+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    590
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 590
    Points : 12 205
    Points
    12 205

    Par défaut ESET découvre le malware Mumblehard après cinq ans d'infection des serveurs Linux et FreeBSD

    ESET découvre le malware Mumblehard après cinq ans d'infection des serveurs Linux et FreeBSD
    Ce spammeur pourrait être étendu à Windows

    Le cabinet de sécurité informatique ESET vient de mettre au grand jour un malware baptisé Mumblehard. Ce dernier a infecté des milliers de serveurs Linux et FreeBSD pendant la moitié d’une décennie en envoyant des messages indésirables à partir des machines infectées.

    C’est en cherchant à résoudre le problème d’un administrateur système dont le serveur avait été mis sur liste noire pour envoi de spams qu’ESET a découvert Linux/Mumblehard. En approfondissant les recherches, les techniciens ont pu s’apercevoir que Mumblehard qui est une famille de logiciels malveillants se présente sous deux composants.

    Le premier qui contient les adresses distantes des exécutables à télécharger est en fait une porte dérobée exécutant des requêtes vers le serveur de C&C. La seconde partie est un démon complet qui envoie des spams. Ces malwares ont pu jusque-là sévir en toute impunité à cause du fait que les deux parties qui sont codées en Perl ont été cachées à l’intérieur d’un binaire ELF d’environ deux instructions.

    Plus en détail, on constate que le composant qui agit comme une porte dérobée est chargé d’envoyer des requêtes aux serveurs C&C afin de demander des commandes et confirmer le succès de l’exécution. La seule commande qu’elle effectue en boucle est de télécharger l’adresse et de l’exécuter. Pour ce faire, le composant utilise un agent codé en dur semblable à celui utilisé par Firefox 7.01 tournant sur Windows 7. Il est de ce type:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
    Après avoir exécuté la commande, Mumblehard demande à chaque serveur C&C répertorié sur une liste si le fichier a été exécuté ou non. Cette opération est effectuée en intégrant les résultats dans l’agent qui se présentera comme suit après exécution des commandes.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/<command_id>.<http_status>.<downloaded_file_size> Firefox/7.0.1
    En ce qui concerne le second composant, il envoie des spams à partir des serveurs en utilisant un proxy générique. Il écoute les connexions entrantes sur le port TCP et envoie une notification au serveur C&C à partir de ce même port. À ce niveau, seules deux commandes peuvent être envoyées aux hosts infectés. Ce sont l’ajout d’adresses IP à la liste des ordinateurs déjà infectés et la création d’un nouveau tunnel TCP. Le serveur C&C quant à lui fonctionne avec le port 25.

    Pour un résumé du schéma d’exécution, on peut se référer au graphe ci-dessous.

    Nom : Linux-Mumblehard.jpg
Affichages : 6534
Taille : 123,2 Ko

    Il faut souligner que Mumblehard intègre des lignes de code compatibles uniquement avec les systèmes d’exploitation Linux, FreeBSD et Windows. Toutefois, le binaire ELF qui n’est pas compatible avec Windows ne pourra pas s’exécuter sur cette plateforme et donc l’infecter par ce moyen. Néanmoins, il n’est pas exclu que les scripts Perl soient utilisés sans le binaire EFL ou avec un binaire compatible Windows.

    Source : ESET News (pdf)

    Et vous ?

    Que pensez vous de ces attaques ?

    Qui pensez-vous peut en être l'auteur ?

  2. #2
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    494
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 494
    Points : 1 032
    Points
    1 032

    Par défaut

    Une véritable oeuvre d'art pour tout hacker qui se respecte. Un véritable calvaire à retirer pour tout hacker qui se respecte.

    Procédure d'épuration en cours et je dirai que l'(es)auteur(s) viennent du Darkweb.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre habitué Avatar de steel-finger
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    100
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 100
    Points : 162
    Points
    162

    Par défaut

    C'est même sur qu'ils viennent du DarkWeb.

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 304
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 304
    Points : 4 303
    Points
    4 303
    Billets dans le blog
    6

    Par défaut

    vous avez vus les vecteurs d'infection ?
    Citation Envoyé par le pdf
    Based on the server where we made the discovery and the list of systems we have identified as
    infected, there are two plausible infection vectors used to spread Mumblehard. The most popular
    vector seems to be the use of Joomla and Wordpress exploits. The other is through the distribution
    of backdoored "pirated" copies of a Linux and BSD program known as DirectMailer, software that
    Yellsoft sells on their website for $240. The pirated copies actually install the Mumblehard backdoor
    (described later) that allows the operators to install additional malware. More details about this
    method of distribution are given in the "Cracked" DirectMailer section.
    donc c'est soit des failles de cms soit on à été suffisamment stupide pour télécharger un logiciel par l'intermédiaire d'une société louche
    mais alors tout repose sur de mauvais choix humains

  5. #5
    Membre habitué Avatar de steel-finger
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    100
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 100
    Points : 162
    Points
    162

    Par défaut

    J'ai jamais eu ce problème, oui comme tu le dit je pense que les gens qui télécharge les thèmes cms ou autre plugin payant sur la warez ça ne peux que aidé le malware ou d'autre autre sorte d'exploit

  6. #6
    Membre expérimenté Avatar de nirgal76
    Homme Profil pro
    Autre
    Inscrit en
    septembre 2007
    Messages
    733
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Autre

    Informations forums :
    Inscription : septembre 2007
    Messages : 733
    Points : 1 451
    Points
    1 451

    Par défaut

    Que pensez vous de ces attaques ?
    Que malgré ce que l'ont nous rabâchent, les Linux/BSD ne sont pas plus sur qu'un autre OS, ils sont juste moins attaqués (par manque d'audience). Et que comme tout OS, mal configuré/utilisé, il est vulnérable. C'est même plus dangereux car sur eux, on s'y attends moins et donc, on est moins attentif, moins prudent.

  7. #7
    Expert éminent sénior

    Inscrit en
    décembre 2003
    Messages
    3 964
    Détails du profil
    Informations forums :
    Inscription : décembre 2003
    Messages : 3 964
    Points : 10 137
    Points
    10 137

    Par défaut

    Citation Envoyé par nirgal76 Voir le message
    Que pensez vous de ces attaques ?
    Que malgré ce que l'ont nous rabâchent, les Linux/BSD ne sont pas plus sur qu'un autre OS, ils sont juste moins attaqués (par manque d'audience). Et que comme tout OS, mal configuré/utilisé, il est vulnérable. C'est même plus dangereux car sur eux, on s'y attends moins et donc, on est moins attentif, moins prudent.
    Marrant, on entend ça à chaque problème de sécurité. Les systèmes basés sur Unix ne sont pas invulnérables, mais ça ne veut pas dire qu'ils ne sont pas plus sûrs que Windows. Je ne vois d'ailleurs pas pourquoi ils seraient par principe moins attaqués : ils sont largement dominants sur les serveurs, désormais. S'ils étaient aussi vulnérables que Windows, ils seraient attaqués, bien évidemment.
    J'appelle "Point Traroth" le moment dans une discussion où quelqu'un parle des Bisounours. A partir de ce moment, toute discussion sérieuse devient impossible, puisque la légitimité d'une des parties pour exposer son point de vue est mise en cause. C'est juste un anathème, un moyen de décrédibiliser les autres sans avoir à discuter.

  8. #8
    Membre expérimenté
    Inscrit en
    juin 2009
    Messages
    529
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 529
    Points : 1 477
    Points
    1 477

    Par défaut

    Citation Envoyé par Traroth2 Voir le message
    Je ne vois d'ailleurs pas pourquoi ils seraient par principe moins attaqués : ils sont largement dominants sur les serveurs, désormais. S'ils étaient aussi vulnérables que Windows, ils seraient attaqués, bien évidemment.
    Pour ma part je pense que les utilisateurs des OS linux sur serveurs sont bien formés et du coup limitent énormément les risque (séparation forme entre les droit root et les autres). Donc les erreurs humaines sont moins "flagrantes" ou "intuitives" et limitent les axes d'attaques.

    Pour relier mon point de vu à ce que disais nirgal76 :
    [...]Et que comme tout OS, mal configuré/utilisé, il est vulnérable.
    Je pense que du coup, le pourcentage de PC/serveur Linux mal configuré/utilisé par rapport au parc complet est bien inférieur au même pourcentage sous Windows.

    D'autant plus que la grosse majorité des serveurs se trouvent dans des parcs avec des surcouches de protections à l’extérieures de l'OS en lui même (protection anti-ddos OVH, Firewall ultra personnalisé etc...)

  9. #9
    Expert éminent sénior

    Inscrit en
    décembre 2003
    Messages
    3 964
    Détails du profil
    Informations forums :
    Inscription : décembre 2003
    Messages : 3 964
    Points : 10 137
    Points
    10 137

    Par défaut

    Citation Envoyé par AoCannaille Voir le message
    Pour ma part je pense que les utilisateurs des OS linux sur serveurs sont bien formés et du coup limitent énormément les risque (séparation forme entre les droit root et les autres). Donc les erreurs humaines sont moins "flagrantes" ou "intuitives" et limitent les axes d'attaques.

    Pour relier mon point de vu à ce que disais nirgal76 :

    Je pense que du coup, le pourcentage de PC/serveur Linux mal configuré/utilisé par rapport au parc complet est bien inférieur au même pourcentage sous Windows.

    D'autant plus que la grosse majorité des serveurs se trouvent dans des parcs avec des surcouches de protections à l’extérieures de l'OS en lui même (protection anti-ddos OVH, Firewall ultra personnalisé etc...)
    Ah, mais ça, c'est indiscutable. Si l'utilisateur ne fait pas un minimum attention, le système sera toujours vulnérable. C'est totalement impossible de sécuriser un système sans que l'utilisateur soit prudent. Pour faire une analogie, ce n'est pas la peine d'acheter une porte blindée si on la laisse entrebâillée en partant au boulot le matin...
    J'appelle "Point Traroth" le moment dans une discussion où quelqu'un parle des Bisounours. A partir de ce moment, toute discussion sérieuse devient impossible, puisque la légitimité d'une des parties pour exposer son point de vue est mise en cause. C'est juste un anathème, un moyen de décrédibiliser les autres sans avoir à discuter.

  10. #10
    Membre expérimenté
    Inscrit en
    juin 2009
    Messages
    529
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 529
    Points : 1 477
    Points
    1 477

    Par défaut

    Citation Envoyé par Traroth2 Voir le message
    Ah, mais ça, c'est indiscutable. Si l'utilisateur ne fait pas un minimum attention, le système sera toujours vulnérable. C'est totalement impossible de sécuriser un système sans que l'utilisateur soit prudent. Pour faire une analogie, ce n'est pas la peine d'acheter une porte blindée si on la laisse entrebâillée en partant au boulot le matin...
    Ce que je veux dire, pour reprendre ton analogie, c'est que l'illusion du fait que Linux serait plus sécurisé que Windows vient du fait que (chiffres au pif) 60% des utilisateurs Windows laissent leur porte entrebâillée pour 2% des utilisateurs linux.

  11. #11
    Nouveau Candidat au Club
    Femme Profil pro
    Trou du cul
    Inscrit en
    octobre 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Trou du cul

    Informations forums :
    Inscription : octobre 2014
    Messages : 1
    Points : 0
    Points
    0

    Par défaut

    Ce que je veux dire, pour reprendre ton analogie, c'est que l'illusion du fait que Linux serait plus sécurisé que Windows vient du fait que (chiffres au pif) 60% des utilisateurs Windows laissent leur porte entrebâillée pour 2% des utilisateurs linux.
    Et pour pousser l'analogie, même si 100% des utilisateurs windows fermaient leur porte, une porte en carton reste une porte en carton.

  12. #12
    Membre chevronné
    Avatar de SurferIX
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2008
    Messages
    764
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 764
    Points : 1 773
    Points
    1 773

    Par défaut

    Comme tout système, si jamais on a la bonne idée de n'autoriser que des connexions entrantes sur certains ports, il n'aurait (n'aura) jamais pu fonctionner.
    Juste un problème de configuration de la part de l'admin système.
    Après, bien sûr, on est dans le système tel qu'il est : "installation -> suivant -> suivant -> terminé" -> "apt-get install apache" -> "Mr le directeur, notre serveur Linux est prêt à fonctionner". Normal.
    Failles de sécurité grandes comme l'Arc de triomphe, mais bon : c'est vite fait, et rentable. Le plus important, non ?
    Regardez moi coder ⇛ ☆★ en direct ★☆
    "Ceci dit" n'est pas correct. Cf Wikipedia. Cela dit est du français correct.

  13. #13
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : avril 2013
    Messages : 185
    Points : 268
    Points
    268

    Par défaut

    Citation Envoyé par AoCannaille Voir le message
    Ce que je veux dire, pour reprendre ton analogie, c'est que l'illusion du fait que Linux serait plus sécurisé que Windows vient du fait que (chiffres au pif) 60% des utilisateurs Windows laissent leur porte entrebâillée pour 2% des utilisateurs linux.
    Ouille ouille. Un peu rapide à dire. Ce n'est pas parce que tu utilises Linux que tu es bien formé ou que tu sais mieux appliqué les notions de sécurité.
    Par contre, dire que les fans de Linux maîtrise mieux leur OS contrairement à des fans de Windows, ça je veux bien.
    Mais dans les faits, les mauvais choix d'administration (Linux ou Windows) sont toujours faits par des gens moins compétent ou manquant de notions sécurité. Après de la à catégoriser les malins dans un OS et les moins malins dans un autre... C'est un peu abusé.

Discussions similaires

  1. Réponses: 0
    Dernier message: 04/04/2013, 20h12
  2. salaire d'un développeur aprés 7 ans d'expérience
    Par oumpahay dans le forum Salaires
    Réponses: 5
    Dernier message: 21/12/2007, 18h10
  3. Faire du développement après 35 ans ?
    Par Filippo dans le forum Emploi
    Réponses: 3
    Dernier message: 28/05/2007, 17h48
  4. Réponses: 3
    Dernier message: 13/04/2007, 12h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo