 14:20:49+0200 > v
2011-04-10 14:20:53+0200 > lkl pour lancer le keylogger qui contient :
2011-04-10 14:21:08+0200 > <Del>
2011-04-10 14:21:32+0200 >
2011-04-10 14:21:34+0200 >
2011-04-10 14:21:35+0200 > Et lklk pour le kill qui contient :
2011-04-10 14:21:46+0200 >
2011-04-10 14:21:46+0200 > v

On vois que le log a un mauvais codage sur "été", il faut sûrement utiliser un keymap French http://code.google.com/p/logkeys/wiki/Keymaps

En tout cas merci pour m'avoir fait découvrir se logger, vais pouvoir faire des blagues à mes potes sous unix lol
Répondre

Fugitif , le 10 avril 2011 à 14:23
Bonjour,
Alors moi dejà je bug aprés avoir télécharger les fichiers compressés, ca veut pas se mettre en route, quelqu'un aurait-il une explication étape par étape à me donner??
Soyez sympa! :'(
Merci d'avance!
Répondre

Bewell , le 14 avril 2011 à 17:38
@Bewell : Tu peu lire le fichier INSTALL, tout y est indiquer.
Répondre

Fugitif , le 15 avril 2011 à 12:12
Bonjour,

pareil que Bewell, je télécharge le fichier compressé et je le dézippe au plus simple sur le bureau.
J'ai lu le fichier INSTALL et j'ai suivi les explications mais il me dit que le fichier est introuvable...
que dois-je faire ?
Merci d'avance pour la réponse !
Répondre

Corinne , le 1 mai 2011 à 13:08
Je complète mon précédent message, voilà ce que j'obtiens, quel que soit l'endroit où j'enregistre le fichier...

tar: logkeys-0.1.1a.tar.gz : la fonction open a échoué: Aucun fichier ou dossier de ce type
tar: Erreur non récupérable : arrêt du traitement
tar: Child returned status 2
tar: Arrêt avec code d'échec à cause des erreurs précédentes
Répondre

Corinne , le 1 mai 2011 à 13:56
@Corinne : essai la version logkeys-0.1.0
La version 0.1.1a ne fonctionne pas chez moi.
Répondre

Fugitif , le 1 mai 2011 à 19:17
@Fugitif : j'ai essayé, c'est pareil. Faut-il enregistrer le fichier à un emplacement précis ?
Répondre

Corinne , le 1 mai 2011 à 20:48
@Corinne : non tu l'enregistre ou tu veut, par contre il te faut de quoi le décompresser.
Tu a bien tar , gzip et bzip2 d'installer sur ta machine ?
Sinon essai un nouveau téléchargement. L'archive est peu être corrompue.
Répondre

Fugitif , le 2 mai 2011 à 11:34
@Fugitif
j'ai bien de quoi le décompresser, pas de soucis...
j'ai réessayé de le télécharger à nouveau mais je ne trouve que le lien du site officiel pour le faire.
Je suis plutôt débutante en manip sous Linux...Quand j'ouvre le terminal, j'ai ça :
corinne@corinne-desktop:~$
je tape sudo -s
il me demande [sudo] password for corinne
je tape le mot de passe et j'obtiens
root@corinne-desktop:~#
est-ce que tout ça est bon ?

Merci beaucoup pour les réponses en tout cas !
Répondre

Corinne , le 3 mai 2011 à 09:25
@Corinne : La version qu'il faut prendre est celle ci http://code.google.com/p/logkeys/downloads/detail?name=logkeys-0.1.0.tar.gz&can=2&q=
Ensuite tu suis le tuto de tux-planet pour le compiler.
Si tu à un problème lis le fichier INSTALL

$ tar xvzf logkeys-0.1.0.tar.gz # to extract the logkeys archive

$ cd logkeys-0.1.0/build # move to build directory to build there
$ ../configure # invoke configure from parent directory
$ make # make compiles what it needs to compile
( become superuser now ) # you need root to install in system dir
# make install # installs binaries, manuals and scripts
Répondre

Fugitif , le 3 mai 2011 à 18:56
Comment fait-on pour supprimer Logkeys proprement?
Suffit-il d'effacer dans le bin llk et llkk, les .sh dans etc, ainsi que le fichier de log? Ou il y a d 'autres fichiers installés?
Merci
Répondre

pel , le 12 juin 2011 à 22:11
@pel : make uninstall is your friend !
Répondre

Fugitif , le 12 juin 2011 à 22:48
moi le pb que j'ai c'est que tout est bien installé mais il ne log pas.
J'ai les dates et els heures mais j'ai pas ce qui a été tapé
Je pige pas :s
Répondre

bewell , le 15 juin 2011 à 13:43
@bewell : Essai avec la keymap fr

Modifie dans lkl
logkeys --start
en
logkeys --start --keymap=/home/chemin_vers/logkeys/fr.map

Ton clavier est bien en français ?
Répondre

Fugitif , le 15 juin 2011 à 13:57
oui il est bien en francais et g le fichier fr.map

voila ce qu'il me dit :
julie@julie-linux:~$ logkeys: Another process already running? Quitting. (/var/run/logkeys.pid): File exists
Répondre

bewell , le 15 juin 2011 à 14:01
@bewell : Tu à déjà un processus en route, voilà pourquoi il ne redémarre plus.
Tape lklk pour le stopper puis relance le.
Répondre

Fugitif , le 15 juin 2011 à 14:32
@Fugitif : J'ai tout bien décompilé et installé.

Pareil que quelqu'un au dessus, je n'ai aucun log qui s'écrit, seulement les heures d'ouverture et de fermeture tu programme.

J'ai dirigé logkeys vers un keymap en français (le keymaps que j'avais dans le dossier d'un autre keylogger : LKL) qui est situé dans un dossier sur mon bureau. Soit :

sudo logkeys --start --keymap=/home/jeremy/Bureau/lkl/keymaps/fr_km --device=/dev/input/event4

Et j'ai en réponse :

logkeys:/home/jeremy/Bureau/lkl/keymaps/fr_km:1: Line too long!

Du coup j'ai essayé de choper des keymaps sur le net, mais je n'en trouve pas du tout. Ensuite j'ai essayé de faire :

sudo logkeys --start -m fr.map --device=/dev/input/event4

Mais fr.map n'hexiste pas, ni french.map, ni plein d'autres trucs dans le genre que j'ai essayé au pif (fr_key.map ; fr.key.map.....)

Du coup je suis bloqué et j'en vient à votre aide

Cordialement
Répondre

Stand , le 16 juin 2011 à 16:41
@Stand : la keymap est sur le site officiel en bas de page http://code.google.com/p/logkeys/wiki/Keymaps
Je l'ai d'ailleurs indiquer sur le 3ème commentaires.

Perso j'ai modifier le script bash lkl qui permet de lancer logkeys comme ceci :

#!/bin/bash
logkeys --start --keymap=/home/fugitif/logkeys/fr.map
Répondre

Fugitif , le 16 juin 2011 à 23:20
@Fugitif : Merci beaucoup. J'ai foutu le fr.map dans le dossier logkeys sur mon bureau. D'où la commande suivante :

sudo logkeys -s --keymap=/home/jeremy/Bureau/logkeys-0.1.1a/fr.map --device=/dev/input/event4

Qui certe ne me retourne pas de message d'erreur, mais par contre ça ne change rine : je n'ai toujours rien d'écrit dans mon logkeys.log...

Merci de se pencher sur ce souci !
Répondre

Stand , le 17 juin 2011 à 01:25
@Stand : Essai de supprimer --device=/dev/input/event4 en principe logkey trouve tout seul.
Tu utilise bien la version stable 0.1.0 et non la alpha ?
Chez moi la version alpha ne fonctionne pas. Encore une chose que j'ai dit dans mes commentaires.
Répondre

Fugitif , le 17 juin 2011 à 15:00
bon j'ai réussi a tout faire fonctionner, le seul probleme c'est qu'il prend pas en compte le pad numérique. je vois pas...
Répondre

bewell , le 17 juin 2011 à 15:37
@bewell : @bewell : Tu à essayer avec la keymap Fr ?
Répondre

Fugitif , le 17 juin 2011 à 20:04
Bonjour,
si je me loggue en SSH, cela va-t-il égaler logguer les frappes de la session ?
Répondre

jedi , le 28 février 2013 à 11:33
bonjour moi j'ai un souci je tate encore pas trop sur linux et quand je tape la premiere commande pour l'installer sa marche puisque que sa ma dit install avec un decompte. mais apres quand je veux taper le deuxieme avec logkey start voila se que sa me marque madine@madine-Amilo-Si-1520:~$ logkeys --start --device=/dev/input/event4
Got r00t?
et quand je veux mettre celui de var log etc pour voir le le keylogger fonctionne voila se que sa me marque madine@madine-Amilo-Si-1520:~$ tail -f /var/log/logkeys.log
tail: impossible d'ouvrir «/var/log/logkeys.log» en lecture: Aucun fichier ou dossier de ce type
merci si vous pouvais m'aider parce que je commprend pas pourquoi sa fait sa en plus j'ai vue que des fois il faut adapter les chemins par rapport a la config sauf que la sa deviens du chinois pour moi merci d'avance en tous cas
Répondre

lofteusedu33 , le 17 avril 2013 à 09:15
normal que ça marche pas chez toi tu oublies de passer root avec "sudo" et la deuxième ne marche pas car il ne crée donc pas le fichier sans se lancer.
Par contre j'ai un autre problème, je tape logkeys -s -m /home/user/fr.map et comme device je met l'event 3 car c'est celui qui correspond à mon clavier et lorsque je l'arrête et que je regarde le log il n'y a strictement rien dans le fichier. Des idées?
P.S. je sais plus si il faut un retour dans le terminal quand on tape la commande pour le lancer mais moi j'ai rien
Répondre

evangelion , le 16 juin 2013 à 14:36
@evangelion : Pareil, logkeys semble fonctionner, j'ai capté les commandes, mais j'ai absolument rien dans le fichier cible ou tout est sensé etre enregistré. Meme lorsque je le change : logkeys -o Spy par exemple, le fichier " spy " se créer mais rien dedans. Je l'ouvre avec GEDIT en admin.
J'uilise la commande U pour clavier par défaut
donc : Logkeys -s -d event4 -u -o spy
Répondre

zobizobi , le 2 août 2013 à 11:08
voilà la commande qui marche chez moi :
sudo logkeys -s -m /home/user/fr.map -o /home/user/logkeys.log --device=/dev/input/event3
essaye de l'utiliser et de modifier éventuellement le nom et l'emplacement du fichier de sortie
P.S. depuis le temps le mien marche toujours et se lance directement au démarrage puisque j'ai édité mon rc.local (je suis plus sur depuis le temps)
Répondre

evangelion , le 6 août 2013 à 21:34
@evangelion : Merci : pareil ça semble fonctionner mais rien dans le fichier cible "logkeys". Comment tu l'ouvres ? j'utilise sudo gedit /home/user/logkeys.log
une autre question peut etre, quand je ferme le terminal il me dis " fermer le procéssus actif dans le terminal ? " peut etre y a t'il une facon de fermer le terminal ?
Répondre

zobizobi , le 7 août 2013 à 07:29
Pour avoir quelque chose d'enregistré dans le log essaie différents numéros d'event chez moi cela va de 0 à 11 et le 3 correspond au clavier de mon portable
Pour ouvrir j'utilise plutôt le clic droit -> ouvrir en admin et je tape le pass mais ta commande devrait marcher
Pour le daemon en arrière plan, soit tu le lance avec la commande dans les applications au démarrage, soit comme moi tu édite ton rc.local parce que sinon en fermant le terminal tu vas fermer logkeys (à moins que je me trompe et que tu ne m'induise en erreur en faisant sudo -s plutôt qu'au début de ta commande de taper sudo)
Répondre

evangelion , le 7 août 2013 à 08:02
@evangelion : j'ai taper ta commande. Donc en fermant le terminal je ferme logkeys... quelle est donc ce que tu écris dans le rc local ? ( dsl je suis assez débutant ! )
Répondre

zobizobi , le 7 août 2013 à 09:52
Bonjour

logkeys -k
logkeys -s -m /home/maxime/fr.map -o /home/maxime/logkeys.log --device=/dev/input/event3

exit 0

c'est la partie de mon rc.local qui se trouve en dessous des #
j'ai une commande qui tue le daemon potentiellement actif (chez moi j'ai eu un bug et il le lançait en double pour je ne sais quelle raison donc pour être sûr je le tue avant de le lancer pour éviter qu'il enregistre toutes les frappes en double) et une qui lance celui qui s'ouvre au démarrage avec les paramètres que je t'ai déjà indiqués plus haut évidemment, il faut remplacer par l'event et l’emplacement du fichier qui correspond.

Bon espionnage
Répondre

Anonyme , le 9 août 2013 à 13:21
Bonjour

logkeys -k
logkeys -s -m /home/maxime/fr.map -o /home/maxime/logkeys.log --device=/dev/input/event3

exit 0

c'est la partie de mon rc.local qui se trouve en dessous des #
j'ai une commande qui tue le daemon potentiellement actif (chez moi j'ai eu un bug et il le lançait en double pour je ne sais quelle raison donc pour être sûr je le tue avant de le lancer pour éviter qu'il enregistre toutes les frappes en double) et une qui lance celui qui s'ouvre au démarrage avec les paramètres que je t'ai déjà indiqués plus haut évidemment, il faut remplacer par l'event et l’emplacement du fichier qui correspond.

Bon espionnage
Répondre

evangelion , le 9 août 2013 à 13:21
Bonjour,
Ca marche nickel après 2/3 problèmes enfin réglés. Lorsque j'effectue la commande en root tail -f /var/log/logkeys.log , il m'affiche bien les log mais losque je coupe le pc et que je rallume il n'a plus les log de la précédente cession. Sont-ils stockés quelque part?
Merci d'avance
Répondre

riquet , le 29 septembre 2013 à 02:04
Bonsoir,
là ou tu as demandé qu'ils s'enregistrent: chez moi ça correspond à cette partie de la commande
"-o /home/maxime/logkeys.log" si tu ne mets rien c'est le répertoire par défaut: /var/log/logkeys.log
pour le lire utilise: sudo gedit /var/log/logkeys.log du moins ça marche pour moi :p
Bonne soirée
Répondre

evangelion , le 29 septembre 2013 à 19:41
Bonsoir,
ca marche aussi pour moidonc tout bon!!!
Bonne soirée
Répondre

riquet , le 29 septembre 2013 à 23:59
Salut tout le monde, moi tout fonctionne parfaitement par contre j'ai un problème de KEYBOARD il keylog les touches tapées mais m'affiche les mauvais caractère et ça c'est certainement du a une mauvaise configuration du .map, mais comment fait on alors???
Répondre

spicetrouble , le 7 avril 2015 à 09:44