Новый троянец атакует Linux-серверы
В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux, компания «Доктор Веб» провела собственное расследование данных инцидентов. Специалисты выяснили, что одним из способов кражи паролей на серверах с ОС Linux стало использование троянца, добавленного в базы Dr.Web под именем Linux.Sshdkit.
Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Имеются основания полагать, что установка троянца на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам «Доктор Веб» версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.
После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам сервер посредством. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня меняется. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера.
Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.
Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли.
Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.
Источник: AllPhones.kz
Обсуждение новости
Предыдущие новости
Новый широкоформатный планшет Perfeo 1006-IPS12:57 26.02.2013Компания Videoservice, производитель электронных устройств под маркой Perfeo, представляет новую модель планшетного компьютера Perfeo 1006-IPS.
LG представляет новую линейку смартфонов с поддержкой сетей 4G LTE LG Optimus F16:38 25.02.2013Смартфоны LG Optimus F разработаны с использованием передовых технологий и поддерживают стандарт LTE. На выставке MCW 2013 состоится мировая премьера двух моделей новой линейки – LG Optimus F5 и LG Optimus F7.
ADATA объявляет о мировом анонсе беспроводного считывающего устройства DashDrive Air AE40014:36 20.02.2013ADATA Technology сообщает о выпуске DashDrive Air AE400. Это универсальное беспроводное считывающее устройство, которое может читать и передавать данные с USB-носителей и карт памяти SD, а также функционирует как блок питания и может заряжать другие мобильные устройства.
Сообщаем запуске новой услуги «Удобный безлимит» в Beeline!14:54 19.02.2013Хотите пользоваться мобильным интернетом безлимитно? Не хотите считать каждый скаченный мегабайт? Не хотите платить за те дни, когда Вы не пользуйютесь Интернетом? Тогда услуга «Удобный безлимит» - оптимальное для Вас решение.
teXet TB-126SE – новый 6-дюймовый E-Ink -ридер14:16 19.02.2013Компания «Электронные системы «Алкотел» представляет обновленную модель популярного 6-дюймового ридера с технологией E-Ink, «16 градаций серого». Сохранив привлекательный дизайн своей предшественницы, TB-126SE получила новый мощный процессор.
|
| |
