25000 serveurs UNIX infectés par un cheval de Troie

Pause Café
#21

Explication de ce que fait la commande et en quoi elle peut déterminer si le système est infecté ou pas :

Indicators of Compromise (IOCs)

We will provide two means of identifying the presence of the Linux/Ebury SSH backdoor. The easiest way to identify an infected server relies on the presence of a feature added by the malware to the ssh binary. A longer process involves inspection of the shared memory segments used by the malware.

The command ssh -G has a different behaviour on a system with Linux/Ebury. A clean server will print

ssh: illegal option -- G

to stderr but an infected server will only print the typical “usage” message. One can use the following command to determine if the server he is on is compromised:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Linux/Ebury relies on POSIX shared memory segments (SHMs) for interprocess communications. The current version uses large segments of over 3 megabytes of memory with broad permissions allowing everyone to read and write to this segment.

Other processes could legitimately create shared memory segments with broad permissions. Make sure to validate that sshd is the process that created the segment like we show below.

source : http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/

J’ai trouvé les réactions globalement bizarres, ici : Soit très peu de réactions, soit des suspicions, comme si un système unix ne pouvait pas être infecté… Alors que le sujet me paraît quand même sérieux. ESET ne me paraît pas être le premier pinpin venu, en terme de sécurité informatique.

#22

Y-a-t-il quelque part un exemplaire du cheval de troie?

#23

Tu conseillerais le même site que Ed? Aurais tu d’autres adresses intéressantes en stock?[/quote]
Tout étant expliqué en détails dans le lien donné par Ed, personnellement je n’éprouve pas le besoin d’aller chercher ailleurs (sauf si bien sûr on ne lit pas l’anglais :mrgreen: )

#24

Je serais bien incapable de te dire ou, pas plus que je serais capable de te trouver des chevaux de troie plus connus et certainement plus répandus, destinés à Windows… Ca ne doit pas être si simple a trouver, quand même.

Mais d’après le site malekal, il semblerait que des sites bien connus aient été victimes de ce trojan, en 2013.

#25

[quote=“dric64”]…

[moderation]ATTENTION, NE TAPEZ SURTOUT PAS LE CODE CI-DESSUS[/moderation]

Je sais faire la différence entre un ssh -G |grep trucmuche et un rm -rf…[/quote]

Toi, oui !

#26

Nan, mais ce que je veux dire c’est que les 2 commandes n’ont rien à voir : l’une t’efface la partition racine, l’autre fait un grep sur une commande ssh…

#27

[quote=“agentsteel”]Heureusement qu’ils n’ont pas indiqué de taper une commande du style

[moderation]ATTENTION, NE TAPEZ SURTOUT PAS LE CODE CI-DESSUS[/moderation][/quote]
Un peu hors-sujet, mais cette commande est sans risque (même en root) avec la configuration par défaut de rm sur Debian.
Par contre, n’y ajoutez surtout pas l’option [mono]–no-preserve-root[/mono] !