Aller au contenu principal
Sujet: Ebury , le Cheval de troie qui vous fera cavaler :=) (Lu 428 fois) sujet précédent - sujet suivant

Ebury , le Cheval de troie qui vous fera cavaler :=)

Hello,

Avez vous entendu parler de ce cheval de troie ? qu'en dites vous ?
https://korben.info/ssh-ebury-cheval-de-troie-linux-furtif-depuis-15-ans.html

"C’est vraiment une histoire incroyable que je découvre là… Un groupe de cyber criminels a réussi l’exploit de pirater plus de 400 000 serveurs Linux depuis 15 ans, et tout le monde est passé à côté. Et tout cela grâce à un cheval de Troie appelé Ebury qui se planque discrètement dans le système.

Techniquement, Ebury s’infiltre via OpenSSH, le protocole qui permet de se connecter à distance à un serveur et une fois installé, ce parasite ouvre une porte dérobée pour que les pirates puissent entrer et sortir comme dans un moulin. Et le pire, c’est qu’il est super discret : il efface ses traces et se fait passer pour un processus légitime. Un vrai caméléon !"

NB : A retenir je crois : voir les conseils pour sécuriser les machines / infrastructures  ...
 

Re : Ebury , le Cheval de troie qui vous fera cavaler :=)

Répondre #1
Plop, merci de l’info. Ce n’est pas nouveau cela dit, ESET a publié là-dessus en février 2014 déjà (https://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/).
Petite rectification: ce trojan ne s’infiltre pas par OpenSSH. Une fois qu’il est dans un serveur (infiltration par n’importe quel moyen possible sur un serveur mal sécurisé/configuré), il vient modifier le binaire d’OpenSSH pour ajouter des fonctionnalités ouvrant une backdoor.
Mais c’est en effet un des nombreux trojans pour Linux en activité.

De toute façon, il faut bien garder en tête que n’importe quelle machine connectée à Internet se fait scanner en permanence et attaquer en permanence (tentative de brute-force SSH par mot de passe la plupart du temps). Là-dessus, quelques règles simples:
- désactiver la connexion SSH par mot de passe et utiliser des clés SSH
- utiliser fail2ban pour bannir les IP après X tentatives échouées

Avec ça vous évitez la plus grosse partie du soucis.
Ensuite, il faut éviter maintenir son système à jour, une fois par semaine minimum.
Enfin, si vous savez faire et pensez être attaqué de manière ciblée (et non simplement automatique), installer un outil de vérification des rootkits et trojan comme rkhunter ou chkrootkit et l’exécuter de temps en temps est pas mal. L’usage de l’antivirus ClamAV est intéressant aussi.
Et pour avoir une idée des points à améliorer, un outil de diagnostic comme Lynis est intéressant.