Windigo

Qu'est ce que Windigo ?

Windigo est un "virus" infectant les serveurs UNIX (entre autres) et qui utilise ces derniers pour envoyer des spams en grosse quantité.

Pour que le virus soit actif, une backdoor OpenSSH dénommée "Ebury" doit être installée manuellement sur les serveurs par les hackers.

Pour vérifier l'infection du système, il est nécessaire d'exécuter la commande suivante :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Cette commande peut paraitre compliquée alors qu'elle est, au contraire, toute simple.

Que fait-elle exactement ?

Si le système est infecté, la backdoor OpenSSH utilise l'option -G de la commande ssh qui normalement n'existe pas si le système est sain.

Pour faire simple, il suffit donc d'exécuter la commande ssh avec cette fameuse option (-G) pour voir si le système est compromis.

$ ssh -G
ssh: illegal option -- G

Si la commande retourne une erreur, comme celle indiquée ci-dessus, c'est que le système est sain.

A l'inverse, si aucune erreur n'est retournée par la commande, c'est que le système est compromis et qu'il faut donc, rapidement, y remédier.
Pour cela, il est nécessaire de formater le serveur et d'y réinstaller un système complet.
Il faut également changer tous les mots de passe et clés privées.