Logkeys : un keylogger sous Linux


clavier noir
Logkeys est un keylogger pour Linux. Il s'agit d'un logiciel malveillant capable d'enregistrer tout ce qu'un utilisateur saisit au clavier. Ce dernier est souvent utilisé pour faire de l'espionnage ou récupérer des mots de passe facilement.

Keylogger

Il existe aujourd'hui plusieurs logiciels de keylogger sous Linux, comme Lkl ou encore Uberkey. Mais ces derniers sont assez vieux et ne prennent en charge que les claviers PS/2. Logkey est donc un projet un peu plus récent qui, en plus, prend en charge les claviers USB.

1. Installation de Logkeys

Allez sur le site officiel et téléchargez la dernière version disponible. Ouvrez ensuite un terminal en root et lancez les commandes suivantes :

tar zxvf logkeys-*.tar.gz && rm -f logkeys-*.tar.gz && cd logkeys*
./configure
make
make install

2. Exemple d'utilisation de Logkeys

Logkeys a la particularité de fonctionner sous la forme d'un démon. Voici un exemple de commande pour le lancer. Attention, dans certains cas, il faudra adapter le chemin de /dev/input/event. N'hésitez pas à tous les tester si cela ne fonctionne pas (event0, event1, ... event6) :

logkeys --start --device=/dev/input/event4

Les logs seront alors visibles dans le fichier /var/log/logkeys.log :

tail -f /var/log/logkeys.log

Si, par la suite, vous souhaitez arrêter le démon, vous pourrez le faire avec la commande suivante :

logkeys --kill


38 Commentaires pour "Logkeys : un keylogger sous Linux"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Très bien merci :) il va y avoir des victimes.... :p

    RépondreRépondre
    GanGan , le 12 avril 2010 à 13:36
  •  

    Le keylogger fait une erreur à la compilation. Dommage j'aurai bien aimer le tester.

    Edit: c'est seulement la version alpha qui bug. La version stable à l'air de bien compilé

    RépondreRépondre
    Fugitif , le 10 avril 2011 à 14:01
  •  

    Juste pour info le keylogger fonctionne super bien.
    Pour le lancer des script ont été copier dans /usr/local/bin/
    lkl pour lancer le keylogger qui contient :

    #!/bin/bash
    logkeys --start

    Et lklk pour le kill qui contient :

    #!/bin/bash
    logkeys --kill

    Voici un extrait des logs du keylogger pendant que j'ai rédiger se post.

    Logging stopped at 2011-04-10 14:19:04+0200

    Logging started ...

    2011-04-10 14:19:16+0200 > Juste pour info le keylogger fonctionne super bien
    2011-04-10 14:20:05+0200 > Pour le lancer des script ont été copier dans usrbilocalbin
    2011-04-10 14:20:49+0200 > v
    2011-04-10 14:20:53+0200 > lkl pour lancer le keylogger qui contient :
    2011-04-10 14:21:08+0200 > <Del>
    2011-04-10 14:21:32+0200 >
    2011-04-10 14:21:34+0200 >
    2011-04-10 14:21:35+0200 > Et lklk pour le kill qui contient :
    2011-04-10 14:21:46+0200 >
    2011-04-10 14:21:46+0200 > v

    On vois que le log a un mauvais codage sur "été", il faut sûrement utiliser un keymap French http://code.google.com/p/logkeys/wiki/Keymaps

    En tout cas merci pour m'avoir fait découvrir se logger, vais pouvoir faire des blagues à mes potes sous unix lol

    RépondreRépondre
    Fugitif , le 10 avril 2011 à 14:23
  •  

    Bonjour,
    Alors moi dejà je bug aprés avoir télécharger les fichiers compressés, ca veut pas se mettre en route, quelqu'un aurait-il une explication étape par étape à me donner??
    Soyez sympa! :'(
    Merci d'avance!

    RépondreRépondre
    Bewell , le 14 avril 2011 à 17:38
  •  

    @Bewell : Tu peu lire le fichier INSTALL, tout y est indiquer.

    RépondreRépondre
    Fugitif , le 15 avril 2011 à 12:12
  •  

    Bonjour,

    pareil que Bewell, je télécharge le fichier compressé et je le dézippe au plus simple sur le bureau.
    J'ai lu le fichier INSTALL et j'ai suivi les explications mais il me dit que le fichier est introuvable...
    que dois-je faire ?
    Merci d'avance pour la réponse !

    RépondreRépondre
    Corinne , le 1 mai 2011 à 13:08
  •  

    Je complète mon précédent message, voilà ce que j'obtiens, quel que soit l'endroit où j'enregistre le fichier...

    tar: logkeys-0.1.1a.tar.gz : la fonction open a échoué: Aucun fichier ou dossier de ce type
    tar: Erreur non récupérable : arrêt du traitement
    tar: Child returned status 2
    tar: Arrêt avec code d'échec à cause des erreurs précédentes

    RépondreRépondre
    Corinne , le 1 mai 2011 à 13:56
  •  

    @Corinne : essai la version logkeys-0.1.0
    La version 0.1.1a ne fonctionne pas chez moi.

    RépondreRépondre
    Fugitif , le 1 mai 2011 à 19:17
  •  

    @Fugitif : j'ai essayé, c'est pareil. Faut-il enregistrer le fichier à un emplacement précis ?

    RépondreRépondre
    Corinne , le 1 mai 2011 à 20:48
  •  

    @Corinne : non tu l'enregistre ou tu veut, par contre il te faut de quoi le décompresser.
    Tu a bien tar , gzip et bzip2 d'installer sur ta machine ?
    Sinon essai un nouveau téléchargement. L'archive est peu être corrompue.

    RépondreRépondre
    Fugitif , le 2 mai 2011 à 11:34
  •  

    @Fugitif
    j'ai bien de quoi le décompresser, pas de soucis...
    j'ai réessayé de le télécharger à nouveau mais je ne trouve que le lien du site officiel pour le faire.
    Je suis plutôt débutante en manip sous Linux...Quand j'ouvre le terminal, j'ai ça :
    corinne@corinne-desktop:~$
    je tape sudo -s
    il me demande [sudo] password for corinne
    je tape le mot de passe et j'obtiens
    root@corinne-desktop:~#
    est-ce que tout ça est bon ?

    Merci beaucoup pour les réponses en tout cas !

    RépondreRépondre
    Corinne , le 3 mai 2011 à 09:25
  •  

    @Corinne : La version qu'il faut prendre est celle ci http://code.google.com/p/logkeys/downloads/detail?name=logkeys-0.1.0.tar.gz&can=2&q=
    Ensuite tu suis le tuto de tux-planet pour le compiler.
    Si tu à un problème lis le fichier INSTALL

    $ tar xvzf logkeys-0.1.0.tar.gz # to extract the logkeys archive

    $ cd logkeys-0.1.0/build # move to build directory to build there
    $ ../configure # invoke configure from parent directory
    $ make # make compiles what it needs to compile
    ( become superuser now ) # you need root to install in system dir
    # make install # installs binaries, manuals and scripts

    RépondreRépondre
    Fugitif , le 3 mai 2011 à 18:56
  •  

    Comment fait-on pour supprimer Logkeys proprement?
    Suffit-il d'effacer dans le bin llk et llkk, les .sh dans etc, ainsi que le fichier de log? Ou il y a d 'autres fichiers installés?
    Merci

    RépondreRépondre
    pel , le 12 juin 2011 à 22:11
  •  

    @pel : make uninstall is your friend !

    RépondreRépondre
    Fugitif , le 12 juin 2011 à 22:48
  •  

    moi le pb que j'ai c'est que tout est bien installé mais il ne log pas.
    J'ai les dates et els heures mais j'ai pas ce qui a été tapé
    Je pige pas :s

    RépondreRépondre
    bewell , le 15 juin 2011 à 13:43
  •  

    @bewell : Essai avec la keymap fr

    Modifie dans lkl
    logkeys --start
    en
    logkeys --start --keymap=/home/chemin_vers/logkeys/fr.map

    Ton clavier est bien en français ?

    RépondreRépondre
    Fugitif , le 15 juin 2011 à 13:57
  •  

    oui il est bien en francais et g le fichier fr.map

    voila ce qu'il me dit :
    julie@julie-linux:~$ logkeys: Another process already running? Quitting. (/var/run/logkeys.pid): File exists

    RépondreRépondre
    bewell , le 15 juin 2011 à 14:01
  •  

    @bewell : Tu à déjà un processus en route, voilà pourquoi il ne redémarre plus.
    Tape lklk pour le stopper puis relance le.

    RépondreRépondre
    Fugitif , le 15 juin 2011 à 14:32
  •  

    @Fugitif : J'ai tout bien décompilé et installé.

    Pareil que quelqu'un au dessus, je n'ai aucun log qui s'écrit, seulement les heures d'ouverture et de fermeture tu programme.

    J'ai dirigé logkeys vers un keymap en français (le keymaps que j'avais dans le dossier d'un autre keylogger : LKL) qui est situé dans un dossier sur mon bureau. Soit :

    sudo logkeys --start --keymap=/home/jeremy/Bureau/lkl/keymaps/fr_km --device=/dev/input/event4

    Et j'ai en réponse :

    logkeys:/home/jeremy/Bureau/lkl/keymaps/fr_km:1: Line too long!

    Du coup j'ai essayé de choper des keymaps sur le net, mais je n'en trouve pas du tout. Ensuite j'ai essayé de faire :

    sudo logkeys --start -m fr.map --device=/dev/input/event4

    Mais fr.map n'hexiste pas, ni french.map, ni plein d'autres trucs dans le genre que j'ai essayé au pif (fr_key.map ; fr.key.map.....)

    Du coup je suis bloqué et j'en vient à votre aide :)

    Cordialement

    RépondreRépondre
    Stand , le 16 juin 2011 à 16:41
  •  

    @Stand : la keymap est sur le site officiel en bas de page http://code.google.com/p/logkeys/wiki/Keymaps
    Je l'ai d'ailleurs indiquer sur le 3ème commentaires.

    Perso j'ai modifier le script bash lkl qui permet de lancer logkeys comme ceci :

    #!/bin/bash
    logkeys --start --keymap=/home/fugitif/logkeys/fr.map

    RépondreRépondre
    Fugitif , le 16 juin 2011 à 23:20
  •  

    @Fugitif : Merci beaucoup. J'ai foutu le fr.map dans le dossier logkeys sur mon bureau. D'où la commande suivante :

    sudo logkeys -s --keymap=/home/jeremy/Bureau/logkeys-0.1.1a/fr.map --device=/dev/input/event4

    Qui certe ne me retourne pas de message d'erreur, mais par contre ça ne change rine : je n'ai toujours rien d'écrit dans mon logkeys.log...

    Merci de se pencher sur ce souci !

    RépondreRépondre
    Stand , le 17 juin 2011 à 01:25
  •  

    @Stand : Essai de supprimer --device=/dev/input/event4 en principe logkey trouve tout seul.
    Tu utilise bien la version stable 0.1.0 et non la alpha ?
    Chez moi la version alpha ne fonctionne pas. Encore une chose que j'ai dit dans mes commentaires.

    RépondreRépondre
    Fugitif , le 17 juin 2011 à 15:00
  •  

    bon j'ai réussi a tout faire fonctionner, le seul probleme c'est qu'il prend pas en compte le pad numérique. je vois pas...

    RépondreRépondre
    bewell , le 17 juin 2011 à 15:37
  •  

    @bewell : @bewell : Tu à essayer avec la keymap Fr ?

    RépondreRépondre
    Fugitif , le 17 juin 2011 à 20:04
  •  

    Bonjour,
    si je me loggue en SSH, cela va-t-il égaler logguer les frappes de la session ?

    RépondreRépondre
    jedi , le 28 février 2013 à 11:33
  •  

    bonjour moi j'ai un souci je tate encore pas trop sur linux et quand je tape la premiere commande pour l'installer sa marche puisque que sa ma dit install avec un decompte. mais apres quand je veux taper le deuxieme avec logkey start voila se que sa me marque madine@madine-Amilo-Si-1520:~$ logkeys --start --device=/dev/input/event4
    Got r00t?
    et quand je veux mettre celui de var log etc pour voir le le keylogger fonctionne voila se que sa me marque madine@madine-Amilo-Si-1520:~$ tail -f /var/log/logkeys.log
    tail: impossible d'ouvrir «/var/log/logkeys.log» en lecture: Aucun fichier ou dossier de ce type
    merci si vous pouvais m'aider parce que je commprend pas pourquoi sa fait sa en plus j'ai vue que des fois il faut adapter les chemins par rapport a la config sauf que la sa deviens du chinois pour moi merci d'avance en tous cas

    RépondreRépondre
    lofteusedu33 , le 17 avril 2013 à 09:15
  •  

    normal que ça marche pas chez toi tu oublies de passer root avec "sudo" et la deuxième ne marche pas car il ne crée donc pas le fichier sans se lancer.
    Par contre j'ai un autre problème, je tape logkeys -s -m /home/user/fr.map et comme device je met l'event 3 car c'est celui qui correspond à mon clavier et lorsque je l'arrête et que je regarde le log il n'y a strictement rien dans le fichier. Des idées?
    P.S. je sais plus si il faut un retour dans le terminal quand on tape la commande pour le lancer mais moi j'ai rien

    RépondreRépondre
    evangelion , le 16 juin 2013 à 14:36
  •  

    @evangelion : Pareil, logkeys semble fonctionner, j'ai capté les commandes, mais j'ai absolument rien dans le fichier cible ou tout est sensé etre enregistré. Meme lorsque je le change : logkeys -o Spy par exemple, le fichier " spy " se créer mais rien dedans. Je l'ouvre avec GEDIT en admin.
    J'uilise la commande U pour clavier par défaut
    donc : Logkeys -s -d event4 -u -o spy

    RépondreRépondre
    zobizobi , le 2 août 2013 à 11:08
  •  

    voilà la commande qui marche chez moi :
    sudo logkeys -s -m /home/user/fr.map -o /home/user/logkeys.log --device=/dev/input/event3
    essaye de l'utiliser et de modifier éventuellement le nom et l'emplacement du fichier de sortie
    P.S. depuis le temps le mien marche toujours :) et se lance directement au démarrage puisque j'ai édité mon rc.local (je suis plus sur depuis le temps)

    RépondreRépondre
    evangelion , le 6 août 2013 à 21:34
  •  

    @evangelion : Merci : pareil ça semble fonctionner mais rien dans le fichier cible "logkeys". Comment tu l'ouvres ? j'utilise sudo gedit /home/user/logkeys.log
    une autre question peut etre, quand je ferme le terminal il me dis " fermer le procéssus actif dans le terminal ? " peut etre y a t'il une facon de fermer le terminal ?

    RépondreRépondre
    zobizobi , le 7 août 2013 à 07:29
  •  

    Pour avoir quelque chose d'enregistré dans le log essaie différents numéros d'event chez moi cela va de 0 à 11 et le 3 correspond au clavier de mon portable
    Pour ouvrir j'utilise plutôt le clic droit -> ouvrir en admin et je tape le pass mais ta commande devrait marcher
    Pour le daemon en arrière plan, soit tu le lance avec la commande dans les applications au démarrage, soit comme moi tu édite ton rc.local parce que sinon en fermant le terminal tu vas fermer logkeys (à moins que je me trompe et que tu ne m'induise en erreur en faisant sudo -s plutôt qu'au début de ta commande de taper sudo)

    RépondreRépondre
    evangelion , le 7 août 2013 à 08:02
  •  

    @evangelion : j'ai taper ta commande. Donc en fermant le terminal je ferme logkeys... quelle est donc ce que tu écris dans le rc local ? ( dsl je suis assez débutant ! )

    RépondreRépondre
    zobizobi , le 7 août 2013 à 09:52
  •  

    Bonjour

    logkeys -k
    logkeys -s -m /home/maxime/fr.map -o /home/maxime/logkeys.log --device=/dev/input/event3

    exit 0

    c'est la partie de mon rc.local qui se trouve en dessous des #
    j'ai une commande qui tue le daemon potentiellement actif (chez moi j'ai eu un bug et il le lançait en double pour je ne sais quelle raison donc pour être sûr je le tue avant de le lancer pour éviter qu'il enregistre toutes les frappes en double) et une qui lance celui qui s'ouvre au démarrage avec les paramètres que je t'ai déjà indiqués plus haut évidemment, il faut remplacer par l'event et l’emplacement du fichier qui correspond.

    Bon espionnage :D

    RépondreRépondre
    Anonyme , le 9 août 2013 à 13:21
  •  

    Bonjour

    logkeys -k
    logkeys -s -m /home/maxime/fr.map -o /home/maxime/logkeys.log --device=/dev/input/event3

    exit 0

    c'est la partie de mon rc.local qui se trouve en dessous des #
    j'ai une commande qui tue le daemon potentiellement actif (chez moi j'ai eu un bug et il le lançait en double pour je ne sais quelle raison donc pour être sûr je le tue avant de le lancer pour éviter qu'il enregistre toutes les frappes en double) et une qui lance celui qui s'ouvre au démarrage avec les paramètres que je t'ai déjà indiqués plus haut évidemment, il faut remplacer par l'event et l’emplacement du fichier qui correspond.

    Bon espionnage :D

    RépondreRépondre
    evangelion , le 9 août 2013 à 13:21
  •  

    Bonjour,
    Ca marche nickel après 2/3 problèmes enfin réglés. Lorsque j'effectue la commande en root tail -f /var/log/logkeys.log , il m'affiche bien les log mais losque je coupe le pc et que je rallume il n'a plus les log de la précédente cession. Sont-ils stockés quelque part?
    Merci d'avance

    RépondreRépondre
    riquet , le 29 septembre 2013 à 02:04
  •  

    Bonsoir,
    là ou tu as demandé qu'ils s'enregistrent: chez moi ça correspond à cette partie de la commande
    "-o /home/maxime/logkeys.log" si tu ne mets rien c'est le répertoire par défaut: /var/log/logkeys.log
    pour le lire utilise: sudo gedit /var/log/logkeys.log du moins ça marche pour moi :p
    Bonne soirée

    RépondreRépondre
    evangelion , le 29 septembre 2013 à 19:41
  •  

    Bonsoir,
    ca marche aussi pour moidonc tout bon!!!
    Bonne soirée

    RépondreRépondre
    riquet , le 29 septembre 2013 à 23:59
  •  

    Salut tout le monde, moi tout fonctionne parfaitement par contre j'ai un problème de KEYBOARD il keylog les touches tapées mais m'affiche les mauvais caractère et ça c'est certainement du a une mauvaise configuration du .map, mais comment fait on alors???

    RépondreRépondre
    spicetrouble , le 7 avril 2015 à 09:44
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité red hat redhat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum