dimanche 05 juillet
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: Un nouveau cheval de Troie sous Linux ?

Posté par Sébastien Koechlin (). Modéré le 08 septembre 2001.
0
vnunet.com annonce l'existance d'un nouveau cheval de Troie pour Linux qui aurait été découvert par Qualys, la "célèbre" entreprise de sécurité.

L'article est très vague et fort peu technique; on y trouve les idées suivantes :
  • Le cheval est similaire au célèbre outils d'administration Back Orifice
  • Il s'installe sur le port UDP 5503 et plus et s'annonce sur un serveur web grand breton
  • Il se propage par EMail
Mais le dernier argument fait oublier tout le reste ;-) :
  • S'il se répand, il risque de faire bien plus de dégats que Code Red car 58% des serveurs tournent sous Apache, et donc majoritairement sous Linux, alors que Windows NT ne représente que 25%

Note du modérateur: Merci à Meszigues pour avoir aussi proposé cette nouvelle.

> Lire les commentaires (69 commentaires, moyenne: 2,4).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Cheval de Trois

Posté par gle () le 08/09/2001 à 12:35. (lien). Évalué à 25.

Le cheval n'est ni de Trois, ni même de Troyes, mais sans doute plutôt de Troie.

En plus, une fois qu'on se documente, on se rend compte que c'est assez pipeau: Il se propage par pièce jointe dans le mail.

Il faut donc être assez débile pour aller détacher la pièce jointe et l'exécuter. Vu que normalement, il y a un firewall qui emêchera de toute façon l'accès à ce fameux port, il faut en plus que tout celà se passe sur le firewall lui-même. On peut dormir tranquille, je doute qu'il y ait des neuneus sur Terre capables d'avoir l'idée de lire leur mails sur le firewall et d'executer les pièces jointes après les avoir détachées, quoique la connerie humaine soit réputée infinie.

[+] vnunet.com, LA référence...

Posté par Anonyme () le 08/09/2001 à 12:39. (lien). Évalué à -2.

ah zut, la news sur les trolls c'etait avant...

Est ce qu'on pourrait arrêter de dire n'importe quoi ?

Posté par Anonyme () le 08/09/2001 à 12:41. (lien). Évalué à 12.

58% de serveurs sous Apache ne signifie pas 58 % de linux ; qui plus est, 58%, c'est pas le nombre de serveurs, mais le nombre de sites ! Et le nombre de serveurs et le nombre de sites sont loins d'être le même !
Il y a beaucoup de serveurs apache en virtual hosting massif avec plus de 50 sites dessus... cf. http://www.netcraft.com/Survey/Reports/0108/(...)
Et le lien apache <-> linux n'est pas si évident... il y a aussi *BSD, Solaris, j'en passe et des meilleures.
En plus, un serveur web, en général, c'est pas sur cette machine que tu vas lire tes mails... donc assez peu de risque d'infection des serveurs web de ce côté là.
En plus, a ma connaissance aucun lecteur de mail n'exécute automatiquement les attachements, et presque aucun utilisateur de linux est suffisamment con pour cliquer sur l'attachement vérolé, lui mettre les droits d'execution, et l'executer en root...
En clair et sans décodeur, c'est quoi cette news ?

Le cheval de Troie ...

Posté par Anonyme () le 08/09/2001 à 12:43. (lien). Évalué à 10.

J'ai tendance à être plutôt réservé lors des annonces de virus et autres chevaux de Troie sous Unix. Les trous de sécurités sur les programmes utilisant la libc d'une mauvaise façon sont courants, mais là franchement sans faire aucun chauvisime Unixien ça sent franchement l'arnaque ce truc. C'est hyper flou, ca se propage par Apache, mais on sait pas comment ... Bref une petite campagne anti Unix/Apache pour contrer les dégats du Code Red sur IIS et Microsoft serait franchement content. Delà à franchir le pas ...
Ca ressemble à la baisse d'Apache chez Netcraft ... louche.

on est pourtant pas le 1er avril ???

Posté par jeanphy () le 08/09/2001 à 12:43. (lien). Évalué à 2.

tiens j'ai découvert un nouveau virus
"suivez les instructions:
- loggez vous sous root
- envoyez ces instructions à tous vos ami(e)s
- faites rm -r /*
- puis tapez 'echo vous avez été piraté par le virus virulent qui vire votre os"

Ca se voit pourtant ?

Posté par un nain_connu () le 08/09/2001 à 12:53. (lien). Évalué à 19.

C'est quand meme étrange, à chaque fois qu'un éditeur d'antivirus lance une version pour linux, dans les jours qui suivent une alerte de sécurité "nouveau virus linux !!!" est envoyée à tous les journaux, justement par la société qui sort son super antivirus...

Mutt

Posté par BaaL () le 08/09/2001 à 13:15. (lien). Évalué à 0.

Très sérieusement je ne vois pas comment je peux chopper ce virus alors que j'utilise mutt ???
A ma connaissance m£ n'est pas prèt de sortir outlook pour Linux :p

C'est très certainement une blague pour faire la promotion d'un antivirus.

Je devrait quand meme faire gaffe ... quand je recoit un mail en html, j'ai configuré mutt pour que ca me lance lynx -dump dessus.
Des fois qu'on trouve un trou dans lynx ? (si si c'est déjà arrivé)

[+] Annonce : Attention Virus Belge

Posté par Eric Leblond (page perso, ) le 08/09/2001 à 14:03. (lien). Évalué à -2.

Bonjour,

J'ai besoin de votre avis sur un programme que je voudrais tester.
Pour le tester, veuillez :
- enregistrer la pièce jointe
- Ouvrir un terminal
- Passer sous root
- Taper "test" dans le terminal..

Attention, veuillez désactiver votre firewall si vous en avez un, il empécherait le programme de s'éxécuter correctement.

Merci d'avance

John

[+] Subject: Virus UNIX

Posté par Gnurou (page perso, ) le 08/09/2001 à 14:14. (lien). Évalué à -1.

Bonjour,

Vous venez d'être infecté par un virus UNIX.

L'efficacité de ce virus repose sur un principe coopératif: veuillez retransmettre ce message à toutes vos connaissances, et effacer quelques fichiers au hasard sur votre système.

Merci.


(vu sur linux mag HS8 sur la sécurité)

VNU net : des neuneus question virus !!!

Posté par Maxime Ritter (page perso, ) le 08/09/2001 à 15:31. (lien). Évalué à 9.

Voila, suivez juste ce lien (il date d'aujourd'hui) : http://www.vnunet.fr/svm/actu/article.htm?numero=8365&date=2001(...) J'ai failli proposer un news en section humour tellement c'est gros : le virus infecte les fichier GIF et TXT !!

J'ai réagi dans le forum de vnunet ( http://195.154.215.18//Forum14/HTML/000306.html(...) ), ces idiots ont même pas la possibilité de rajouter les commentaires sous les articles (voulu ?) : apparemment le virus en question -sous win- se propage en prenant le nom d'un fichier attaché au hasard, avec une 2eme extention au hasard qui peut être GIF ou TXT.

Sur ce même forum j'ai oublié de critiquer un autre point important : "le virus est capable de desactiver Zone Alarm pour infecter le système".
J'imagine qu'il fallait comprendre "une fois infecté le virus désactive Zone Alarm et fait des choses pas gentilles que le firewall aurait pu empecher". M'enfin cela montre bien le niveau des journalistes de VNUnet. Et dire que mon frère est abonné a SVM !!

Cela dit qui m'a répondu sur le mec sur le forum m'a l'air calé puisqu'il propose, en plus d'expliquer comment faire pour voir toutes les extensions des fichiers, de dire a Outlook de mettre dans un dossier à part les fichiers contenant des fichiers joint (pas bête, mais je pense que le problème est plus dans l'éducation des utilisateurs. Moi par exemple, je dit tjs aux mecs qui pigent pas grand chose "si vous recevez un fichier joint, avant de l'ouvrir demandez à votre correspond si c'est bien lui qui a voulu vous l'envoyez. Evitez de l'ouvrir dans tous les cas si la personne n'est pas digne de confiance."

Mais combien de personnes font ca ?

--
Un utilisateur de mutt sous Solaris

Pour l'orthographe, c'est pas gagné!

Posté par Anonyme () le 08/09/2001 à 17:54. (lien). Évalué à 1.

Verbillage et babiage sont les deux mamelles du journalisme.

Tous derrière et lui...

Posté par Lol Zimmerli (Jabber id, page perso, ) le 08/09/2001 à 19:46. (lien). Évalué à 2.

Il descend de la montagne sur son cheval de Troie, il descend de la montagne sur son cheval de Troie, il descend de la montagne, il descend de la montagne, il descend de la montagne sur son cheval de Troie.

--
En fait, Bernardo n'était pas muet; c'est Zorro qui était sourd.

[+] n'importe quoi

Posté par Anonyme () le 09/09/2001 à 01:24. (lien). Évalué à -4.

on tombe vraiment bas avec qualys ...
pour les aider a vendre leur produits inutiles
pourquoi ne pas les spammer massivement, peut
etre decouvriront ils un nouveau virus tres tres
dangereux pour unix ...

[+] Imaginons...

Posté par B. franck () le 10/09/2001 à 07:40. (lien). Évalué à -1.

Je suis un gros debile d'administrateur *nix, GNU/Linux-Hurd *BSD (deja c'est rare)

1- j'ai envie d'allumer ma machine le lundi (pas evident)
2- je me connecte sur mon serveur Veb et je vais dans mon netscrap prefere' pour lire mes mails
(hum, donc X installe' + Netscape, bizarre le serveur www!!!)

3- je recois un message de mon meilleur ami qui ne parle pas un mot d'anglais et qui me dit:
"Hi, take a look at that, it's for linux it rocks!")
Bon la je me dis que mon pote a appris l'anglais entre la bignouze qu'on s'est tape' samedi soir et ce matin...
(je ne suis pas reveille' ce matin, c'est lundi)
Donc, j'ouvre son message et je regarde la piece jointe.

4- j'essaye d'executer la piece jointe mais le systeme me jette (oops, j'ai oublie' de me logger en tant que r°°t avant de lancer X! que je suis "beta" (quasi alpha à ce stade) )

5- je rectifie, je lance la piece jointe. Rien !? Je fais un rapide netstat pour voir si quelquechose s'est passe' de ce cote':
tiens un nouveau port!
(je ne sais pas si le bdoor remplace netstat)

"ça doit etre un nouveau service de l'internet! des pirates informatiques et des pédophiles"
je m'empresse donc d'ouvrir le port dans la chaine de "forwarding" de mon firewall!

je veux profiter de ce nouveau service "que je sais pas ce que c'est!"... (tut tut)

-------------------------------------------
Ou est la "GNU/blacklist" de ceux qui cultivent l'obscurentisme comme Qualys le fait si bien ?
(remarquons au passage que vendre du vent,c'est très dur :\ )

Informations complémentaires....

Posté par pas_moi () le 10/09/2001 à 08:09. (lien). Évalué à 3.

http://www.securityfocus.com/archive/1/213066(...)

En gros, c'est un virus de test qui s'est échappé... Rhooo, c'est balôo!!

Pour ma part je ne crois pas du tout à leur explication (l'explication de Umass me paraît bien plus plausible).

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.2203s (dont 0.0276 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !