Un rançongiciel Linux s’attaque aux webmasters

**abriotde** · 08/11/2015, 19h07

Tout a fai d accord avec BufferBot. Tout l monde peut se fire avoir car si au départ un malware peut exploiter la naîveté, tôt ou tard il se perfectionne et je doute qu il soit simple de l'éviter. Ce que l on peut dire c est qu il faut toujours des backup. Et si l on est sous Linux c est avant tout pour sa transparence dans tous les sens du terme. La sécurité étnt meilleur par mhilosophie car on est pas root par défaut, et surtout la moindre faill est vite public et donc on peux avoir conscience de la nécécité des mise a jour et surtout elle sont vite corrigé. C est beaucoup moins vrai sur windows et encore moins sous Apple ou Abode flash...

**hotcryx** · 09/11/2015, 11h07

Du moins que la menace est bien traduite et pas en indien, chinois, russe, patchou... reste une chance de le comprendre

**Christophe** · 12/11/2015, 21h46

Si c"est linux encoder, il y a une solution :
http://labs.bitdefender.com/2015/11/...ncryption-key/

**yonisolo** · 09/11/2015, 15h48

Pour ma part je vais résumer ce qui a déjà été dit... Exécuter un binaire non testé en root sur une machine de prod sans backup, faut être une buse, et c'est valable pour n'importe quel système!!! Ou alors il s'appelle Denis Nedry, ou c'est un chinois du FBI, ou comme l'a fait remarquer un membre, le créateur du logiciel qui en veut à son patron!!

**ddrmax** · 09/11/2015, 17h28

Question stupide: si le script de décodage est en PHP donc ça veux dire que le script de codage est en PHP aussi non, donc il se peux que si le programme et le PHP sont implantés via une faille d'Upload, le script PHP et au cas ou le CGI ne se trouvent ils pas exécutés avec les permissions du serveur PHP?

Aussi un script en PHP qui a l'autorisation de modifier les fichiers (Genre le type de permissions d'un wordpress ou d'un CMS de travail colaboratif) peux infecter uniquement via une version uniquement PHP du virus (il existe plusieurs scripts d'encription RSA pour PHP sans demander de modules extérieurs

Je dis juste ça du fait que la partie decryptage serai en PHP.

Donc en quoi il aurai besoin de droits root si son but n'est que la partie web du serveur?

EDIT après une petite recherche je vois que PHP réserve quelques surprises qui fait que de nouvelles menaces pèsent sur ceux qui ont des failles dans leurs module d'upload:
Un site peux devenir client TOR (et ainsi envoyer la clef vers un serveur C&C situé dans le network de l'oignon avec PHP TOR cURL
Un script peux faire de l'encryption RSA en PHP (tel que PHPseclib ou d'autres implémentations customs)
On pourait faire tenir un virus PHP avec les deux librairies en un seul fichier voir meme deleguer certaines taches au Serveur C&C (generation clef privée, gération du fichier texte selon la langue)

**Jarodd** · 09/11/2015, 21h57

Sinon, l'autre solution est d'avoir des sauvegardes (suivant la règle du 3-2-1), et de réinstaller le système en supprimant les données vérolées

**Aiekick** · 11/11/2015, 01h36

ce qui est intéressant avec cette news n'est pas un comparatif linux / windows en terme de cochonneries. arrêtons les débats stériles svp.

S'il y a un intérêt économique a cibler une plateforme alors elle y passera forcemment.

d'habitude la cible ce sont les madame michues de masse ( cad tout ceux qui ont un ordi parce que c'est coo;l et ne veulent pas savoir comment ca marche et donc protection absente)

Sachant que "95%" des serveurs linux hébergent des sites web et sachant que moult sociétés ne protègent pas bien leur systeme, parce un serveur très sécurisé ça a un cout en install et en maintenance,
les service qui vont autour coutent cher, et ils se disent aussi pourquoi eux après tout ???

Que se soit linux ou windows quand on veut entrer on fini par trouver un moyen, et la, la cible est un intérêt économique colossal.
Mais donc ce sera forcement un processus de pénétration de haute volée par rapport a ce qu'on trouve habituellement, donc des pirates surement plus pro que d'habitude et donc il va falloir faire très attention.

**Aiekick** · 11/11/2015, 01h42

qu'est qu'on en sait que linux est plus sécurisé, on en parle pas et les société le prennent parce que c'est gratos et que les virus ne ciblent pas trop linux par rapport a windows.

je suis pas certain que linux ne soit pas trop ciblé juste parce qu'il est plus sécurisé, c'est plutôt que les utilisateurs particuliers y sont très peu.

la justement la cible ce n'est pas les particuliers mais les sociétés, les admin n'ont pas l’habitude de faire la guerre, ils sont donc sous armés et donc très vulnérable.

la fiabilité de l'os ne suffira surement pas.

**bretus** · 11/11/2015, 14h49

Envoyé par cuicui78

la justement la cible ce n'est pas les particuliers mais les sociétés, les admin n'ont pas l’habitude de faire la guerre, ils sont donc sous armés et donc très vulnérable.

La cible, ce sont les développeurs qui ne font pas des backup de leurs codes. Une société sérieuse subit une attaque pareille :
- Recherche de l'origine de l'infection
- Suppression et réinstallation de la VM à partir d'un backup

Sur l'origine de l'infection, je pense que ça peut être un peu plus fourbe que "installer sur son serveur le virus avec les droits administrateurs". Ça, il n'y pas grand monde d'assez bête pour le faire. Je me méfierais plutôt des attaques visant des postes de développeurs qui ont des accès en déploiement à des serveurs. Si les gars n'ont pas de backup, ils n'ont pas de paraphrases sur leurs clés SSH et sont capables de sauvegarder les mots de passe des FTP donnant accès aux serveurs.

Après, dans les deux cas, tu peux cibler des développeurs sous windows et linux sans même avoir besoin d'une élévation de privilège. Tout ça pour dire, qu'on soit sur windows ou linux, la première règle est toujours la même : N'exécutez pas n'importe quoi. La deuxième, ce serait d'appliquer la loi de Murphy : Sachant que je vais finir par exécuter une saloperie, comment je limite la casse (backup, paraphrase sur clé SSH, etc.)?

Bon, sur ce, je m'en vais écrire un super outil libre de backup pour la communauté des développeurs

**Christ D** · 12/11/2015, 16h02

Logiquement pour que ceci puisse se produire, il faut :
1) se logger root
2) être sur lme bureau linux (gnome ou autre) en tant que root

3) naviguer, là ou il ne faut pas.

4)probablement avoir désactiver SELINUX

Déjà sous ubuntu, on ne peut pas se logger en tant que root (à moins de modifier des fichiers systèmes de sécurité)
Et sous Fedora et consort, on ne peut pas lancer un bureau en étant root (sauf à modifier les fichiers de paramétrage de sécurité)
Pour SELINUX, il faut éditer le fichier de config

Bref, pour que tout cela arrive il faut
1) s'y connaitre suffisamment pour avoir réussi à désactiver toutes ces sécurités
2) avoir fait une énorme boulette en navigant en tant que root sur des sites malveillants

Bref pour arriver dans cette situation, il faut quand même le vouloir, s'y connaitre et le chercher : probabilité : 0,5% et encore

Vive putty, sudo et selinux !

**ddrmax** · 12/11/2015, 16h26

Envoyé par Christ D

Logiquement pour que ceci puisse se produire, il faut :
1) se logger root
2) être sur lme bureau linux (gnome ou autre) en tant que root

3) naviguer, là ou il ne faut pas.

4)probablement avoir désactiver SELINUX

Déjà sous ubuntu, on ne peut pas se logger en tant que root (à moins de modifier des fichiers systèmes de sécurité)
Et sous Fedora et consort, on ne peut pas lancer un bureau en étant root (sauf à modifier les fichiers de paramétrage de sécurité)
Pour SELINUX, il faut éditer le fichier de config

Bref, pour que tout cela arrive il faut
1) s'y connaitre suffisamment pour avoir réussi à désactiver toutes ces sécurités
2) avoir fait une énorme boulette en navigant en tant que root sur des sites malveillants

Bref pour arriver dans cette situation, il faut quand même le vouloir, s'y connaitre et le chercher : probabilité : 0,5% et encore

Vive putty, sudo et selinux !

Comme je ça a été expliqué, le rançonware s'attaque juste au site web et jusqu'a preuve du contraire il n'y a pas de bureau sur un serveur linux (sauf cas exceptionnel) et en plus tu visites pas de sites internet avec ton serveur directement, même pour worpress il demande confirmation avant de télécharger une maj même de sécurité (sauf si tu autorise une tache cron ou en auto quand quelqu'un visite le dit wordpress.
De plus du fait que seul le répertoire web soit infecté (c'est ce que j'ai compris en lisant l'article) le virus n'a pas besoin de root pour s’exécuter, pour moi il se lance avec les autorisations de PHP qui est souvent un utilisateur crée pour l'occasion comme l'utilisateur "apache" pour apache ou "nobody" pour les autres, lancer apache avec les droits root c'est digne d'un imbécile.
Pour info le user apache n'a access en écriture qu'au webroot directory (souvent /www) et son dossier d'installation. le seul point faible d'un serveur LAMP a été est sera toujours MySQL (a cause des droits root par défaut du bouzin pour pouvoir ajouter de lui même les cron d'optimisation si on ne modifie pas son comportement par défaut (user root par défaut en exécution))

Pour finir, tes arguments ne son pas valides et pense aussi a lire entre les lignes et a revoir en profondeur le fonctionnement de Linux

Ps: je suis pas un pro de linux, ni même des systeme de type LAMP/WAMP, mais mon peu d'expériences et quelques lectures me font penser que j'en connais des fois même plus que de vrais linux users

PS2: j'ai juste une debian seveur sur un raspebery PI B+ et un raspbian sur un raspberry Pi 2 B et une vielle bicoque en Pentium 4 sous Crux.

**BufferBob** · 12/11/2015, 16h36

dites, et un rootkit c'est dangereux ?

parcequ'il faut le lancer en root bien souvent, qui aurait l'idée de lancer un rootkit en root franchement
pire encore; qui aurait l'idée de rajouter un module kernel qu'il ne connait pas du tout hein ?

vu sous cet angle un rootkit c'est pas dangereux finalement, aucune chance d'en voir sur des machines Linux ou alors les gens le font exprès, pas vrai ?

**Squisqui** · 13/11/2015, 00h16

Envoyé par BufferBob

vu sous cet angle un rootkit c'est pas dangereux finalement, aucune chance d'en voir sur des machines Linux ou alors les gens le font exprès, pas vrai ?

Ce n'est pas le malware qui est intéressant. C'est son mode d'infection qui fait sourire.
Des serveurs Linux, Unix, Windows, il en tombe tous les jours principalement par l'exploitation d'un service potentiellement mal configuré, d'une faille 0day ou tout simplement la version d'un service obsolète (les skiddies, faut tous les brûler). Là nous sommes en présence d'un malware qui demande à l'administrateur de l'installer lui-même. Il ne s'agit absolument pas de technique, mais d'un peu d’ingénierie sociale... Or la première chose qui est appris en terme de sécurité sur un serveur est de ne jamais exécuter quoique soit sans s'assurer de son fonctionnement réel. Ça pourrait servir à un débutant en administration qui tombe dans le panneau avant de ne plus jamais se faire avoir (Dieu sait qu'ils sont nombreux de part l'accessibilité de Linux). Mais pour un professionnel, ça me semble impardonnable. La supercherie doit être conçu sur mesure pour l'administrateur à piéger. À partir de là, on se doute tout de suite que le pouvoir de propagation de ce malware est très faible.

Le malware pourrait s'appliquer aux desktops, mais la première chose appris par les nouveaux utilisateurs Linux est la nouvelle façon d'installer des logiciels. La seconde, c'est que installer un programme tiers absent des dépôts officiels à de forte chance d'être une plaie à installer et à maintenir surtout lorsqu'il est propriétaire. La méthode est donc évitée comme la peste.

**niuxe** · 13/11/2015, 01h54

Exécuter un bin en tant que root sans connaître la provenance, chapeau bas à cet utilisateur.... Avec les dépots Suse, Debian,etc., il y a de quoi faire.

Envoyé par Squisqui

Le malware pourrait s'appliquer aux desktops, mais la première chose appris par les nouveaux utilisateurs Linux est la nouvelle façon d'installer des logiciels. La seconde, c'est que installer un programme tiers absent des dépôts officiels à de forte chance d'être une plaie à installer et à maintenir surtout lorsqu'il est propriétaire. La méthode est donc évitée comme la peste.

Surtout qu'il est souvent précisé pour les nouveaux sur Linux de toujours se fier aux dépots officiels et connus de la communauté.

**mikedafunk** · 15/11/2015, 14h45

Eh ben voilà, le problème venait d'un CMS payant, et le rançongiciel n'avait pas besoin d'avoir les droits root pour être exécuté : http://www.developpez.com/actu/92562...es-Doctor-Web/

**ddrmax** · 16/11/2015, 17h37

donc tout ce dont j'avais parlé du fait que le besoin du droit root était bizarre est que l'infection était limité du fait du lancement en user limité était donc bon et aussi le fait que l'infection n'est pas du fait d'une mauvaise manip du webmaster mais bien d'une faille d'Upload montre que j'avais raison sur toute la ligne

**Algo D.DN** · 16/11/2015, 19h05

[HS]
Un rançongiciel Linux s’attaque aux webmasters... heu, et si on lui dit couché! il attaque quand même...?

[/HS]

Un rançongiciel Linux s’attaque aux webmasters

Sécurité

Vue hybride

Discussions similaires

Partager

Partager