Pour savoir si vous êtes infectés par ce cheval de troie :
Bonjour,
Clubic en parle aussi.
Un article dans un quotidien.
Un document important à ce sujet => les infos nécessaires au "nettoyage à partir de la page 58 du PDF.
A+
Cette info doit être prise avec circonspection.
“Info” ou “Intox” 
D’après plusieurs personnes contactées, ce serait plutôt le second cas.
“À qui profite le crime”
Sujet déjà signalé pour être déplacé dans pause café, aucune machine au taff n’ont été spécifiquement préparé pour le ssh et pourtant aucune d’entre elle même les plus vielles ne sont touché, cette fameuse option n’est pas une option disponible de base.
Et même si c’était vrai, on en viendrait toujours à la déduction suivante :
Une machine sans, ou avec insuffisamment de, protections, est la porte ouverte à toutes les attaques.
Il est évident que si vous installez un serveur sans parefeu, ouvert en SSH à root, avec un accès autorisé par MDP et que celui-ci soit du genre ‘médor’, vous risquez d’être concerné par ce genre d’attaque 
Extrait de l’article :
[mono]mais les pirates profitent cependant d’une mauvaise configuration des serveurs, ou d’un système d’authentification trop léger.[/mono]
[moderation]Je déplace le sujet dans PC.[/moderation]
[quote=“ricardo”]Et même si c’était vrai, on en viendrait toujours à la déduction suivante :
Une machine sans, ou avec insuffisamment de, protections, est la porte ouverte à toutes les attaques.
Il est évident que si vous installez un serveur sans parefeu, ouvert en SSH à root, avec un accès autorisé par MDP et que celui-ci soit du genre ‘médor’, vous risquez d’être concerné par ce genre d’attaque
Extrait de l’article :
[mono]mais les pirates profitent cependant d’une mauvaise configuration des serveurs, ou d’un système d’authentification trop léger.[/mono]
[moderation]Je déplace le sujet dans PC.[/moderation][/quote]
Détrompe toi Ricardo, j’ai déjà eu à faire sur un serveur de préprod d’un grand compte (ils sont au cac40) qui à été finalement été isolée et remontée au propre sur n autre châssis suite à différents problèmes de sécurité qui ne venait pas du système en tant que telle mais des failles laissées béantes dans les CMS par les équipes de dév et sans doutes une failles exploités sur le PC d’un des prestataire.
Les machines Unix/Linux ne sont pas exempt de problèmes de sécurité, mais il est vrai que les failles exploités permettent qu’un minimum de choses lorsque l’on fait correctement son travail d’admin et que l’on ne mets pas en place des config exotique sans aucune réflexion et tests complémentaires.
Du coup la commande ne sert à rien?
Vu que l’option -G n’existe pas, cela renvoie toujours “System clean”?
[quote=“dric64”]…
Pour savoir si vous êtes infectés par ce cheval de troie :
[mono]ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”[/mono]
[/quote]
Aux codeurs :
N’y-a-t-il aucun danger à effectuer cette commande ???
De ce que je comprends,
tu lances ssh avec l’option -G. Cette option n’existe pas normalement et ssh renvoie “illegal option”.
La sortie de ssh est recupéré puis épluchée par grep (2>&1 la sortie est passée en 1er argument de grep via un pipe “|”). Si ce dernier trouve “illegal” (comme dans “illegal option”) ou “unknown” dans la sortie alors ton ssh est apparement sauf et “System clean” s’affiche gràce à la commande echo. Dans le cas contraire, ça veut dire que l’option -G existe et que ton ssh est un ssh modifié.
Le >/dev/null après le grep permet de “jeter” la sortie de grep pour n’afficher que ce que l’on veut.
Moralité, cette ligne teste l’existence de l’option -G. Je ne sais pas si c’est très pertinent.
Heureusement qu’ils n’ont pas indiqué de taper une commande du style
[moderation]ATTENTION, NE TAPEZ SURTOUT PAS LE CODE CI-DESSUS[/moderation]
[quote=“Funkygoby”]…
Moralité, cette ligne teste l’existence de l’option -G. Je ne sais pas si c’est très pertinent.[/quote]
C’est justement à ça que je pense;
[quote=“agentsteel”]Heureusement qu’ils n’ont pas indiqué de taper une commande du style
[moderation]ATTENTION, NE TAPEZ SURTOUT PAS LE CODE CI-DESSUS[/moderation][/quote]
Sauf si on ne lance pas une console avec les droits “root”, non?
Tout à fait d’accord
Si j’ai bien compris, le ssh est remplacé pour intégrer une backdoor, et rajoute l’option G
Elle n’existe pas dans le projet openssh, et est donc sans risque
Après, ça reste un cheval de troie, utilisable uniquement si tu le places sur la machine (ou si cette machine est trouée, je pense à toi, serveur web mutualisé)
La propagation est ensuite faite si toi, tu te connectes sur une autre machine (le faux ssh copie le passwd que tu tapes et hop)
Ne pas utiliser un client ssh sur une machine non sûre
Techniquement, y’a rien à voir;
[quote=“M3t4linux”][quote=“agentsteel”]Heureusement qu’ils n’ont pas indiqué de taper une commande du style
[moderation]ATTENTION, NE TAPEZ SURTOUT PAS LE CODE CI-DESSUS[/moderation][/quote]
Sauf si on ne lance pas une console avec les droits “root”, non?[/quote]
Pour moi c’est pareil!!
La différence c’est que tu ne vas défoncer “que” ton /home/toi (et d’autres dossier où tu as les droit écriture comme /tmp) au lieu de tout défoncer à partir de la racine. D’un point de vue desktop, c’est grave! 
Personnellement, massacrer mon système n’est pas dramatique. En revanche, perdre mes données persos, ça ça me foutrait vraiment dedans.
[quote=“Funkygoby”]De ce que je comprends,
tu lances ssh avec l’option -G. Cette option n’existe pas normalement et ssh renvoie “illegal option”.
La sortie de ssh est recupéré puis épluchée par grep (2>&1 la sortie est passée en 1er argument de grep via un pipe “|”). Si ce dernier trouve illegal (comme dans “illegal option”) ou unknow dans la sortie alors ton ssh est apparement sauf est “System clean” s’affiche gràce à la commande echo. Dans le cas contraire, ça veut dire que l’option -G existe et que ton ssh est un ssh modifié.
Le >/dev/null après le grep permet de “jeter” la sortie de grep pour n’afficher que ce que l’on veut.
Moralité, cette ligne teste l’existence de l’option -G. Je ne sais pas si c’est très pertinent.[/quote]
C’est aussi ma compréhension. corruption de la commande ssh si l’option -G existe alors le ssh est corrompu sinon pas de pb.
J’ai posté un msg sur le forum eset pour avoir confirmation, ce matin. On va voir…
Tableau fort intéressant page 18 : google, etc. 
[quote=“agentsteel”]Heureusement qu’ils n’ont pas indiqué de taper une commande du style
[moderation]ATTENTION, NE TAPEZ SURTOUT PAS LE CODE CI-DESSUS[/moderation][/quote]
Je sais faire la différence entre un ssh -G |grep trucmuche et un rm -rf…
Oui, mais c’était surtout pour souligner le fait que les articles de clubic & co, se contentent de copier/coller sans expliquer grand-chose
Tu conseillerais le même site que Ed? Aurais tu d’autres adresses intéressantes en stock?