Opération Windigo : un botnet cible les serveurs Linux et deploie des backdoors ssh
|
31-03-2014, 15h21
Message : #1
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
Opération Windigo : un botnet cible les serveurs Linux et deploie des backdoors ssh
l'ami Snorky a relayée cette information ce matin sur le salon irc, on partage donc pour le plus grand nombre ici
Citation :(...) une vaste campagne d’attaques cybercriminelles enclenchée depuis 2011. Baptisée Windigo, la campagne avait pour objectif d’attaquer les serveurs UNIX. Un choix stratégique qui peut se comprendre si on prend en considération le fait que plus de 60% des sites web sont hébergés sur des serveurs de ce type. alors "un botnet de 10K machines", me direz-vous, "c'est pas non plus la fin des harricots, j'ai déjà vu plus gros Monsieur", c'est sûr, mais notre propos n'est évidemment pas de juger ou de nous la péter non, le but ici est de t'informer toi, geek, qui usuellement te contente de poncer des challenges ou troller ce que tu as du mal à coder, et te fournir autant que possible une lecture claire des enjeux et de comment passer à travers le champs de mine avec ton VPS ou ton dédié OVH qui héberge du Joomla bon, allons un peu plus loin rapidement : Citation :ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système : Code : $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" concrètement cette ligne invoque ssh et parse le résultat, si on trouve le mot "illegal" ou "unknown" le systeme est infecté, sinon on considère qu'il est sain ceux parmis vous ayant un oeil averti auront remarqué l'option -G qui n'existe à priori pas sur la version d'OpenSSH, on peut imaginer que l'option n'existe que sur la version backdoorée, mais ça reste une supposition le CERT-Bund, collaborateur de l'ESET sur ce dossier, nous dit : Citation :Ebury is a SSH rootkit/backdoor trojan for Linux and Unix-style operating systems (...) It is installed by attackers on root-level compromised hosts by either replacing SSH related binaries (ssh, sshd, ssh-add, etc.) or a shared library used by SSH (libkeyutils). une jolie petite saloperie en somme, vous en conviendrez en outre le CERT-Bund donne une autre méthode de vérification pour savoir la machine est infectée en vérifiant les segments de mémoire partagée (ipcs -m), on vous invite à consulter la section appropriée sur ladite page il nous dit aussi, chose aussi marrante qu'importante : Citation :ClamAV or tools like chkrootkit or rkhunter currently do not detect Ebury.avis à ceux qui ont toujours cru que rkhunter servait à quelque chose sans aller voir comment ça marche à l'intérieur enfin CERT-Bund nous dit sur cette page de FAQ que non, ça ne sert à rien de passer au debsums ou autre, suivant comment aura été infectée la machine le tool ne détectera rien, joie. concernant l'obtention du compte root sur la machine, là encore on trouve un peu de tout : - vous vous connectez en ssh à une machine déjà infectée (ndgruik: mais si elle est infectée c'est que l'attaquant était déjà root non ? bref..) - vos identifiants sont volés depuis une machine windows à l'aide d'un infostealer/keylogger qui va taper dans la base de credentials de votre putty - votre machine fait partie du réseau cPanel, ils se sont fait pirater, donc si vous avez une machine chez eux vous êtes marrons aussi, gg - et bien évidement à l'aide d'exploits contre des softs pas à jour, comprenez des softs qui mènent à un shell root y'en a pas des tonnes non plus, pour rooter à la pelle le plus simple c'est d'aller taper sur le kernel alors, ma machine est infectée, que dois-je faire ?! c'est simple, tu peux la reinstaller, toute autre option est fantaisiste d'un point de vue sécurité si on est un peu sérieux, ils ont le root : ta machine est considérée "portée disparue & probablement morte au combat", c'est moche la guerre... ce qu'en pense votre dévoué serviteur bienaimé : - les vecteurs de propagation sont multiples, multi-os, et les attaquants rongent le SSH jusqu'à sa moelle pour en extraire le maximum - ayez des machines (windows à la maison, linux sur le serveur, ...) à jour, patchez votre kernel avec grsecurity quand c'est possible, utilisez un compte avec des privilèges restreints sous windows; vous passerez au dessus d'un bon 90% safe, m'est avis - des outils comme AIDE, Tripwire ou OSSEC, qualifiés de "HIDS" permettent de scanner régulièrement les fichiers qui ont changé sur votre système Linux, pour peu que vous le configuriez correctement la moindre tentative de remplacement de /usr/sbin/ssh pourra être détectée si vous avez des informations additionnelles et/ou des conseils avisés, n'hésitez pas à les partager et si c'est votre première soirée au Fight Club, vous devez vous battre ! |
|
31-03-2014, 15h33
Message : #2
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: Opération Windigo : un botnet cible les serveurs Linux et deploie des backdoors ssh
Ouhla, j'avais pas vu ce post sur IRC, cc'est vrai que ça à l'air d'être une sacrée merde ce truc...
Je tiens à ajouter ce qui vient de se dire sur IRC à l'instant, si vous avez un sample, mettez le de coté ;) Bon nombre d'entre nous se feront une joie de l'analyser!! |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
linux-insides | ark | 5 | 280 |
03-04-2015, 18h31 Dernier message: thxer |
|
Defcon 21 Botnet et Javascript ! | thxer | 0 | 159 |
08-08-2013, 11h03 Dernier message: thxer |
|
Anonymous: Operation Global Blackout | Booster2ooo | 2 | 188 |
25-02-2012, 18h05 Dernier message: galex-713 |
|
Les serveurs d’Orange.fr piratés | CyberSee | 0 | 107 |
30-08-2011, 20h25 Dernier message: CyberSee |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)