Operation Distributed Dragon - Linux DoSer

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 95480
Inscription : 10 sept. 2005 13:57
Contact :

Operation Distributed Dragon - Linux DoSer

Message par Malekal_morte » 20 oct. 2014 12:31

Operation Distributed Dragon est une opération qui vise à perturber un groupe de pirates Chinois qui serait à l'origine d'attaques DDos pouvant atteindre 200 Gb/s

Le groupe MalwareMustDie avait posté pas mal de backdoors Linux utilisées par ce groupe dans des attaques DDoS.

1. "Elknot" variants, technical information: --> [link]
2. "AES.DDoS", technical information: --> [link]
3. ".IptabLes|x", technical information: --> [link]
4. "BillGates", technical information: --> [link]
5. (NEW) "GoARM.Bot", technical information: --> [link]

La page de l'opération : https://www.tigersecurity.pro/operation ... /index.php

Le PDF explique que des serveurs sont piratés par :
  • Des attaques SSH sous Linux
  • Des attaques RDP pour les serveurs Windows.
  • Des vulnérabilité WEB.
Donc rien de vraiment nouveau, il semblerait tout de même que cette campagne soit très active.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 95480
Inscription : 10 sept. 2005 13:57
Contact :

Re: Operation Distributed Dragon

Message par Malekal_morte » 07 janv. 2015 11:31

Avast! a publié une analyse concernant ces malwares visant *Unix : https://blog.avast.com/2015/01/06/linux ... d-rootkit/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95480
Inscription : 10 sept. 2005 13:57
Contact :

Re: Operation Distributed Dragon

Message par Malekal_morte » 16 juil. 2015 09:05

Ces Malwares sont toujours actifs, un exemple avec kippo: Honeypot SSH où tombe sur du Trojan-DDoS.Linux.Sotdas et Backdoor.Linux.Ganiw / Backdoor:Linux/Setag.

ou encore :
kipppo_SSH.png
Kippo SSH Chinese Linux Backdoors
kipppo_SSH_2.png
Kippo SSH Chinese Linux Backdoors
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95480
Inscription : 10 sept. 2005 13:57
Contact :

XOR DDoS - Linux DoSer

Message par Malekal_morte » 30 sept. 2015 10:45

Une news concernant ces Linux DoSer et les variantes XOR DDoS
Akaimai annonce des attaques de plus de 150 Gbps.

J'en profite pour donner ce lien d'une note assez complète sur ces Linux XOR DoS : Notes on Linux/Xor.DDoS.

Les fichiers sont logés dans :
/boot/
/etc/init.d/
/etc/rc.d
/etc/rcX.d
/usr/bin/
/lib/
/lib/udev/udev
/lib/udev/debug
Et s'exécute via des scripts dans init.d :
Linux_XOR_DoS_init_d.png
Linux DoSer - XOR DoS
Schéma des campagnes d'attaques selon FireEye:
XoR_DoS_schema.jpg
Linux DoSer - XOR DoS
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95480
Inscription : 10 sept. 2005 13:57
Contact :

Re: Operation Distributed Dragon - Linux DoSer

Message par Malekal_morte » 15 févr. 2016 17:18

Un sujet ISC SANS : https://isc.sans.edu/forums/diary/Tomca ... DDoS/20721

XORDDoS, un Doser sous la forme d'un JAR déployé sur un Tomcat.

Au niveau des fichiers :
Tue Dec 01 2015 05:58:38,493137,mac.,-rw-r--r--,0,0,0,"/usr/share/apache-tomcat-7.0.65/webapps/eei.war"
Tue Dec 01 2015 05:58:38,69334,.ac.,-rw-r--r--,0,0,0,"/usr/share/apache-tomcat-7.0.65/webapps/eei/a.jsp"
Dans le catalina.out - on voit le chargement du jar en question.
Dec 01, 2015 5:58:38 AM org.apache.catalina.startup.HostConfig deployWAR
INFO: Deploying web application archive /usr/share/apache-tomcat-7.0.65/webapps/eei.war
Dec 01, 2015 5:58:38 AM org.apache.catalina.startup.HostConfig deployWAR
INFO: Deployment of web application archive /usr/share/apache-tomcat-7.0.65/webapps/eei.war has finished in 118 ms
Dans les logs Apache, l'attaquant accède à la console d'administration du Tomcat afin de transférer des fichiers.
22.236.51.194 - - [01/Dec/2015:05:58:08 -0500] "GET /manager/html HTTP/1.1" 401 2474
122.236.51.194 - admin [01/Dec/2015:05:58:09 -0500] "GET /manager/html HTTP/1.1" 200 19270
122.236.51.194 - admin [01/Dec/2015:05:58:39 -0500] "POST /manager/html/upload?org.apache.catalina.filters.CSRF_NONCE=4C0343589816E985E2010C618944EF5A HTTP/1.1" 200 20940
122.236.51.194 - - [01/Dec/2015:05:58:43 -0500] "GET /eei/ HTTP/1.1" 200 3319
122.236.51.194 - - [01/Dec/2015:05:58:45 -0500] "POST /eei/ HTTP/1.1" 200 6383
122.236.51.194 - - [01/Dec/2015:05:58:49 -0500] "GET /eei/?action=command HTTP/1.1" 200 2677
122.236.51.194 - - [01/Dec/2015:05:58:55 -0500] "POST /eei/?action=command HTTP/1.1" 200 2736
122.236.51.194 - - [01/Dec/2015:05:58:58 -0500] "POST /eei/?action=command HTTP/1.1" 200 2725
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »