Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 189
    Points : 110 220
    Points
    110 220

    Par défaut Opération Windigo : des milliers de serveurs Linux infectés

    Opération Windigo : des milliers de serveurs Linux infectés,
    « plus de 35 millions de pourriels sont envoyés chaque jour » selon ESET

    Une équipe de l’éditeur d’antivirus ESET en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité ont mis le doigt sur une vaste campagne d’attaques cybercriminelles enclenchée depuis 2011. Baptisée Windigo, la campagne avait pour objectif d’attaquer les serveurs UNIX. Un choix stratégique qui peut se comprendre si on prend en considération le fait que plus de 60% des sites web sont hébergés sur des serveurs de ce type.

    Dans le mode opératoire, une fois le serveur contaminé, il participe au transit d’une grande quantité de spam. Selon le rapport, « il est intéressant de noter que la menace varie en fonction du système d’exploitation de l’utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d’iPhone, quant à eux, sont redirigés vers des contenus pornographiques. ». ESET note par ailleurs que plus de 700 serveurs Web dirigent actuellement les internautes vers du contenu malveillant.

    « Depuis 2 ans et demi, Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs, sans être détecté par la communauté d’experts en sécurité » constate Marc-Etienne Léveillé, chercheur en sécurité chez ESET. « Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »


    Afin de compromettre les serveurs, les hackers ont eu recours à une backdoor OpenSSH dénommée Ebury qui a dû être installée manuellement par des cybercriminels. Il n'y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d'une mauvaise configuration des serveurs, ou d'un système d'authentification trop léger.
    ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
    Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d’exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées.

    Il est recommandé d’intégrer des solutions d’authentification forte pour garantir un meilleur niveau de protection. « Nous sommes conscients que formater votre serveur et repartir de zéro est un traitement radical. Mais, si des hackers sont en possession d’un accès distant à vos serveurs suite au vol de vos identifiants administrateur, il ne faut prendre aucun risque. » explique Marc-Etienne Leveillé. « Malheureusement, certaines victimes avec qui nous sommes en contact savent qu’elles sont infectées mais n’ont pour l’instant rien fait pour nettoyer leurs systèmes mettant ainsi en danger toujours plus d’internautes. »

    « Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé

    Source : blog ESET

    Et vous ?

    En avez-vous été victime ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Inscrit en
    juin 2010
    Messages
    519
    Détails du profil
    Informations forums :
    Inscription : juin 2010
    Messages : 519
    Points : 458
    Points
    458

    Par défaut

    Epic Fail

  3. #3
    Membre expert Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    997
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 997
    Points : 3 580
    Points
    3 580

    Par défaut

    Je comprends pas ce que fait la commande, partant de là, sans explication, ça me semble simplement là pour faire peur.

    J'ai balancé la commande : « infected », je fais fait une mise à jour du système ça passe à « clean ». Moi pas comprendre.

    Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé
    Quelques minutes pour formater et réinstaller un serveur, il est vachement drôle ce type... Si t'as la fibre peut-être (et encore). Perso, si j'ai a le faire sur mon serveur, pour renvoyer le backup j'en ai pour au moins 3 semaines pour tout ré-uploder. Et au moins plus que quelle quelques minutes pour remonter toute la config.

  4. #4
    Membre actif
    Homme Profil pro
    Informaticien
    Inscrit en
    juin 2004
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gers (Midi Pyrénées)

    Informations professionnelles :
    Activité : Informaticien
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : juin 2004
    Messages : 173
    Points : 298
    Points
    298

    Par défaut

    L'option -G n'est pas reconnue par ma debian 6
    La page de man n'y fait pas référence non plus.


    oups je viens de comprendre. (pas bien réveillé ce matin).
    donc le backdoor ce serait l'option -G qui serait rajoutée.

  5. #5
    jmv
    jmv est déconnecté
    Membre confirmé Avatar de jmv
    Profil pro
    professeur
    Inscrit en
    mai 2004
    Messages
    384
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : professeur

    Informations forums :
    Inscription : mai 2004
    Messages : 384
    Points : 557
    Points
    557

    Par défaut

    Message effacé, voir plus bas pourquoi.

  6. #6
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    novembre 2005
    Messages
    26
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2005
    Messages : 26
    Points : 20
    Points
    20

    Par défaut

    "Sacré farceur !" pas si sûr...

    L'argument -G est effectivement inconnu.
    En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
    Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".

  7. #7
    Membre expert Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    997
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 997
    Points : 3 580
    Points
    3 580

    Par défaut

    Ce qui m'étonne c'est que quand j'ai testé « ssh -G » seul j'avais bien une réponse que cela n'existe pas (illegal).

    Édit : Ça n'a pas d'influence que le système soit en français ?

  8. #8
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    novembre 2005
    Messages
    26
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2005
    Messages : 26
    Points : 20
    Points
    20

    Par défaut

    C'est juste Zefling, cela signifie que ton ssh est sain.

    Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...

    Quant aux "Quelques minutes de votre temps", je pense qu'il parlait d'exécution de la commande, pas de la restauration d'un système infecté.

  9. #9
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 28

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 930
    Points
    3 930

    Par défaut

    En avez-vous été victime ?
    Même pas ! Entre la Hadopi qui me dit rien et mes serveurs qui sont clean je me dis que j'ai vraiment pas de chance
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  10. #10
    Membre expert Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    997
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 997
    Points : 3 580
    Points
    3 580

    Par défaut

    Citation Envoyé par Chrigou Voir le message
    C'est juste Zefling, cela signifie que ton ssh est sain.

    Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...
    Okay

    Au cas où, j'ai changé le mot de passe en doublant sa taille.

  11. #11
    jmv
    jmv est déconnecté
    Membre confirmé Avatar de jmv
    Profil pro
    professeur
    Inscrit en
    mai 2004
    Messages
    384
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : professeur

    Informations forums :
    Inscription : mai 2004
    Messages : 384
    Points : 557
    Points
    557

    Par défaut

    Salut,

    Citation Envoyé par Chrigou Voir le message
    "Sacré farceur !" pas si sûr...

    L'argument -G est effectivement inconnu.
    En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
    Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".
    Mea culpa je ne devrais jamais poster de message avant 10h ! pas réveillé !

    au regard de cette commande :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
    je me suis vraiment mélangé les pinceaux avec le retour de la commande grep et les opérateurs && et ||.
    C'est bien "System clean" qui est affiché si l'option -G n'existe pas, ce qui est normal. J'ai vraiment cru à un hoax malencontreusement relayé par developpez.com (ce que j'ai d'ailleurs trouvé étonnant).

    J'ai effacé mon 1er message pour éviter d'induire en erreur certains admins.

    a+
    jmv

  12. #12
    Futur Membre du Club
    Profil pro
    Inscrit en
    juillet 2007
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2007
    Messages : 4
    Points : 5
    Points
    5

    Par défaut @Zefling

    Bonjour,

    il me semble que la mise à jour de ssh sur ton serveur à peut-être supprimé la version corrompue (comprenant l'option -G).

    Cependant, comment savoir si un rootkit n'avait pas été installé et donc que lorsque tu as changé ton mot de passe, celui-ci n'a pas été transféré aux pirates à ton insu?

    Ceci est bien sur juste une réflexion, bien sûr.

    Affaire à suivre.

    Chez moi ssh -G renvoi bien un message d'erreur,
    pour l'instant...

  13. #13
    Membre averti
    Profil pro
    Inscrit en
    février 2008
    Messages
    337
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2008
    Messages : 337
    Points : 408
    Points
    408

    Par défaut

    Citation Envoyé par Mr_Exal Voir le message
    Même pas ! Entre la Hadopi qui me dit rien et mes serveurs qui sont clean je me dis que j'ai vraiment pas de chance
    Et tu n'es pas non plus passé sous un bus ?
    Oh décidément quelle poisse, je compatis.
    Il paraît que quelqu'un s'appelle Gloops, sur ce serveur.
    Je suis persuadé que c'est moi, il y a longtemps, et que j'ai oublié le mail et le mot de passe.

Discussions similaires

  1. Réponses: 12
    Dernier message: 18/05/2015, 14h38
  2. environnement de développement C++ entre un serveur LINUX et des clients windows
    Par abdo203 dans le forum Choisir un environnement de développement
    Réponses: 6
    Dernier message: 22/07/2011, 14h01
  3. Outil pour superviser des serveurs Linux
    Par yanis97 dans le forum Windows
    Réponses: 1
    Dernier message: 28/02/2009, 12h11
  4. Générer des core dump sur serveur linux
    Par Joyus dans le forum Linux
    Réponses: 1
    Dernier message: 14/10/2007, 13h19
  5. Sauvegarde automatisée des données dans un serveur linux
    Par k_slater dans le forum Administration système
    Réponses: 2
    Dernier message: 21/11/2006, 14h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo