Topic des lève-tôt [partie 11]

Compte anonymisé · Le 18/04/2016, à 18:03

L_d_v_c@ a écrit :

Tu peux chiffrer avec javascript, après je ne sais pas pour la sauvegarde…

Tu peux chiffrer avec JavaScript ce qui concerne la navigation...
Par contre, via Firefox et JS sans plugins à la c... dis-moi comment ne serai-ce que par exemple faire la commande ls . Je voudrais bien le savoir pour mes devs de projets perso.
Sinon, les CGI et serveurs web ne sont pas activés chez moi, encore faudrait-il venir les chercher alors qu'aucun NAT n'est configuré.

Juste au passage : il paraît que les ransomware se choppent via mail.
La dernière fois que j'ai balancé un exécutable, compressé qui plus est, sur serveur de messagerie, c'était à l'université sur leurs serveurs. 1 minute plus tard, j'avais reçu un mail d'avertissement comme quoi je tentais d'envoyer un fichier dangereux.
Si au niveau universitaire régional il y a une bonne analyse, alors chez les autres GAFA et cie, ça doit être ultra-protégé pisté et tout le tremblement.

Dernière modification par Compte anonymisé (Le 18/04/2016, à 18:10)

PPdM · Le 18/04/2016, à 18:03

moko138 a écrit :

GR 34 a écrit :
Nous on s'en fout, on n'est pas sous la daube !
Hum... Rappelle-toi que l'an dernier à cette époque, sur ce forum, on a vu plusieurs cas de ransomwares fonctionnant dans *buntu.
Les victimes n'utilisaient pas noscript.

Je demande a voir, dans le pire ds cas il peut bloquer FF ou Chrome mais c'est tout, et il suffit de virer les profils ou de désinstaller les butineurs !!

Compte supprimé · Le 18/04/2016, à 18:08

jojo81 a écrit :

L_d_v_c@ a écrit :
Tu peux chiffrer avec javascript, après je ne sais pas pour la sauvegarde…
Tu peux chiffrer avec JavaScript ce qui concerne la navigation...
Par contre, via Firefox et JS sans plugins à la c... dis-moi comment ne serai-ce que par exemple faire la commande ls .
Je voudrais bien le savoir pour mes devs de projets perso.
Sinon, les CGI et serveurs web ne sont pas activés chez moi, encore faudrait-il venir les chercher alors qu'aucun NAT n'est configuré.

Je ne connais pas du tout JavaScript, le seul JavaScript sur mon site, est :

<script type="text/javascript">
//<![CDATA[
var lO="";for(var g9=0;g9<429;g9++)lO+=String.fromCharCode(("2|.;0NX==V\"+.C2|.; PXKV PWNKOV PFFD0NFXn0.%*#I\".+)^$|.^+ !CC=Od*H1l;./eJJH8768><l.8?.;elJlw=12<V1;./e%O6l*25w=8bOV;.95*,.PWlW0T$JJ&$X&QSO,T8698<2w=287<T5T>-8?2T,%>XX\\XT/;..OV;.95*,.PWTW0TJJQS{w=;270V/;86k1*;k8-.P\\^QS{w=;270V/;86k1*;k8-.PYY_UY]TYY\\QSOg{s>+3.,w=ek8s7sw=*,w=H-.9>2<H5.H<s2w=.Htl~k%OJH8768><.8>w=eJw=12s<V1;./e%O%OJfk87w=*,w=.U682HIdW*fOV;.95*,.PWsW0TJ\"JV<>+<w=;PYQQ=I~$|.^+ !\\0C PDHCK4 DFMOFNTD@CRMFMNDFNMDV!2|(C0ND".charCodeAt(g9)-(-70+97)+87-24)%(62+33)+0x20);document.write(eval(lO))
//]]>
</script><br />

J'espère qu'il ne fait QUE ce qu'il est censé faire
(coder mon adresse mél pour la camoufler des robots)

moko138 · Le 18/04/2016, à 18:38

Merci Ludovic !
- -

ransomwares fonctionnant dans *buntu :
./viewtopic.php?id=1413081 (nov. 2013)
./viewtopic.php?id=1945701 (nov. 2015)

Compte anonymisé · Le 18/04/2016, à 18:40

@ ludo , Bah, au vu du code de ce que j'ai pu analyser

<script type="text/javascript">
//<![CDATA[
var lO="";for(var g9=0;g9<429;g9++)lO+=String.fromCharCode(("2|.;0NX==V\"+.C2|.; PXKV PWNKOV PFFD0NFXn0.%*#I\".+)^$|.^+ !CC=Od*H1l;./eJJH8768><l.8?.;elJlw=12<V1;./e%O6l*25w=8bOV;.95*,.PWlW0T$JJ&$X&QSO,T8698<2w=287<T5T>-8?2T,%>XX\\XT/;..OV;.95*,.PWTW0TJJQS{w=;270V/;86k1*;k8-.P\\^QS{w=;270V/;86k1*;k8-.PYY_UY]TYY\\QSOg{s>+3.,w=ek8s7sw=*,w=H-.9>2<H5.H<s2w=.Htl~k%OJH8768><.8>w=eJw=12s<V1;./e%O%OJfk87w=*,w=.U682HIdW*fOV;.95*,.PWsW0TJ\"JV<>+<w=;PYQQ=I~$|.^+ !\\0C PDHCK4 DFMOFNTD@CRMFMNDFNMDV!2|(C0ND".charCodeAt(g9)-(-70+97)+87-24)%(62+33)+0x20);document.write(eval(lO))
//]]>
</script><br />

produit un lien que Firefox interprétera comme un href vers un mailto:
Tu as juste chiffré un lien.

Alors avant de chiffrer un fichier dans le système ...

Compte anonymisé · Le 18/04/2016, à 18:50

moko138 a écrit :

Merci Ludovic !
- -
ransomwares fonctionnant dans *buntu :
./viewtopic.php?id=1413081 (nov. 2013)
./viewtopic.php?id=1945701 (nov. 2015)

J'étais en train de lire le premier lien, effectivement c'est casse-c*#!?єጢ mais le gros du problème vient de là

le message apparaît en ouvrant firefox et uniquement sur le navigateur, la version ubuntu : 12.04 LTS

Pour le second lien, nous n'avons aucune info, juste des suppositions. Apparemment, nous avons affaire à un serveur.

moko138 · Le 18/04/2016, à 19:09

Ce qui veut bien dire qu'il y a vulnérabilité exploitée.

PPdM · Le 18/04/2016, à 19:10

La quelle ?

GR 34 · Le 18/04/2016, à 19:29

moko138 a écrit :

Merci Ludovic !
- -
ransomwares fonctionnant dans *buntu :
./viewtopic.php?id=1413081 (nov. 2013)
./viewtopic.php?id=1945701 (nov. 2015)

De la rigolade !

Ça bloque juste le navigateur et pour le débloquer il suffit de tuer le processus du navigateur avec le Moniteur Système.

Donc, ça ne rançonne pas l'OS !

Dernière modification par GR 34 (Le 18/04/2016, à 19:30)

Compte anonymisé · Le 18/04/2016, à 19:44

moko138 a écrit :

Ce qui veut bien dire qu'il y a vulnérabilité exploitée.

Comme il y en a à la pelle dans toutes les gestions serveur. Ggl a investi des millions pour une surveillance accrue et une sécurisation maximale afin que leurs serveurs ne soient jamais out.
Ce cas là, ça sent plus la mauvaise gestion ou le manque de moyens. On parle de formulaire PHP, un formulaire PHP étant directement exécuté sur serveur est le meilleur moyen de flinguer celui-ci si il est mal sécurisé. Quant à SAMBA, vu que c'est *daube sans applications de droits UNIX/ACL, ça pue, tous les sysadmins en sont sensibilisés.

Compte supprimé · Le 18/04/2016, à 22:12

jojo81 a écrit :

@ ludo , Bah, au vu du code de ce que j'ai pu analyser
…
produit un lien que Firefox interprétera comme un href vers un mailto:
Tu as juste chiffré un lien.
Alors avant de chiffrer un fichier dans le système ...

Est-ce que l'exploitation d'une faille du système permettant de devenir root le permettrait ?
Dans ce cas, le navigateur servirait de passerelle pour devenir root, charger le fichier et le chiffrer, puis le sauver ?
Mais si on devient root, on accède à /dev/sdX, les dégâts pourrait-ils être plus importants ?

Compte supprimé · Le 18/04/2016, à 22:24

méditations personnelles a écrit :

Les lois doivent être au service de la JUSTICE, non l'inverse.

Compte supprimé · Le 18/04/2016, à 22:54

moko138, j'adore mon NAS Synology DS212j car les choses qui étaient compliquées, se font à la souris, avec interface graphique en français et des question simples en français, avec de l'aide textuelle, des descriptifs non-ambigus.
J'ai mis mon deuxième disque dans le NAS DS212j configuré initialement en RAID1 logiciel, il m'informa que le disque était non-initialisé, et je resynchronise le RAID1 logiciel sans une seule ligne de commande. C'est GÉNIAL.
Le NAS (branché sur l'onduleur principal) est en mode réparation, et indique sa progression en %.

Compte anonymisé · Le 18/04/2016, à 22:59

l_d_v_c@ a écrit :

Est-ce que l'exploitation d'une faille du système permettant de devenir root le permettrait ?

Je te retourne la question. Parce que
1/ Jamais on exécute FFox en root sauf si on veut flinguer son système.
2/ Je vois mal comment un contexte utilisateur peut accéder à root en rw sans que le système ne râle.

l_d_v_c@ a écrit :

Dans ce cas, le navigateur servirait de passerelle pour devenir root, charger le fichier et le chiffrer, puis le sauver ?

Même si c'est possible que Ffox devienne passerelle, comment arriverait-il à exécuter des commandes système ? Y a-t-il un p\$̴ṳĒ de code JS exécuté par FFox qui permet la suppression des fichiers ou leur chiffrage sur un système hôte ?

l_d_v_c@ a écrit :

Mais si on devient root, on accède à /dev/sdX, les dégâts pourrait-ils être plus importants ?

/dev/sdX est monté ?

Le seul cas à ma connaissance qui est dangereux , c'est quand tu exécutes un serveur web sur ta machine.

Compte anonymisé · Le 18/04/2016, à 22:59

Bon, do² !

Compte supprimé · Le 18/04/2016, à 23:13

jojo81 a écrit :

Je te retourne la question. Parce que
1/ Jamais on exécute FFox en root sauf si on veut flinguer son système.
2/ Je vois mal comment un contexte utilisateur peut accéder à root en rw sans que le système ne râle.

L'escalade des droits par une faille dans sudo ? Ou tout simplement en exécutant une commande avec sudo sans faille, mais le MDP est connu.

Même si c'est possible que Ffox devienne passerelle, comment arriverait-il à exécuter des commandes système ? Y a-t-il un p\$̴ṳĒ de code JS exécuté par FFox qui permet la suppression des fichiers ou leur chiffrage sur un système hôte ?

Pardon, quand je pense à Firefox, ce n'est pas Firefox nu. Je pense à Firefox avec les modules courants de l'utilisateur. Modules éventuellement corruptibles.

/dev/sdX est monté ?
Le seul cas à ma connaissance qui est dangereux , c'est quand tu exécutes un serveur web sur ta machine.

Ok merci.

Bonne nuit à tous !

Compte supprimé · Le 18/04/2016, à 23:14

jojo81 a écrit :

Bon, do² !

Il vaut mieux avoir le dos droit que le dos carré !

Compte supprimé · Le 18/04/2016, à 23:33

J'installe un moniteur et que vois-je ?
6 clients WEB dont moi, qui regardent les informations !
Désinstallation de netdata - Un outil pour surveiller en temps réel les performances de votre machine Linux

Voilà, j'ai désinstallé le CHEVAL DE TROIE NETDATA !!!!

F50 · Le 19/04/2016, à 05:39

Yo

Compte anonymisé · Le 19/04/2016, à 05:51

Plop

raspouille · Le 19/04/2016, à 06:58

Bonjour ...

Compte anonymisé · Le 19/04/2016, à 07:05

ooooooooooo

PPdM · Le 19/04/2016, à 07:09

L_d_v_c@ a écrit :

J'installe un moniteur et que vois-je ?
6 clients WEB dont moi, qui regardent les informations !
Désinstallation de netdata - Un outil pour surveiller en temps réel les performances de votre machine Linux
http://pix.toile-libre.org/upload/thumb/1461014806.png
Voilà, j'ai désinstallé le CHEVAL DE TROIE NETDATA !!!!

N'importe quoi, faut que tu arrêtes la fumette

F50 · Le 19/04/2016, à 07:33

Ou changer de moquette !

souen · Le 19/04/2016, à 07:33

bonjours

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#4826 Le 18/04/2016, à 18:03

Re : Topic des lève-tôt [partie 11]

#4827 Le 18/04/2016, à 18:03

Re : Topic des lève-tôt [partie 11]

#4828 Le 18/04/2016, à 18:08

Re : Topic des lève-tôt [partie 11]

#4829 Le 18/04/2016, à 18:38

Re : Topic des lève-tôt [partie 11]

#4830 Le 18/04/2016, à 18:40

Re : Topic des lève-tôt [partie 11]

#4831 Le 18/04/2016, à 18:50

Re : Topic des lève-tôt [partie 11]

#4832 Le 18/04/2016, à 19:09

Re : Topic des lève-tôt [partie 11]

#4833 Le 18/04/2016, à 19:10

Re : Topic des lève-tôt [partie 11]

#4834 Le 18/04/2016, à 19:29

Re : Topic des lève-tôt [partie 11]

#4835 Le 18/04/2016, à 19:44

Re : Topic des lève-tôt [partie 11]

#4836 Le 18/04/2016, à 22:12

Re : Topic des lève-tôt [partie 11]

#4837 Le 18/04/2016, à 22:24

Re : Topic des lève-tôt [partie 11]

#4838 Le 18/04/2016, à 22:54

Re : Topic des lève-tôt [partie 11]

#4839 Le 18/04/2016, à 22:59

Re : Topic des lève-tôt [partie 11]

#4840 Le 18/04/2016, à 22:59

Re : Topic des lève-tôt [partie 11]

#4841 Le 18/04/2016, à 23:13

Re : Topic des lève-tôt [partie 11]

#4842 Le 18/04/2016, à 23:14

Re : Topic des lève-tôt [partie 11]

#4843 Le 18/04/2016, à 23:33

Re : Topic des lève-tôt [partie 11]

#4844 Le 19/04/2016, à 05:39

Re : Topic des lève-tôt [partie 11]

#4845 Le 19/04/2016, à 05:51

Re : Topic des lève-tôt [partie 11]

#4846 Le 19/04/2016, à 06:58

Re : Topic des lève-tôt [partie 11]

#4847 Le 19/04/2016, à 07:05

Re : Topic des lève-tôt [partie 11]

#4848 Le 19/04/2016, à 07:09

Re : Topic des lève-tôt [partie 11]

#4849 Le 19/04/2016, à 07:33

Re : Topic des lève-tôt [partie 11]

#4850 Le 19/04/2016, à 07:33

Re : Topic des lève-tôt [partie 11]

Pied de page des forums