Virus : Cryptolocker

Un cryptolocker c’est quoi ?

C’est un virus informatique qui a pour but de crypter vos données afin de les rendre illisibles puis de vous proposer une solution pour décrypter vos données contre une somme d’argent (du racket high tech en gros 🙂 ). Le problème de ce virus, c’est que le cryptage est plutôt solide !

Comment se prémunir :

Avoir un bon antivirus. Mais ça ne suffit pas ! Ces virus sont souvent mis à jour et il est donc difficile pour les marchants d’antivirus de vous protéger de ces virus.

L’idéal étant d’être un peu soucieux de l’utilisation que l’on fait de sa machine et de ne pas cliquer sur n’importe quoi sans savoir, ce type de virus se propage principalement par email, j’ai remarqué deux modes : un par pièce jointe et un autre directement dans le corps du mail ! Il faut donc éviter les mails louches du genre « Je suis avocat et vous me devez de l’argent » ou encore « Facture Fxxx – 380€ » avec un expéditeur bizarre.

Vous pouvez aussi configurer correctement votre client mail :

  • Désactivez l’exécution des scripts dans un mail (Java et autres)
  • Désactivez le téléchargement systématique de toutes les pièces jointes

Il faut aussi envisager que la machine tombe malade :), et prévoir un plan B et C :

  • B : Pour les postes Windows (car je n’ai jamais vu de linux imparté par le cryptolocker ! ), activez le versionning sur le système de fichier. Cela vous permettra de récupérer vos données à une date antérieur au cryptage.
  • C : La sauvegarde sur un systéme externalisé, et j’insiste sur le « EXTERNALISE » parce que si la sauvegarde est raccrochée à la machine (en direct USB ou via un lecteur réseau) elle sera cryptée avec la machine et donc inutilisable 🙂

Comment se débarrasser d’un cryptolocker :

 

La réponse est plutôt simple et radicale :

  • Vous récupérez vos données avec le plan B ou C (s’il y a des données à récupérer)
  • Vous formatez et réinstallez votre machine !

Note : Avant de formater sa machine, on trouve comment le virus est entré et on supprime sa porte d’entrée (généralement un mail) 🙂

Configuration machine Serveur :

Pour les serveurs, il est conseillé d’activer le versionning sur les disques qui sont exposés par le réseau et d’avoir une sauvegarde (sauvegarde qui doit être contrôlée régulièrement et testée).

Vous pouvez aussi mettre en place un système qui vérifie le nombre de fichiers modifiés sur un intervalle de temps et vous envoyer une alerte.

BEST PRACTICES #1 – La salle serveur !

Cela parait bête a dire mais une salle serveur même minimaliste permet d’avoir un réseau fiable et sécurisé.

La définition d’une salle serveur selon moi

Une salle sécurisé ou l’on retrouve tous les équipements du réseau :

  • Le bandeau avec les RJ45 du bâtiment
  • Le switch de cœur de réseaux
  • Le routeur de sorti (voir le firewall)
  • Le serveur

Cette salle doit être fermer a clés et doit être accessible que par les personne autoriser a toucher le réseau soit :

  • Le chef d’entreprise (Parce que c’est dur de lui faire comprendre que c’est a lui mais qu’il faut pas y toucher).
  • La personne responsable des cassette de sauvegarde (Si il y a une).
  • L’administrateur système et réseau.

Cette salle doit être accésible :

  • Entant que technicien je vous conjure d’avoir un salle avec un peut d’espace
  • Un salle serveur avec de l’espace permet de travailler de marniere correcte.
  • Le manque d’espace peut entrainer des probléme lier au déplacement du technicien dans la baie (Oui je le jure!!!)

Cette salle doit avoir un systéme de refroidisement fiable :

  • Une climatisation
  • Une température idéale de plus ou moins 22°

Il faut aussi veiller a ce que cette salle ne soit pas inondable et si on peut pas avoir une salle en hauteur il faudra veiller a mettre les équipement important le plus au possible.

Les indispensable présent dans une salle serveur

Une baie serveur (profondeur 90cm) peut-être très utile dans une baie informatique elle permettra d’y stocké intégralité des équipements de manière organisé. Si on estime que la baie serveur n’ai pas utile, il obligatoire d’avoir au moins une baie réseau (profondeur 60cm) pour accueil les prise RJ45 (avec leur bandeau) et le switch.

Les chose a évité

Beaucoup de gens pense que parce que on utilise pas régulière cette salle on peut y stocker tout et n’importe quoi. Avec cette méthode j’ai pu voir de chose bizarre comme :

  • Le matériel des homme de ménage : avec un seau plein d’eau a moins d’un centimètre d’un serveur -_-.
  • Des toilette pour les client d’un magasin …

Nettoyage d’un serveur après dégât des eaux !!!

Ce post est une expérience que j’ai faite sur un serveur qui a subit un dégât des eaux. Je vous voir a quelle point le matériel est solide. Le serveur en question est un Fujitsu TX200 S6. Quand je l’ai récupérer il était remplie de bout et d’eau.

Pour le nettoyage j’ai démonter intégralité du serveur et j’ai ensuite laver chaque pièce. Puis j’ai laisser sécher chaque pièce. Pour eviter des problèmes de connexion j’ai pulvériser du WD40 sur tous les connecteur.

Les photos :

 

Sauvegarde d’un équipement sous Android

Pour sauvegarder un matériel Android il y a un méthode simple avec adb :

Pré-requis

  • Un matériel Android
  • Une ordinateur (sous Debian c’est mieux 🙂 )
  • adb installé sur ça machine
  • Le Débogage USB activé

Lancer la sauvegarde

adb backup -apk -shared -all -f sauvegarde.adb

Restaurer la sauvergarde

adb restore sauvegarde.adb

Transformer la sauvegarde en .tar (Linux uniquement)

dd if=sauvegarde.adb bs=24 skip=1|openssl zlib -d > sauvegarde.tar

Activer le IP over USB sur Android (Nexus 5)

Sur le téléphone :

su 
echo 0 > /sys/class/android_usb/android0/enable
echo 18d1 > /sys/class/android_usb/android0/idVendor
echo 4e24 > /sys/class/android_usb/android0/idProduct
echo rndis,adb > /sys/class/android_usb/android0/functions
echo 224 > /sys/class/android_usb/android0/bDeviceClass
echo 1 > /sys/class/android_usb/android0/enable
busybox ifconfig rndis0 172.16.200.1 netmask 255.255.255.0

Sur l’ordinateur (Debian Wheezy)

su
ifconfig usb0 172.16.200.254 netmask 255.255.255.0
ifconfig usb0 up

Faire de lancer le serveur ftp depuis le l’ordinateur :

adb shell "su -c 'tcpsvd -vE 0.0.0.0 21 ftpd -w /storage/emulated/legacy/'"

Lancer nautilus (Gnome3) sur le ftp :

nautilus ftp://172.16.200.1

Voila comment avoir un accès FTP sur sont téléphone (Plus simple a gérer que le mtp!!!).

Serveur FTP sur téléphone Android

Requis :

  • Busybox -> https://play.google.com/store/apps/details?id=stericson.busybox
  • Les droits root sur votre smartphone
  • adb sur votre ordinateur
  • Que le téléphone soit connecter au votre wifi

Mise en place :
Entré dans le shell du téléphone avec adb :

adb shell

Passer en route:

su

Récupérer l’ip du smartphone sur le réseau wifi:

ip a s dev wlan0

Lancer le serveur FTP sous android :

tcpsvd -vE 0.0.0.0 21 ftpd /storage/emulated/legacy/

Pour fermer le serveur FTP il suffira de faire CTRL + C.
Il ne reste plus qu’a vous connecter sur votre smartphone avec votre client ftp préfére.
Attention :Il n’y a pas d’authentification.

Déconnecter un utilisateur (SSH/LOCAL)

Etape 1 : Connaitre les personnes connecté

w
 15:34:44 up 14:44,  6 users,  load average: 0,14, 0,10, 0,07
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
anthony  tty7     :0               00:50   14:44m  9:53   0.07s gdm-session-worker [pam/gdm3]
anthony  pts/0    :0.0             13:45    1:08m  0.15s  0.15s /bin/bash
anthony  pts/3    :0.0             15:15   19:00   2.20s  0.68s /usr/bin/python /usr/bin/term
anthony  pts/5    :0.0             15:34    1.00s  0.00s  0.00s w
root     pts/2    :0.0             15:15    1:40   0.02s  0.02s ssh root@10.202.200.1
root     pts/4    :0.0             15:18   16:04   0.01s  0.01s /bin/bash

Etape 2 : Récupérer le PID de la session

Local

ps ax | grep tty1 | grep login
17280 tty1     Ss     0:00 /bin/login --

SSH

ps ax | grep pts/0 | grep sshd
 5529 ?        Ss     0:00 sshd: root@pts/0 
 5546 pts/0    S+     0:00 grep sshs

Etape 3 : On kill la session

kill 5529