logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 06-02-2017 08:54:59

deuchdeb
Moderato ma non troppo
Distrib. : Debian11-KDE-Plasma, LinuxMintCinnamon, DFLinux11
Noyau : Noyau stable
(G)UI : KDE Plasma 5.20
Inscription : 13-01-2010
Site Web

Des logiciels malveillants visent Linux, comment s'en protéger?

Bonjour,

Le site Québec-OS nous informe dans un billet que des pirates peuvent utiliser un Malware (Linux.Proxi.10).

les attaquants peuvent se connecter à la machine pour cacher leur identité tout en effectuant d’autres activités illégales sur Internet.


http://quebecos.com/?p=5513

La question est la suivante: Que convient-il de faire pour s'en protéger. Car malgré l'article je ne comprends pas si il faut faire quelque chose ou pas? 

Le meilleur moyen de se sécuriser est de modifier les paramètres par défaut et d’utiliser des mots de passe plus complexes et plus difficiles à déchiffrer.


C'est quoi les paramètres par défaut, quel mot de passe faut-il modifier?

Voici une copie de l'article:

Linux a toujours été considéré comme un système d’exploitation plus sécurisé, mais les développeurs de logiciels malveillants tentent de profiter de cette réputation et de nouvelles formes d’infections se propageant sur le web en ce moment. La société de sécurité Dr. Web avertit qu’elle a déjà découvert des ordinateurs Linux infectés par un malware appelé Linux.Proxy.10, utilisé par les cybercriminels pour rester anonyme en ligne. Ce malware a pour but d’exécuter un serveur proxy SOCKS5 sur le périphérique infecté, les attaquants peuvent se connecter à la machine pour cacher leur identité tout en effectuant d’autres activités illégales sur Internet. Selon les chercheurs, cette infection vise spécifiquement les ordinateurs avec les paramètres par défaut et les machines qui ont déjà été compromises par d’autres formes de malware. De cette façon, les attaquants peuvent facilement avoir accès à l’ordinateur visé et installer Linux.Proxy.10. « Pour propager Linux.Proxy.10, les cybercriminels s’authentifient sur les ordinateurs vulnérables via le protocole SSH. Une liste de ces machines ainsi que le login et le mot de passe sont stockés sur leur serveur. La liste a le format suivant :  » Adresse IP:login:mot de passe « . Il convient de noter que les utilisateurs ayant des données d’identification de ce type sont généralement créés dans le système par d’autres Trojans ciblant Linux. En d’autres termes, Linux.Proxy.10 pénètre sur les ordinateurs et périphériques utilisant les paramètres par défaut ou qui sont déjà contaminés par des programmes malveillants ciblant Linux.», explique le cabinet de sécurité. Une fois que le système est infecté par Linux.Proxy.10, le cybercriminel peut facilement se connecter simplement en utilisant l’adresse IP, ainsi que les fichiers qui ont été configurés lors du lancement de la propagation du malware. Au cours de l’enquête, Dr Web a également découvert d’autres infections sur les serveurs des cybercriminels, et comprend quelques malwares qui ont été développés pour les ordinateurs Windows. « De plus, sur le serveur des pirates diffusant Linux.Proxy.10, les analystes de Doctor Web ont détecté un panneau de gestion Spy-Agent et le build d’un malware ciblant Windows qui appartient à la famille des Trojans Espions BackDoor.TeamViewer. », indique la firme. Le meilleur moyen de se sécuriser est de modifier les paramètres par défaut et d’utiliser des mots de passe plus complexes et plus difficiles à déchiffrer. Dans cette nouvelle vague d’attaques, les cybercriminels ne tentent pas d’attaquer les systèmes par la force brute, mais de le forcer en utilisant les mots de passe par défaut et les informations d’identification typiques que certaines personnes continuent encore d’utiliser. Source : softpedia.


Une fleur, c'est magique non? smile
Association Debian Facile

Hors ligne

#2 06-02-2017 09:05:02

Mercredi
Membre
Distrib. : Testing/Sid
Noyau : 5.2
(G)UI : Gnome-shell
Inscription : 25-09-2015

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

Bonjour,

es cybercriminels s’authentifient sur les ordinateurs vulnérables via le protocole SSH


Désactiver ou virer SSH sur les machines où il ne sert à rien et sinon blinder les identifiants et mots de passe. Me semble aussi qu'il est conseillé de changer le port qu' SSh utilise par défaut.
Ces attaques visent surtout les serveurs non ?

Hors ligne

#3 06-02-2017 09:17:37

MicP
Membre
Inscription : 29-02-2016

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

Bonjour

Que convient-il de faire pour s'en protéger… quel mot de passe faut-il modifier? …

Simplement lire la documentation concernant ssh et comprendre son fonctionnement,
ne pas suivre le conseil donné (en gras) dans le document que tu cite (dont je donne un extrait ci-dessous en barré),

… Le meilleur moyen de se sécuriser est de modifier les paramètres par défaut et d’utiliser des mots de passe plus complexes et plus difficiles à déchiffrer.

et comprendre qu'il ne faut pas utiliser les connexions par ssh en utilisant un mot de passe (même s'il est très long et compliqué) pour s'authentifier.
utilisez plutôt l'authentification par clef.


=======
Ne pas suivre non plus le conseil que je cite ci-dessous en barré et qui est donné dans la page pointée par le lien cité dans l'article

…en cas de doute, il est recommandé d'effectuer une analyse à distance des ordinateurs en question via le protocole SSH en utilisant xxxxxxxxx pour Linux.…

Ni celui là :

Share this news with your friends in social networks and invite them to read it!

Et celui là non plus (en bas de la même page)


Nous apprécions vos commentaires


Pour commenter les news et bénéficier des avantages, vous devez être authentifié ou enregistré. Pour chaque commentaire publié, vous pouvez obtenir xxxxxxxxx, que vous pourrez échanger contre un certificat-cadeau pour obtenir des remises.



=======
À mon humble avis, ça sent pas bon du tout cette "information" qui ressemble beaucoup à un piège.

Dernière modification par MicP (06-02-2017 22:00:46)

Hors ligne

#4 06-02-2017 13:35:34

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

Bonjour,
Et il y a un moyen de savoir si on est touché ?

Hors ligne

#5 07-02-2017 02:02:10

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

oui beh c'est la même histoire que d'habitude, le virus cité agira au mieux comme un router, suffit d'installer les paquets des sources de la distribution et de savoir bien coder son site web, car c'est probablement par là que passera le malware, les infections sur les serveur linux n'est pas nouveau et à chaque fois qu'un laboratoire en découvre un on en fait une polémique, 3 règles inépuisable :

1. SSH par clé asymétrique.
2. 100 % dépots de la distribution
3. bien coder son site web.

Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#6 07-02-2017 02:16:34

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

Linux a toujours été considéré comme un système d’exploitation


/facepalm

Maintenant, analyse de texte !
Recherchons les mots anxiogènes pour que madame michu paye ses 50€ aux gentils protegeurs de PC sans *aucun* conflit d'intêret ne visant qu'à *informer* le publique. -_-

logiciels malveillantsx2
infectés x2
malware x6
cybercriminels x3
activités illégales
infection x2
compromises
attaquants
avoir accès à l’ordinateur visé
visant x2 (ex: Trojans ciblant Linux)
Trojan x2
contaminés
propagation
Spy-Agent
attaquer les systèmes
forcer



Aussi quand on installe ssh sur une debian, il n'y a pas de mot de passe par défaut. Par défaut c'est ceux que vous avez mis.
Aussi le danger n'est que sur réseau local (IE : réseau wifi, fillaire après le routeur), vu qu'il vous aurait fallu configurer une règle NAT/PAT vous-même sur votre routeur pour que quiconque du net puisse se connecter à votre serveur SSH à partir de l'extérieur.

Résumé : ce genre d'article vaut bien TF1 : désinformation, psychose, et au final, on apprend des bêtises... On est certes pas en sécurité totale chez GNU/Linux ; on est jamais en sécurité. Chose dite, il vaut mieux écouter les bons techniciens/vulgarisateurs, pas des médias, et surtout pas les "experts" développeurs d'antivirus privateur.
Voir ce genre de contenu pour moi, c'est simple, ça me fait décrédibiliser tout ce que ce média peut bien dire d'autre : s'il ne vérifie rien, c'est un colporteur de ragots, pas un site d'information :x


Il faut différencier les choses :
- Un serveur c'est un PC. Votre PC est un serveur. Il peut servir des pages web, ou donner un accès SSH, ou servir un système VOIP avec mumble, ou un service de messagerie... Un serveur n'est pas une machine à part par nature ; on s'amuse à les dédier, mais n'importe quelle machine, dont la vôtre, est apte à en être un maintenant tout de suite.

- Pour se connecter à vous par SSH il faut que vous ayez un serveur SSH installé & actif.

- Pour se connecter à votre ordinateur d'internet (c'est à dire, pas de chez vous), ce n'est pas possible "sans rien".
Illustration : votre IP publique sur internet est 25.198.124.197. Derrière votre routeur, il y a par exemple 2 machines : votre smartphone 192.168.1.10, et votre PC 192.168.1.11. Comment le routeur sait-il à qui le paquet va aller quand on s'adressera à 25.198.124.197 ? À 92.168.1.10 ou 192.168.1.11, ou à lui-même ? Il ne peut pas, pas sans réglage *délibéré* de votre part. Donc si vous ne saviez pas ça, vous n'avez même pas à vous poser la question d'une possibilité d'attaque SSH. wink

Dernière modification par otyugh (07-02-2017 02:58:21)


virtue_signaling.pngpalestine.png

Hors ligne

#7 07-02-2017 05:57:01

MicP
Membre
Inscription : 29-02-2016

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

Le pire, c'est qu'après avoir conseillé d'utiliser les mots de passe (laisse la porte ouverte…)
la solution qu'ils proposent : Se connecter par SSH à LEUR SITE. (vous inquiétez pas, on va s'occuper de votre machine)

Et au cas où tout aille bien, s'y connecter quand même afin d'avoir un "certificat-cadeau pour obtenir des remises.". (je vois d'ici le genre de cadeau et de remise)

C'est tellement gros que https://www.debian.org/security/index.fr.html#DSAS
et les CERT n'ont même pas pris la peine de parler de ce "Linux.Proxi.10"

=======
S'il y a une chose à faire, c'est d'aller lire les deux fichiers cités dans cette page.
https://www.ssi.gouv.fr/guide/recommand … -gnulinux/
Et ce, même si (comme moi) vos connaissances ne vous permettent pas de comprendre absolument tout ce qu'il y est dit.
Je ne suis pas un professionnel et je ne cherche pas faire croire que j'en suis un : juste un autodidacte curieux,
et ça dérange certains comme j'ai pu le constater à mes dépends dans ma vie, ça m'a coûté très très cher, mais je ne regrette rien.

Dernière modification par MicP (07-02-2017 06:23:40)

Hors ligne

#8 07-02-2017 07:12:32

IceF0x
Membre
Distrib. : Jessie 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : OpenBox
Inscription : 05-02-2012

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

La malware ne s'attaque en général qu'aux serveur non mis à jour avec une ancienne version de SSH vulnérable faillible aux attaques, donc aucun souci avec la dernière version de debian.

Les info sont ici: https://security-tracker.debian.org/tracker/

1475862269.gif

Hors ligne

#9 07-02-2017 07:36:23

mizapar
Membre
Distrib. : nutyx/debian8/ubuntu
(G)UI : openbox
Inscription : 26-10-2016

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

il y a ce guide qui donne pas mal d'infos https://guide.boum.org/ sur la securité.

apres il y a toujours plein de petites failles ou de contournement, si j'arrive a me connecter sur mon serveur, y'a bien une facon pour que qulqu'un le fasse a ma place.
la meilleur solution rester a surveiller le trafic, les points d'entrée, cela fait un boulot de dingue.
donc le plus simple est de minimiser ne pas laisser un pc connecter si ce n'est pas necessaire ne pas avoir installé trop de logiciels inutile pour avoir une machine lisible....
pour un serveur, un site autohebergé, on peut regarder sur internet ce qu'est un pen test, cela donnera une idée de ce qu'est la secu d'un serveur.

en testant bsd, j'ai ete etonné que la gestion des utilisateur et leurs mots de passe etaient si legeres et la reponse donné par cette distribution etait du genre si quelqu'un a un acces physique, il arrivera d'une maniere ou d'une autre a entrer dedans, ca donne une idée.

sinon faut creer un script qui vous dira "tout va bien votre pc est protegé" ...

Hors ligne

#10 07-02-2017 13:00:13

Patrick Debian
Membre
Distrib. : Debian Buster main_contrib_non-free_backpor
(G)UI : Gnome
Inscription : 14-12-2016

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

Bonjour,

Merci à vous de nous conseillers et de nous faire prendre conscience de ce genre de fausses alertes pour nous faire tomber dans un piège en croyant en éviter un. Et de nous guider vers les réels comportements pour parer le mieux que possible à divers attaques numériques.

                                 debian.pngdebian.png

Hors ligne

#11 07-02-2017 13:05:52

Mercredi
Membre
Distrib. : Testing/Sid
Noyau : 5.2
(G)UI : Gnome-shell
Inscription : 25-09-2015

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

@ otyugh, tes explications me prémâchent beaucoup la lecture des docs sur ssh que j'ai mis dans ma liste à faire, merci smile

Hors ligne

#12 07-02-2017 14:31:57

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Des logiciels malveillants visent Linux, comment s'en protéger?

@Mercredi smile - cela dit ce sont des "bases" des réseau, pas grand chose à voir avec ssh spécifiquement. ^^'

Le pire, c'est qu'après avoir conseillé d'utiliser les mots de passe (laisse la porte ouverte…)


Ahm, pas d'accord. Personnellement je préfère l'accès ssh par clé privée aussi, mais un mot de passe reste une solution de sécurité valide :
1) Si le mot de passe est fort
2) Si le port SSH utilisé n'est pas celui par défaut (22)
3) Si on utilise fail2ban (ou similaire) pour bloquer le bruteforce

Avec ça, à mon sens, "aucun" danger.Plus sécurisé que de se faire piquer sa clé privée sans mot de passe, ou chiffrée avec un mot de passe faible (c'est mon cas, je suis flemmard, puis c'est un serveur ssh en local, tsah me jugez pas yikes).

mizapar a écrit :

la meilleur solution rester a surveiller le trafic, les points d'entrée, cela fait un boulot de dingue.


...Et ce serait insuffisant. Tu peux télécharger un script bash de 3 lignes de moi qui chiffre tout tes fichiers avec une clé publique, et qui te demande 100€ pour que je t'en rende la clé privée pour que tu puisse jamais accéder à tes données. C'est un ransomware "kifépeur" et une fois lancé, j'ai gagné (même l'état ne peut pas vous aider, à part à me retrouver). Cependant, niveau traces de réseau il n'y a rien de suspect, vous aurez téléchargé et executé quelque chose venant de moi sans avoir tout lu le code, voilà tout. Et on ne peut jamais tout lire, manque de temps, d'energie et de connaissance. Il y a donc, plus que de la technicité, une histoire de "comprendre comment ça marche grosso modo, ne pas se laisser mener en bateau", et de bonnes pratiques. Faut réaliser que la faille la plus béante d'un système est son utilisateur ; si vous êtes facile à abuser, vous êtes une cible facile pour le hacking de masse (et la propagande des "experts" qui savent mieux que vous).
- Le truc numéro 0 de la sécurité, c'est qu'il n'y a pas de sécurité absolue dès que vous vous connectez à internet - on ne peut qu'être "difficile à abuser", et ça nous rend cent fois plus fort que les autres.

Il n'y a strictement aucun intêret à être "paranoïaque" si c'est pour ne pas l'être au bon endroit. Il n'y a aussi aucun intêret à installer 36 logiciels de sécurité si vous n'avez vous-même pas la connaissance nécessaire pour savoir "d'où une attaque peut vraiment arriver".

D'ailleurs il ne s'agit jamais de parer à une attaque individuelle. Si une boîte d'experts avec des moyens étatiques veulent accéder à votre ordinateur, ils trouveront un moyen ou l'autre (ça leur coûtera de l'argent et un peu de temps, mais il y a toujours une faille, ne serais-ce que venir chez vous déposer un mouchard sur votre ordi ou un caméra au plafond), ou de mettre une backdoor en reflashant votre EFI, why not. Il s'agit ici vraiment de parer "les attaques de masse" qui brassent large, pas ce genre de choses difficilement parables.

Si vous avez vraiment peur pour votre sécurité, il y a des pratiques, mais c'est très "dur" : la clé USB bootable avec une distro de sécurité, où l'on écrase tout au redémarrage et on vérifie l'intégrité des fichiers à chaque démarrage... En partant d'un ordinateur de confiance (donc avec des vieilles technologies...). Tout en sachant que si quelqu'un est venu ajouter une petite puce dans l'ordi chez vous, ou a bidouillé votre clé USB, c'est mort.
...Et comme d'hab vous torturer vous ou votre famille pour les aveux peut toujours être moins cher.

donc le plus simple est de minimiser ne pas laisser un pc connecter si ce n'est pas necessaire ne pas avoir installé trop de logiciels inutile pour avoir une machine lisible....


Ben éteignez/suspendez votre PC si vous l'utilisez pas ouais, bande de gaspilleurs tongue
Pour l'installation des paquets... C'est pas faux. Un logiciel est une "surface de faille" de plus possible. Par exemple une faille courante est dans l'execution de javascript dans les navigateurs les plus connus firefox/chrome/safari. ^^'
Une autre faille sur systèmes GNU/Linux était un support sur la lecture de vieux fichiers audio dans gstreamer qui pouvait être contourné ; ce n'est pas debian ou le noyau Linux le fautif, c'est la dev de gstreamer - un paquet comme les autres - , point barre. (depuis corrigé, hein)
...Mais mon sentiment là-dessus, c'est que les utilisateurs "alertes" ne tomberaient quasiment jamais dans le panneau : pas parce qu'ils sont des experts, mais parce qu'ils ne téléchargent pas n'importe quoi de n'importe tout sur leur ordinateur, ils ont leur "sources de confiance", qu'ils retirent à la première faille injustifiée mise publique.

en testant bsd, j'ai ete etonné que la gestion des utilisateur et leurs mots de passe etaient si legeres et la reponse donné par cette distribution etait du genre si quelqu'un a un acces physique, il arrivera d'une maniere ou d'une autre a entrer dedans, ca donne une idée.


Hum. C'est vrai pourtant ce qu'ils t'ont dit tongue
Si tu chiffres pas ton disque dur, et que j'ai la main sur ton ordinateur, que ton mot de passe soit "1234" ou "36df5s36rfg56sdf3b456dfbKJHBYJDB5467U8IO" ne change rien, en 1 minute, le temps de démarrer, un chroot, et je fais ce que je veux.


sinon faut creer un script qui vous dira "tout va bien votre pc est protegé" ...


Et un RIB vers mon compte banquaire aux Maldives !

Dernière modification par otyugh (07-02-2017 14:45:13)


virtue_signaling.pngpalestine.png

Hors ligne

Pied de page des forums