Le botnet Windigo s'attaque à Linux
Vous pensiez que Linux pouvait vous préserver de toute attaque ?... on vous l'a toujours dit pourtant, rien d'infaillible. Aujourd'hui, la preuve est faire que c'est pssible avec le botnet Windigo qui est en service depuis 2011...
Ce bot s'attaque chaque jour à près de 500 000 personnes pour vol d'identifiants et spam à gogo.
Pas moins de 25 000 serveurs ont été touchés depuis 2011 par le malware "Cdorked" qui fut trouvé l'année dernière dans les serveurs d'Apache. Ce malware n'est qu'une partie de ce bot.
" Pour Eset, le plus grand danger était l'orientation du bot pour les identifiants SSH. L'éditeur a recensé l'envoi de 5 362 identifiants dont la longueur varie de 3 à 50 caractères. D'autres mots de passe trouvés suggèrent que les administrateurs pouvaient accéder à plusieurs serveurs en utilisant la même clé.
Dans leur travail d'enquête, les chercheurs ont démontré une interconnexion entre plusieurs malwares découverts ces trois dernières années. Le module de contournement Cdorked a été cité, mais il faut ajouter Ebury, utilisé pour le vol de données et d'identifiants. Plus récemment, les scientifiques ont trouvé Calfbot, un robot de spam écrit en Perl."
Comment savoir si on est infecté ?
Pour savoir si leurs serveurs sont touchés, les administrateurs sont invités à taper cette commande :
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
En cas de réponse positive, le remède est radical selon Marc-Etienne Léveillé : « Formater les machines concernées et réinstaller les systèmes d'exploitation et les logiciels ». Par ailleurs, il est nécessaire de « changer les mots de passe et les clés privées ». Il faudra prévoir à l'avenir un système d'authentification à double facteur.
Articles similaires
-
Munich passe à Linux et abandonne Microsoft, qui perd ainsi 15 000 licences.
Ajouter un commentaire
