Autrefois, ils couraient à travers le filet rapports d'attaques Ils exploitent une vulnérabilité en PHP, qui permet à certains sites légitimes de diffuser des pages Web et des publicités frauduleuses, exposant les visiteurs à l'installation de logiciels malveillants sur leurs ordinateurs. Ces attaques profitent d'un vulnérabilité PHP extrêmement critique exposée publiquement il y a 22 mois et pour laquelle les mises à jour correspondantes ont été publiées.
Certains ont commencé à souligner avec insistance qu'une bonne partie des serveurs compromis dans ces attaques exécutent des versions de GNU / Linux, faisant semblant de remettre en question la sécurité de ce système d'exploitation, mais sans entrer dans les détails sur la nature de la vulnérabilité ou les raisons pour lesquelles ce qui est arrivé ceci.
Systèmes avec GNU / Linux infecté, dans tous les cas, ils exécutent le Noyau Linux version 2.6, sorti en 2007 ou avant. En aucun cas, il n'est mentionné l'infection de systèmes exécutant des noyaux supérieurs ou qui ont été dûment mis à jour; Mais bien sûr, il y a encore des administrateurs qui pensent "... si ce n'est pas cassé, ça n'a pas besoin d'être réparé" et alors ces choses se produisent.
En outre, une étude récente de la société de sécurité ESET, détaille l'appel «Opération Windigo», dans lequel à travers plusieurs kits d'attaque, dont un appelé abruti spécialement conçu pour Apache et d'autres serveurs Web open source populaires, ainsi qu'un autre appelé SSH, ils ont été plus de 26,000 XNUMX systèmes GNU / Linux compromis depuis mai de l'année dernière, cela signifie-t-il que GNU / Linux n'est plus sécurisé?
Tout d'abord, mettre les choses en contexte, si l'on compare les chiffres précédents avec les près de 2 millions d'ordinateurs Windows compromis par le bootnet ZeroAccess Avant d'être fermé en décembre 2013, il est facile de conclure qu'en termes de sécurité, Les systèmes GNU / Linux sont toujours plus sécurisés que ceux qui utilisent le système d'exploitation Microsoft, mais est-ce la faute de GNU / Linux si 26,000 XNUMX systèmes avec ce système d'exploitation ont été compromis?
Comme dans le cas de la vulnérabilité PHP critique évoquée ci-dessus, qui affecte les systèmes sans mises à jour du noyau, ces autres attaques impliquent des systèmes dans lesquels le nom d'utilisateur et / ou le mot de passe par défaut n'ont pas été modifiés et qui ont conservé le les ports 23 et 80 s'ouvrent inutilement; Alors, est-ce vraiment la faute de GNU / Linux?
Evidemment, la réponse est NON, le problème n'est pas le système d'exploitation utilisé mais l'irresponsabilité et la négligence des administrateurs de ces systèmes qui ne comprennent pas tout à fait le maximum énoncé par l'expert en sécurité Bruce Schneier qui devrait être brûlé dans notre cerveau: La sécurité EST un processus PAS un produit.
Il est inutile d'installer un système sûr et éprouvé si nous le laissons ensuite abandonné et n'installons pas les mises à jour correspondantes dès leur publication. De même, il est inutile de maintenir notre système à jour si les informations d'authentification qui apparaissent par défaut lors de l'installation continuent d'être utilisées. Dans les deux cas, c'est procédures élémentaires de sécurité, qui ne sont pas dus à la répétition, sont correctement appliqués.
Si vous avez sous votre responsabilité un système GNU / Linux avec Apache ou un autre serveur Web open source et que vous voulez vérifier s'il a été compromis, la procédure est simple. Dans le cas de Ébury, vous devez ouvrir un terminal et saisir la commande suivante:
ssh -G
Si la réponse est différente de:
ssh: illegal option – G
puis la liste des options correctes pour cette commande, alors votre système est compromis.
Pour le cas de abruti, la procédure est un peu plus compliquée. Vous devez ouvrir un terminal et écrire:
curl -i http://myserver/favicon.iso | grep "Location:"
Si votre système a été compromis, alors abruti il redirigera la demande et vous donnera le résultat suivant:
Location: http://google.com
Sinon, il ne renverra rien ou un emplacement différent.
La forme de désinfection peut sembler rudimentaire, mais c'est la seule qui a prouvé son efficacité: effacement complet du système, réinstallation à partir de zéro et réinitialiser toutes les informations d'identification utilisateur et administrateur à partir d'un terminal non validé. Si vous trouvez cela difficile, pensez que si vous aviez changé les informations d'identification rapidement, vous n'auriez pas compromis le système.
Pour une analyse beaucoup plus détaillée du fonctionnement de ces infections, ainsi que des moyens spécifiques utilisés pour les propager et des mesures correspondantes à prendre, nous vous suggérons de télécharger et de lire l'analyse complète du «Opération Windigo» disponible sur le lien suivant:
Enfin, un conclusion fondamentale: Il n'y a pas de système d'exploitation garanti contre les administrateurs irresponsables ou imprudents; En ce qui concerne la sécurité, il y a toujours quelque chose à faire, car la première et la plus grave erreur est de penser que nous l'avons déjà réalisé, ou ne le pensez-vous pas?
C'est vrai, les gens «arrivent», puis ce qui se passe arrive. Je le vois quotidiennement avec la question des mises à jour, quel que soit le système (Linux, Windows, Mac, Android ...) que les gens ne font pas de mises à jour, ils sont paresseux, ils n'ont pas le temps, je ne joue pas juste au cas où ...
Et pas seulement cela, mais ils passent de la modification des informations d'identification par défaut ou continuent à utiliser des mots de passe comme "1234" et autres, puis se plaignent; et oui, vous avez raison, quel que soit le système d'exploitation utilisé, les erreurs sont les mêmes.
Merci beaucoup d'être passé et de commenter ...
Excellent! très vrai en tout!
Merci pour votre commentaire et pour votre visite ...
Une commande plus complète que j'ai trouvée dans le réseau d'un utilisateur @Matt:
ssh -G 2> & 1 | grep -e illégal -e inconnu> / dev / null && echo "Système propre" || echo "Système infecté"
Waoh! ... Bien mieux, la commande vous le dit déjà directement.
Merci pour votre contribution et pour votre visite.
Je suis entièrement d'accord avec vous, la sécurité est une amélioration continue!
Excellent article!
Merci beaucoup pour le commentaire et pour votre visite ...
Très vrai, c'est un travail de fourmi où il faut toujours vérifier et prendre soin de la sécurité.
Bon article, hier soir, mon partenaire me parlait de l'opération Windigo qu'il lisait dans les journaux: "non pas que Linux soit invulnérable aux infections", et il disait que cela dépendait de beaucoup de choses, pas seulement si Linux est ou incertain.
Je vais vous recommander de lire cet article, même si vous ne comprenez aucun détail technique XD
Malheureusement, c'est l'impression laissée par ce type de nouvelles, qui, à mon avis, est intentionnellement déformée, heureusement votre partenaire vous a au moins commenté, mais maintenant, préparez-vous à une série de questions après la lecture de l'article.
Merci beaucoup pour le commentaire et pour votre visite ...
Très bon article, Charlie. Merci d'avoir pris votre temps.
Merci de votre visite et de votre commentaire ...
très bon article!
câlin, pablo.
Merci beaucoup Pablo, un câlin ...
Reconnaissant pour les informations que vous publiez, et en totale conformité avec les critères expliqués, par la manière dont une très bonne référence à l'article de Schneier "La sécurité est un processus PAS un produit".
Salutations du Venezuela. 😀
Merci à vous pour vos commentaires et votre visite.
Bon!
Tout d'abord, excellente contribution !! Je l'ai lu et cela a été vraiment intéressant, je suis tout à fait d'accord avec votre opinion que la sécurité est un processus, pas un produit, cela dépend de l'administrateur système, qu'il vaut la peine d'avoir un système super sécurisé si vous le laissez ensuite sans le mettre à jour et sans même changer les informations d'identification par défaut?
Je profite de l'occasion pour vous poser une question si cela ne vous dérange pas, j'espère que cela ne vous dérange pas d'y répondre.
Écoutez, je suis vraiment très enthousiasmé par ce sujet de sécurité et j'aimerais en savoir plus sur la sécurité dans GNU / Linux, SSH et ce qu'est GNU / Linux en général, allez, si ce n'est pas un problème, pourriez-vous me recommander quelque chose pour commencer? Un PDF, un «index», tout ce qui peut guider un débutant serait utile.
Salutations et merci beaucoup d'avance!
Opération Windigo ... Jusqu'à récemment, j'ai réalisé cette situation, nous savons tous que la sécurité dans GNU / Linux est plus que toute la responsabilité de l'administrateur. Eh bien, je ne comprends toujours pas comment mon système a été compromis, c'est-à-dire "System Infected" si je n'ai rien installé sur le système qui ne soit pas directement du support, et en fait si cela fait une semaine que j'ai installé Linux Mint, et seulement J'ai installé des capteurs lm, Gparted et des outils en mode ordinateur portable, il me semble donc étrange que le système ait été infecté, je dois maintenant le supprimer complètement et le réinstaller. Maintenant, j'ai une grande question sur la façon de protéger le système depuis qu'il a été infecté et je ne sais même pas comment haha… Merci
merci pour l'info.
Il est toujours important d'avoir des mécanismes de sécurité comme celui décrit dans l'article et plus encore lorsqu'il s'agit de prendre soin de la famille, mais si vous voulez voir toutes les options offertes par le marché à cet égard, je vous invite à visiter http://www.portaldeseguridad.es/