http://www.theregister.co.uk/2013/11/15/stealthy_linux_backdoor/
Ce petit filou écoute le traffic SSH et ne s'active qu'à la réception d'une séquence de "“:!;.”.
On dit qu'il n'y a pas de virus sous Linux. Comment on peut en être sur? Si on peut…
ClamAV, le firewall, SE Linux… A part ça?
# Un mot: Symantec
Posté par Croconux . Évalué à 10.
Il dit qu'il ne voit pas le rapport. Déjà Linux c'est un noyau et ici il s'agit d'un serveur compromis sur lequel le pirate a laissé une backdoor.
Comment c'est arrivé ? L'article n'apporte aucune info. Mot de passe récupéré, serveur mal configuré, faille dans un logiciel installé ?
J'adore le côté sensationnaliste de l'article "Linux compromised" ("the world is ending", "kittens are dying",…) et puis arrive le bouquet final : D'où vient cette "info" ? Symantec. Qu'est-ce qu'il ne feraient pas pour justifier l'achat de leurs softs. C'est à se demander si ce n'est pas eux qui les créent, ces "menaces".
Comment peut-on être sûr qu'on ne se fera pas renverser en traversant la route ? On ne peut pas. Si on prends des précautions de base, on limite très fortement les risques mais le risque 0 n'existe pas.
1) Encore faudrait-il que ce soit un virus.
2) Si c'était le cas l'aurait-il vu?
3) Aucun soft ne protège contre un admin mal intentionné ou incompétent.
# ouais enfin non
Posté par NeoX . Évalué à 6.
ce qui traduit nous dit que c'est un process qui n'ouvre pas un port sur le reseau et ne se connecte pas à un serveur "telecommande", mais plutot du code injecté dans le processus SSH pour surveiller le trafic et attendre une sequence particuliere pour se mettre en marche.
je vois quelques soucis pour se faire viruser :
1°) faut qu'il y ait eu un acces root pour installer une version modifiée de SSH
2°) ca ne resiste pas à la mise à jour suivante de SSH par le gestionnaire de paquet
3°) je ne sais pas dans quel logiciel on utilise la sequence ":!;." mais moi j'ai pas souvenir de l'avoir utilisée en 13 ans de boulot d'adminsys
enfin l'article conclut par
Les malware linux sont souvent des probleme cotés serveurs, et les vers et tojans sont quelques centaines, moins d'un millier comparés aux millions de windows pathogenes et au million d'android indesirable.
[^] # Re: ouais enfin non
Posté par shingo (site web personnel) . Évalué à 2.
D'ailleurs, en parlant d'Android… Je trouve ça dingue qu'on peut se choper des trojans, spywares etc. en installant des applications sur le store de Google…
[^] # Re: ouais enfin non
Posté par Tonton Benoit . Évalué à 2. Dernière modification le 23 novembre 2013 à 15:28.
Le contrôle sur le PlayStore est léger et plus basé sur le signalement à posteriori des applications litigieuses.
Sur l'AppStore d'Apple le contrôle a-priori des applications est plus poussé, mais ça n'a pas évité des problèmes malgré-tout (surtout qu'Apple cherche plus les applications nuisibles pour lui que pour les utilisateurs), et du coup les délais (jusqu'à 10 jours pour voir son application validée) sont assez lourds à supporter pour les développeurs.
[^] # Re: ouais enfin non
Posté par max22 . Évalué à 1.
eh oui bientôt on aura les tablettes et les téléphones des amis à réparer/nettoyer, etc… (si ce n'est pas déjà le cas)
[^] # Re: ouais enfin non
Posté par JGO . Évalué à 1.
Moi ce que je trouve dingue c'est qu'on installe des applications depuis le store de Google.
[^] # Re: ouais enfin non
Posté par NeoX . Évalué à 5.
tu installes bien des applis depuis le depot de ton linux ?
simple question de confiance
[^] # Re: ouais enfin non
Posté par JGO . Évalué à 2. Dernière modification le 24 novembre 2013 à 15:42.
Justement, tu fais confiance à Google ?
Il n'est pas du tout surprenant que des applis proprio présentes sur le dépôt d'une multinationale de la publicité qui s'illustre dans le non-respect de la vie privée des citoyens soient re-packagés avec des adwares. Si on abandonne la possibilité de compiler et d'installer soi-même ses logiciels sur un appareil, c'est ce qu'on obtient.
C'est clair que Mme Michu ne sait pas cross-compiler, mon commentaire s'adresse aux informaticiens qui lisent linuxfr et s'étonnent encore de trouver des adwares dans des blobs proprios pris sur le dépôt d'une telle entreprise.
Mon système télécharge le code source depuis le site de projets libres (ou le binaire de projets non-libres, mais ça j'évite), vérifie les checksums, puis compile et installe. Je ne fais pas confiance à un dépôt en particulier.
[^] # Re: ouais enfin non
Posté par NeoX . Évalué à 3.
admettons, tu tournes donc à partir des sources, et tu fais donc confiance au mainteneur du serveur pour verifier les sources et en calculer un checksum.
et ton systeme est entierement compilé sur ta machine, tu n'as pas de paquet binaire percompilé, ca doit etre long le jour ou il faut mettre à jour firefox/openoffice/gimp… mais admettons.
parce que sinon, tu telecharges un binaire precompilé dont le checksum est fournit par le meme serveur.
si le serveur est detourné, ou que le binaire est verolé mais non controlé avant d'arrivé sur le depot,
ben tu installeras toi aussi une verole sur ton poste.
le probleme du depot, c'est le controle qui doit etre fait avant d'inserer un logiciel dedans,
apple le fait, et se fait engueuler quand il est un peu trop severe,
debian le fait et se fait engueuler quand il refuse certains projets en upstream
google ne le fait pas, ou de maniere plus light, et se fait engueuler car ca diffuse certains adwares/spyware…
[^] # Re: ouais enfin non
Posté par JGO . Évalué à 2. Dernière modification le 24 novembre 2013 à 17:29.
Oui je suis d'accord, le code source ou le binaire fournis par un projet auquel tu fais confiance sont équivalents.
Bien sûr dans tous les cas il faut faire confiance au dépôt primaire, mais ça y'a pas moyen de faire autrement.
Tout autant qu'il est difficile de compromettre un serveur pour insérer un malware, il est facile de re-packager un logiciel et de le soumettre à un dépôt de binaires, et on sait que le principal dépôt grand public la cible de prédilection des auteurs d'adwares. Éliminer des intermédiaires en téléchargeant à la source (assez souvent cela veut dire devoir compiler, c'est pour ça que le présentais ainsi) réduit la possibilité de se prendre des véroles insérées par les intermédiaires.
J'ai une confiance relative dans le dépôt de Debian (en gros ça a l'air d'aller, mais on a déjà eu l'histoire de l'entropie des clefs ssh créées par un mainteneur trop zélés), mais alors AUCUNE de chez aucune dans les dépôts binaires signés Apple ou Google. Je trouve troublant que des lecteurs de linuxfr s'étonnent de trouver des adwares ou des spywares dans des blobs binaires packagés par on ne sait qui et soumis dans le dépôt grand public des champions Big Brother de la planète, chacun dans leur style.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.