IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Opération Windigo : des milliers de serveurs Linux infectés
« plus de 35 millions de pourriels sont envoyés chaque jour » selon ESET

Le , par Stéphane le calme

5PARTAGES

1  0 
Une équipe de l’éditeur d’antivirus ESET en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité ont mis le doigt sur une vaste campagne d’attaques cybercriminelles enclenchée depuis 2011. Baptisée Windigo, la campagne avait pour objectif d’attaquer les serveurs UNIX. Un choix stratégique qui peut se comprendre si on prend en considération le fait que plus de 60% des sites web sont hébergés sur des serveurs de ce type.

Dans le mode opératoire, une fois le serveur contaminé, il participe au transit d’une grande quantité de spam. Selon le rapport, « il est intéressant de noter que la menace varie en fonction du système d’exploitation de l’utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d’iPhone, quant à eux, sont redirigés vers des contenus pornographiques. ». ESET note par ailleurs que plus de 700 serveurs Web dirigent actuellement les internautes vers du contenu malveillant.

« Depuis 2 ans et demi, Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs, sans être détecté par la communauté d’experts en sécurité » constate Marc-Etienne Léveillé, chercheur en sécurité chez ESET. « Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »


Afin de compromettre les serveurs, les hackers ont eu recours à une backdoor OpenSSH dénommée Ebury qui a dû être installée manuellement par des cybercriminels. Il n'y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d'une mauvaise configuration des serveurs, ou d'un système d'authentification trop léger.
ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

Code : Sélectionner tout
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d’exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées.

Il est recommandé d’intégrer des solutions d’authentification forte pour garantir un meilleur niveau de protection. « Nous sommes conscients que formater votre serveur et repartir de zéro est un traitement radical. Mais, si des hackers sont en possession d’un accès distant à vos serveurs suite au vol de vos identifiants administrateur, il ne faut prendre aucun risque. » explique Marc-Etienne Leveillé. « Malheureusement, certaines victimes avec qui nous sommes en contact savent qu’elles sont infectées mais n’ont pour l’instant rien fait pour nettoyer leurs systèmes mettant ainsi en danger toujours plus d’internautes. »

« Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé

Source : blog ESET

Et vous ?

En avez-vous été victime ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Chrigou
Nouveau membre du Club https://www.developpez.com
Le 21/03/2014 à 9:01
"Sacré farceur !" pas si sûr...

L'argument -G est effectivement inconnu.
En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".
2  0 
Avatar de rupteur
Membre averti https://www.developpez.com
Le 21/03/2014 à 8:10
L'option -G n'est pas reconnue par ma debian 6
La page de man n'y fait pas référence non plus.

oups je viens de comprendre. (pas bien réveillé ce matin).
donc le backdoor ce serait l'option -G qui serait rajoutée.
1  0 
Avatar de Gluups
Membre émérite https://www.developpez.com
Le 30/03/2014 à 12:14
Citation Envoyé par Mr_Exal Voir le message
Même pas ! Entre la Hadopi qui me dit rien et mes serveurs qui sont clean je me dis que j'ai vraiment pas de chance
Et tu n'es pas non plus passé sous un bus ?
Oh décidément quelle poisse, je compatis.
1  0 
Avatar de redcurve
Membre extrêmement actif https://www.developpez.com
Le 20/03/2014 à 23:33
Epic Fail
0  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 21/03/2014 à 0:39
Je comprends pas ce que fait la commande, partant de là, sans explication, ça me semble simplement là pour faire peur.

J'ai balancé la commande : « infected », je fais fait une mise à jour du système ça passe à « clean ». Moi pas comprendre.

Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé
Quelques minutes pour formater et réinstaller un serveur, il est vachement drôle ce type... Si t'as la fibre peut-être (et encore). Perso, si j'ai a le faire sur mon serveur, pour renvoyer le backup j'en ai pour au moins 3 semaines pour tout ré-uploder. Et au moins plus que quelle quelques minutes pour remonter toute la config.
0  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 21/03/2014 à 9:15
Ce qui m'étonne c'est que quand j'ai testé « ssh -G » seul j'avais bien une réponse que cela n'existe pas (illegal).

Édit : Ça n'a pas d'influence que le système soit en français ?
0  0 
Avatar de Chrigou
Nouveau membre du Club https://www.developpez.com
Le 21/03/2014 à 9:33
C'est juste Zefling, cela signifie que ton ssh est sain.

Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...

Quant aux "Quelques minutes de votre temps", je pense qu'il parlait d'exécution de la commande, pas de la restauration d'un système infecté.
0  0 
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 21/03/2014 à 9:35
En avez-vous été victime ?
Même pas ! Entre la Hadopi qui me dit rien et mes serveurs qui sont clean je me dis que j'ai vraiment pas de chance
0  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 21/03/2014 à 9:53
Citation Envoyé par Chrigou Voir le message
C'est juste Zefling, cela signifie que ton ssh est sain.

Lors de ta 1ère commande (System infected) tu as probablement exécuté une fausse commande, par exemple si tu oublie le '&' sur 'ssh -G 2>&1' cela retourne bien "System infected"...
Okay

Au cas où, j'ai changé le mot de passe en doublant sa taille.
0  0 
Avatar de jmv
Membre confirmé https://www.developpez.com
Le 21/03/2014 à 14:39
Salut,

Citation Envoyé par Chrigou Voir le message
"Sacré farceur !" pas si sûr...

L'argument -G est effectivement inconnu.
En effectuant cette commande sur un ssh clean, la réponse donne "System clean".
Si ssh est corrompu, l'argument -G existe alors pour les pirates et la commande retourne "System infected".
Mea culpa je ne devrais jamais poster de message avant 10h ! pas réveillé !

au regard de cette commande :
Code : Sélectionner tout
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
je me suis vraiment mélangé les pinceaux avec le retour de la commande grep et les opérateurs && et ||.
C'est bien "System clean" qui est affiché si l'option -G n'existe pas, ce qui est normal. J'ai vraiment cru à un hoax malencontreusement relayé par developpez.com (ce que j'ai d'ailleurs trouvé étonnant).

J'ai effacé mon 1er message pour éviter d'induire en erreur certains admins.

a+
jmv
0  0