Opération Windigo : des milliers de serveurs Linux infectés
« plus de 35 millions de pourriels sont envoyés chaque jour » selon ESET

Le , par Stéphane le calme, Chroniqueur Actualités
Une équipe de l’éditeur d’antivirus ESET en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité ont mis le doigt sur une vaste campagne d’attaques cybercriminelles enclenchée depuis 2011. Baptisée Windigo, la campagne avait pour objectif d’attaquer les serveurs UNIX. Un choix stratégique qui peut se comprendre si on prend en considération le fait que plus de 60% des sites web sont hébergés sur des serveurs de ce type.

Dans le mode opératoire, une fois le serveur contaminé, il participe au transit d’une grande quantité de spam. Selon le rapport, « il est intéressant de noter que la menace varie en fonction du système d’exploitation de l’utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d’iPhone, quant à eux, sont redirigés vers des contenus pornographiques. ». ESET note par ailleurs que plus de 700 serveurs Web dirigent actuellement les internautes vers du contenu malveillant.

« Depuis 2 ans et demi, Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs, sans être détecté par la communauté d’experts en sécurité » constate Marc-Etienne Léveillé, chercheur en sécurité chez ESET. « Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »


Afin de compromettre les serveurs, les hackers ont eu recours à une backdoor OpenSSH dénommée Ebury qui a dû être installée manuellement par des cybercriminels. Il n'y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d'une mauvaise configuration des serveurs, ou d'un système d'authentification trop léger.
ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

Code :
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d’exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées.

Il est recommandé d’intégrer des solutions d’authentification forte pour garantir un meilleur niveau de protection. « Nous sommes conscients que formater votre serveur et repartir de zéro est un traitement radical. Mais, si des hackers sont en possession d’un accès distant à vos serveurs suite au vol de vos identifiants administrateur, il ne faut prendre aucun risque. » explique Marc-Etienne Leveillé. « Malheureusement, certaines victimes avec qui nous sommes en contact savent qu’elles sont infectées mais n’ont pour l’instant rien fait pour nettoyer leurs systèmes mettant ainsi en danger toujours plus d’internautes. »

« Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé

Source : blog ESET

Et vous ?

En avez-vous été victime ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de redcurve redcurve
http://www.developpez.com
Membre habitué
le 20/03/2014 23:33
Epic Fail
Avatar de Zefling Zefling
http://www.developpez.com
Membre Expert
le 21/03/2014 0:39
Je comprends pas ce que fait la commande, partant de là, sans explication, ça me semble simplement là pour faire peur.

J'ai balancé la commande : « infected », je fais fait une mise à jour du système ça passe à « clean ». Moi pas comprendre.

Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé

Quelques minutes pour formater et réinstaller un serveur, il est vachement drôle ce type... Si t'as la fibre peut-être (et encore). Perso, si j'ai a le faire sur mon serveur, pour renvoyer le backup j'en ai pour au moins 3 semaines pour tout ré-uploder. Et au moins plus que quelle quelques minutes pour remonter toute la config.
Avatar de rupteur rupteur
http://www.developpez.com
Membre habitué
le 21/03/2014 8:10
L'option -G n'est pas reconnue par ma debian 6
La page de man n'y fait pas référence non plus.

oups je viens de comprendre. (pas bien réveillé ce matin).
donc le backdoor ce serait l'option -G qui serait rajoutée.
Avatar de jmv jmv
http://www.developpez.com
Membre éclairé
le 21/03/2014 8:20
Message effacé, voir plus bas pourquoi.
Avatar de Chrigou Chrigou
http://www.developpez.com
Candidat au titre de Membre du Club
le 21/03/2014 9:01
"Sacré farceur !" pas si sûr...

L'argument -G est effectivement inconnu.
En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".
Avatar de Zefling Zefling
http://www.developpez.com
Membre Expert
le 21/03/2014 9:15
Ce qui m'étonne c'est que quand j'ai testé « ssh -G » seul j'avais bien une réponse que cela n'existe pas (illegal).

Édit : Ça n'a pas d'influence que le système soit en français ?
Avatar de Chrigou Chrigou
http://www.developpez.com
Candidat au titre de Membre du Club
le 21/03/2014 9:33
C'est juste Zefling, cela signifie que ton ssh est sain.

Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...

Quant aux "Quelques minutes de votre temps", je pense qu'il parlait d'exécution de la commande, pas de la restauration d'un système infecté.
Avatar de Mr_Exal Mr_Exal
http://www.developpez.com
Expert Confirmé
le 21/03/2014 9:35
En avez-vous été victime ?

Même pas ! Entre la Hadopi qui me dit rien et mes serveurs qui sont clean je me dis que j'ai vraiment pas de chance
Avatar de Zefling Zefling
http://www.developpez.com
Membre Expert
le 21/03/2014 9:53
Citation Envoyé par Chrigou  Voir le message
C'est juste Zefling, cela signifie que ton ssh est sain.

Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...

Okay

Au cas où, j'ai changé le mot de passe en doublant sa taille.
Avatar de jmv jmv
http://www.developpez.com
Membre éclairé
le 21/03/2014 14:39
Salut,

Citation Envoyé par Chrigou  Voir le message
"Sacré farceur !" pas si sûr...

L'argument -G est effectivement inconnu.
En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".

Mea culpa je ne devrais jamais poster de message avant 10h ! pas réveillé !

au regard de cette commande :
Code :
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
je me suis vraiment mélangé les pinceaux avec le retour de la commande grep et les opérateurs && et ||.
C'est bien "System clean" qui est affiché si l'option -G n'existe pas, ce qui est normal. J'ai vraiment cru à un hoax malencontreusement relayé par developpez.com (ce que j'ai d'ailleurs trouvé étonnant).

J'ai effacé mon 1er message pour éviter d'induire en erreur certains admins.

a+
jmv
Offres d'emploi IT
Développeur Android
CDI
EXTIA - Ile de France - Sèvres (92310)
Parue le 02/07/2014
Administrateur middleware J2EE
CDI
CTS NORD - Ile de France - Paris (75000)
Parue le 07/07/2014
Ingénieur r&d junior h/f
CDI
MOBISKILL - Ile de France - Paris (75000)
Parue le 28/07/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula