Новый троянец атакует linux-серверы
В связи с участившимися случаями взлома веб-серверов, трудящихся под управлением ОС Linux, компания «Доктор Web» совершила собственное расследование данных инцидентов. Эксперты узнали, что одним из способов кражи паролей на серверах с ОС Linux стало применение троянца, добавленного в базы Dr.Web под именем Linux.Sshdkit.
Вирус Linux.Sshdkit представляет собой динамическую библиотеку, наряду с этим существуют ее разновидности как для 32-разрядных, так и для 64-разрядных предположений дистрибутивов Linux. Имеются основания считать, что установка троянца на атакуемые серверы осуществляется с применением критической уязвимости. Последняя узнаваемая экспертам «Доктор Web» версия данной вредоносной программы имеет номер 1.2.1, а одна из самые ранних — 1.0.3 — распространяется в течении довольно-таки долгого времени.
По окончании успешной установки в совокупность троянец встраивается в процесс sshd, перехватывая функции аутентификации. По окончании успешного ввода и установки сессии пользователем пароля и логина они отправляются на принадлежащий преступникам сервер при помощи. IP-адрес управляющего центра «зашит» в теле вредоносной программы, но адрес командного сервера каждые два дня изменяется.
Для этого Linux.Sshdkit использует очень необычный метод выбора имени командного сервера.
Linux.Sshdkit генерирует по особому методу два DNS-имени, и в случае если оба они ссылаются на одинаковый IP-адрес, то данный адрес преобразуется в второй IP, на что троянец и передает похищенную данные. Применяемый данной вирусом метод генерации адреса командного сервера продемонстрирован на иллюстрации ниже.
Экспертам компании «Доктор Web» удалось перехватить один из управляющих серверов Linux.Sshdkit с применением легендарного способа sinkhole — так было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов пароли и логины.
Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Администраторам серверов, трудящихся под управлением ОС Linux, эксперты «Доктор Web» советуют проверить ОС. Одним из показателей заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.
Тэги:Взлом/хакLinux OS
Источник: SmartPhone.ua