Icaunux - Le Forum

Forum de l'Association ICAUNUX

Vous n'êtes pas identifié(e).

Annonce

Les Inscriptions au forum sont temporairement désactivées en attendant de trouver une solution efficace contre les inscriptions fictives très nombreuses ces derniers temps. Si vous souhaitez vous inscrire sur le forum, merci d'envoyer une demande par mail à l'adresse contact@icaunux.org. Désolé de cette gène occasionnée.

#1 03-04-2016 22:02:18

wanica
Membre
Inscription : 13-11-2008
Messages : 2 070

Botnet_rootkit et autres failles, pas sous nux !

On dit souvent que linux ne connaît pas les virus et autres nuisances.
C'est vrai !
Ce qu' on lit d 'alarmant provient la plupart du temps :
- de la volonté de non connaisseurs de se rassurer en gardant win
- de la volonté des vendeurs ( ou sites vendeurs de ) de la famille win de discréditer nux...

Botnet, un risque réel, mais pas sur machine nux...
http://blog.dustinkirkland.com/2015/09/ … -here.html
Wednesday, September 30, 2015
I woke this morning to a series of questions about a somewhat sensationalist article published by ZDnet this morning: Linux-powered botnet generates giant denial-of-service attacks

All Linux distributions -- Ubuntu, Red Hat, and others -- enable SSH for remote server login.  That’s just a fact of life in a Linux-powered, cloud and server world.  SSH is by far the most secure way to administer a Linux machine remotely, as it leverages both strong authentication and encryption technology, and is actively reviewed and maintained for security vulnerabilities.

However, in Ubuntu, we have never in 11 years asked a user to set a root password by default, and as of Ubuntu 14.04 LTS, we now explicitly disable root password logins over SSH.

Any Ubuntu machine that might be susceptible to this XOS.DDoS attack, is in a very small minority of the millions of Ubuntu systems in the world. 
Tout ubuntu qui pourrait être infecté est une très petite minorité des millions de systèmes ubuntu installés.
Specifically, a vulnerable Ubuntu machine has been individually and manually configured by its administrator to:
Une machine vulénrable a été spécifiquement et manuellement configurée par son utilisateur pour:

  1. permit SSH root password authentication, AND
    permettre l' authentification ssh par mdp root

  2. have set a root password, AND
    généré un mot de passe root

  3. have chosen a poor quality root password that is subject to a brute force attack 

a chois un md passe root de faible qualité qui est attaquabl par force brute

A poor password generally uses a simple dictionary word, or a short password without numbers, case sensitivity or symbols.

Moreover, the antivirus software ClamAV is freely available in Ubuntu ([font=Courier New,Courier,monospace]sudo apt-get install clamav[/font]), and is able to detect and purge XOR.DDoS from any affected system.

As a reminder, it’s important to:

https://www.symantec.com/security_respo … 99&tabid=2

https://www.akamai.com/us/en/multimedia … -study.pdf

TOPO sur les botnets__________________________________________
https://fr.wikipedia.org/wiki/Attaque_p … de_service
attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de :

https://fr.wikipedia.org/wiki/Botnet

[size=3]Botnet[/size]

Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.
Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS).


Les anciennes générations s'appuyaient souvent sur un centre de contrôle centralisé ou facilement désactivable (adresse IP fixe ou nom de domaine pouvant être bannis, canal IRC pouvant être fermé, etc). Désormais, le peer-to-peer permet une résilience du système de communication, et les fonctions Web 2.0 détournées rendent l'interception très complexe : le botnet recherche un mot clé sur le web et l'utilise pour déterminer l'emplacement du centre de contrôle auprès duquel il doit recevoir ses ordres.
Plusieurs actions concertées dans lesquelles le département de sécurité de Microsoft s'est fortement impliqué ont permis de démanteler deux importants réseaux : Waledac et Rustock (opérations dénommées respectivement b49 et b107). En mars 2011, Rustock comprenait environ 1 million de machines générant 47,5 % du spam mondial (selon Symantec[sup]26[/sup]) et dont le code source utilisait 106 adresses IP pour son contrôle[sup]27[/sup].

[size=1]Des sources officieuses prétendent qu' un ordi sur deux ( soit des millions) présent dans les écoles américaines serait concerné...[/size]


[size=1]http://www.atelier.net/trends/articles/ … e-mondiale[/size]

Selon un rapport de Symantec, la France est le troisième pays au monde pour le nombre de PC zombies. Les PC zombies, ou bots, sont des ordinateurs infectés et dont le contrôle a échappé à leur propriétaire...
( 6 % des pc en avril 2007 beaucoup plus presque dix ans après...)

http://www.01net.com/actualites/un-quar … 40200.html
info de 2007 aussi  ( concernait 100 à 150 millions de machines...)

En 2005, l'éditeur Sophos estimait que le pays le plus diffuseur de spam était les Etats-Unis (35 % des pourriels) devant la Corée du Sud, la Chine et la France, en grande partie à cause des PC zombies.

Fin 2009, MessageLabs donnait le top 10 suivant///la suite https://fr.wikipedia.org/wiki/Botnet#ci … agelabs-25

4 phases, la dernière :
Phase opérationnelle
Une fois le botnet installé et déclaré, la machine zombie peut obéir aux ordres qui lui sont donnés pour accomplir les actions voulues par l'attaquant (avec, au besoin, l'installation d'outils complémentaires via une mise à jour distante) :

  • Envoi de spam ;

  • Attaques réseau ;

  • Participation au service de serveur DNS dynamique, ou DDNS (fast flux) ;

  • Utilisation des ressources systèmes pour du calcul distribué (cassage de mot de passe), etc

[table][tr][th]Nom du botnet[/th]
[th]Nombre de machines[/th]
[th]Capacité en mails par minute[/th]
[/tr]
[tr][td]Rustock[/td]
[td]540 000 à 810 000[/td]
[td]14 000 000[/td]
[/tr]
[/table]
Plus récent
https://en.wikipedia.org/wiki/Botnet

Hors ligne

#2 28-04-2016 00:24:32

IceCat
Membre
Lieu : 93
Inscription : 17-11-2012
Messages : 682

Re : Botnet_rootkit et autres failles, pas sous nux !

Effectivement, je n'ai jamais vu de virus sous Linux, cependant on trouve quand même des Linux dans les botnet. wink
Ce sont des machines mal ou pas administrées, avec des mots de passe pas assez complexes ou des services troués. Et ça peut aller très vite.

Apr 27 01:46:41  sshd[12454]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 01:46:44  sshd[12456]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 01:46:47  sshd[12458]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 01:56:51  sshd[12478]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 01:56:53  sshd[12482]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 01:56:56  sshd[12484]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 01:56:59  sshd[12486]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:07:02  sshd[12515]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:07:05  sshd[12517]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:07:07  sshd[12519]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:17:15  sshd[12571]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:17:18  sshd[12573]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:17:21  sshd[12575]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:17:23  sshd[12577]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:17:26  sshd[12579]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:17:29  sshd[12581]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 27 02:17:33  sshd[12583]: reverse mapping checking getaddrinfo for 171.29.25.31.convex-tagil.ru [31.25.29.171] failed - POSSIBLE BREAK-IN ATTEMPT!

J'ai un fail2ban par défaut, qui ban l'ip pour 10 minutes au bout de 3 tentatives ratées sur les connexions ssh. Vu qu'il a testé pendant 30 minutes et qu'il a fait en moyenne une tentative toutes les 3 secondes, ça (aurait) fait 1800 mots de passes testés.

Il y a des bots plein le net, qui testent divers accès en permanence.


promotion.php?image=PL-user.png&membre=IceCat

Hors ligne

#3 28-04-2016 00:45:48

IceCat
Membre
Lieu : 93
Inscription : 17-11-2012
Messages : 682

Re : Botnet_rootkit et autres failles, pas sous nux !

Je viens de regarder par curiosité sur le serveur qui héberge le cloud. Tout en sanchant qu'il est moins cool que celui ci-dessus (il ban pendant 1h), il y a eu, en 3 jours, 743 tentatives. smile


promotion.php?image=PL-user.png&membre=IceCat

Hors ligne

Pied de page des forums