IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le rançongiciel Linux.Encoder.1 a maintenant infecté des milliers de sites web


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 320
    Points : 27 358
    Points
    27 358
    Billets dans le blog
    1
    Par défaut Le rançongiciel Linux.Encoder.1 a maintenant infecté des milliers de sites web
    Le rançongiciel Linux.Encoder.1 a maintenant infecté des milliers de sites web
    et continue de prendre de l’ampleur d’après Doctor Web

    D’après la société de sécurité Doctor Web, plus de 2000 sites web ont déjà été affectés par le rançongiciel Linux.Encoder.1 dont la première attaque a été découverte par la société de sécurité il y’a un peu plus d’une semaine. La société rapportait alors quelques dizaines de cas causés par le virus. Cependant, en l’espace de quelques jours seulement le rançongiciel aurait atteint plus d’un millier de sites web. L’estimation est basée sur le nombre de recherches concernant le fichier README_FOR_DECRYPT.txt qui est le fichier contenant les instructions permettant de décrypter les fichiers d’un ordinateur atteint moyennant le paiement d’un bitcoin.


    Nom : Screen Shot 2015-11-14 at 10.39.51.png
Affichages : 5950
Taille : 45,6 Ko


    D’après Doctor Web, Linux.Encoder.1 serait en train d’exploiter une vulnérabilité du CMS Magento pour infecter les serveurs Linux. Une autre remarque faite par la société de sécurité est le fait que les pirates n’auraient pas besoin de privilèges d’administrateur pour atteindre un serveur web pour lui transmettre le virus. Cela fait du virus une menace assez sérieuse pour les ressources sur internet du fait que plusieurs CMS présentent des vulnérabilités similaires et que certains webmasters n’appliquent pas toujours les dernières mises à jour des CMS a noté Doctor Web.

    Source : Doctor Web

    Et vous ?

    Que pensez-vous de Linux.Encoder.1 ?

    Voir aussi

    la rubrique Sécurité (Cours, Tutoriels, FAQ, etc.)

  2. #2
    MikeRowSoft
    Invité(e)
    Par défaut
    Expliqué comme sa je me demande si il n'y a pas un point commun autre que Linux?
    Ou bien, au détails, se qui a ou ont permis l'accès supposés.

  3. #3
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 993
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 993
    Points : 8 288
    Points
    8 288
    Par défaut
    oh ben c'est dommage, j'aurai bien vu cette news à la suite de la précédente, celle où on prend x10 en disant que ceux qui se font avoir sont des admins incompétents pour exécuter un binaire en root sans se poser de questions

    eh ben de mon point de vue, ça montre bien où en est le quidam, le dev moyen, avec la sécurité voyeeez.

  4. #4
    Membre éprouvé
    Avatar de Gecko
    Homme Profil pro
    Développeur décisionnel
    Inscrit en
    décembre 2008
    Messages
    499
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur décisionnel

    Informations forums :
    Inscription : décembre 2008
    Messages : 499
    Points : 1 264
    Points
    1 264
    Par défaut
    Pour ma part le plus gros problème reste l'accès aux correctifs.

    Quand on vois que certains éditeurs vendent leurs plugins 900$ et demandent un supplément pour avoir accès aux mises à jour il ne faut pas s'étonner d'avoir ce genre de désagréments...

    Sans compter le prix du maintien d'un site sous Magento qui demande beaucoup de travaille, et si vous rajoutez le prix de la licence entreprise à plus de 10.000$ bah... Vous devenez une victime potentielle, parce que sincèrement je connais très peu de boites qui acceptent de renouveler un contrat de plus de 25k$ minimum pour maintenir leur site à jour.

    Pour moi l'utilisation de CMS payants est de facto une erreur de débutant.
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    if ($toBe || !$toBe) echo 'That is the question';

    Mes projets: DVP I/O

  5. #5
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2008
    Messages
    33
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Meuse (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2008
    Messages : 33
    Points : 135
    Points
    135
    Par défaut
    D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
    'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.

  6. #6
    Membre averti

    Profil pro
    Étudiant
    Inscrit en
    décembre 2004
    Messages
    499
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2004
    Messages : 499
    Points : 413
    Points
    413
    Par défaut
    Citation Envoyé par MightyJean Voir le message
    D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
    'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.
    oui http://labs.bitdefender.com/2015/11/...ncryption-key/
    mais vu les commentaires ça a l'air pas évident

  7. #7
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 74
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 1 186
    Points : 3 000
    Points
    3 000
    Par défaut
    [MODE TROLL]
    Qui sait qui disait qu'il n'y avait pas de malware sous Linux et que les neuneux ne pouvaient être que windowiens ?
    [/MOBE TROLL]

    Propos juste destiné à augmenter ma collection de pouces rouges...
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  8. #8
    Membre habitué

    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2007
    Messages
    93
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2007
    Messages : 93
    Points : 145
    Points
    145
    Billets dans le blog
    1
    Par défaut
    déjà au courant de la semaine dernière j'avais émis l’hypothèse qui est énuméré dans cet article alors que les autres se contenaient limite de jeter des tomates pourries sur les sysadmins car de base je trouvait louche que seul le dossier www était impacté si le virus se lançais bien en root. Le coup du virus lancé en user-side répondait bien mieux a la problématique ainsi que pour la méthode d'infection qui était plus réaliste qu'une grossière erreur d'execuion d'un programme inconnu par un sysadmin

  9. #9
    Membre habitué
    Homme Profil pro
    Dev C++, CUDA
    Inscrit en
    mai 2005
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Nouvelle-Zélande

    Informations professionnelles :
    Activité : Dev C++, CUDA
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : mai 2005
    Messages : 82
    Points : 128
    Points
    128
    Par défaut
    C'est moi ou ...
    - Dr Web a decouvert ce virus.
    - Dr Web fait viral cette news
    - Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

    En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

    Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !

  10. #10
    Membre habitué

    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2007
    Messages
    93
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2007
    Messages : 93
    Points : 145
    Points
    145
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par mhtrinh Voir le message
    C'est moi ou ...
    - Dr Web a decouvert ce virus.
    - Dr Web fait viral cette news
    - Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

    En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

    Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !
    De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
    Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1

  11. #11
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 993
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 993
    Points : 8 288
    Points
    8 288
    Par défaut
    Citation Envoyé par ddrmax Voir le message
    De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
    Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1
    on nous dit dans la description qu'il est écrit en C, donc déjà ça n'est plus spécifique PHP, d'autre part le binaire est forcément un ELF, donc spécifique Linux

  12. #12
    Futur Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2014
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 20
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2014
    Messages : 4
    Points : 8
    Points
    8
    Par défaut
    ça ne veut rien dire LINUX reste le mettre dans la sécurité système (une œuvre humaine n'est jamais parfaite)

  13. #13
    Futur Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2014
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 20
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2014
    Messages : 4
    Points : 8
    Points
    8
    Par défaut
    ça ne veut rien dire LINUX reste le maître(le chef) dans la sécurité système (une œuvre humaine n'est jamais parfaite)

  14. #14
    Membre chevronné

    Inscrit en
    août 2009
    Messages
    41
    Détails du profil
    Informations forums :
    Inscription : août 2009
    Messages : 41
    Points : 2 144
    Points
    2 144
    Par défaut Le ransomware Linux.Encoder.1 peut être neutralisé
    Le ransomware Linux.Encoder.1 peut être neutralisé
    grâce à un script de Bitdefender

    La société de sécurité Doctor Web indiquait récemment que des milliers de sites avaient été infectés par le ransomware Linux.Encoder.1, une semaine environ après la découverte de la première attaque comme illustré dans cet article. Les cibles devaient donc payer une rançon au ravisseur pour la récupération des données. Pour rappel un ransomware est un logiciel malveillant qui effectue une « prise d’otages » de vos données en les chiffrant grâce à une clé de chiffrement AES générée aléatoirement. La force de cette attaque réside dans le fait que la clé de chiffrement symétrique créée grâce à l’algorithme de chiffrement symétrique (AES) est ensuite chiffrée grâce à l’algorithme de chiffrement asymétrique (RSA) ; ce qui rend quasiment impossible la récupération de données sans la clé privée RSA détenue par les attaquants.

    Coup de chance ou amateurisme du ravisseur : les chercheurs de la société de sécurité logicielle Bitdefender ont décelé une erreur dans le ransomware après avoir étudié de près le logiciel malveillant. Cette erreur leur a permis de déchiffrer les dossiers victimes de chiffrement sans avoir besoin de la clé privée RSA nécessaire pour le déchiffrement. Lors de l’attaque, la clé AES est générée localement sur la machine attaquée. Ils ont donc examiné la façon dont la clé et le vecteur d’initialisation étaient générés par reverse-engineering de l'échantillon Linux.Encoder.1. Ils ont réalisé qu’au lieu de générer des clés aléatoires sécurisées et le vecteur d’initialisation, le ransomware récupérait ces deux éléments d'information de la fonction rand libc () propagés avec l'horodatage du système au moment du cryptage. Cette information peut être facilement récupérée en regardant le fichier d’horodatage. Ceci est un énorme défaut de conception qui permet la récupération de la clé AES sans avoir à décrypter avec la clé privée RSA, a souligné l’équipe de recherche de Bitdefender.

    L’équipe de Bitdefender a mis à disposition de toutes les victimes un outil qui permet de déchiffrer leurs données par simple analyse et par la même occasion résoudre le problème de permission. Il suggère de redémarrer la machine victime et, après avoir téléchargé l’outil, l’exécuter en mode root. Ci-dessous les étapes pour récupérer les données :

    • télécharger le script (outil) sur le site LAB de Bitdefender ;

    • monter la partition et chiffrer en utilisant la commande : mount /dev/[partition_chiffrée] ;

    • générer une liste de fichiers chiffrés à l’aide de la précédente commande : /mnt# sort_files.sh encrypted_partition > sorted_list ;

    • exécuter l’outil de déchiffrement afin d’obtenir les informations de chiffrement : /mnt# python decrypter.py –f [premier_fichier] ;

    • déchiffrer les fichiers à l’aide des informations obtenues : /mnt# python /tmp/new/decrypter.py -s [timestamp] -l sorted_list.


    Tenant compte de la complexité de la procédure, Bitdefender a mis à disposition des victimes un service d’assistance pour tout besoin d’aide. Au vu de la recrudescence des attaques via un ransomware, il est important de redoubler de vigilance.

    Source: Lab Bitdefender, Lien Script Bitdefender

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Forum Sécurité

Discussions similaires

  1. listing des fichiers du site web
    Par ju0123456789 dans le forum Apache
    Réponses: 2
    Dernier message: 24/10/2011, 15h42
  2. Sécurité des backoffices de sites web
    Par randriano dans le forum Langage
    Réponses: 15
    Dernier message: 06/08/2010, 16h11
  3. cherche à sous-traiter des projets de sites web
    Par iiweb dans le forum Demandes
    Réponses: 0
    Dernier message: 27/01/2010, 12h41
  4. Réponses: 2
    Dernier message: 14/08/2008, 16h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo