IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Opération Windigo : des milliers de serveurs Linux infectés


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 439
    Points
    196 439
    Par défaut Opération Windigo : des milliers de serveurs Linux infectés
    Opération Windigo : des milliers de serveurs Linux infectés,
    « plus de 35 millions de pourriels sont envoyés chaque jour » selon ESET

    Une équipe de l’éditeur d’antivirus ESET en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité ont mis le doigt sur une vaste campagne d’attaques cybercriminelles enclenchée depuis 2011. Baptisée Windigo, la campagne avait pour objectif d’attaquer les serveurs UNIX. Un choix stratégique qui peut se comprendre si on prend en considération le fait que plus de 60% des sites web sont hébergés sur des serveurs de ce type.

    Dans le mode opératoire, une fois le serveur contaminé, il participe au transit d’une grande quantité de spam. Selon le rapport, « il est intéressant de noter que la menace varie en fonction du système d’exploitation de l’utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d’iPhone, quant à eux, sont redirigés vers des contenus pornographiques. ». ESET note par ailleurs que plus de 700 serveurs Web dirigent actuellement les internautes vers du contenu malveillant.

    « Depuis 2 ans et demi, Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs, sans être détecté par la communauté d’experts en sécurité » constate Marc-Etienne Léveillé, chercheur en sécurité chez ESET. « Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »


    Afin de compromettre les serveurs, les hackers ont eu recours à une backdoor OpenSSH dénommée Ebury qui a dû être installée manuellement par des cybercriminels. Il n'y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d'une mauvaise configuration des serveurs, ou d'un système d'authentification trop léger.
    ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
    Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d’exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées.

    Il est recommandé d’intégrer des solutions d’authentification forte pour garantir un meilleur niveau de protection. « Nous sommes conscients que formater votre serveur et repartir de zéro est un traitement radical. Mais, si des hackers sont en possession d’un accès distant à vos serveurs suite au vol de vos identifiants administrateur, il ne faut prendre aucun risque. » explique Marc-Etienne Leveillé. « Malheureusement, certaines victimes avec qui nous sommes en contact savent qu’elles sont infectées mais n’ont pour l’instant rien fait pour nettoyer leurs systèmes mettant ainsi en danger toujours plus d’internautes. »

    « Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé

    Source : blog ESET

    Et vous ?

    En avez-vous été victime ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 987
    Points
    987
    Par défaut
    Epic Fail

  3. #3
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 168
    Points : 4 654
    Points
    4 654
    Par défaut
    Je comprends pas ce que fait la commande, partant de là, sans explication, ça me semble simplement là pour faire peur.

    J'ai balancé la commande : « infected », je fais fait une mise à jour du système ça passe à « clean ». Moi pas comprendre.

    Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé
    Quelques minutes pour formater et réinstaller un serveur, il est vachement drôle ce type... Si t'as la fibre peut-être (et encore). Perso, si j'ai a le faire sur mon serveur, pour renvoyer le backup j'en ai pour au moins 3 semaines pour tout ré-uploder. Et au moins plus que quelle quelques minutes pour remonter toute la config.

  4. #4
    Membre averti
    Homme Profil pro
    Informaticien
    Inscrit en
    Juin 2004
    Messages
    182
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gers (Midi Pyrénées)

    Informations professionnelles :
    Activité : Informaticien
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Juin 2004
    Messages : 182
    Points : 357
    Points
    357
    Par défaut
    L'option -G n'est pas reconnue par ma debian 6
    La page de man n'y fait pas référence non plus.


    oups je viens de comprendre. (pas bien réveillé ce matin).
    donc le backdoor ce serait l'option -G qui serait rajoutée.

  5. #5
    jmv
    jmv est déconnecté
    Membre confirmé Avatar de jmv
    Profil pro
    Enseignant
    Inscrit en
    Mai 2004
    Messages
    394
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Mai 2004
    Messages : 394
    Points : 591
    Points
    591
    Par défaut
    Message effacé, voir plus bas pourquoi.

  6. #6
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    Novembre 2005
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : Suisse

    Informations forums :
    Inscription : Novembre 2005
    Messages : 28
    Points : 36
    Points
    36
    Par défaut
    "Sacré farceur !" pas si sûr...

    L'argument -G est effectivement inconnu.
    En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
    Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".

  7. #7
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 168
    Points : 4 654
    Points
    4 654
    Par défaut
    Ce qui m'étonne c'est que quand j'ai testé « ssh -G » seul j'avais bien une réponse que cela n'existe pas (illegal).

    Édit : Ça n'a pas d'influence que le système soit en français ?

  8. #8
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    Novembre 2005
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : Suisse

    Informations forums :
    Inscription : Novembre 2005
    Messages : 28
    Points : 36
    Points
    36
    Par défaut
    C'est juste Zefling, cela signifie que ton ssh est sain.

    Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...

    Quant aux "Quelques minutes de votre temps", je pense qu'il parlait d'exécution de la commande, pas de la restauration d'un système infecté.

  9. #9
    Membre expert

    Développeur NTIC
    Inscrit en
    Janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 33

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    En avez-vous été victime ?
    Même pas ! Entre la Hadopi qui me dit rien et mes serveurs qui sont clean je me dis que j'ai vraiment pas de chance
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  10. #10
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 168
    Points : 4 654
    Points
    4 654
    Par défaut
    Citation Envoyé par Chrigou Voir le message
    C'est juste Zefling, cela signifie que ton ssh est sain.

    Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...
    Okay

    Au cas où, j'ai changé le mot de passe en doublant sa taille.

  11. #11
    jmv
    jmv est déconnecté
    Membre confirmé Avatar de jmv
    Profil pro
    Enseignant
    Inscrit en
    Mai 2004
    Messages
    394
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Mai 2004
    Messages : 394
    Points : 591
    Points
    591
    Par défaut
    Salut,

    Citation Envoyé par Chrigou Voir le message
    "Sacré farceur !" pas si sûr...

    L'argument -G est effectivement inconnu.
    En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
    Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".
    Mea culpa je ne devrais jamais poster de message avant 10h ! pas réveillé !

    au regard de cette commande :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
    je me suis vraiment mélangé les pinceaux avec le retour de la commande grep et les opérateurs && et ||.
    C'est bien "System clean" qui est affiché si l'option -G n'existe pas, ce qui est normal. J'ai vraiment cru à un hoax malencontreusement relayé par developpez.com (ce que j'ai d'ailleurs trouvé étonnant).

    J'ai effacé mon 1er message pour éviter d'induire en erreur certains admins.

    a+
    jmv

  12. #12
    Futur Membre du Club
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2007
    Messages : 4
    Points : 5
    Points
    5
    Par défaut @Zefling
    Bonjour,

    il me semble que la mise à jour de ssh sur ton serveur à peut-être supprimé la version corrompue (comprenant l'option -G).

    Cependant, comment savoir si un rootkit n'avait pas été installé et donc que lorsque tu as changé ton mot de passe, celui-ci n'a pas été transféré aux pirates à ton insu?

    Ceci est bien sur juste une réflexion, bien sûr.

    Affaire à suivre.

    Chez moi ssh -G renvoi bien un message d'erreur,
    pour l'instant...

  13. #13
    Membre chevronné
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 050
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 050
    Points : 2 087
    Points
    2 087
    Par défaut
    Citation Envoyé par Mr_Exal Voir le message
    Même pas ! Entre la Hadopi qui me dit rien et mes serveurs qui sont clean je me dis que j'ai vraiment pas de chance
    Et tu n'es pas non plus passé sous un bus ?
    Oh décidément quelle poisse, je compatis.

Discussions similaires

  1. Réponses: 12
    Dernier message: 18/05/2015, 14h38
  2. environnement de développement C++ entre un serveur LINUX et des clients windows
    Par abdo203 dans le forum Choisir un environnement de développement
    Réponses: 6
    Dernier message: 22/07/2011, 14h01
  3. Outil pour superviser des serveurs Linux
    Par yanis97 dans le forum Windows
    Réponses: 1
    Dernier message: 28/02/2009, 12h11
  4. Générer des core dump sur serveur linux
    Par Joyus dans le forum Linux
    Réponses: 1
    Dernier message: 14/10/2007, 13h19
  5. Sauvegarde automatisée des données dans un serveur linux
    Par k_slater dans le forum Administration système
    Réponses: 2
    Dernier message: 21/11/2006, 14h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo