Virus : est-ce que l'on doit les craindre ?

Le nombre peu élevé du parc de machine GNU/Linux protège des virus. Les gens qui “programment” ce jour de choses sont trop égotiques pour se satisfaire d’un aussi petit impacte. Sous Mac qui commence à avoir un certain succès on commence à concevoir des anti-virus commerciaux.

Par contre les failles d’un système libre peuvent intéresser certains “pirates” pour créer des machines zombies.

Clamav n’est pas un anti-virus en temps réel. Mais je fais confiance à la communauté pour programmer un bon anti-virus le jour ou cela sera nécessaire.

D’accord avec ce qui est écrit plus haut et au dessus :
Sous Linux depuis 2002 et sous Debian depuis 2003, je n’ai jamais eu aucun virus.
Une bonne protection parefeu et autres me semble suffisante.
Pour mon serveur, ouvert 24/24, il est sous “stable” et les MAJ secu sont toujours faites dans les 5 mn qu’elles sortent.
Je ne TC que très très très exceptionnellement des paquets autres que les .deb.
Je fais des sauvegardes régulières (hebdomadaires)
Je suis heureux que Linux et a fortiori Debian soient rejetés par la majorité des gens, ce qui fait, comme c’est dit plus haut, que ça n’intéresse pas les ego-casse-couilles.
Je dors sur mes deux oreilles.

Linux comporte des systèmes d’intégrité qui n’existent ni sous windows ni sous mac de par leur nature de propriétaire. Les risques de voir un code inséré sous linux existent et existeront toujours Détecter une telle insertion et surtout garantir la non pérennité d’un tel code (il est supprimé au démarrage suivant) est immédiat et sans doute déjà présent sur beaucoup de machines. Des outils comme aufs, ou la possibilité d’avoir des racines en lecture seule n’existent pas sous mac comme windows. Bref, le jour où un virus apparait sous linux, le mendemain les machines peuvent être protégées à 100%.

Une chose que j’ai oubliée en matière de sécu :
1/ utilisateur unique (quand c’est possible)
2/ mot de passe ‘user’ en béton (minimum 10 caractères bien complexes : 16 chez moi)
3/ mot de passe ‘root’ en béton ARMÉ (minimum 15 caractères : 26 chez moi)
4/ dossiers/fichiers en 777 = jamais ; dossiers/fichiers en 775 = très exceptionnellement.
Grande majorité des dossiers/fichiers en 750 voire 740 voire même en 700.
Au pire 755 quand il est impossible de faire autrement.

De quoi tu parle ?

Un truc vraiment très pratique aussi c’est de monter /tmp pour interdire le bit d’éxecution dessus. Éventuellement on peut aussi voir pour les liens (soft ou hard).

Complètement d’accord on a vraiment des quantités de solutions de sécurisation qui ne sont pas encore utilisée par défaut et qui n’attendent que des cas probables d’attaques pour être déployés par défaut.

Bonjour,

TOUS les OS sont sûr actuellement en “out of box”, même windows (le mieux étant Seven en 64 bits).

Il y a un concours (je ne me souviens plus du monde) où des hackers doivent pirater un machine avec un OS installé (Mac, Linux, windows, etc…). Sans intervention d’un humain (email, MSN, etc.), pas de piratage possible.
De plus, ces hackers exploitent des failles des logiciels installés sur l’OS (cf faille OpenOffice sur MacOSX ces derniers jours).

J’ai eu des machines sous windows pendant longtemps sans avoir le moindre problème, mais il fallait y passer du temps (firewall, bloqueur, AV anti-malwawre, etc…).

Le fait que Linux soit peut répandu est un plus, le piratage et la fabrication de malware est principalement économique aujourd’hui.

Un firewall est toujours indispensable sous Linux, un anti-virus non imho, sauf s’il sert de serveur pour machines windows !!!
Il y a aussi des détecteurs de rootkit qu’il faut installer et lancer de temps en temps.

Coté firewall linux, j’aimerai que ces derniers ouvrent un port à une application, dont ils vérifient le checksum (vielle habite de windowsien), mais bon, faut pas non plus être parano (quand on vient de windows, c’est dur et on a l’impression les premiers temps d’être tout nu, après on devient nudiste )

Autrement, ne pas cliquer sur un lien d’un email pour voir une belle inconnue (ou beaucoup moins) déshabillée, ou gagner de l’argent …, du bon sens !!

• Si on utilise Wine, ne pas s’amuser à l’associer aux extensions des exécutables W$ (exe, com, bat, dll …)

• Questions sur les pare-feux : pour l’utilisateur lambda, la fermeture des ports entrants est-elle suffisante, ou faut-il aussi filtrer les ports sortants ?

Bonjour,

@François_29 : le filtrage entrant est un minium, le sortant un plus.

Ce filtrage sortant va surtout empêche de contaminer les autres machines et de bloquer l’action extérieure du malware.
Cela fonctionne bien si la bestiole utilise un port exotique, autrement … D’où ma remarque sur l’absence de firewall applicatif sous Linux.

ha! jc1 m’a devancer pour cette reponse…

[quote=“jc1”]TOUS les OS sont sûr actuellement en “out of box”, même windows (le mieux étant Seven en 64 bits).

Il y a un concours (je ne me souviens plus du monde) où des hackers doivent pirater un machine avec un OS installé (Mac, Linux, windows, etc…). Sans intervention d’un humain (email, MSN, etc.), pas de piratage possible.
De plus, ces hackers exploitent des failles des logiciels installés sur l’OS (cf faille OpenOffice sur MacOSX ces derniers jours).[/quote]
Ça n’est pas une démonstration d’une part (des exploit comme le paquet ICMP de la mort ça peut toujours arriver). D’autre part un OS non utilisé ne sert à rien. Firefox installé sur ta machine ça n’ajoute aucune faille à ton ordi, c’est une fois lancé qu’il peut peut être ajouter des failles.

Un port ouvert ça ne craint rien tant qu’aucun logiciel écoute dessus.

su -c "netstat -lntp"

Te permet de voir les programmes qui écoutent (et qui potentiellement peuvent être attaquer par l’extérieur (si tu n’es pas derrière un NAT). Note : écouter les adresses 0.0.0.0 ou ::… reviens à écouter toutes les interfaces. Tu peut reconfigurer certains logiciels pour qu’ils n’écoutent que sur 127.0.0.1 (la boucle locale).

A en installer autant le lancer systématiquement via cron.

Tiens j’ai vu quelqu’un bloguer là dessus ce matin (sauf que le monsieur parlait d’un filtrage par PID ce qui est une hérésie). Des solutions aussi simples que sous windows, je n’en connais pas. Par contre les LSM permettent ça et bien plus. Le checksum n’a pas d’intérêt, c’est ton IDS qui va s’en charger (chrootkit par exemple).

creer un virus linux …5 steps geekzone.co.nz/foobar/6229

De quoi tu parle ?[/quote]
Dans clefagreg opar exemple, la racine est un système en lecture seule avec par dessus un système autorisé en écriture, il est très facile d’avoir un système qui a chaque démarrage se retrouve dans l’état exacte d’origine donc sans virus. Quelque soit le mécanisme utilisé par le virus, il est éjecté au démarrage suivant.

Ouais, je confirme que cette clef m’évite bien des embarras, ailleurs je regarde les configurations, qui m’apprennent beaucoup.

Encore merci !

De quoi tu parle ?[/quote]
Dans clefagreg opar exemple, la racine est un système en lecture seule avec par dessus un système autorisé en écriture, il est très facile d’avoir un système qui a chaque démarrage se retrouve dans l’état exacte d’origine donc sans virus. Quelque soit le mécanisme utilisé par le virus, il est éjecté au démarrage suivant.[/quote]
A oui d’accord, j’imaginais que tu parlerais de quelque chose qui serait utilisé dans une squeeze par défaut.

Un autre mécanisme pour arriver à ça est les snapshot de système de fichier. Tu as un snapshot sur le quel tu démarre et tu repars dessus à chaque démarrage. C’est moins propre, mais pour des système que l’on veut pouvoir faire évoluer garder les 10 derniers snapshots représentant l’état du disque les 10 derniers jours ça peut être agréable.

Tu devrais mettre la traduction en Français

J’ai lu le truc en entier mais en diagonale. J’ai rien contre toi mais j’ai trouvé ça bidon. Tu l’as lu? à moins que ça soit ironique tout le long. (le mec soutient Gnu/Linux)
Mon avis:
On dirait que le mec veut faire du sensationnel avec rien.
En gros c’est pas 5 mais 7 étapes dites “faciles”. Il faut disposer d’un serveur (pastebin ferait l’affaire), savoir coder en python (gestion de http,smtp. Facile…) et finalement ça ne touche à priori que KDE ou Gnome… et il faut un client de messagerie chez la victime.
Le resultat final: un lanceur que l’utilisateur doit sauvegarder puis executer (mes parents sont assez naïfs pour le faire, c’est du vécu). Ca lance une commande bash qui telecharge un script malveillant et l’execute.
Autant ecrire une commande pourrie en clair dans le mail et demander au mec de l’executer.

Je me suis arreté quand le mec titrait “lancement au reboot” et explique qu’il suffit de coller le script dans le dossier autorun de l’user. Pour moi le reboot, ça se passe avant le login.

Bref, y a rien à voir…
Pardon pour les anglaiseries.

Dans la même veine : installer un virus GNU/Linux en 7 étapes… gnu.org/fun/jokes/evilmalware.html

[quote=“syam”]Dans la même veine : installer un virus GNU/Linux en 7 étapes… gnu.org/fun/jokes/evilmalware.html
[/quote]

esec-lab.sogeti.com/dotclear/pub … rticle.pdf

J’ai lu le truc en entier mais en diagonale. J’ai rien contre toi mais j’ai trouvé ça bidon. Tu l’as lu? à moins que ça soit ironique tout le long. (le mec soutient Gnu/Linux)
Mon avis:
On dirait que le mec veut faire du sensationnel avec rien.
En gros c’est pas 5 mais 7 étapes dites “faciles”. Il faut disposer d’un serveur (pastebin ferait l’affaire), savoir coder en python (gestion de http,smtp. Facile…) et finalement ça ne touche à priori que KDE ou Gnome… et il faut un client de messagerie chez la victime.
Le resultat final: un lanceur que l’utilisateur doit sauvegarder puis executer (mes parents sont assez naïfs pour le faire, c’est du vécu). Ca lance une commande bash qui telecharge un script malveillant et l’execute.
Autant ecrire une commande pourrie en clair dans le mail et demander au mec de l’executer.

Je me suis arreté quand le mec titrait “lancement au reboot” et explique qu’il suffit de coller le script dans le dossier autorun de l’user. Pour moi le reboot, ça se passe avant le login.

Bref, y a rien à voir…
Pardon pour les anglaiseries.[/quote]

j’avais pas vu ta reponse ;p

non c’est beaucoup d’ironie , ca montre quelques petites choses rien de graves… , je ne vais pas commencer a poster des liens ‘devils code’ quand meme

Bonjour,

Et des systèmes de contrôle d’accès comme SELinux, Tomoyo ou Apparmor ?

@MisterFreez : il me semble que tu avais chercher sur ces softs, tu peux nous faire un retour svp ?