XOR DDoS : un puissant botnet Linux

Le par  |  9 commentaire(s) Source : Akamai
Linux

Ce n'est pas un botnet Windows mais Linux. XOR DDoS mène des attaques par déni de service distribué avec un trafic de données pouvant dépasser 150 Gbps.

Une fois n'est pas coutume, le botnet XOR DDoS n'est pas constitué de machines Windows infectées mais de systèmes Linux infectés par le cheval de Troie éponyme. À leur insu, ils deviennent la force de frappe pour mener des attaques par déni de service distribué.

BotnetCe malware n'est pas tout à fait nouveau. Il avait déjà fait parler de lui fin 2014 mais il existe plusieurs variantes. Il ne se propage pas via l'exploitation d'une vulnérabilité dans le noyau Linux mais par le biais de services SSH (Secure Shell) exposés à des attaques par force brute en raison de mots de passe faibles.

Selon Akamai, le botnet XOR DDoS est monté en gamme avec des attaques pouvant générer un trafic de données de 150 gigabits par seconde voire plus. Largement suffisant pour mettre hors ligne ses cibles.

Chaque jour une vingtaine de sites sont ainsi visés. Pour 90 % d'entre eux, il sont situés en Asie et œuvrent dans le secteur du jeu vidéo et de l'éducation. Une récente attaque a atteint 179 Gbps, suivie par une autre à 109 Gbps.

Pour Akamai, il est clair que les cybercriminels s'intéressent aux systèmes Linux mal configurés ou non maintenus pour les utiliser dans des botnets et des campagnes d'attaques DDoS.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1861262

À leur insu, ils deviennent la force de
frappe pour mener des attaques par
déni de service distribué.



Force de frappe des PC infectés sous Linux de particulier ?
Juste ridicule par rapport au parc Windows.

A moins qu'ils n'arrivent à infecter des serveurs ... et encore.
Le #1861268
FRANCKYIV a écrit :


À leur insu, ils deviennent la force de
frappe pour mener des attaques par
déni de service distribué.



Force de frappe des PC infectés sous Linux de particulier ?
Juste ridicule par rapport au parc Windows.

A moins qu'ils n'arrivent à infecter des serveurs ... et encore.


Je pense qu'il s'agit de serveurs, cf l'article:

" Il ne se propage pas via l'exploitation d'une vulnérabilité dans le noyau Linux mais par le biais de services SSH (Secure Shell) exposés à des attaques par force brute en raison de mots de passe faibles."

En général par défaut le serveur SSH n'est pas activé/installé sur les installs "desktop". (et en plus il faudrait, dans le cas de nos *box, natter le port 22 sur l'IP locale:port local de la machine, à moins que la machine soit directement bridgée sur le Grand Ternet)

Par contre, pour en revenir à l'article, ça existe encore des gens qui font tourner des serveurs SSH en mode login/mot de passe? Toute personne un tant soit peut sérieuse qui administre des serveurs UNIX (*BSD, etc) ou GNU/Linux utilise des clefs RSA asymétriques pour la connexion au serveur SSH, change le port d'écoute et désactive le login par mot de passe dans la conf' ssh (/etc/ssh/sshd.conf).

C'est la première chose que je fais quand j'installe un serveur gnu/linux ou OpenBSD (j'utilise pas les autres BSD, à l'exception d'une VM NetBSD pour la bidouille sur mon petit serveur xen perso). Autre petit conseil perso: n'utilisez jamais la même clef privée sur plusieurs machines - genre desktop, laptop, smartphone: une clef par périphérique amené à se connecter au(x) serveur(s) SSH, plus rapide de révoquer une clef en cas de vol de laptop, par exemple.

À noter que du côté Debian, depuis Jessie, l'authentification SSH par login/mot de passe est autorisée pour les utilisateurs du système, mais plus pour l'utilisateur root (qui n'accepte plus que les connexions par clefs asymétriques).
Le #1861288
lidstah a écrit :

FRANCKYIV a écrit :


À leur insu, ils deviennent la force de
frappe pour mener des attaques par
déni de service distribué.



Force de frappe des PC infectés sous Linux de particulier ?
Juste ridicule par rapport au parc Windows.

A moins qu'ils n'arrivent à infecter des serveurs ... et encore.


Je pense qu'il s'agit de serveurs, cf l'article:

" Il ne se propage pas via l'exploitation d'une vulnérabilité dans le noyau Linux mais par le biais de services SSH (Secure Shell) exposés à des attaques par force brute en raison de mots de passe faibles."

En général par défaut le serveur SSH n'est pas activé/installé sur les installs "desktop". (et en plus il faudrait, dans le cas de nos *box, natter le port 22 sur l'IP locale:port local de la machine, à moins que la machine soit directement bridgée sur le Grand Ternet)

Par contre, pour en revenir à l'article, ça existe encore des gens qui font tourner des serveurs SSH en mode login/mot de passe? Toute personne un tant soit peut sérieuse qui administre des serveurs UNIX (*BSD, etc) ou GNU/Linux utilise des clefs RSA asymétriques pour la connexion au serveur SSH, change le port d'écoute et désactive le login par mot de passe dans la conf' ssh (/etc/ssh/sshd.conf).

C'est la première chose que je fais quand j'installe un serveur gnu/linux ou OpenBSD (j'utilise pas les autres BSD, à l'exception d'une VM NetBSD pour la bidouille sur mon petit serveur xen perso). Autre petit conseil perso: n'utilisez jamais la même clef privée sur plusieurs machines - genre desktop, laptop, smartphone: une clef par périphérique amené à se connecter au(x) serveur(s) SSH, plus rapide de révoquer une clef en cas de vol de laptop, par exemple.

À noter que du côté Debian, depuis Jessie, l'authentification SSH par login/mot de passe est autorisée pour les utilisateurs du système, mais plus pour l'utilisateur root (qui n'accepte plus que les connexions par clefs asymétriques).


Tout est dit
Le #1861291

À noter que du côté Debian, depuis Jessie,
l'authentification SSH par login/mot de passe
est autorisée pour les utilisateurs du
système, mais plus pour l'utilisateur root
(qui n'accepte plus que les connexions par
clefs asymétriques).



Une petite question tiens au passage.

Si on se connecte avec un compte utilisateur via mot de passe.

On peut passer en root via su non ?
Le #1861294
lidstah a écrit :

FRANCKYIV a écrit :


À leur insu, ils deviennent la force de
frappe pour mener des attaques par
déni de service distribué.



Force de frappe des PC infectés sous Linux de particulier ?
Juste ridicule par rapport au parc Windows.

A moins qu'ils n'arrivent à infecter des serveurs ... et encore.


Je pense qu'il s'agit de serveurs, cf l'article:

" Il ne se propage pas via l'exploitation d'une vulnérabilité dans le noyau Linux mais par le biais de services SSH (Secure Shell) exposés à des attaques par force brute en raison de mots de passe faibles."

En général par défaut le serveur SSH n'est pas activé/installé sur les installs "desktop". (et en plus il faudrait, dans le cas de nos *box, natter le port 22 sur l'IP locale:port local de la machine, à moins que la machine soit directement bridgée sur le Grand Ternet)

Par contre, pour en revenir à l'article, ça existe encore des gens qui font tourner des serveurs SSH en mode login/mot de passe? Toute personne un tant soit peut sérieuse qui administre des serveurs UNIX (*BSD, etc) ou GNU/Linux utilise des clefs RSA asymétriques pour la connexion au serveur SSH, change le port d'écoute et désactive le login par mot de passe dans la conf' ssh (/etc/ssh/sshd.conf).

C'est la première chose que je fais quand j'installe un serveur gnu/linux ou OpenBSD (j'utilise pas les autres BSD, à l'exception d'une VM NetBSD pour la bidouille sur mon petit serveur xen perso). Autre petit conseil perso: n'utilisez jamais la même clef privée sur plusieurs machines - genre desktop, laptop, smartphone: une clef par périphérique amené à se connecter au(x) serveur(s) SSH, plus rapide de révoquer une clef en cas de vol de laptop, par exemple.

À noter que du côté Debian, depuis Jessie, l'authentification SSH par login/mot de passe est autorisée pour les utilisateurs du système, mais plus pour l'utilisateur root (qui n'accepte plus que les connexions par clefs asymétriques).


Idem, en plus parano, j’autorise uniquement les IP qui vont bien dans iptable et sshd.
Mais le principal reste l'identification par clé et non par mdp, ou mieux la combinaison des 2
Le #1861295
FRANCKYIV a écrit :


À noter que du côté Debian, depuis Jessie,
l'authentification SSH par login/mot de passe
est autorisée pour les utilisateurs du
système, mais plus pour l'utilisateur root
(qui n'accepte plus que les connexions par
clefs asymétriques).



Une petite question tiens au passage.

Si on se connecte avec un compte utilisateur via mot de passe.

On peut passer en root via su non ?


Si cet utilisateur y est autorisé et connait le mdp root, oui.
Le #1861304
Padrys a écrit :

FRANCKYIV a écrit :


À noter que du côté Debian, depuis Jessie,
l'authentification SSH par login/mot de passe
est autorisée pour les utilisateurs du
système, mais plus pour l'utilisateur root
(qui n'accepte plus que les connexions par
clefs asymétriques).



Une petite question tiens au passage.

Si on se connecte avec un compte utilisateur via mot de passe.

On peut passer en root via su non ?


Si cet utilisateur y est autorisé et connait le mdp root, oui.


Ok marchi
Le #1861323
Padrys a écrit :

lidstah a écrit :

FRANCKYIV a écrit :


À leur insu, ils deviennent la force de
frappe pour mener des attaques par
déni de service distribué.



Force de frappe des PC infectés sous Linux de particulier ?
Juste ridicule par rapport au parc Windows.

A moins qu'ils n'arrivent à infecter des serveurs ... et encore.


Je pense qu'il s'agit de serveurs, cf l'article:

" Il ne se propage pas via l'exploitation d'une vulnérabilité dans le noyau Linux mais par le biais de services SSH (Secure Shell) exposés à des attaques par force brute en raison de mots de passe faibles."

En général par défaut le serveur SSH n'est pas activé/installé sur les installs "desktop". (et en plus il faudrait, dans le cas de nos *box, natter le port 22 sur l'IP locale:port local de la machine, à moins que la machine soit directement bridgée sur le Grand Ternet)

Par contre, pour en revenir à l'article, ça existe encore des gens qui font tourner des serveurs SSH en mode login/mot de passe? Toute personne un tant soit peut sérieuse qui administre des serveurs UNIX (*BSD, etc) ou GNU/Linux utilise des clefs RSA asymétriques pour la connexion au serveur SSH, change le port d'écoute et désactive le login par mot de passe dans la conf' ssh (/etc/ssh/sshd.conf).

C'est la première chose que je fais quand j'installe un serveur gnu/linux ou OpenBSD (j'utilise pas les autres BSD, à l'exception d'une VM NetBSD pour la bidouille sur mon petit serveur xen perso). Autre petit conseil perso: n'utilisez jamais la même clef privée sur plusieurs machines - genre desktop, laptop, smartphone: une clef par périphérique amené à se connecter au(x) serveur(s) SSH, plus rapide de révoquer une clef en cas de vol de laptop, par exemple.

À noter que du côté Debian, depuis Jessie, l'authentification SSH par login/mot de passe est autorisée pour les utilisateurs du système, mais plus pour l'utilisateur root (qui n'accepte plus que les connexions par clefs asymétriques).


Idem, en plus parano, j’autorise uniquement les IP qui vont bien dans iptable et sshd.
Mais le principal reste l'identification par clé et non par mdp, ou mieux la combinaison des 2


Arf, vu que je bouge pas mal et qu'en prime, j'ai droit à de l'IP dynamique chez moi (donc même en passant par mon vpn… ) je ne filtre pas au niveau des IPs - par contre toutes mes clefs ont des passphrases différentes.

FRANCKYIV:


On peut passer en root via su non ?



vui
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]