Ransomware crypte les données sur les serveurs Linux NextCloud

Sujet: Ransomware crypte les données sur les serveurs Linux NextCloud (Lu 25550 fois) sujet précédent - sujet suivant

Ransomware crypte les données sur les serveurs Linux NextCloud

18 Novembre, 2019, 19:27:41

Bonjour à tous

Un nouveau logiciel ransomware a été trouvé dans la nature qui n'est actuellement pas détecté par les moteurs antivirus sur les plates-formes d'analyse publiques. Son nom est NextCry en raison de l'extension ajoutée aux fichiers cryptés et du fait qu'il cible les clients du service de synchronisation et de partage de fichiers NextCloud.

Le lien de l'article
Ransomware serveur NextCloud

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #1 – 18 Novembre, 2019, 19:41:32

J'ai entendu parler d'un truc similaire ces jours ci, concernant les smartphones sous Android.
Me rappelle pas du nom de la bête.

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #2 – 18 Novembre, 2019, 23:45:45

Merci pour l’info.

Il semble que la faille de sécurité liée à NGINX et PHP-FPM soit exploitée.
Cette faille a été annoncée sur le forum de Nextcloud il y a quelques semaines et il est recommandé de mettre à jour PHP-FPM
C’est pour cela que j’avais demandé de l’aide sur Alionet et Sogal m’a aidé à passer en 7.3.11 avec Leap 15.1
J’explique aussi cette mise à jour dans mon post / tuto.

A+

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #3 – 19 Novembre, 2019, 07:09:27

Bonjour,
C’est la faille CVE-2019-11043
Un patch existe pour Leap 15.1 et 15.0
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00011.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00014.html
Il faut mettre à jour le système si ce n’est pas déjà fait.

Rappel : le support de Leap 15.0 s’arrête le 30-11-2019, il faut penser à migrer vers la version 15.1

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #4 – 19 Novembre, 2019, 21:29:34

Bonjour

Vous l’avez probablement vu mais, au cas où, il faut aussi mettre à jour le fichier de configuration nginx :
https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm/

Merci chalu pour l’information sur le patch opensuse. C’est rassurant. Par contre, moi qui ne suis pas vraiment dans les détails de la boucle de mise à jour, j’avais été plus rassuré par une mise à jour vers les dernières versions recommandées de PHP-FPM.

A+

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #5 – 19 Novembre, 2019, 22:50:30

Y'a deux choses là.
Tu as la montée en version de php en 7.3 qui t'était nécessaire pour les fonctionnalités de l'app "Password", c'est une chose.
Mais un php en version 7.2 avec le patch correctif n'en est pas moins sécurisé. Je ne me fais aucun soucis sur la qualité des mises à jour de sécurité dont nous bénéficions avec openSUSE.

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #6 – 20 Novembre, 2019, 07:09:11

Oui Sogal, tu as raison, mon passage en 7.3 est lié à une compatibilité avec une application de Nextcloud.
Par contre, j’étais déjà passé en 7.2.24 via un dépôt home car je n’étais pas au courant que bien que restant en 7.2.5, un patch de sécurité s’appliquait.
Je n’ai pas de doute quant à la qualité du suivi de OpenSuse mais, sans Alionet, je ne m’en serais pas aperçu du fait de mes connaissances limitées.

A+

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #7 – 20 Novembre, 2019, 22:22:47

Pas de soucis, nous sommes tous là pour apprendre, aussi bien au sens de transmettre que de recevoir

Et oui, une version peut rester la même mais recevoir un patch corrigeant une faille de sécurité.

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #8 – 22 Novembre, 2019, 09:53:30

coucou,Squid-f

Citation de: squid-f – le 20 Novembre, 2019, 07:09:11

Oui Sogal, tu as raison, mon passage en 7.3 est lié à une compatibilité avec une application de Nextcloud.
Par contre, j’étais déjà passé en 7.2.24 via un dépôt home car je n’étais pas au courant que bien que restant en 7.2.5, un patch de sécurité s’appliquait.
Je n’ai pas de doute quant à la qualité du suivi de OpenSuse mais, sans Alionet, je ne m’en serais pas aperçu du fait de mes connaissances limitées.

A+

pourquoi dans ce cas ne pas installer yast-update-configuration qui te permet de configurer ce que tu veux de ts updates en auto, tu peux choisir seulement d'automatiser les updates de secu.
https://passiongnulinux.tuxfamily.org/post/2019-03-29-sauver-asus/

Re : Ransomware crypte les données sur les serveurs Linux NextCloud

Répondre #9 – 22 Novembre, 2019, 12:29:21

Bonjour

Merci pour l’info détaillée et, effectivement, j’ai configuré les mises à jour automatiques.
Ma problématique a été de pouvoir comprendre que la version 7.2.5 de php-fpm est devenue, après patch, au même niveau de sécurité que la version 7.2.24

A+