Au Japon, Nestlé annonce qu'il va déployer 1 000 robots dans ses boutiques pour renseigner les clients.

L'Image du jour

Au Japon, Nestlé annonce qu'il va déployer 1 000 robots dans ses boutiques pour renseigner les clients.

OpenStack, clef de voûte du cloud Open Source

Dernier Dossier

OpenStack, clef de voûte du cloud Open Source

OpenStack est-il la clef de voûte des infrastructures cloud Open Source, comme l'a été Linux, en quelque sorte, pour les systèmes d'exploitation pour ...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
3
Réagissez Imprimer Envoyer

Le botnet Windigo s'attaque à plus de 25 000 serveurs web Linux

Eset a trouvé le modus operandi de Windigo, un botnet qui a infecté plus de 26 000 serveurs web Linux/Unix. Crédit Photo: D.R.

Eset a trouvé le modus operandi de Windigo, un botnet qui a infecté plus de 26 000 serveurs web Linux/Unix. Crédit Photo: D.R.

A travers plusieurs malwares, des cybercriminels ont infecté plus de 25 000 serveurs web fonctionnant sous Linux ou Unix depuis 3 ans. Le botnet Windigo touche chaque jour plus de 500 000 personnes avec du spam et du vol d'identifiants.

Le malware « Cdorked » trouvé l'an dernier sur les serveurs web Apache ne serait qu'une partie d'un botnet baptisé « Windigo » qui touche les environnements Linux-Unix. Celui-ci a réussi à détourner plus de 25 000 serveurs Linux depuis 2011, selon une analyse de l'éditeur de solutions de sécurité Eset (faite en collaboration avec notamment le CERT-Bund allemand et l'agence nationale suédoise de recherche sur les infrastructures réseau, SNIC). Cette armée de serveurs zombies a permis d'envoyer des dizaines de millions de spams par jour, de voler des identifiants SSH, de procéder à des redirections web et à de l'injection de malware. Elle touche 500 000 personnes par jour selon Eset.

Le nombre de serveurs Linux infectés s'élève à 26 024 avec un rythme de progression de 38 serveurs enrôlés par jour. Et les victimes ne sont pas des inconnus. Le site Kernel.org de la Fondation Linux et des sites d'hébergement comme cPanel ont été visés. Pour Eset, le plus grand danger était l'orientation du bot pour les identifiants SSH. L'éditeur a recensé l'envoi de 5 362 identifiants dont la longueur varie de 3 à 50 caractères. D'autres mots de passe trouvés suggèrent que les administrateurs pouvaient accéder à plusieurs serveurs en utilisant la même clé.

Dans leur travail d'enquête, les chercheurs ont démontré une interconnexion entre plusieurs malwares découverts ces trois dernières années. Le module de contournement Cdorked a été cité, mais il faut ajouter Ebury, utilisé pour le vol de données et d'identifiants. Plus récemment, les scientifiques ont trouvé Calfbot, un robot de spam écrit en Perl.

Un remède radical, la réinstallation des serveurs web

Pour Marc-Etienne Leveillé, chercheur en sécurité chez Eset, « Windigo a rassemblé ses forces depuis plus de deux ans et demi en passant complètement inaperçu de la communauté de la sécurité ». Il constate que « la menace varie en fonction du système d'exploitation de l'utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo tente d'installer un malware via un kit d'« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous Mac OS. Les possesseurs d'iPhone, quant à eux, sont redirigés vers des contenus pornographiques ».

Il reste maintenant à prévenir les administrateurs du risque de voir leurs serveurs Linux (qui représentent 60% des sites web aujourd'hui) infectés. Eset considère que Windigo cible les serveurs fonctionnant sous Mac OS X, OpenBSD, FreeBSD, Windows (à travers Cygwin) et Linux, y compris la version pour l'architecture ARM.

Pour savoir si leurs serveurs sont touchés, les administrateurs sont invités à taper cette commande : $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected". En cas de réponse positive, le remède est radical selon Marc-Etienne Léveillé : « Formater les machines concernées et réinstaller les systèmes d'exploitation et les logiciels ». Par ailleurs, il est nécessaire de « changer les mots de passe et les clés privées ». Il faudra prévoir à l'avenir un système d'authentification à double facteur.

COMMENTAIRES de l'ARTICLE3

le 20/03/2014 à 09h35 par Gth (Membre) :

Le document publié par Eset évoque des stolens credentials donc rien à voir avec une faille de sécurité.
Attention l'option -G avec ssh ne fonctionne pas systématiquement (ssh: illegal option – G sur ma debian wheezy).
A la fin du document publié par l'éditeur j'ai eu un sourire pincé à la lecture de leur préconisation ultime : il faut s'équiper de leur logiciel :)
Bref, j'ai perdu mon temps.

Signaler un abus

le 20/03/2014 à 08h38 par MrEddy (Membre) :

Bonjour. Ce que l'on ne dit pas c'est pourquoi et comment il se fait que les administrateur le se rendent pas compte de sa présence. C'est tres important pour nous tous. Bonne continuation.

Signaler un abus

le 19/03/2014 à 20h39 par Kilimandjaro (Membre) :

10 000 machines par an sur 1 500 000 machines concernées ? Pas mal en effet, mais c'est bien dommage de se focaliser uniquement sur les conséquences quand ce sont les causes qu'il s'agit de cerner, et sur ce point, malheureusement, on reste sur notre faim !

Et c'est justement à la fin de http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf qu'on trouve enfin quelques recommandations utiles, qui relèvent plus du bon sens que de la découverte scientifique soudaine, et qui laissent à penser à des erreurs d'administration assez grossières.

Quand à l'astuce d'utiliser une option inexistante de ssh pour déterminer si le serveur est infecté ou non, c'est certes sympa, mais ça n'enlève pas cette impression globale d'un article publicitaire "sur mesure" à la gloire d'un éditeur vendant sa solution curative !

Face aux seuls postes windows infectés dans une journée, pour des raisons aussi bien humaines que techniques, que représentent réellement 38 serveurs web sous GNU/Linux, infectés à priori à cause d'administrateurs trop laxistes ?

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité