IptabLes et IptabLex : des malwares qui enrôlent des serveurs Linux dans des botnets

Par:
fredericmazue

jeu, 04/09/2014 - 16:26

Administrateurs système, attention. Deux malwares sévissent en ce moment. Ils s'en prennent à des serveurs Linux pour enrôler ceux-ci dans un botnet, servant, entre autres réjouissances, à lancer des attaques DDoS massives.

C'est ainsi que Akamai qui alerte sur ce danger, dit avoir observé une attaques DDoS d'une bande passante de 119 Gbps, ce qui est considérable.

Les deux malwares se nomment IptabLes et IptabLex. Ils ne sont pas dépendants l'un de l'autre. Ils attaquent des serveux Linux mal administrés - Akamai dixit - et exploitent des vulnérabilités de Tomcat et/ou de Strut, ainsi que de Elasticsearch si celui-ci est mal configuré. L'attaque permet d'obtenir une élévation de privilèges.

Il est facile de savoir si vous êtes infectés. Si c'est le cas, vous trouverez des scripts de lancement dans la partition boot de votre serveur, à savoir boot/.IptabLes et /boot/.IptabLex.

Ces deux scripts, lorsqu'il sont invoqués au démarrage, lancent le binaire .IptabLes. Celui-ci contient une fonction de mise à jour du malware, par téléchargement d'un fichier sur un hôte distant.