Journal Virus ?

Posté par . Licence CC by-sa
Tags : aucun
4
31
déc.
2014

Bonjour à tous,

Je prends la peine d'écrire un journal pour relater ma première expérience de ce qui ressemble à un virus sur/sous linux !
(après recherche sur le site je n'ai pas trouvé de témoignage)

Bon en fait c'est indirecte, je n'ai pas été touché personnellement. Je vous décrit la situation :

C'est un ami proche qui utilise presque exclusivement linux et dont le niveau de compétence est très bon
sans qu'il soit pour autant ingénieur système. Je dis cela pour que vous compreniez qu'il est relativement
prudent.

Depuis un mois il s'est rendu compte de dysfonctionnement au niveau de la connexion internet (coupures
régulières). Après une discussion avec Free ("c'est pas nous c'est vous !") il apparaît effectivement
que sur un poste du réseau locale un processus, root avec un nom aléatoire, occupe beaucoup de ressource
processeur et envoie des informations sur internet. Si on le kill il réapparaît sous un autre nom (aléatoire toujours).

Voyant cela mon pote a fait une réinstallation (après formatage) et tout va mieux.

Bin mince, moi qui croyait être à l'abri ! A moins bien sur que je me trompe et que ce n'est pas un virus (alors c'est quoi ?).

Si vous avez une idée sur (i) le scénario d'infection (ii) la nature du virus (iii) pourquoi ça coupe internet (Free ?)

ps: Bonne année à tous

  • # ça sent mauvais

    Posté par (page perso) . Évalué à 10.

    i : il nous faut plus d'info. Cette machine joue telle notamment le role de serveur ? Si oui, quels sont les services disponibles ? Est-il accessible de l'extérieur ? Si non, à quoi sert-elle ?

    ii : il faudrait avoir plus d'info sur le virus. Son nom, son emplacement, des paramètres passés en ligne de commande lorsqu'il est démarré ? Etc…

    iii : Nature des coupures ? (désynchronisation ? saturation de la bande passante ?)

    A froid, beaucoup de ressources processeurs me fait penser à un service de minage pour crypto-monnaie. Ce qui ne serait pas non plus incompatible avec une saturation régulière du réseau.

  • # Virus != Malware

    Posté par . Évalué à 10.

    A moins bien sur que je me trompe et que ce n'est pas un virus (alors c'est quoi ?).

    Un virus se définit par sa capacité de se dupliquer et se répandre de façon autonome.

    Pour voir si c'est un virus il aurait-été bon de garder une image de l’ancien systeme pour analyser le binaire.

    Après y'a d'autres moyens de placer un malware sur une machine, ssh accessible avec un mot de passe trop simple, exécution d'un programme d'une source non fiable…

  • # il s'y connait, mais il a installé n'importe quoi ?

    Posté par . Évalué à 10.

    ton ami, il n'aurait pas installé un binaire provenant d'internet, en dehors de son gestionnaire de paquet, avec un script qu'il faut lancer avec sudo run_mon_install.sh

  • # Impression de déjà vu

    Posté par . Évalué à 10.

    Ta description me rappelle ce qui est arrivé à quelqu’un qui avait une Debian pas à jour dans un VM (à l’époque des faille Bash, mais on ne sait pas si ça a été le vecteur d’infection) et s’est fait vérolé.
    Il avait un processus au nom improbable (eiccyumxzl) qui bouffait beaucoup de CPU et faisait beaucoup de trafic réseau (probablement pour faire un DOS).

    J’avais récupéré l’exécutable pour en faire une analyse (surtout que le binaire est non strippé et avec les symboles de débug, ça sent le script kiddie…) mais j’ai pas encore eu le temps. Quelqu’un d’autre avait commencé et était aller assez loin (récupération et décodage de la conf à partir du serveur de C&C).

  • # Ça m'est arrivé une fois

    Posté par (page perso) . Évalué à 7.

    Une vieille installation manuelle de phpBB qui trainait, complètement troué. Quelqu'un en profité pour lancer un script qui envoyait des tas de paquets UDP sur une IP donnée, un DDOS sauf erreur.

  • # Les FAI sont clean maintenant ?

    Posté par . Évalué à -3. Dernière modification le 02/01/15 à 04:05.

    C'est un poil HS

    Après une discussion avec Free ("c'est pas nous c'est vous !")

    Ce passage m'a fais rire, si c'est le signe d'une infection, je ressens les symptômes depuis des années… Et c'est du lourd, ça infecte tous les systèmes de la maison en même temps, c'est magique, comme les coups de fil à la hotline qui te donne un boost temporaire de 2/3Mo en DL.

  • # Point 3, une piste…

    Posté par . Évalué à 3.

    Lors de la programmation d'un « data miner » web en Python, j'ai pu faire l'expérience de la connexion internet down pendant quelques minutes, puis 10-15 minutes (et probablement crescendo). Cela peut peut-être correspondre aux symptômes du point 3 chez ton pote.

    Je m'étais chié dans la gestion des exceptions de urllib.request.urlopen. Mon script faisait une nouvelle requête en cas d'échec, pour lutter contre les erreurs de time-out. Çà posait problème avec les requêtes à des urls inexistantes (boucle infinie).

    Mon interprétation a été que l'opérateur internet coupe la connexion internet en cas de trafic abusif/anormal (en tout cas celui généré par mon script). Dans mon cas si le problème persistait la durée de la coupure semblait augmenter.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.