Антивирусные компании зафиксировали увеличение количества инцидентов с взломом серверов на базе платформы Linux. В связи с этим специалисты компании «Доктор Веб» инициировали и провели собственное расследование. Им удалось выяснить, что одна их схем взлома основана на троянском приложении Linux.Sshdkit, при помощи которого злоумышленники похищали пароли. Вредоносная утилита Linux.Sshdkit является типичной динамической библиотекой, которая имеет две разновидности - для 32- и 64-разрядных модификаций Linux. Точный механизм распространения данного вируса пока полностью не раскрыт, но уже есть основания предполагать, что инсталляция на сервер производится при помощи критической уязвимости. Одна из ранних версий вредоносного приложения имеет номер 1.0.3 (распространяется относительно давно), а последняя известная – 1.2.1. Как сообщает ubuntu-news.ru, после успешного проникновения в систему вредоносная утилита пытается встроиться в процесс sshd, фиксируя функции аутентификации системного процесса. После того, как пользователь введет в форму свой логин и пароль, они фиксируются и отправляются на удаленный сервер злоумышленников (используется протокол UDP). Необходимый IP-адрес прописан непосредственно в коде Linux.Sshdkit, однако адрес центра управления формируется новый каждые двое суток. Для этого утилита использует довольно необычный алгоритм, выбирающий имя командного сервера. Вредоносная программа генерирует при помощи собственного алгоритма два DNS-имени. Если они ссылаются на одинаковый IP-адрес, он преобразуется в новый, на который вирус и отправляет украденные данные. Экспертам удалось получить полный контроль над одним из управляющих серверов Linux.Sshdkit, что позволило подтвердить предположение, что троянское приложение отправляет на внешний сервер сохраненные пароли и логины. Сигнатура вируса уже добавлена в антивирусные базы. Владельцам и администраторам серверов, использующих дистрибутив Linux, рекомендуется проверить систему. Одним из явных признаков инфицирования является появления библиотеки /lib/libkeyutils*, которая обладает размером 20-35 килобайт. |
Комментарии:
- Вышла прошивка 4.91 EVILNAT CF...
от ertetr - Вышла прошивка 4.91 EVILNAT CF...
Хоть кто-то из хакер...
от Олдфаг - Sony выпустила обновление ПО д...
Боря, учи матчасть -...
от FuZZeX - Хакеры взломали PlayStation Po...
толк от этого девайс...
от Berserk1 - Sony выпустила обновление ПО д...
А не прокатит ли это...
от Борис96 - Вышла прошивка 4.91 EVILNAT CF...
Я смотрю, старушку П...
от Джонни Браво - TheFloW покажет новый эксплоит...
Купил новую PS4 Slim...
от Марк - Как обстоит дело со взломом PS...
Ждём ещё 5 лет, чека...
от Марк - Запуск бэкапов PS5 игр на взло...
Кажется, что-то назр...
от Фома - TheFloW покажет новый эксплоит...
Жду верю надеюсь ,си...
от Demi
Самые полезные комментаторы:
-
JBreaker1069 ( +184/-11 )
-
Berserk150 ( +88/-2 )
-
Джонни Браво171 ( +87/-2 )
-
Ингвар33 ( +28/-3 )
-
Сергей448 ( +27/-6 )
Голосования
Троян Linux.Sshdkit атакует серверы под управлением GNU/Linux |
22.03.2013 23:51