Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le rançongiciel Linux.Encoder.1 a maintenant infecté des milliers de sites web
Et continue de prendre de l'ampleur d'après Doctor Web

Le , par Victor Vincent

0PARTAGES

5  0 
D’après la société de sécurité Doctor Web, plus de 2000 sites web ont déjà été affectés par le rançongiciel Linux.Encoder.1 dont la première attaque a été découverte par la société de sécurité il y’a un peu plus d’une semaine. La société rapportait alors quelques dizaines de cas causés par le virus. Cependant, en l’espace de quelques jours seulement le rançongiciel aurait atteint plus d’un millier de sites web. L’estimation est basée sur le nombre de recherches concernant le fichier README_FOR_DECRYPT.txt qui est le fichier contenant les instructions permettant de décrypter les fichiers d’un ordinateur atteint moyennant le paiement d’un bitcoin.



D’après Doctor Web, Linux.Encoder.1 serait en train d’exploiter une vulnérabilité du CMS Magento pour infecter les serveurs Linux. Une autre remarque faite par la société de sécurité est le fait que les pirates n’auraient pas besoin de privilèges d’administrateur pour atteindre un serveur web pour lui transmettre le virus. Cela fait du virus une menace assez sérieuse pour les ressources sur internet du fait que plusieurs CMS présentent des vulnérabilités similaires et que certains webmasters n’appliquent pas toujours les dernières mises à jour des CMS a noté Doctor Web.

Source : Doctor Web

Et vous ?

Que pensez-vous de Linux.Encoder.1 ?

Voir aussi

la rubrique Sécurité (Cours, Tutoriels, FAQ, etc.)

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 14/11/2015 à 14:04
oh ben c'est dommage, j'aurai bien vu cette news à la suite de la précédente, celle où on prend x10 en disant que ceux qui se font avoir sont des admins incompétents pour exécuter un binaire en root sans se poser de questions

eh ben de mon point de vue, ça montre bien où en est le quidam, le dev moyen, avec la sécurité voyeeez.
1  0 
Avatar de MightyJean
Membre habitué https://www.developpez.com
Le 15/11/2015 à 19:08
D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.
1  0 
Avatar de Gecko
Membre éprouvé https://www.developpez.com
Le 15/11/2015 à 12:37
Pour ma part le plus gros problème reste l'accès aux correctifs.

Quand on vois que certains éditeurs vendent leurs plugins 900$ et demandent un supplément pour avoir accès aux mises à jour il ne faut pas s'étonner d'avoir ce genre de désagréments...

Sans compter le prix du maintien d'un site sous Magento qui demande beaucoup de travaille, et si vous rajoutez le prix de la licence entreprise à plus de 10.000$ bah... Vous devenez une victime potentielle, parce que sincèrement je connais très peu de boites qui acceptent de renouveler un contrat de plus de 25k$ minimum pour maintenir leur site à jour.

Pour moi l'utilisation de CMS payants est de facto une erreur de débutant.
0  0 
Avatar de acx01b
Membre averti https://www.developpez.com
Le 16/11/2015 à 3:05
Citation Envoyé par MightyJean Voir le message
D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.
oui http://labs.bitdefender.com/2015/11/...ncryption-key/
mais vu les commentaires ça a l'air pas évident
0  0 
Avatar de Chauve souris
Membre émérite https://www.developpez.com
Le 16/11/2015 à 14:14
[MODE TROLL]
Qui sait qui disait qu'il n'y avait pas de malware sous Linux et que les neuneux ne pouvaient être que windowiens ?
[/MOBE TROLL]

Propos juste destiné à augmenter ma collection de pouces rouges...
0  0 
Avatar de ddrmax
Membre habitué https://www.developpez.com
Le 17/11/2015 à 11:00
déjà au courant de la semaine dernière j'avais émis l’hypothèse qui est énuméré dans cet article alors que les autres se contenaient limite de jeter des tomates pourries sur les sysadmins car de base je trouvait louche que seul le dossier www était impacté si le virus se lançais bien en root. Le coup du virus lancé en user-side répondait bien mieux a la problématique ainsi que pour la méthode d'infection qui était plus réaliste qu'une grossière erreur d'execuion d'un programme inconnu par un sysadmin
0  0 
Avatar de mhtrinh
Membre habitué https://www.developpez.com
Le 18/11/2015 à 21:17
C'est moi ou ...
- Dr Web a decouvert ce virus.
- Dr Web fait viral cette news
- Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !
0  0 
Avatar de ddrmax
Membre habitué https://www.developpez.com
Le 19/11/2015 à 9:56
Citation Envoyé par mhtrinh Voir le message
C'est moi ou ...
- Dr Web a decouvert ce virus.
- Dr Web fait viral cette news
- Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !
De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1
0  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 19/11/2015 à 14:30
Citation Envoyé par ddrmax Voir le message
De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1
on nous dit dans la description qu'il est écrit en C, donc déjà ça n'est plus spécifique PHP, d'autre part le binaire est forcément un ELF, donc spécifique Linux
0  0 
Avatar de nguegor
Futur Membre du Club https://www.developpez.com
Le 20/11/2015 à 18:30
ça ne veut rien dire LINUX reste le maître(le chef) dans la sécurité système (une œuvre humaine n'est jamais parfaite)
0  0