Logkeys : un keylogger sous Linux
Logkeys est un keylogger pour Linux. Il s'agit d'un logiciel malveillant capable d'enregistrer tout ce qu'un utilisateur saisit au clavier. Ce dernier est souvent utilisé pour faire de l'espionnage ou récupérer des mots de passe facilement.
Il existe aujourd'hui plusieurs logiciels de keylogger sous Linux, comme Lkl ou encore Uberkey. Mais ces derniers sont assez vieux et ne prennent en charge que les claviers PS/2. Logkey est donc un projet un peu plus récent qui, en plus, prend en charge les claviers USB.
1. Installation de Logkeys
Allez sur le site officiel et téléchargez la dernière version disponible. Ouvrez ensuite un terminal en root et lancez les commandes suivantes :
tar zxvf logkeys-*.tar.gz && rm -f logkeys-*.tar.gz && cd logkeys*
./configure
make
make install
2. Exemple d'utilisation de Logkeys
Logkeys a la particularité de fonctionner sous la forme d'un démon. Voici un exemple de commande pour le lancer. Attention, dans certains cas, il faudra adapter le chemin de /dev/input/event. N'hésitez pas à tous les tester si cela ne fonctionne pas (event0, event1, ... event6) :
logkeys --start --device=/dev/input/event4
Les logs seront alors visibles dans le fichier /var/log/logkeys.log :
tail -f /var/log/logkeys.log
Si, par la suite, vous souhaitez arrêter le démon, vous pourrez le faire avec la commande suivante :
logkeys --kill
38 Commentaires pour "Logkeys : un keylogger sous Linux"
Flux des commentaires de cet article Ajouter un commentaireTrès bien merci
il va y avoir des victimes.... :p
Le keylogger fait une erreur à la compilation. Dommage j'aurai bien aimer le tester.
Edit: c'est seulement la version alpha qui bug. La version stable à l'air de bien compilé
Juste pour info le keylogger fonctionne super bien.
Pour le lancer des script ont été copier dans /usr/local/bin/
lkl pour lancer le keylogger qui contient :
#!/bin/bash
logkeys --start
Et lklk pour le kill qui contient :
#!/bin/bash
logkeys --kill
Voici un extrait des logs du keylogger pendant que j'ai rédiger se post.
Logging stopped at 2011-04-10 14:19:04+0200
Logging started ...
2011-04-10 14:19:16+0200 > Juste pour info le keylogger fonctionne super bien
2011-04-10 14:20:05+0200 > Pour le lancer des script ont été copier dans usrbilocalbin
2011-04-10 14:20:49+0200 > v
2011-04-10 14:20:53+0200 > lkl pour lancer le keylogger qui contient :
2011-04-10 14:21:08+0200 > <Del>
2011-04-10 14:21:32+0200 >
2011-04-10 14:21:34+0200 >
2011-04-10 14:21:35+0200 > Et lklk pour le kill qui contient :
2011-04-10 14:21:46+0200 >
2011-04-10 14:21:46+0200 > v
On vois que le log a un mauvais codage sur "été", il faut sûrement utiliser un keymap French http://code.google.com/p/logkeys/wiki/Keymaps
En tout cas merci pour m'avoir fait découvrir se logger, vais pouvoir faire des blagues à mes potes sous unix lol
Bonjour,
Alors moi dejà je bug aprés avoir télécharger les fichiers compressés, ca veut pas se mettre en route, quelqu'un aurait-il une explication étape par étape à me donner??
Soyez sympa! :'(
Merci d'avance!
@Bewell : Tu peu lire le fichier INSTALL, tout y est indiquer.
Bonjour,
pareil que Bewell, je télécharge le fichier compressé et je le dézippe au plus simple sur le bureau.
J'ai lu le fichier INSTALL et j'ai suivi les explications mais il me dit que le fichier est introuvable...
que dois-je faire ?
Merci d'avance pour la réponse !
Je complète mon précédent message, voilà ce que j'obtiens, quel que soit l'endroit où j'enregistre le fichier...
tar: logkeys-0.1.1a.tar.gz : la fonction open a échoué: Aucun fichier ou dossier de ce type
tar: Erreur non récupérable : arrêt du traitement
tar: Child returned status 2
tar: Arrêt avec code d'échec à cause des erreurs précédentes
@Corinne : essai la version logkeys-0.1.0
La version 0.1.1a ne fonctionne pas chez moi.
@Fugitif : j'ai essayé, c'est pareil. Faut-il enregistrer le fichier à un emplacement précis ?
@Corinne : non tu l'enregistre ou tu veut, par contre il te faut de quoi le décompresser.
Tu a bien tar , gzip et bzip2 d'installer sur ta machine ?
Sinon essai un nouveau téléchargement. L'archive est peu être corrompue.
@Fugitif
j'ai bien de quoi le décompresser, pas de soucis...
j'ai réessayé de le télécharger à nouveau mais je ne trouve que le lien du site officiel pour le faire.
Je suis plutôt débutante en manip sous Linux...Quand j'ouvre le terminal, j'ai ça :
corinne@corinne-desktop:~$
je tape sudo -s
il me demande [sudo] password for corinne
je tape le mot de passe et j'obtiens
root@corinne-desktop:~#
est-ce que tout ça est bon ?
Merci beaucoup pour les réponses en tout cas !
@Corinne : La version qu'il faut prendre est celle ci http://code.google.com/p/logkeys/downloads/detail?name=logkeys-0.1.0.tar.gz&can=2&q=
Ensuite tu suis le tuto de tux-planet pour le compiler.
Si tu à un problème lis le fichier INSTALL
$ tar xvzf logkeys-0.1.0.tar.gz # to extract the logkeys archive
$ cd logkeys-0.1.0/build # move to build directory to build there
$ ../configure # invoke configure from parent directory
$ make # make compiles what it needs to compile
( become superuser now ) # you need root to install in system dir
# make install # installs binaries, manuals and scripts
Comment fait-on pour supprimer Logkeys proprement?
Suffit-il d'effacer dans le bin llk et llkk, les .sh dans etc, ainsi que le fichier de log? Ou il y a d 'autres fichiers installés?
Merci
@pel : make uninstall is your friend !
moi le pb que j'ai c'est que tout est bien installé mais il ne log pas.
J'ai les dates et els heures mais j'ai pas ce qui a été tapé
Je pige pas :s
@bewell : Essai avec la keymap fr
Modifie dans lkl
logkeys --start
en
logkeys --start --keymap=/home/chemin_vers/logkeys/fr.map
Ton clavier est bien en français ?
oui il est bien en francais et g le fichier fr.map
voila ce qu'il me dit :
julie@julie-linux:~$ logkeys: Another process already running? Quitting. (/var/run/logkeys.pid): File exists
@bewell : Tu à déjà un processus en route, voilà pourquoi il ne redémarre plus.
Tape lklk pour le stopper puis relance le.
@Fugitif : J'ai tout bien décompilé et installé.
Pareil que quelqu'un au dessus, je n'ai aucun log qui s'écrit, seulement les heures d'ouverture et de fermeture tu programme.
J'ai dirigé logkeys vers un keymap en français (le keymaps que j'avais dans le dossier d'un autre keylogger : LKL) qui est situé dans un dossier sur mon bureau. Soit :
sudo logkeys --start --keymap=/home/jeremy/Bureau/lkl/keymaps/fr_km --device=/dev/input/event4
Et j'ai en réponse :
logkeys:/home/jeremy/Bureau/lkl/keymaps/fr_km:1: Line too long!
Du coup j'ai essayé de choper des keymaps sur le net, mais je n'en trouve pas du tout. Ensuite j'ai essayé de faire :
sudo logkeys --start -m fr.map --device=/dev/input/event4
Mais fr.map n'hexiste pas, ni french.map, ni plein d'autres trucs dans le genre que j'ai essayé au pif (fr_key.map ; fr.key.map.....)
Du coup je suis bloqué et j'en vient à votre aide
Cordialement
@Stand : la keymap est sur le site officiel en bas de page http://code.google.com/p/logkeys/wiki/Keymaps
Je l'ai d'ailleurs indiquer sur le 3ème commentaires.
Perso j'ai modifier le script bash lkl qui permet de lancer logkeys comme ceci :
#!/bin/bash
logkeys --start --keymap=/home/fugitif/logkeys/fr.map
@Fugitif : Merci beaucoup. J'ai foutu le fr.map dans le dossier logkeys sur mon bureau. D'où la commande suivante :
sudo logkeys -s --keymap=/home/jeremy/Bureau/logkeys-0.1.1a/fr.map --device=/dev/input/event4
Qui certe ne me retourne pas de message d'erreur, mais par contre ça ne change rine : je n'ai toujours rien d'écrit dans mon logkeys.log...
Merci de se pencher sur ce souci !
@Stand : Essai de supprimer --device=/dev/input/event4 en principe logkey trouve tout seul.
Tu utilise bien la version stable 0.1.0 et non la alpha ?
Chez moi la version alpha ne fonctionne pas. Encore une chose que j'ai dit dans mes commentaires.
bon j'ai réussi a tout faire fonctionner, le seul probleme c'est qu'il prend pas en compte le pad numérique. je vois pas...
@bewell : @bewell : Tu à essayer avec la keymap Fr ?
Bonjour,
si je me loggue en SSH, cela va-t-il égaler logguer les frappes de la session ?
bonjour moi j'ai un souci je tate encore pas trop sur linux et quand je tape la premiere commande pour l'installer sa marche puisque que sa ma dit install avec un decompte. mais apres quand je veux taper le deuxieme avec logkey start voila se que sa me marque madine@madine-Amilo-Si-1520:~$ logkeys --start --device=/dev/input/event4
Got r00t?
et quand je veux mettre celui de var log etc pour voir le le keylogger fonctionne voila se que sa me marque madine@madine-Amilo-Si-1520:~$ tail -f /var/log/logkeys.log
tail: impossible d'ouvrir «/var/log/logkeys.log» en lecture: Aucun fichier ou dossier de ce type
merci si vous pouvais m'aider parce que je commprend pas pourquoi sa fait sa en plus j'ai vue que des fois il faut adapter les chemins par rapport a la config sauf que la sa deviens du chinois pour moi merci d'avance en tous cas
normal que ça marche pas chez toi tu oublies de passer root avec "sudo" et la deuxième ne marche pas car il ne crée donc pas le fichier sans se lancer.
Par contre j'ai un autre problème, je tape logkeys -s -m /home/user/fr.map et comme device je met l'event 3 car c'est celui qui correspond à mon clavier et lorsque je l'arrête et que je regarde le log il n'y a strictement rien dans le fichier. Des idées?
P.S. je sais plus si il faut un retour dans le terminal quand on tape la commande pour le lancer mais moi j'ai rien
@evangelion : Pareil, logkeys semble fonctionner, j'ai capté les commandes, mais j'ai absolument rien dans le fichier cible ou tout est sensé etre enregistré. Meme lorsque je le change : logkeys -o Spy par exemple, le fichier " spy " se créer mais rien dedans. Je l'ouvre avec GEDIT en admin.
J'uilise la commande U pour clavier par défaut
donc : Logkeys -s -d event4 -u -o spy
voilà la commande qui marche chez moi :
et se lance directement au démarrage puisque j'ai édité mon rc.local (je suis plus sur depuis le temps)
sudo logkeys -s -m /home/user/fr.map -o /home/user/logkeys.log --device=/dev/input/event3
essaye de l'utiliser et de modifier éventuellement le nom et l'emplacement du fichier de sortie
P.S. depuis le temps le mien marche toujours
@evangelion : Merci : pareil ça semble fonctionner mais rien dans le fichier cible "logkeys". Comment tu l'ouvres ? j'utilise sudo gedit /home/user/logkeys.log
une autre question peut etre, quand je ferme le terminal il me dis " fermer le procéssus actif dans le terminal ? " peut etre y a t'il une facon de fermer le terminal ?
Pour avoir quelque chose d'enregistré dans le log essaie différents numéros d'event chez moi cela va de 0 à 11 et le 3 correspond au clavier de mon portable
Pour ouvrir j'utilise plutôt le clic droit -> ouvrir en admin et je tape le pass mais ta commande devrait marcher
Pour le daemon en arrière plan, soit tu le lance avec la commande dans les applications au démarrage, soit comme moi tu édite ton rc.local parce que sinon en fermant le terminal tu vas fermer logkeys (à moins que je me trompe et que tu ne m'induise en erreur en faisant sudo -s plutôt qu'au début de ta commande de taper sudo)
@evangelion : j'ai taper ta commande. Donc en fermant le terminal je ferme logkeys... quelle est donc ce que tu écris dans le rc local ? ( dsl je suis assez débutant ! )
Bonjour
logkeys -k
logkeys -s -m /home/maxime/fr.map -o /home/maxime/logkeys.log --device=/dev/input/event3
exit 0
c'est la partie de mon rc.local qui se trouve en dessous des #
j'ai une commande qui tue le daemon potentiellement actif (chez moi j'ai eu un bug et il le lançait en double pour je ne sais quelle raison donc pour être sûr je le tue avant de le lancer pour éviter qu'il enregistre toutes les frappes en double) et une qui lance celui qui s'ouvre au démarrage avec les paramètres que je t'ai déjà indiqués plus haut évidemment, il faut remplacer par l'event et l’emplacement du fichier qui correspond.
Bon espionnage
Bonjour
logkeys -k
logkeys -s -m /home/maxime/fr.map -o /home/maxime/logkeys.log --device=/dev/input/event3
exit 0
c'est la partie de mon rc.local qui se trouve en dessous des #
j'ai une commande qui tue le daemon potentiellement actif (chez moi j'ai eu un bug et il le lançait en double pour je ne sais quelle raison donc pour être sûr je le tue avant de le lancer pour éviter qu'il enregistre toutes les frappes en double) et une qui lance celui qui s'ouvre au démarrage avec les paramètres que je t'ai déjà indiqués plus haut évidemment, il faut remplacer par l'event et l’emplacement du fichier qui correspond.
Bon espionnage
Bonjour,
Ca marche nickel après 2/3 problèmes enfin réglés. Lorsque j'effectue la commande en root tail -f /var/log/logkeys.log , il m'affiche bien les log mais losque je coupe le pc et que je rallume il n'a plus les log de la précédente cession. Sont-ils stockés quelque part?
Merci d'avance
Bonsoir,
là ou tu as demandé qu'ils s'enregistrent: chez moi ça correspond à cette partie de la commande
"-o /home/maxime/logkeys.log" si tu ne mets rien c'est le répertoire par défaut: /var/log/logkeys.log
pour le lire utilise: sudo gedit /var/log/logkeys.log du moins ça marche pour moi :p
Bonne soirée
Bonsoir,
ca marche aussi pour moidonc tout bon!!!
Bonne soirée
Salut tout le monde, moi tout fonctionne parfaitement par contre j'ai un problème de KEYBOARD il keylog les touches tapées mais m'affiche les mauvais caractère et ça c'est certainement du a une mauvaise configuration du .map, mais comment fait on alors???