(Courriels de diversion: <inciterons@repertorieront-electifs.com> <guepards@reaffirmerai-reniflerais.com> <lierent@vivoterait-insaisissable.com> <jeunais@engouffrons-metres.com> <fourreurs@retardions-epaula.com> <violentees@combinais-reinvesti.com> <amadouerait@depeigne-rodailler.com> <agrement@crachez-inexpliques.com> <versees@recensera-pavanerait.com> <peuplerions@entêterais-ballets.com> )
pour info ça vous dit qqch ? jean-michel ---------- Forwarded message ---------- Date: Wed, 19 Sep 2001 13:09:41 +0200 From: "TRESSOL, Eric" <Eric.TRESSOL@AirLiquide.com>Reply-To: linux-81@yahoogroupes.frTo: "'linux-81@yahoogroupes.fr'" <linux-81@yahoogroupes.fr>Subject: [linux-81] pour info http://www.secusys.com/laboratoire.htm?newsid1000162294,88212, Une backdoor Linux circulant par e-mail ... Laboratoire » Alerte - Posté le 11/09/01 à 0:51 par Olivier Revenu Imprimer cette brève | Envoyer par e-mail Après les trojans destinés aux systèmes Windows, c'est au tour de Linux d'être la cible des créateurs de virus. En effet, un nouveau trojan probablement originaire du Royaume Uni sévit en ce moment dans la communauté opensource. Ce dernier a la faculté et la possibilité d'installer un backdoor process permettant des attaques à distance sur le système infecté. Détails Cette nouvelle vulnérabilité peut se diffuser via des e-mails et s'auto-duplique sur le système Linux infecté. Comparable à « back orifice » sur les plate-formes Windows, celle-ci installe une « backdoor » qui observe les connections internes sur le port UDP 5503 ou plus, permettant ainsi les attaques à distance et la prise de contrôle du système. Remote Shell Trojan est particulièrement dangereux si c'est un utilisateur privilégié qui lance l'application Linux infectée. Dans ce cas, le pirate connecté à la back door récupère toutes les autorisations et prend complètement possession du poste de travail. Qualys, ASP des services en ligne dédiés à l'audit de sécurité des réseaux, auteur de la découverte du « Remote Shell Trojan » a annoncé que le trojan se connectait à un site anglais afin de faire état de l'infection du système. Selon Qualys, les auteurs du trojans pourraient alors disposer d'une gigantesque liste de serveurs infectés fournissant une arme redoutable pour une attaque de refus de service. Pour information, la société précise qu'environ 58% des serveurs web utilisent Apache, et où l'utilisation de la plate-forme Linux est très courante. Imaginez les dégâts causés, sachant que le Code Red Worm ne concernait que 25% des serveurs Web (Windows NT)... Désinfection Qualys met gratuitement à disposition un outil téléchargeable pour tester la présence de « Remote Shell Trojan » sur une machine Linux ainsi qu'une solution de réparation téléchargeable afin de nettoyer les systèmes et fichiers infectés. L'outil « rst_detector » prend une adresse IP comme paramètre de ligne de commande et teste un ordinateur distant spécifié pour déterminer si le backdoor est installé. Le deuxième outil, « rst_cleaner », est utilisé pour désinfecter les fichiers Linux. Ces deux outils peuvent être téléchargés gratuitement sur : https://www.qualys.com/form_remoteshell.html --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>