Re: [Linux-31] linux malware

[Albert ARIBAUD <albert AT aribaud.net>]

Le mardi 02 mars 2021 à 20:13 +0100, Albert ARIBAUD a écrit :
> Le mardi 02 mars 2021 à 19:58 +0100, jdd AT dodin.org a écrit :
> > Je viens pour la première fois de suivre un fil parlant d'un cas
> > réel 
> > d'infection d'un PC linux par un malware.
> > 
> > Il s'agit d'un fichier ".dhcpd", situé dans ~/test
> > 
> > https://lists.opensuse.org/archives/list/users AT lists.opensuse.org/thread/JFOBMEKN6QAZROLHP3CKV5FYEFO64XXE/
> > 
> > c'est un "bitcoin miner" qui utilise votre PC pour créer du
> > bitcoin...
> > 
> > Il semble capable de modifier le fichier /etc/shadow !!!
> > 
> > si vous avez un répertoire /home/test ou un utilisateur "test"
> > dans 
> > passwd ou shadow, inquiétez-vous :-(
> > 
> > jdd
> > -- 
> 
> Euh, on ne va pas foncer aussi vite : dans l'URL que tu donnes, le
> demandeur dit qu'il a constaté un changement dans /etc/shadow au même
> moment où ce fichier .dhcpd est apparu, mais il ne dit pas que l'un
> est
> la cause de l'autre.
> 
> Par ailleurs, il y a bien trop peu d'infos dans cette page (et dans
> celle de askubuntu où elle renvoie, plus vieille de 2 ans environ)
> pour
> pouvoir en déduire qu'il y a malware (plutôt par exemple
> qu'intrusion).
> 
> Par ailleurs, une recherche sur dhcpd et test et linux n'a rien
> remonté
> de concret.
> 
> Amicalement,
> Albert.

Mes excuses : j'avais vu un lien externe mais raté celui de virustotal.

Bon, virustotal ne fait que décrire l'exécutable mais pas le mode de
transmission, et ici, il semble que la faille soit un login et un mot
de passe prédictibles plus un accès entrant à la machine non sécurisé,
pas une exploitation de faille d'un composant du système. C'est déjà
ça.

Et c'est l'occasion de (re)faire une liste des choses à vérifier sur
une nouvelle install Linux (et de temps à autres sur une existante) :

- que les accès entrants ne sont ni activés ni même conservés s'ils ne
sont pas nécessaires, et que ces accès doivent être chiffrés (VPN ou
SSH),

- que l'accès demande une authentification par clés asymétriques et non
par mot de passe,

- que les comptes inutiles sont supprimés (y compris l'éventuel
"guest"),

- que root a son propre mot de passe, non trivial, et n'est accessible
que par su (et *surtout pas* par sudo en NOPASSWD).

Les mots de passe non triviaux ça vaut en fait pour tous comptes.

Et comme un mot de passe non trivial est pénible à entrer, perso, quand
je suis à mon ordi et comme j'ai besoin de passer root assez souvent
pour gérer des services, j'ai configuré PAM pour permettre une clé FIDO
comme moyen d'identification alternatif : du coup, si la clé est dans
un port USB, j'ai juste à appuyer sur le bouton de la clé pour
m'authentifier.

Bien entendu, j'ai toujours la clé sur moi quand je ne suis pas à
l'ordi.

Amicalement,
Albert.