Aller plus loin
- plus d'infos (2 clics)
attention, encore une alerte au vers
5
avr.
2001
Un nouveau vers vient d'être découvert sous linux: Adore. Il semble dater du 1° avril. En suivant le lien, vous trouverez un script qui détecte et permet de supprimer le vers de votre système (au cas où vous en auriez besoin), et aussi les liens vers les patches corrigeant les problèmes dans LPRng, rpc-statd, wu-ftpd et BIND.
# Allez! Au boulot les admin!
Posté par Ano . Évalué à 1.
Ce qui est rassurant, c'est que ces vers ne sont que des "script-kiddies" auto-réplicables, ils exploitent des trous de sécurité connus. Un ch'tit update et à la porte le ver!
Ca va permettre de tester la réactivité des différentes distributions (MandrakeUpdate par exemple!)...
A votre avis, c'est Krosoft ou les éditeur d'anti-virus qui les fabriquent?
J'avoue, je lance un super troll... Si j'ai honte? Naaaaaaaaaan!
[^] # Re: Allez! Au boulot les admin!
Posté par Ano . Évalué à 1.
Pour info, avant le troll y'avais une balise
"Conspiracy Theory"
qui se fermais par:
"/Conspiracy Theory"
Bon, ben c'est noté...
[^] # Re: Allez! Au boulot les admin!
Posté par earxtacy . Évalué à 1.
paf un nouveau..
ft q j'ameliore mes connaisance sur bsd!!
[^] # Re: Allez! Au boulot les admin!
Posté par Ano . Évalué à 1.
Ca peut être une solution...
[^] # Re: Allez! Au boulot les admin!
Posté par Orphée . Évalué à 1.
[^] # Re: apt-get, apt-get...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
[^] # Re: apt-get, apt-get...
Posté par earxtacy . Évalué à 1.
(antivirus )..
moi je bosse sur 3 systemes et ca commence a m'emmerder ca fait trop!!
linux/win/bsd
!!!
[^] # Sous windows désurerait passer sous Linux...
Posté par Anonyme . Évalué à 0.
Mais vos histoires avec vos vers ça me fait peur, ça.
Comment on peut être contaminé ? Sous windows, c'est assez simple de ne pas l'être - un peu d'antivirus, bcp de bon-sens.
Voilà, merci !
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Ano . Évalué à 1.
app-get (debian)
MandrakeUpdate (euh... mandrake)
etc...
Pas besoin d'anti-virus!
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Le problème est que la plupart des distributions ont une fâcheuse tendance à tout installer (et à lancer au démarrage) d'un coup (serveur HTTP/FTP/LPR/...), et ça fait autant de possibilité d'avoir une faille en plus.
Pour un poste client, aucun serveur ne devrait être lancé. Et là, ton ver il passe plus, car pas de port ouvert, crouic le ver.
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Anonyme . Évalué à -1.
Ca me rappelle un autre OS qui installe ce qui faut pas par defaut ! mauvais droits, ....
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Anonyme . Évalué à 1.
Par exemple, sur RH, quelqu'un qui prend l'installation par défaut n'a ni ftpd ni httpd.
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Anonyme . Évalué à 0.
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Anonyme . Évalué à 0.
ils sont meme xpliqué ds l'interface donc tu fais tout sauté!!
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Anonyme . Évalué à 0.
Les virus n'existent pas sous linux, car l'environnement est un peu plus securise de base ke sous windows. Bref, il y a pas besoin d'antivirus sous linux.
Maintenant il y a les vers.
Ce sont des petits programmes ki profitent de failles de programmation pour prendre le controle d'un processus de ta machine.
Corrolaire1 : si le proc est root, le ver a le controle de toute ta machine.
Corrolaire2 : plus il y a de demons ki tournent sur la machine, plus il y a de failles potentielles.
Un peu de bon sens 1 : limiter le nombre de programme ki tournent sous root.
Un peu de bon sens 2 : limiter le nombre de demons ki tournent sur ta machine.
Ex : les failles dont profitent les vers sont des failles connues. Exemple, le trou dans bind.
Un particulier n'a pas besoin de bind.
==> Verifier k'il ne tourne pas sur ta machine, et le desactiver si c le cas.
Si c un serveur, le patch est dispo : patcher si besoin est.
Grosso modo, ceux ki sont infectes sont :
* des gens ki lancent des trucs ki ne leur sert a rien
* des gens ki ne se tiennent pas au courant des rapports de securite.
Comme tu le vois. En informatique, ke ce soit sous windows, Mac, linux, *BSD, ou *NIX, ou autre, il faut toujours du bon sens avant tout.
David Jobet
[^] # Re: Sous windows désurerait passer sous Linux...
Posté par Anonyme . Évalué à 1.
1) pas genant pour un utilisateur normal
2) un serveur professionnel *doit* etre mis-à-jour par son admin
[^] # Re: Allez! Au boulot les admin!
Posté par Anonyme . Évalué à 0.
Enfin, je me trompe peut être, mais bon.
Pour la debian, les upgrades pour bind sont dispos depuis un bout de temps sur security.debian.org
# FUD
Posté par Anonyme . Évalué à 0.
--
Et pis quoi encore ?
# conséquences de ramen et lion
Posté par oliv . Évalué à 1.
Elle montre les ravages que peuvent faire ce genre de vers dans la tête des gens.
Tout commence par cet email de Richard B. Johnson (le 26 Mars)
http://www.uwsg.indiana.edu/hypermail/linux/kernel/0103.3/0261.html(...)
qui raconte que suite aux récentes alertes de vers sur Linux (Ramen), toutes les machines sous Linux et Solaris de son entreprise ont été interdites de connection à internet par l'administrateur réseau. En particulier, cette partie de l'email de son administrateur est révélatrice:
"If you require Internet access, the company will provide a PC which runs a secure operating system such as Microsoft Windows, or Windows/NT. Insecure operating systems like Linux must be removed from company owned computers before the end of this week....."
Il donne plus de détail le 29 mars:
http://www.uwsg.indiana.edu/hypermail/linux/kernel/0103.3/0865.html(...)
en particulier le nom des 2 trous du c.l en question (désolé, mais qu'un administrateur dise que Windows 9x est un système sûr, ça mérite bien ce nom d'oiseau)
Thor T. Wallace et David Pothier
L'épilogue de cette histoire est que sous la pression, quelques machines linux ont pu être reconnectées le 2 Avril, mais avec des contraintes:
http://www.uwsg.indiana.edu/hypermail/linux/kernel/0104.0/0197.html(...)
Hélas, non, cette histoire n'est pas un poisson d'Avril :-(
[^] # Re: conséquences de ramen et lion
Posté par earxtacy . Évalué à 1.
pub et de la desinformation!!
:((
[^] # Re: conséquences de ramen et lion
Posté par pasBill pasGates . Évalué à 1.
Linux en est a 3-4 virus, il y a pas de quoi paniquer. Le seul truc negatif pour Linux est que ce mythe amusant du "Linux insensible au virus" va disparaitre, mais bon ce sera positif sur le long terme donc finalement Linux n'y perd rien.
[^] # Re: conséquences de ramen et lion
Posté par Benjamin . Évalué à 1.
[^] # Re: conséquences de ramen et lion
Posté par pasBill pasGates . Évalué à 1.
La grand mere qui comprend rien aux risques va clicker sur l'attachement, l'executable va se lancer(VBScript ou binaire, ca change pas grand-chose) et infecter la machine.
C'est independant de l'OS, c'est du au mailer, mais le prob est que le mailer tourne avec les droits de l'utilisateur, et ca permettra d'infecter les fichiers de l'utilisateur.
Si le virus se met dans tes .tcshrc et autres, a chaque fois que tu te logges, ben paf il se relance, il peut lire ton fichier d'adresse et s'envoyer a tout le monde, etc...
Le probleme n'est pas different du monde Windows.
Sous Win95/98/ME le virus aura acces a tout, sous Win2000/NT aux fichiers de l'user, comme sous Linux, les dommages potentiels sont moins importants dans le deuxieme cas, mais ca n'empeche pas que le virus aura fait son effet en bombardant de mails tes contacts, modifiant tes fichiers,etc... meme si il ne touche pas aux fichiers systemes.
[^] # Re: conséquences de ramen et lion
Posté par cornofulgur . Évalué à 1.
Pour l'instant ce n'est pas le cas!
Tant qu'on n'a pas sous linux de ms outlook qui permet d'executer les .vbs, les .pif et les .scr,
ni de ms winword ou excel qui execute des .doc ou des .xls,
ni de ms IE qui execute des activeX,
ni de ms media player qui execute des skins .wmz,
on est plutot tranquille. :)
En cela, je trouve MS vraiment atypique dans cette insistance a nous permettre d'executer du code non verifiable sans le moindre encapsulement. je ne trouve pas que ce soit le cas d'aucun autre editeur qu'il vienne de windows, de linux ou d'ailleurs.
S'il n'est pas impossible qu'on puisse voir aparaitre des logiciels qui permettront ca, il m'etonnerait en revanche qu'ils arrivent a faire leurs trous tres longtemps.
Ou alors il faudrait une intense campagne de marketing. ;)
[^] # Re: conséquences de ramen et lion
Posté par pasBill pasGates . Évalué à 1.
C'est plus facile de cliquer sur le document directement dans le mailer et qu'il se lance plutot que le sauver, aller dans l'explorer et ouvrir le fichier.
Plus les neophytes(=menagere de moins de 50 ans) utiliseront Linux, plus ce genre de softs aura un gros marche, et a la fin une boite va le sortir, ceux qui aime la facilite et ne comprennent rien a la securite l'utiliseront et ce sera parti pour le gros m*rdier comme c'est arrive avec Outlook.
MS essaie d'integrer les choses le plus possible histoire que cela fasse un tout plutot qu'une suite de softs, c'est tres sympa pour le neophyte car il a tout avec un click de souris, mais ca cree des risques.
Maintenant, si tu installes l'update de Outlook, il est sense te prevenir si tu lances un executable directement depuis le mailer, et il te previent aussi si un soft essaie d'acceder a tes contacts.
La le probleme devient le meme que sous Linux : si t'as pas installe l'update, ben t'es dans la merde, et va expliquer a ta tante ce qu'est une update pour un soft et qu'il faut la downloader pour l'installer.
C'est une des nombreuses raisons pour lesquelles les updates automatiques sont bonnes : le systeme va voir lui-meme si il y a une update, et l'utilisateur a juste a clicker "Yes" ou "No" pour avoir son update, ca va eviter un tas de problemes du genre, mais il faut encore que ca se democratise.
[^] # Re: conséquences de ramen et lion
Posté par un nain_connu . Évalué à 1.
# crontab -l
1 1 * * * apt-get update && apt-get upgrade
et zou...
Mais celà pose le problème de la confiance qu'on a en le site (mirroir la plupart du temps) qui procure les updates. Si ce site est cracké, et les packages remplacés par des versions root-kitées, on est MAL... On s'infecte tous seuls...
Il faut donc un mécanisme de signature des packages, mais celà déplace le problème, il faut alors avoir confiance en ceux qui possèdent la clé privée permettant de signer les paquets.
Pour les windows-updates, il n'y a qu'un seul intervenant, donc un système de signature de paquets (ou de service-packs) est plus simple à mettre en oeuvre.
[^] # Re: conséquences de ramen et lion
Posté par Anonyme . Évalué à 0.
Ceci dit ce sera considéré comme virus par monsieur tout le monde, donc t'as pas tort, ca a un effet sur "le mythe", assez injustifié puisque ce genre de vers n'est pas chose récente sur unix, c'est juste a la mode d'en parler...
J'espere qu'on se rendra compte que les effets d'un vrai virus (style ceux sous win) sont autrement plus devastateurs...
[^] # Re: conséquences de ramen et lion
Posté par cornofulgur . Évalué à 1.
j'en doute parce qu'un ver est tres devastateur.
s'il t'installe un rootkit tu ne peux plus avoir aucune confiance dans ta machine. tu vas la debrancher du reseau, booter sur disquette et essayer de reperer les degats. Est ce que /bin/* a ete modifie ? idem pour /etc/* , idem pour les services et ports ouverts, checker /home/* les sources du noyau, lilo, et faire une croix sur tous les mots de passes, etc etc. Le gros desastre, amha.
Que faire ?
* formattage et reinstallation complete s'imposent parce que je pense qu'on n'aura jamais de solution de nettoyage efficace. Les vers se regalent sur un Unix avec bash, perl, wget, gcc, login. penser aux backups avant.
* freiner la diffusion du ver. l'opensource aide a corriger vite le bug qui a ouvert la porte. encore faut il que tout le monde applique les correctifs quand ils sont dispos. encore faut il qu'on detecte le ver suffisamment tot.
* diversifier. si on a des configs heterogenes, on sera moins sensibles aux attaques.
* former les utilisateurs. ils sont completement deresponsabilises aujourd'hui. je veux bien aider un windozien a installer son nunux, mais une fois, une seule fois. ;)
* peut être, aussi, reflechir a ce qu'on veut d'unix. que pensez vous de la procedure d'install user friendly de Ximian ? Et si le serveur web de Ximian se faisait véroler ?
http://www.helixcode.com/desktop/instructions.php3?distribution=gog(...)
je pense pas qu'il puisse y avoir de virus sous Linux
ben moi si. je n'ai pas non plus d'argument, mais on pourrait bien en voir qquns tantot...
[^] # Re: conséquences de ramen et lion
Posté par pasBill pasGates . Évalué à 1.
Tu prends un des ces vers a la c*n, tu le modifies afin qu'il patche des softs genre "su", "passwd", meme la glibc, ajouter des modules a toi dans le kernel si t'as vraiment envie de foutre la merde partout...
A chaque fois que tu lances un de ces executables, le virus est lance, il est avec les droits root, tu peux faire ce que tu veux avec le systeme: lire les .adressbook de tous les users, envoyez des e-mails au pape,...
Moi j'appelle ca un virus...
[^] # Re: conséquences de ramen et lion
Posté par oliv . Évalué à 1.
quelqu'un a l'email du pape? ;-)
[^] # Re: conséquences de ramen et lion
Posté par #3588 . Évalué à 1.
Ce dont tu parles là, c'est un ver (et c'est vrai que ca peut faire autant de mal qu'un virus), mais il ne peut pas se répandre : par le net par exemple, ses cibles ne peuvent etre que des machines ayant les memes trous de sécurité (ou un certain ensemble de trous de sécurités qu'il saurait exploiter). Quant à copier/installer des fichiers infectés, soit c'est dans un rep utilisateur (pas de consequences autres que pour lui), soit c'est l'admin qui fait n'importe quoi.
Le coté dangereux des virus, c'est pas tellement ce qu'ils font sur une machine, c'est la capacité à se déployer, ca me parait beaucoup plus difficile pour ces vers. (pas seulement grace a la separation root/user, mais aussi le fait qu'avec le libre, on n'a pas trop besoin de pirater...)
[^] # Re: conséquences de ramen et lion
Posté par Euclide (site web personnel) . Évalué à 1.
Imagine que le virus "patche" des trucs genre ssh, telnet, ftp ou plus simplement des fonctions de librairie à la con genre le gethostbyname
A chacune de tes connexions à une machine, il commence par tenter de profiter des brèches et de s'installer sur la machine.
Je ne dit pas que ce genre de truc est facile a programmer, mais bon.
Autre source marante de virus, les progs que tu téléchargés sur le net, meme en source (a moins que tu lises les sources de tout ce que tu compiles).
C'est facil de suid root un prog dans un makefile.
Pas sur que l'utilisateur lambda (celui qui arrive a chopper des virus sur le net) se fasse pas avoir.
L'avantage des update genre débian est qu'il comptent mettre en place un système de crypto signature des paquets, comme Microsoft quoi.
(en espérant qu'ils ne se fassent pas chipper des clefs eux)
[^] # Re: conséquences de ramen et lion
Posté par #3588 . Évalué à 1.
Sinon pour la réplication, avec telnet ssh ftp qui seraient vérolés, il faut quand meme que des trous de sécurité existent sur la cible... et que le virus sache les exploiter. Pour se répandre efficacement "à la windows" il faudrait qu'il sache exploiter une quantité impressionnante de failles, je pense qu'une bonne protection est la variété des systèmes. Sous Windows (non NT/2000), l'absence de sécurité fait que la meme méthode marche sur tous les Windows. Sur Linux et autres, il faut avoir la méthode pour se répliquer au cas par cas, c'est jouable mais c'est j'ai l'impression que ce serait assez immense ; ca peut arriver mais les vers dont on parle en sont loin...
[^] # Re: conséquences de ramen et lion
Posté par Anonyme . Évalué à 0.
Mais personne n'en parle et peu se font avoir parceque les ISPs patchent d'eux-meme en filtrant toute communication vers le port 139/tcp et 137/udp. Alors pour le coup, Windows a l'air beaucoup plus securisé que Linux et de nombreuses personnes peuvent s'en vanter dans les forums...
# mouarf !
Posté par Anonyme . Évalué à 0.
Adore worm replaces only one system binary (ps)
Je parie que ça ne concerne que Linux x86. Je continue à dormir sur mes deux oreilles...
[^] # Re: mouarf !
Posté par Ano . Évalué à 1.
[^] # Re: mouarf !
Posté par Anonyme . Évalué à 0.
# pas trouvé la signature snort...
Posté par Anonyme . Évalué à 0.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.