Depuis au moins 2011 et une première alerte avec la compromission de serveurs de la Linux Foundation, une opération cybercriminelle baptisée Windigo est passée sous les radars de détection.

serveurs Selon un rapport publié par ESET et en collaboration avec plusieurs agences nationales de sécurité, plus de 25 000 serveurs UNIX et Linux ont été compromis à un moment donné par un cheval de Troie et transformés en une véritable plateforme de diffusion de spam et malwares. Rien de moins que 35 millions de messages de spam par jour. Quelque 10 000 serveurs seraient encore sous le contrôle de Windigo.

Le constat est pour le moins inquiétant, d'autant que de l'ordre de 60 % des sites Web dans le monde sont hébergés sur un serveur Linux. ESET note que plus de 700 serveurs Web dirigent actuellement les internautes vers du contenu malveillant.

La menace pour l'internaute qui consulte un site infecté prend diverses formes en fonction du système d'exploitation qu'il utilise. Pour Windows, c'est le risque d'une installation d'un malware, tandis que pour OS X, Windigo préfère afficher des publicités pour des sites de rencontres. Même l'iPhone n'est pas oublié avec une redirection vers des contenus pornographiques.

Le but recherché par les cybercriminels peut être le vol de données personnelles et manifestement l'intention de gagner de l'argent.

Afin de compromettre les serveurs, les attaquants ont eu recours à une backdoor OpenSSH dénommée Ebury qui est installée manuellement par des cybercriminels. Ils ont donc tiré parti de mauvaises configurations et d'un manque de contrôles de sécurité après des vols d'identifiants. L'implémentation d'une solution d'authentification forte aux serveurs aurait pu faire barrage.

ESET précise en tout cas qu'il ne s'agit pas ici d'exploiter une vulnérabilité de Linux ou des outils libres pour des communications sécurisées utilisant le protocole SSH.

Aux administrateurs systèmes sous UNIX et aux webmasters, ESET recommande d'exécuter une commande afin de vérifier une compromission ou non :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Le cas échéant, ni plus ni moins qu'un formatage et une réinstallation doivent être envisagés...

" Nous sommes conscients que formater votre serveur et repartir de zéro est un traitement radical. Mais, si des hackers sont en possession d'un accès distant à vos serveurs suite au vol de vos identifiants administrateur, il ne faut prendre aucun risque "

, commente Marc-Etienne Léveillé, chercheur en sécurité chez ESET.

Il ajoute :

" Malheureusement, certaines victimes avec qui nous sommes en contact savent qu'elles sont infectées mais n'ont pour l'instant rien fait pour nettoyer leurs systèmes mettant ainsi en danger toujours plus d'internautes. "