Bon, si vous tournez encore sur du Apache 2.4.49 en 2025, j’ai une mauvaise nouvelle : des hackers utilisent probablement votre serveur pour miner du Monero depuis 4 ans et vous ne le savez même pas.

L’histoire commence avec la CVE-2021-41773, une faille de type “path traversal” dans Apache HTTP Server qui permet aux attaquants de naviguer dans l’arborescence de votre serveur comme s’ils étaient chez eux. Cette vulnérabilité a évidemment été patchée en octobre 2021 avec la version 2.4.51 mais on est en juillet 2025, et visiblement, y’a encore du monde qui n’a pas eu le mémo.

Les cybercriminels derrière cette campagne déploient actuellement un cryptominer baptisé Linuxsys. Pour ce faire, ils scannent le net à la recherche de serveurs Apache vulnérables, exploitent la faille pour y déposer leur miner, et hop, votre serveur se met à bosser pour eux.

Le truc marrant (enfin, façon de parler), c’est que cette opération rapporte des cacahuètes car d’après les analyses, le wallet des hackers reçoit environ 0,024 XMR par jour, soit à peu près 8 dollars. C’est le SMIC du cryptomining illégal… Mais bon, quand vous avez 400 serveurs qui bossent pour vous H24, ça finit par faire un petit pécule.

Techniquement, la faille CVE-2021-41773 permet donc de contourner les protections mises en place par Apache pour empêcher l’accès aux fichiers sensibles. En gros, au lieu de taper “../../../etc/passwd” (ce que Apache bloque), les attaquants encodent le deuxième point en “.%2e” et bim, ça passe. C’est con mais ça marche.

Voici à quoi ressemble une attaque typique :

GET /cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd HTTP/1.1

Et si vous avez le module mod_cgi activé avec “Require all granted” dans votre config (ce qui est une très mauvaise idée), les attaquants peuvent carrément exécuter du code sur votre machine. Là, c’est la fête du slip.

Et les cybercriminels ne stockent pas leur malware sur leurs propres serveurs. Non, non, ils compromettent des sites WordPress légitimes et s’en servent comme dépôt. Du coup, quand votre serveur télécharge le cryptominer, il le fait depuis un site avec un certificat SSL valide qui a l’air tout ce qu’il y a de plus normal.

Le script d’installation est d’ailleurs assez basique. Il télécharge le binaire “linuxsys”, un fichier de config, et installe une tâche cron pour que le miner redémarre automatiquement après un reboot. Les commentaires dans le code sont en soundanais (une langue indonésienne), ce qui donne une petite idée de l’origine des attaquants. Et les mecs derrière Linuxsys ne se contentent pas d’exploiter CVE-2021-41773 car ils ont tout un arsenal de vulnérabilités dans leur besace :

• CVE-2024-36401 sur GeoServer
• CVE-2023-22527 sur Atlassian Confluence
• CVE-2023-34960 sur Chamilo LMS
• CVE-2023-38646 sur Metabase
• Et même des failles récentes sur les pare-feux Palo Alto

En gros, si vous avez un truc pas à jour qui traîne sur Internet, y’a de bonnes chances que Linuxsys finisse par toquer à votre porte.

Alors, comment se protéger de cette merde ? C’est pas sorcier :

1. Patchez Apache, bordel ! La version 2.4.51 date d’octobre 2021. Si vous êtes encore en 2.4.49 ou 2.4.50, vous méritez presque de vous faire pwn.
2. Bloquez les domaines malveillants dans votre firewall, notamment repositorylinux.org et les sites WordPress compromis connus.
3. Surveillez votre CPU. Si votre serveur se met à consommer comme un gamer qui lance Cyberpunk 2077 en ultra, c’est louche.
4. Checkez vos connexions sortantes. Si vous voyez du trafic TLS vers pool.hashvault.pro, c’est mort, vous minez pour les autres.
5. Désactivez les modules Apache inutiles et surtout, ne mettez JAMAIS “Require all granted” sur tout votre filesystem. C’est comme laisser vos clés sur la porte d’entrée.

Le plus rageant dans cette histoire, c’est que cette campagne dure depuis 2021. Mêmes attaquants, même méthode, même malware. Ils ont juste à attendre que de nouveaux serveurs mal configurés apparaissent sur le net et voilà.

Et n’oubliez pas. Si vous gérez des serveurs, abonnez-vous aux alertes de sécurité d’Apache et des autres softs que vous utilisez. Ça prend 2 minutes et ça peut vous éviter de finir en sueur dans un article comme celui-ci.

Bref, ces méchants hackers n’ont pas besoin d’être des génies, ils ont juste besoin que vous soyez négligents… Alors allez vérifier vos versions d’Apache maintenant !

Source

Après 6 ans de développement acharné, RGB v0.12 vient enfin de sortir ! Il s’agit de smart contracts privés sur Bitcoin avec des preuves zero-knowledge, le tout sans toucher au protocole de base, alors si comme moi vous suivez l’évolution de Bitcoin depuis un looong moment, vous savez que c’est exactement ce qui manquait pour faire taire les fanboys d’Ethereum ^^.

Présenté par Maxim Orlovsky au BTCPrague 2025 le 10 juillet dernier, RGB v0.12 marque enfin le passage en production de ce protocole qualifié par certains de déterminant pour l’avenir du Bitcoin. Pour ceux qui débarquent, RGB (Really Good for Bitcoin) c’est donc un protocole qui permet de faire des smart contracts sur Bitcoin en utilisant la validation côté client. En gros, au lieu de tout balancer sur la blockchain comme Ethereum le fait (et payer des fees de malade), RGB garde les données privées et ne met sur Bitcoin que le strict minimum. C’est plutôt smart (contr… euh non rien) !

Là où les banques centrales mettaient autrefois des décennies à s’entendre sur les devises, les Américains n’ont mis que 6 mois pour s’entendre sur une régulation concernant les Stablecoins. En effet, le GENIUS Act vient d’être voté et je pense que ça va secouer plus fort qu’un bear market.

68 voix contre 30, c’est donc le score du vote historique du 17 juin 2025 au Sénat américain et pour la première fois dans l’histoire des États-Unis, les stablecoins ont désormais un cadre légal fédéral officiel. Ça représente quand même de plus de 150 milliards de dollars de tokens qui passent du statut de “zone grise réglementaire” à “légal et encadré”.