La même semaine je lis :
Le rootkit, qui est exécuté dès le démarrage au niveau du kernel, a été pensé pour attaquer un serveur web. Concrètement il permet d'injecter des iframe au sein des sites Web en modifiant la fonction TCP afin de rediriger les internautes vers des sites Internet frauduleux
et :
Firefox 17 (qui vient de sortir) est davantage sécurisé en allouant un mode sandbox permettant de cloisonner les iframes au sein des pages web.
Du coup je me dis que c'est peut-être pas si grave ?
# C'est pas grave surtout si
Posté par TheBreton . Évalué à 8.
on en reste aux explications données sur clubic (tant qu'a cité des morceaux de l'article tu aurait pu citer ta source)
http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-525635-decouverte-rootkit-linux.html
D'autant plus que tout ce bruit est pour expliquer qu'un module kernel à été trouvé qui mets en place des redirection sur des appel systemes (hook) et redirige les requetes tcp vers un site different de celui demandé par l'utilisateur.
Autant prendre l'info a sa source
http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html
En bref, si un "root" installe n'importe quoi sur son système il aura des problèmes (ca on le savait déja)
Aucun packet d'aucune distrib n'est indiqué comme corrompu, un simple cat sur "/etc/rc.local" permet de detecter le rootkit.
Bref, trembler !(si vous aimez avoir peur).
[^] # Re: C'est pas grave surtout si
Posté par antistress (site web personnel) . Évalué à 10.
Alors pour info, j'ai fait usage d'un truc vachement pratique, c'est un hyperlien html caché derrière un mot, comme ça le mot devient cliquable : Astucieux ! Et là t'as les sources. Magique !
[^] # Re: C'est pas grave surtout si
Posté par liberforce (site web personnel) . Évalué à 10. Dernière modification le 21 novembre 2012 à 17:35.
Un autre truc magique, c'est d'utiliser l'hypertexte pour quoi il a été conçu: mettre un lien en rapport avec le ou les mots sur lesquels il faut cliquer pour activer le lien. Étrangement, les moteurs de recherche se servent de la même logique pour identifier les informations intéressantes. Je pense donc que "je lis" et "et", vont gagner en popularité grâce à ton journal. \o/
Pour en savoir plus, cliquez ici :-p
[^] # Re: C'est pas grave surtout si
Posté par antistress (site web personnel) . Évalué à 0.
De toute façon souligner l’intérêt de l'hyperlien est un peu redondant :-)
[^] # Re: C'est pas grave surtout si
Posté par kursus_hc . Évalué à 1.
Faux. Les liens hypertextes ont été conçu pour naviguer d'une page à une autre, point. Ensuite, les moteurs de recherche ont défini des best practices qui consistent effectivement à placer un lien sur un mot ou une suite de mot pertinente.
[^] # Re: C'est pas grave surtout si
Posté par antistress (site web personnel) . Évalué à 2.
Je le savais, liberforce est vendu à Gogol !
[^] # Vendu à Google ?
Posté par liberforce (site web personnel) . Évalué à 2.
J'en doute, on me harcèle toujours pour créer un compte Google, mais je résiste encore et encore… C'est leur cookie à date d'expiration en 2038, puis l'arrivée de GMail qui m'a décidé à rester dans mon camps retranché. Oui, je sais, tout le monde s'en fout… L'arrivée de Google pourrait me mettre un sacré coup tout de même…
[^] # Re: C'est pas grave surtout si
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 2.
Ouai enfin, ce n'est pas qu'une "best practice" pour les moteurs de recherche. C'est surtout pour n'importe qui le contenu !
Parce que bon, être interrompu dans sa lecture tout les 4 mots par des URLS dans un texte, c'est plutôt pénible.
[^] # Re: C'est pas grave surtout si
Posté par Marotte ⛧ . Évalué à 2.
D'accord. Cependant quand elle est isolée du reste du texte je laisse l'URL en entier, ça permet de voir où ça mène sans avoir à bouger le curseur de la souris dessus (et bouger le regard en bas à gauche de l'écran).
[^] # Re: C'est pas grave surtout si
Posté par Anonyme . Évalué à 2.
J'ai voulu poster la même chose mais je ne retrouvais plus cet article !
Merci d'avoir posté ce lien !
# Pas si sûr.
Posté par xenom . Évalué à 3. Dernière modification le 21 novembre 2012 à 17:38.
Je me demandais l’intérêt de cette sandbox et j'ai trouvé la page du wiki Mozilla sur cette fonctionnalité.
Il s'agit en fait de l’implémentation d'un nouvel attribut HTML 5 "sandbox" pour les iframes.
Cela permettrait aux développeurs web d'isoler des parties de leur contenu, pour éviter qu'elles aient les mêmes droits que le reste de la page (comme la politique de "same origin" ou l'execution de scripts).
Après avoir lu l'article de Clubic et l'intro de l'article original, si j'ai bon, ce rootkit s'installe côté serveur web et injecte des iframes dans le site web, donc je pense que cette sandbox ne protégera pas l'utilisateur.
[^] # Re: Pas si sûr.
Posté par antistress (site web personnel) . Évalué à 1.
Merci, je me demandais. Sinon pourquoi rendre le sandboxing des iframes facultatif, à la discrétion du dév, plutôt que de le généraliser ?
[^] # Re: Pas si sûr.
Posté par CrEv (site web personnel) . Évalué à 5.
Ben tout simplement parce que parfois tes iframes ont besoin de communiquer avec le reste du monde (par exemple inclusion d'un composant développé par une boite dans un site réalisé par un autre, et pilotage de l'un à partir de l'autre - je sais pas si c'est méga clair mais en tout cas ça m'est déjà arrivé d'avoir à le faire)
# C'est creux
Posté par MTux . Évalué à 3. Dernière modification le 21 novembre 2012 à 18:33.
Comment ce "rootkit" s'intègre-t-il au serveur ? Faut-il l'installer volontairement ? Parce qu'un kernel ça ne se modifie pas comme ça, il faut être root. Est-ce que ça nécessite de recompiler ? Ou est-ce un module .ko qui se charge ?
Bref beaucoup de bruit pour rien, quand on fait des manipulations en root il n'y a pas besoin de rootkit pour tout casser.
[^] # Re: C'est creux
Posté par i M@N (site web personnel) . Évalué à 3. Dernière modification le 21 novembre 2012 à 20:25.
J'ai lu ça moi http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html
qui pointe vers http://seclists.org/fulldisclosure/2012/Nov/94 (voir fichier attaché) et https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections
ça fonctionne pour un kernel 2.6.32-5 apparemment.
wind0w$ suxX, GNU/Linux roxX!
[^] # Re: C'est creux
Posté par MTux . Évalué à 2.
J'ai vu aussi quelques posts qui détaillent la découverte initiale du rootkit, ou la technique employée, mais les questions suivantes restent en attente :
- Mon serveur peut-il choper le rootkit tout seul ?
- CentOS qui intègre SELinux est-il touché ?
- Est-ce seulement le kernel 2.6.32 ?
[^] # Re: C'est creux
Posté par Maclag . Évalué à 6.
Bof, la question générale que je me pose c'est pourquoi on paniquerait sur ce rootkit là en particulier alors qu'il en existe d'autres qui ont l'air tout autant sinon plus dangereux.
La semaine prochaine, moment de panique mondiale quand Clubic découvrira un virus pour Linux?
[^] # Re: C'est creux
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 22 novembre 2012 à 11:25.
Faut dire, on nous vend tellement Linux comme plus mieux bien sur les virus que l'autre grand méchant troué, qu'on finit par y croire et du coup le choc quand ça arrive.
Ok ok --> [].
PS : j'ai plussé ce commentaire car en retard pour plusser le +10 sur iFrame, j'ai bien rigolé.
[^] # Re: C'est creux
Posté par TheBreton . Évalué à 2.
Mon serveur peut-il choper le rootkit tout seul ?
Seulement si une faille sur ton serveur permet à n'importe qui d'avoir les droits "root" et de charger un module.
CentOS qui intègre SELinux est-il touché
Pour l'instant: un serveur à été compromis, mais pas package de distribution, reste qu'il faut être prudent lorsque l'on prend des rpm ou autre package sans trop savoir d'ou ils viennent.
Est-ce seulement le kernel 2.6.32
Non,le module d'origine à été compilé pour un 2.6.32-5 (Debian Squeeze) mais ensuite il modifie sont code binaire pour coller à la version du kernel en cours d'exécution (chaque module doit annoncer pour quel version de kernel il est compilé).
[^] # Re: C'est creux
Posté par MTux . Évalué à 2.
Donc c'est un pétard mouillé.
[^] # Re: C'est creux
Posté par ckyl . Évalué à 4.
En même temps c'est la définition d'un rootkit… http://en.wikipedia.org/wiki/Rootkit
Un rootkit ca se combine à une faille qui te permet d'être administrateur (c'est pas ce qu'il manque les failles locales).
# iFrame
Posté par Maclag . Évalué à 10.
Y'en a vraiment marre d'Apple et de…
Hein? Ah euh… ok!
--------------> [ ]
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.