Les malwares de Windows ne fonctionnant pas sur GNU/Linux, beaucoup d'utilisateurs pensent qu'il n'y a pas d'infections sur GNU/Linux. Grave erreur, l'idée reçue est fausse. De même que le mythe comme quoi Linux serait un système d'exploitation imperméable. Si vous passez de Windows à Linux, une question se posera : À ce jour, a-t-on besoin d'un antivirus sur Linux ?
Le marché GNU/Linux
Dans un premier temps, il faut bien comprendre que la majorité des malwares répondent au besoins de différents business. Le but premier est généralement d'obtenir un accès sur les ordinateurs afin de les monétiser ( afficher des publicités, espionner, enregistrer les frappes du clavier, voler des informations, des données ( bancaires, personnelles, confidentielles, secrètes ), utiliser les ordinateurs ou les comptes courriels pour spammer etc.. )
Pour plus d'informations, rendez-vous sur la page Business malwares : le Pourquoi des infections.
Pour maximiser leurs chances, les développeurs de malwares ont écrits leurs programmes pour infecter les postes de travail dont le système d'exploitation est le plus populaire, c'est à dire Microsoft Windows. Si l'on regarde les statistiques de répartition des systèmes d'exploitation, Linux oscille plutôt entre 1,84% et 5%, ce faible volume explique que les malwares Linux ciblant des postes de travail sont quasi-inexistants. Un antivirus pour ce système d'exploitation n'est donc pas aussi important que sur Windows : pour le moment il est tout à fait possible de s'en passer. On notera que MacOS représente désormais 10% ce qui explique peut-être les apparitions de quelques adwares et autres malwares. ( source: Netcraft + OS browsers stats)
GNU/Linux est très utilisé dans le monde des serveurs.
Les menaces sur GNU/Linux
Les principaux objectifs des infections visant les serveurs sont en général :
- effectuer du SPAM
- effectuer des attaques DDoS
- infecter des utilisateurs Windows
- BossaBot, un malware de type Backdoor IRC, vendu sur les forums underground, ce dernier permet de contrôler le serveur infecté.
- Un cas isolé de propagation d'une Backdoor:Linux/Tsunami.
- Des Trojan.PsyBNC qui avaient été installés suite à des attaques Bruteforce SSH.
Ce tweet et celui-là montrent que le but était de les louer ou de les vendre.
- Un serveur compromis par Backdoor.Linux.Bew.a et Client BitCoin à cause de vulnérabilités sur Plesk.
- Des serveurs qui organisaient des attaques avec Flooder.Linux.Small :
- Et parfois il y a eu des cas inconnus : https://twitter.com/malekal_morte/statu ... 9543312384
Notez qu'en Novembre 2015, le premier crypto-ransomware chiffreur de fichiers s'attaquait aux serveurs alors que sur Windows des crypto-ransomare plus sophistiqués existent, cela semble être plutôt un coup d'essai/bidouillage, plus d'informations Linux.Encoder : premier crypto-ransomware.
Il n’empêche, qu'il peut y avoir un marché avec tous les sites sous des serveurs GNU/Linux.
Script Multi-OS
A noter des scripts écrits en PHP, Perl, etc... et donc multi-plateformes.
- Une Backdoor IRC en Perl utilisée par des scripts-kiddies, via des vulnérabilités Shellshock, ce dernier s'était constitué un botnet de 3000 serveurs.
- Une Backdoor IRC en Perl employée avec des failles de type RFI.
- Un script shell en PHP utilisé via une vulnérabilité PHP-CGI pour installer un miner de Bitcoin.
- Une backdoor PHP plus classique utilisée pour se maintenir sur un système ( ici une régie publicité afin de rediriger les internautes vers des Web ExploitsKit )
Attaques plus sophistiquées
Les chinois raffolent des attaques Bruteforce SSH,FTP etc. Lorsqu'ils arrivent à pénétrer, ils installent des backdoors Linux pour se constituer un botnet afin d'effectuer différents types d'attaques DoS / DDoS. L'Operation Distributed Dragon en est un bel exemple.
Il existe aussi des malwares qui permettent d'insérer discrètement sur les pages hébergées du serveur des mécanismes de redirections vers des Web ExploitsKit. Les internautes qui viendront consulter ces pages piégées seront infectés si Windows ou leurs logiciels sont vulnérables.
- DarkLeech : Generation-NT s'était fait avoir par Darkleech
- Linux/Cdorked.A, une backdoor Apache avait permis de distribuer le kit d'exploits BlackHole
En octobre 2015, AV-Test a effectué des tests de détection antivirus sur les binaires Linux : AV-Test : Linux antivirus.
Malware Linux : IoT et routeurs
A travers l'utilisation massive de Linux dans les routeurs et IoT (objet connectés)... De plus en plus de malware Linux apparaissent.
Exemple avec Linux/Rakos & Linux/Moose.
Ces attaques s'instrivent dans la hausse des piratages de routeurs, mais aussi de manière général contre les IoT (Internet des objets), à lire IoT et la sécurité
Conclusions
Cette page rappel tout de même que des malware visant les postes de travail GNU/Linux existent. Bien entendu, ces attaques tirent parti d'étourderies : méconnaissances en administration, mauvaises configurations, absences de mises à jour de la part des administrateurs, ... Si vous avez un serveur Apache/PHP/MySQL (LAMP), prenez le temps de lire le page des conseils de sécurité.