dodany: 13.03.2013 | tagi: , ,

Autor:

Nowy wirus atakuje serwery Linux

2

Obserwując coraz większą liczbę włamań na serwery z systemem Linux, analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli trojana, nazywając go Linux.Sshdkit, który jest wykorzystywany do wykradania haseł.

Złośliwe oprogramowanie ukrywa się pod postacią bibliotek dla 32-bitowych i 64-bitowych dystrybucji Linuksa. Jeszcze nie ustalono, jak rozprzestrzenia się Linux.Sshdkit, ale istnieją powody, by sądzić, że wykorzystuje krytyczne podatności, aby przejąć kontrolę nad atakowanymi serwerami.

Po udanej instalacji trojan wszczepia swój kod do procesu sshd, a następnie wykorzystuje jego mechanizmy autoryzacyjne. Po uruchomieniu sesji i wprowadzeniu nazwy oraz hasła użytkownika, wirus przesyła te dane do odległego serwera za pośrednictwem protokołu UDP. Adres IP serwera sterującego został umieszczony na stałe w kodzie złośliwego programu. Jednakże co dwa dni trojan generuje nowy adres serwera sterującego, używając do tego specyficznej właściwości.

Linux.Sshdkit korzysta ze specjalnego algorytmu generowania dwóch nazw DNS, a jeśli obie nazwy odnoszą się do tego samego adresu IP, to adres ten jest wymieniany na inny adres IP, na który trojan przesyła wykradzione informacje. Procedura służąca do generowania adresów serwera sterującego została przedstawiona na schemacie przepływu widocznym poniżej:

Schemat działania trojana Linux.Sshdkit

Algorytm działania trojana Linux.Sshdkit.

Analitycy Doctor Web przejęli jeden z serwerów sterujących Linux.Sshdkit i w ten sposób potwierdzili, że trojan przesyła wykradzione loginy i hasła na zdalne serwery. Sygnatura trojana Linux.Sshdkit została już dodana do bazy wirusów Dr. Web. Doctor Web zaleca wszystkim administratorom serwerów Linux sprawdzenie systemu. Jeżeli istnieje w nim plik /lib/libkeyutils* (od 20 do 35 KB), to jest to objaw infekcji

– mówi Joanna Schulz, specjalista z Doctor Web.

Jedną z metod na usunięcie wymienionego wyżej trojana jest skorzystanie z darmowego narzędzia Dr. Web CureIt!, dostępnego pod adresem freedrweb.com.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

2 odpowiedzi na “Nowy wirus atakuje serwery Linux”

  1. On the other hand, if your brand mark is too generic then there is no way that it would work for your company.
    There are currently four accredited naturopathic medical schools in the
    United States: National College of Naturopathic Medicine in Portland, OR, Bastyr University in Seattle,
    WA, Southwest College of Naturopathic Medicine in Tempe, AZ, and the University
    of Bridgeport in Bridgeport, CT. ” During the TFT sessions, the therapist uses sequences of finger taps on „acupressure points” of the hands, face, and upper body.

    my web site 山本謙吾 Kengo Yamamoto

  2. All this is a requirement for all reputable and major medical schools in Canada.
    About 2 months ago, I told the doctor that
    after the accident I had an x-ray on my back, but none of my neck.
    Just make the selection of some appropriate and well famed medical school for completing the further master studies.

    Look at my weblog :: Tokyo medical hospital Kengo Yamamoto

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *