Dr.Web: За массовым взломом Linux-серверов стоит Linux.Sshdkit

image

Теги: троян

Компания осуществила анализ вредоносного ПО, с помощью которого с серверов Linux похищались учетные данные пользователей.

Российский производитель антивирусных средств защиты информации – «Доктор Веб» - провел расследование взломов web-серверов, которые работают на базе операционной системы Linux.

Согласно данным специалистов, одним из способов похищения паролей на серверах Linux стал троян, который при добавлении в базу Dr.Web получил название Linux.Sshdkit. Данная вредоносная программа является динамической библиотекой, работающей на 32-разрядных и 64-разрядных дистрибутивах Linux.

Пока специалистам не удалось полностью установить механизм, используемый для похищения паролей. Однако они выяснили, что установка вредоносной программы на атакуемые серверы осуществляется, используя критическую уязвимость.

После установки программы на систему, троян присоединяется к sshd-процессу и перехватывает аутентификационные данные. Затем учетные данные пользователя отправляются на удаленный сервер, который принадлежит злоумышленникам. Для того, чтобы адрес командного сервера генерировался каждые два дня, Linux.Sshdkit применяет следующий алгоритм: «Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию».

ИБ-специалистам удалось перехватить трафик к одному из управляющих серверов вредоносного трояна, используя метод sinkhole, что позволило выяснить наличие похищенных логинов и паролей со взломанных серверов.

Специалисты «Доктор Веб» рекомендуют администраторам серверов, работающих на базе ОС Linux, проверить операционную систему. «Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ», - сообщают они.

Более подробно ознакомиться с публикацией «Доктор Веб» вы можете здесь.


или введите имя

CAPTCHA
Страницы: 1  2  
25-02-2013 19:51:43
Профи за работой, молодцы!
0 |
Гость
26-02-2013 01:16:09
Про самое интересное и не написали - про эту самую критическую уязвимость.
0 |
Гость
26-02-2013 01:28:08
По всей видимости они не знают метода
0 |
26-02-2013 09:26:32
После установки программы на систему, троян присоединяется к sshd-процессуИ кто ее установит?
0 |
Rupreht
26-02-2013 10:17:45
Есть например пакет: %rpm -ql keyutils-libs-1.2-1.el5 /lib64/libkeyutils-1.2.so /lib64/libkeyutils.so.1 /usr/share/doc/keyutils-libs-1.2 /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL /lib/libkeyutils-1.2.so /lib/libkeyutils.so.1 /usr/share/doc/keyutils-libs-1.2 /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL Не нужно его файлы удалять Спецы хоть бы про нормальные пакты упомянули, а то сейчас "чайники" по удаляют, да поребутят свои сервачки, вот прилипнут то... см. в root %rpm -qf /lib64/libkeyutils.so.1
0 |
User
26-02-2013 10:32:36
давайте все удаляем эту библиотеку а потом посмотрим что будет )))))))))))))))))))))))))))))))))))))
0 |
Страницы: 1  2