Discussion :

[yonisolo]

Pour ma part je vais résumer ce qui a déjà été dit... Exécuter un binaire non testé en root sur une machine de prod sans backup, faut être une buse, et c'est valable pour n'importe quel système!!! Ou alors il s'appelle Denis Nedry, ou c'est un chinois du FBI, ou comme l'a fait remarquer un membre, le créateur du logiciel qui en veut à son patron!!

[Tryph]

Le système demande alors de payer un seul bitcoin pour déverrouiller les fichiers.

quand j'ai lu ça, probablement influencé par la tournure de phrase, je me suis d'abord dit "ça va c'est pas cher, du coup ça va peut être marcher, les gens vont pas se prendre la tête, pour un seul bitcoin, il vont payer et l'auteur va se faire du fric". et puis j'ai cherché la valur d'un bitcoin: plus de 300€. ça fait quand même une petite somme.

---

quant au "bien fait pour lui, le sysadm qui ne mérite plus de l'être" c'est oublier que -justement- tous les utilisateurs de Linux ne sont pas des professionnels expérimentés, un peu comme sous Windows finalement, ce qui revient à dire "tant mieux pour ceux qui connaissent l'informatique et bien fait pour les autres" ? comme c'est charmant mais vu la pertinence technique des réponses vous pourriez bien en faire partie un jour ou l'autre

quand on écoute les "anti-linux" d'habitude, ils nous disent que seuls les geek barbus et sales qui vivent reclus dans leur chambre mal rangée utilisent Linux parce que c'est totalement inutilisable pour le commun des mortels et même pour les mortels un poil au dessus du commun. (j'exagère à peine)
là tu nous expliques ce ransomware va s'en prendre aux pauvres utilisateurs de linux qui n'y connaissent pas grand chose en informatique, et du même coup, tu confirmes ce que beaucoup savent déjà: Linux n'est pas du tout réservé aux expert et est parfaitement utilisable par des néophites.
bref, merci

bon par contre y a un truc qui cloche dans ta prophécie, c'est que ce ransomware s'en prend aux serveurs web. et que y a pas des masses de néophytes qui gèrent des serveurs web.
enfin, peut être que ça existe. je n'en ai juste jamais entendu parler.

non ben j'assume, pour ça comme pour le reste je suis contre le droit à l'oubli, ça favorise trop les retours aux mêmes schémas, donc je maintiens; à tous les pseudo-intégristes pro-Linux, cette news devrait vous faire cogiter un peu... ou pas malheureusement

le droit à l'oubli me parait pourtant être une bonne chose. es-tu certain d'utiliser les bons mots pour faire passer ton "message"?

[ddrmax]

Question stupide: si le script de décodage est en PHP donc ça veux dire que le script de codage est en PHP aussi non, donc il se peux que si le programme et le PHP sont implantés via une faille d'Upload, le script PHP et au cas ou le CGI ne se trouvent ils pas exécutés avec les permissions du serveur PHP?

Aussi un script en PHP qui a l'autorisation de modifier les fichiers (Genre le type de permissions d'un wordpress ou d'un CMS de travail colaboratif) peux infecter uniquement via une version uniquement PHP du virus (il existe plusieurs scripts d'encription RSA pour PHP sans demander de modules extérieurs

Je dis juste ça du fait que la partie decryptage serai en PHP.

Donc en quoi il aurai besoin de droits root si son but n'est que la partie web du serveur?

EDIT après une petite recherche je vois que PHP réserve quelques surprises qui fait que de nouvelles menaces pèsent sur ceux qui ont des failles dans leurs module d'upload:
Un site peux devenir client TOR (et ainsi envoyer la clef vers un serveur C&C situé dans le network de l'oignon avec PHP TOR cURL
Un script peux faire de l'encryption RSA en PHP (tel que PHPseclib ou d'autres implémentations customs)
On pourait faire tenir un virus PHP avec les deux librairies en un seul fichier voir meme deleguer certaines taches au Serveur C&C (generation clef privée, gération du fichier texte selon la langue)

[Jarodd]

Sinon, l'autre solution est d'avoir des sauvegardes (suivant la règle du 3-2-1), et de réinstaller le système en supprimant les données vérolées

[BufferBob]

du même coup, tu confirmes ce que beaucoup savent déjà: Linux n'est pas du tout réservé aux expert et est parfaitement utilisable par des néophites.
bref, merci

oh ben de rien, ça m'a juste valu la ire générale (je cherche encore le smiley qui fait un bras d'honneur avec un large sourire mais je trouve pas, tant pis), faut croire que c'était totalement inadmissible comme propos

bon par contre y a un truc qui cloche dans ta prophécie, c'est que ce ransomware s'en prend aux serveurs web. et que y a pas des masses de néophytes qui gèrent des serveurs web.
enfin, peut être que ça existe. je n'en ai juste jamais entendu parler.

j'ai rien prophétisé du tout, en revanche des néophytes qui gèrent un serveur web y'en a pleins (tu crois que les vps à 3€ c'est pour les entreprises ou les admins pro ?), tu le dis toi-même beaucoup savent déjà que Linux n'est pas réservé aux experts, pour finir de s'en convaincre il suffirait de parcourir le forum Linux/Apache j'imagine, sans parler du fait que même un utilisateur expérimenté n'est pas à l'abri d'un shellshock au moment de sa sortie par exemple

le droit à l'oubli me parait pourtant être une bonne chose. es-tu certain d'utiliser les bons mots pour faire passer ton "message"?

oui tu as raison je ne faisais pas référence à ce droit à l'oubli là, à ma décharge la seconde partie de la phrase pouvait probablement aider à comprendre le sens sans trop d’ambiguïté

je parlais du fait qu'en parcourant ces forums et particulièrement les forums d'actu, on peut encore souvent lire des trucs de ce genre "haha la faille dans windows, moi je suis tranquille, je suis sous Linux", et que dans certains cas lorsqu'on fait valoir à ces personnes que ce qu'elles disent est faux s'en suit un troll pour/contre, et pendant ce temps les mentalités ne décollent pas, dans l'esprit des gens le hacker reste un pirate, linux reste mieux que windows parcequ'il est plus sécurisé, il n'y a pas de virus sous linux etc.

alors je veux bien qu'on me dise que les gens ne sont pas si stupides, que beaucoup savent faire la différence etc. mais quelque chose me fait penser que c'est en fait très optimiste :

L’un des arguments justifiant l’adoption de Linux par rapport aux autres plates-formes est sans doute la sécurité, et les entreprises l’ont clairement exprimé avec un taux de 75%.
(...)
75% des utilisateurs trouvent que Linux est plus sécurisé

[Aiekick]

ce qui est intéressant avec cette news n'est pas un comparatif linux / windows en terme de cochonneries. arrêtons les débats stériles svp.

S'il y a un intérêt économique a cibler une plateforme alors elle y passera forcemment.

d'habitude la cible ce sont les madame michues de masse ( cad tout ceux qui ont un ordi parce que c'est coo;l et ne veulent pas savoir comment ca marche et donc protection absente)

Sachant que "95%" des serveurs linux hébergent des sites web et sachant que moult sociétés ne protègent pas bien leur systeme, parce un serveur très sécurisé ça a un cout en install et en maintenance,
les service qui vont autour coutent cher, et ils se disent aussi pourquoi eux après tout ???

Que se soit linux ou windows quand on veut entrer on fini par trouver un moyen, et la, la cible est un intérêt économique colossal.
Mais donc ce sera forcement un processus de pénétration de haute volée par rapport a ce qu'on trouve habituellement, donc des pirates surement plus pro que d'habitude et donc il va falloir faire très attention.

[Aiekick]

qu'est qu'on en sait que linux est plus sécurisé, on en parle pas et les société le prennent parce que c'est gratos et que les virus ne ciblent pas trop linux par rapport a windows.

je suis pas certain que linux ne soit pas trop ciblé juste parce qu'il est plus sécurisé, c'est plutôt que les utilisateurs particuliers y sont très peu.

la justement la cible ce n'est pas les particuliers mais les sociétés, les admin n'ont pas l’habitude de faire la guerre, ils sont donc sous armés et donc très vulnérable.

la fiabilité de l'os ne suffira surement pas.

[bretus]

la justement la cible ce n'est pas les particuliers mais les sociétés, les admin n'ont pas l’habitude de faire la guerre, ils sont donc sous armés et donc très vulnérable.

La cible, ce sont les développeurs qui ne font pas des backup de leurs codes. Une société sérieuse subit une attaque pareille :
- Recherche de l'origine de l'infection
- Suppression et réinstallation de la VM à partir d'un backup

Sur l'origine de l'infection, je pense que ça peut être un peu plus fourbe que "installer sur son serveur le virus avec les droits administrateurs". Ça, il n'y pas grand monde d'assez bête pour le faire. Je me méfierais plutôt des attaques visant des postes de développeurs qui ont des accès en déploiement à des serveurs. Si les gars n'ont pas de backup, ils n'ont pas de paraphrases sur leurs clés SSH et sont capables de sauvegarder les mots de passe des FTP donnant accès aux serveurs.

Après, dans les deux cas, tu peux cibler des développeurs sous windows et linux sans même avoir besoin d'une élévation de privilège. Tout ça pour dire, qu'on soit sur windows ou linux, la première règle est toujours la même : N'exécutez pas n'importe quoi. La deuxième, ce serait d'appliquer la loi de Murphy : Sachant que je vais finir par exécuter une saloperie, comment je limite la casse (backup, paraphrase sur clé SSH, etc.)?

Bon, sur ce, je m'en vais écrire un super outil libre de backup pour la communauté des développeurs

[Christ D]

Logiquement pour que ceci puisse se produire, il faut :
1) se logger root
2) être sur lme bureau linux (gnome ou autre) en tant que root

3) naviguer, là ou il ne faut pas.

4)probablement avoir désactiver SELINUX

Déjà sous ubuntu, on ne peut pas se logger en tant que root (à moins de modifier des fichiers systèmes de sécurité)
Et sous Fedora et consort, on ne peut pas lancer un bureau en étant root (sauf à modifier les fichiers de paramétrage de sécurité)
Pour SELINUX, il faut éditer le fichier de config

Bref, pour que tout cela arrive il faut
1) s'y connaitre suffisamment pour avoir réussi à désactiver toutes ces sécurités
2) avoir fait une énorme boulette en navigant en tant que root sur des sites malveillants

Bref pour arriver dans cette situation, il faut quand même le vouloir, s'y connaitre et le chercher : probabilité : 0,5% et encore

Vive putty, sudo et selinux !

[ddrmax]

Logiquement pour que ceci puisse se produire, il faut :
1) se logger root
2) être sur lme bureau linux (gnome ou autre) en tant que root

3) naviguer, là ou il ne faut pas.

4)probablement avoir désactiver SELINUX

Déjà sous ubuntu, on ne peut pas se logger en tant que root (à moins de modifier des fichiers systèmes de sécurité)
Et sous Fedora et consort, on ne peut pas lancer un bureau en étant root (sauf à modifier les fichiers de paramétrage de sécurité)
Pour SELINUX, il faut éditer le fichier de config

Bref, pour que tout cela arrive il faut
1) s'y connaitre suffisamment pour avoir réussi à désactiver toutes ces sécurités
2) avoir fait une énorme boulette en navigant en tant que root sur des sites malveillants

Bref pour arriver dans cette situation, il faut quand même le vouloir, s'y connaitre et le chercher : probabilité : 0,5% et encore

Vive putty, sudo et selinux !

Comme je ça a été expliqué, le rançonware s'attaque juste au site web et jusqu'a preuve du contraire il n'y a pas de bureau sur un serveur linux (sauf cas exceptionnel) et en plus tu visites pas de sites internet avec ton serveur directement, même pour worpress il demande confirmation avant de télécharger une maj même de sécurité (sauf si tu autorise une tache cron ou en auto quand quelqu'un visite le dit wordpress.
De plus du fait que seul le répertoire web soit infecté (c'est ce que j'ai compris en lisant l'article) le virus n'a pas besoin de root pour s’exécuter, pour moi il se lance avec les autorisations de PHP qui est souvent un utilisateur crée pour l'occasion comme l'utilisateur "apache" pour apache ou "nobody" pour les autres, lancer apache avec les droits root c'est digne d'un imbécile.
Pour info le user apache n'a access en écriture qu'au webroot directory (souvent /www) et son dossier d'installation. le seul point faible d'un serveur LAMP a été est sera toujours MySQL (a cause des droits root par défaut du bouzin pour pouvoir ajouter de lui même les cron d'optimisation si on ne modifie pas son comportement par défaut (user root par défaut en exécution))

Pour finir, tes arguments ne son pas valides et pense aussi a lire entre les lignes et a revoir en profondeur le fonctionnement de Linux

Ps: je suis pas un pro de linux, ni même des systeme de type LAMP/WAMP, mais mon peu d'expériences et quelques lectures me font penser que j'en connais des fois même plus que de vrais linux users

PS2: j'ai juste une debian seveur sur un raspebery PI B+ et un raspbian sur un raspberry Pi 2 B et une vielle bicoque en Pentium 4 sous Crux.

[BufferBob]

dites, et un rootkit c'est dangereux ?

parcequ'il faut le lancer en root bien souvent, qui aurait l'idée de lancer un rootkit en root franchement
pire encore; qui aurait l'idée de rajouter un module kernel qu'il ne connait pas du tout hein ?

vu sous cet angle un rootkit c'est pas dangereux finalement, aucune chance d'en voir sur des machines Linux ou alors les gens le font exprès, pas vrai ?

[chrtophe]

Si c"est linux encoder, il y a une solution :
http://labs.bitdefender.com/2015/11/...ncryption-key/

[Squisqui]

vu sous cet angle un rootkit c'est pas dangereux finalement, aucune chance d'en voir sur des machines Linux ou alors les gens le font exprès, pas vrai ?

Ce n'est pas le malware qui est intéressant. C'est son mode d'infection qui fait sourire.
Des serveurs Linux, Unix, Windows, il en tombe tous les jours principalement par l'exploitation d'un service potentiellement mal configuré, d'une faille 0day ou tout simplement la version d'un service obsolète (les skiddies, faut tous les brûler). Là nous sommes en présence d'un malware qui demande à l'administrateur de l'installer lui-même. Il ne s'agit absolument pas de technique, mais d'un peu d’ingénierie sociale... Or la première chose qui est appris en terme de sécurité sur un serveur est de ne jamais exécuter quoique soit sans s'assurer de son fonctionnement réel. Ça pourrait servir à un débutant en administration qui tombe dans le panneau avant de ne plus jamais se faire avoir (Dieu sait qu'ils sont nombreux de part l'accessibilité de Linux). Mais pour un professionnel, ça me semble impardonnable. La supercherie doit être conçu sur mesure pour l'administrateur à piéger. À partir de là, on se doute tout de suite que le pouvoir de propagation de ce malware est très faible.

Le malware pourrait s'appliquer aux desktops, mais la première chose appris par les nouveaux utilisateurs Linux est la nouvelle façon d'installer des logiciels. La seconde, c'est que installer un programme tiers absent des dépôts officiels à de forte chance d'être une plaie à installer et à maintenir surtout lorsqu'il est propriétaire. La méthode est donc évitée comme la peste.

[niuxe]

Exécuter un bin en tant que root sans connaître la provenance, chapeau bas à cet utilisateur.... Avec les dépots Suse, Debian,etc., il y a de quoi faire.

Le malware pourrait s'appliquer aux desktops, mais la première chose appris par les nouveaux utilisateurs Linux est la nouvelle façon d'installer des logiciels. La seconde, c'est que installer un programme tiers absent des dépôts officiels à de forte chance d'être une plaie à installer et à maintenir surtout lorsqu'il est propriétaire. La méthode est donc évitée comme la peste.

Surtout qu'il est souvent précisé pour les nouveaux sur Linux de toujours se fier aux dépots officiels et connus de la communauté.

[BufferBob]

Ce n'est pas le malware qui est intéressant. C'est son mode d'infection qui fait sourire. (...) Là nous sommes en présence d'un malware qui demande à l'administrateur de l'installer lui-même.

Exécuter un bin en tant que root sans connaître la provenance, chapeau bas à cet utilisateur....

mais où est-ce que vous avez lu qu'il fallait une intervention manuelle de la part de l'admin de la machine pour que le programme fasse sa sauce ?

tout ce qu'on nous dit c'est que le programme "nécessite les droits d'admin pour s'exécuter", par ailleurs l'article originel semble dire que "il est possible que le machin exploite une vuln critique sur Magento"
ça ne veut pas dire "l'admin doit être derrière pour lancer le malware", ça veut dire "on en sait rien, on a repéré un nouveau malware, on pense qu'il déboule sur le système via un exploit sur Magento, et pour l'escalade de privilèges on ne sait pas", on parle ici d'un encodeur, un malware local, pas de son mode de propagation justement

sérieusement, le gars s'est cassé l'oignon à coder un encodeur de fichiers en C, à trifouiller des clés asymétriques et de l'AES, pour à l'arrivée simplement faire du SE sur l'admin ?? c'est prendre les gars qui codent ces malwares pour plus bêtes qu'ils sont

les skiddies, faut tous les brûler

tu m'étonnes, heureusement sur ce forum on est entre connaisseurs.

ps: du coup, les admins Magento, ça rentre pas dans la catégorie "admins professionnels" j'imagine

[Aiekick]

a lire tous ces post je me dit que les utilisateurs linux pensent que la seule faille imaginable sur un systeme linux soit l'homme.

Autant sur windows, ya des trojan, des backdoor, des failles zero days a tout va mais linux ca viens forcement de l'homme.

les gars réveillez vous, une élévation de privilège sur linux peux ce faire autrement que manuellement...

ce reviens a ce que je disais plus haut, pas l'habitude de faire la guerre, donc sous armé. les illusions on remplacé le bon sens

[mikedafunk]

Eh ben voilà, le problème venait d'un CMS payant, et le rançongiciel n'avait pas besoin d'avoir les droits root pour être exécuté : http://www.developpez.com/actu/92562...es-Doctor-Web/

[ddrmax]

donc tout ce dont j'avais parlé du fait que le besoin du droit root était bizarre est que l'infection était limité du fait du lancement en user limité était donc bon et aussi le fait que l'infection n'est pas du fait d'une mauvaise manip du webmaster mais bien d'une faille d'Upload montre que j'avais raison sur toute la ligne

[Algo D.DN]

[HS]
Un rançongiciel Linux s’attaque aux webmasters... heu, et si on lui dit couché! il attaque quand même...?
[/HS]