Paquet unattended-upgrades / Package unattended-upgrades

Si vous souhaitez garder votre distribution linux à jour, vous pouvez installer le package unattended-upgrades. Ce paquet permet d’installer les mises à jour de sécurité ainsi que les mises à jour de logiciel installés sur le système d’exploitation.

Sur une ancienne version (dans le cas présent, 0.83.3.2+deb8u1) de unattended-upgrades, on peut rencontrer l’erreur suivante :

Extracting content from '/var/log/unattended-upgrades/unattended-upgrades-dpkg.log' since '2020-02-04 09:53:03.304883'

Traceback (most recent call last):

  File "/usr/bin/unattended-upgrade", line 1326, in <module>

    main(options)

  File "/usr/bin/unattended-upgrade", line 1271, in main

    log_content = get_dpkg_log_content(logfile_dpkg, install_start_time)

  File "/usr/bin/unattended-upgrade", line 1020, in get_dpkg_log_content

    with open(logfile_dpkg) as fp:

FileNotFoundError: [Errno 2] No such file or directory: '/var/log/unattended-upgrades/unattended-upgrades-dpkg.log'

La dernière ligne indique que le fichier log n’a pu être trouver… et par la même, il n’a pas réussi à le créer alors qu’on lance la commande en sudo. Pour résoudre le problème, rien de plus simple :

sudo touch /var/log/unattended-upgrades/unattended-upgrades-dpkg.log

On créé le fichier manuellement, et on relance la commande :

sudo unattended-upgrade -d

Plus d’erreur !

Formation sécurité informatique

Si vous souhaitez acquérir des bases dans le domaine de la sécurité informatique, vous pouvez vous tourner vers la société Sysdream (en autres) qui propose ce genre de formation accessible à un public non technique. La formation en question est d’une durée de 2 jours. Pour plus d’informations voir le site internet :

https://sysdream.com/formation-securite-informatique/securite-offensive-ethical-hacking/hacking-securite-les-fondamentaux/


Faille GNU Bash

En ce 25 septembre 2014, une faille à été découverte, elle concerne GNU Bash. Il est fortement recommander de mettre à jours vos serveurs pour éviter tout problème de sécurité.

Voir l’alerte sur CERT-France

Si vous souhaitez tester la vulnérabilité de votre machine :

env VAR='() { 0; }; echo danger' bash -c "echo bonjour"

Si le résultat est

danger

bonjour

Alors vous devez mettre à jour votre système d’exploitation.

Synology : désactiver l’authentification en 2 étapes via SSH

Si vous disposez d’un NAS de marque Synology et que vous avez activer l’authentification en 2 étapes, il est possible qu’après plusieurs envois de code d’urgence par e-mail celui-ci atteint le maximum (par défaut, 5 codes d’urgence peuvent être envoyer).

Synology vérification 2 étapes

Synology vérification 2 étapes

Résultat, vous restez à la porte…de votre NAS.

Pour désactiver l’authentification en 2 étapes via le protocole SSH, on se connecte en SSH sur le NAS puis l’on se dirige vers le répertoire :

cd /usr/syno/etc/preference/admin/ folder

Synology désactiver vérification 2 étapes via ssh

Synology désactiver vérification 2 étapes via ssh

Puis on supprime google_authenticator soit

rm google_authenticator

On confirme la suppression par y

On retourne sur l’interface web du NAS, on peut à nouveau s’authentifier sans avoir besoin d’un code généré par le smartphone (Google authenticator et Authenticator).

SynoLocker : Votre Nas Piégé

Au début du mois d’août des propriétaires de NAS Synology se sont retrouver avec la page web ci-dessous quand ils souhaitaient accéder à l’interface Web de ce dernier.

SynoLocker

SynoLocker

SynoLocker a infecter certains NAS qui n’avaient pas mis à jour le firmware de leur NAS depuis quelques mois, car la faille exploitée avait été patcher par Synology au mois de Décembre 2013.

Synolocker est un ransomware qui une fois installé va bloquer et crypter les données. Une rançon est demander pour décrypter les données… bien entendu rien ne garantie que le (ou les) individu(s) une fois payer vont effectivement vous rendre vos données. Le paiement est demander par Bitcoin.

Synology a mis en ligne un document concernant la sécurisation d’un NAS qui est disponible sur internet.

http://www.synology.com/fr-fr/support/tutorials/615

Par ailleurs, le (les) vilain(s) derrière(s) Synolocker ont mis à jour leur site en indiquant la mise à disposition de 5.500 clés privées qui n’ont pas été réclamer pour un montant de 200 bitcoins soit 70.000 euros. Ainsi qu’un supplément de délai pour les gens n’ayant pas procéder au paiement. Source : http://www.nextinpact.com/news/89284-synolocker-pirates-mettent-en-vente-5-500-cles-privees-pour-200-bitcoins.htm

Pour finir, nous voyons dans le cas de Synolocker que si les utilisateurs mettent à jour les produits qu’ils utilisent, ils peuvent éviter ce genre de désagrément.

Que ce soit un NAS, un serveur, une application, quand une mise à jour est disponible faite là… n’attendez surtout pas qu’un vilain est trouver la faille pour l’exploiter.

Truecrypt… la fin d’un projet ???

Une page qui n’avait pas connu de modification depuis pas mal de temps, une nouvelle version sortie en vitesse. Mais que cache la mort subite de TrueCrypt ???

La NSA serait elle passer par là ???

La question peut se poser sachant que les derniers audits de sécurité de TrueCrypt n’indiquez pas de faille importante pour ce dernier.

Le message (ci-dessous) sur le site TrueCrypt paraît incongru quand on sait cela…
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
Le conseil qui est également donné de migrer de TrueCrypt à BitLocker (Microsoft) bien mal venue.

Pour terminer, la version disponible sur le site en 7.2 qui est sortie rapidement alors que cela n’avait pas évolué depuis 2 ans. Les experts en sécurité n’encourage pas l’installation de cette version contenant fort probablement une porte dérobée (backdoor).

Bien des mystères qui entourent cette fin brutale d’un logiciel fort utile pour protéger ses données.

Url où vous pouvez trouver la bonne version TrueCrypt :

https://www.grc.com/misc/truecrypt/truecrypt.htm

NAS Synology DSM : mise à jour importante pour la sécurité de votre nas

Synology a envoyé un e-mail aux utilisateurs de ses NAS à propos de 2 failles importantes découvertes dans le logiciel DSM. IL est FORTEMENT conseillé de mettre à jour le plus rapidement possible.

http://www.synology.com/fr-fr/support/download

Voir l’annonce sur le forum FR

Voici le contenu de l’e-mail reçu dans la journée en English :

Dear Synology users,

Synology® confirmed known security issues (reported as CVE-2013-6955 and CVE-2013-6987) which would cause compromise to file access authority in DSM. An updated DSM version resolving these issues has been released accordingly.

The followings are possible symptoms to appear on affected DiskStation and RackStation:

Exceptionally high CPU usage detected in Resource Monitor:
CPU resource occupied by processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm, or any processes with PWNED in their names
Appearance of non-Synology folder:
An automatically created shared folder with the name “startup”, or a non-Synology folder appearing under the path of “/root/PWNED”
Redirection of the Web Station:
“Index.php” is redirected to an unexpected page
Appearance of non-Synology CGI program:
Files with meaningless names exist under the path of “/usr/syno/synoman”
Appearance of non-Synology script file:
Non-Synology script files, such as “S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”

If users identify any of above situation, they are strongly encouraged to do the following:

For DiskStation or RackStation running on DSM 4.3, please follow the instruction here to REINSTALL DSM 4.3-3827.
For DiskStation or RackStation running on DSM 4.0, it’s recommended to REINSTALL DSM 4.0-2259 or onward from Synology Download Center.
For DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology Download Center.

For other users who haven’t encountered above symptoms, it is recommended to go to
DSM > Control Panel > DSM Update page, update to versions above to protect DiskStation from malicious attacks.

Synology has taken immediate actions to fix vulnerability at the point of identifying malicious attacks. As proliferation of cybercrime and increasingly sophisticated malware evolves, Synology continues to casting resources mitigating threats and dedicates to providing the most reliable solutions for users. If users still notice their DiskStation behaving suspiciously after being upgraded to the latest DSM version, please contact security@synology.com.

Sincerely,
Synology Development Team

SPAM & Postfix

Voici une capture d’écran d’un logiciel de monitoring (Munin pour ne pas le cité) qui indique une forte accroissement d’activité du serveur de messagerie Postfix.

Spam sur postfix

Spam sur postfix

Dans le cas présent, il s’agissait de spam qui avait pour source un script php qui avait été injecter sur le serveur en question via une ancienne version d’une application web qui connaissait quelques problèmes de sécurité.