Un botnet DDoS cible vos serveurs Windows et Linux
Hello !
Pour votre information, le CERT de Pologne vient de publier un billet technique résolvant la découvert d’un nouveau botnet DDoS qui infecte les serveurs sous le système Windows et Linux.
L’attaque s’effectue sur le serveur Linux par le biai d’une attaque par dictionnaire sur le service SSH. Lorsque cette attaque est réussi, un malware est uploadé et tourne en mode démon ( en tâche de fond pour les nuls ) et reste en attente des commandes d’un botnet maître.
L’attaque n’est pas encore détaillée concernant les serveurs sous Windows mais au final, la finalitée reste la même : malware uploadé et tourne en mode démon et reste aussi en attente de commandes.
Le botnet en question servirait pour lancer des attaques DDoS ( déni de service ).
Comment augmenter la sécurité ?
Je ne suis pas expert dans le mode Microsoft mais voici quelques bonnes recommandations à mettre en place sur votre serveur Linux.
- Utilisez un compte utilisateur avec les droits « sudo » pour vos connexions et désactiver l’utilisation de l’utilisateur « root » pour le SSH
- N’utilisez pas de mot de passe mais des clés RSA asymétriques pour les connexions SSH ( on limite grandement l’attaque à ce niveau )
- Mettez en place un service qui ce nomme Fail2Ban qui permet le blocage automatique selon le nombre d’essais ( fonctionne aussi pour du FTP, SFTP, … très utile )
- Si vous utilisez une IP fixe, mettez en place une règle de firewall qui permet l’accès au port 22 depuis votre IP seulement
Je me suis fait attaqué …
Dans le cas ou votre serveur est attaqué par ce botnet, cela va compliquer un peu les choses…
Vous allez avoir besoin de vous plonger au coeur de votre système Linux x)
Pour les personnes technique, voici le billet du CERT : https://www.cert.pl/news/7849/langswitch_lang/en
- Mettez en place une nouvelle politique de sécurité ( voir ci-dessus mes recommandations )
- Vérifiez vos crons en place ( crontab -l ) car s’il tourne en tâche de fond, il devrait être relancé automatiquement en cas de problème ( botnet similaire déjà constaté )
- Regardez vos processus en cours d’utilisation ( atop, top ) pour voir s’il n’y en a pas un qui consomme d’avantage : botnet similaire sous le nom de « httpd » ou « crond » déjà constaté
- Regardez le trafic réseau ( utilisez iftop qui est très bien )
- Regardez les ports d’utilisation de vos services ( netstat -nptl ) pour voir s’il n’y a pas un truc d’anormale
Dans le cas présent, cela ne sera pas facile pour vous et vous allez avoir besoin de bien connaitre votre système pour en trouver la cause.
J’veux le botnet …
Dans le cas ou votre serveur est attaqué par ce botnet, il serait très intéressant pour moi de l’avoir ( contactez moi via le formulaire ).
En effet, je reste dans l’optique de cherche d’avantage de détails sur ce botnet et ce qu’il permet de faire d’avantage ( commandes maître, … )
A bientôt et protégez votre serveur est une chose essentielle !