Linux.Sshdkit ataki serwerów Linux

Rosnąca liczba incydentów z udziałem złamania Linux serwerów www doprowadziły rosyjską firmę anty-wirus Doctor Web do prowadzenia dochodzenia w tej sprawie. Analitycy jej znaleźć, że koń trojański, nazwany przez Dr.Web Linux.Sshdkit, czasami był użyty do wykradania haseł na serwerach z systemem Linux.
Złośliwe oprogramowanie jest plik biblioteki dostępny dla 32 - i 64-bitowych wersji dystrybucji Linuksa. Jak Trojan rozprzestrzenia się nie jest jeszcze określone, ale istnieją powody by sądzić, że wykorzystuje krytyczne luki w zabezpieczeniach by zostać zainstalowane na zaatakowanych serwerach. Najnowsza wersja Trojan, znany jest 1.2.1, podczas gdy jednej z najwcześniejszych — 1.0.3 — rozprzestrzeniała się przez dłuższy czas.
Po udanej instalacji Trojan wstrzykuje swój kod do procesu sshd i używa ten proces autoryzacji procedur. Po rozpoczęciu sesja i użytkownik wprowadzi ich login i hasło, Trojan wysyła je do serwera zdalnego za pośrednictwem protokołu UDP. IP serwera kontroli jest ustawione na sztywno do złośliwego oprogramowania. Jednak co dwa dni, Trojan generuje nowy adres serwera polecenia zatrudniając nietrywialne procedury.
Linux.Sshdkit używa specjalnego algorytmu generowania dwóch nazw DNS, i jeśli odnoszą się one zarówno na ten sam adres IP, adres jest konwertowany na innym IP do którego Trojan wysyła skradzionych informacji. Procedura używa do generowania adresów serwera polecenia zobrazowano poniżej schematu blokowego.

Analitycy Doctor Web pozwalą przejąć kontrolę nad jednym z serwerów sterowania Linux.Sshdkit Lej krasowy i potwierdza się, że Trojan wysyła skradzione loginów i haseł do zdalnych komputerów.
Sygnatura konia trojańskiego została dodana do bazy danych wirusów Dr.Web. Doctor Web zaleca, że wszystkich administratorów serwerów Linux przeprowadzić kontrolę systemu. Jeśli plik/lib/libkeyutils * (od 20 do 35 KB) znajduje się w systemie, to jest oznaką infekcji.

2013-02-22