Internet

Wykryto trojana atakującego serwery z Linuksem

opublikowano przez Damian Szymański w dniu 2013-06-15

Eksperci z rosyjskiej firmy Doctor Web odkryli trojana, który atakuje serwery z zainstalowanym systemem Linux.

doctor web wykryto trojana atakującego serwery linux

Analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli nowego trojana Linux.Sshdkit.6, który pozwala cyberprzestępcom uzyskać nieautoryzowany dostęp do danych na serwerach z systemem Linux. Z danych analityków wynika, że ofiarami trojanów z tej rodziny zostało do tej pory kilkaset serwerów.

Złośliwe oprogramowanie typu Linux.Sshdkit ukrywa się pod postacią bibliotek dla 32-bitowych i 64-bitowych dystrybucji Linuksa. Po udanej instalacji, trojan wszczepia swój kod do procesu sshd (odpowiedzialnego za udostępnianie szyfrowanego kanału do zdalnego łączenia się z danym serwerem i za identyfikowanie użytkownika), a następnie wykorzystuje jego mechanizmy autoryzacyjne.

Po uruchomieniu sesji i wprowadzeniu nazwy oraz hasła użytkownika, wirus wykrada te dane i przesyła je na zdalne serwery. W przypadku poprzednich wersji trojana Linux.Sshdkit, udało się przejąć kilka takich serwerów, a przy tym ustalić nie tylko liczbę zainfekowanych urządzeń, ale również ich adresy IP. Tylko w ostatnim miesiącu analitycy Doctor Web odkryli 562 zainfekowanych serwerów.

Nowa wersja tego złośliwego oprogramowania – Linux.Sshdkit.6 – ukrywa się pod postacią bibliotek dla 64-bitowych dystrybucji Linuksa. W obecnej wersji wprowadzono wiele zmian, aby utrudnić analitykom wirusów przechwycenie skradzionych haseł. Cyberprzestępcy zmienili m.in. metodę określania adresów serwerów, na które trojan wysyła skradzione informacje. Obecnie do obliczenia serwera docelowego używane jest specjalne hasło tekstowe, zawierające dane szyfrowane kluczem RSA wielkości 128 bajtów. Algorytm służący do generowania adresów zdalnych serwerów został przedstawiony na schemacie widocznym poniżej.

doctor web trojan serwer system 64 bit linux

Ponadto, zmieniony został algorytm wykorzystywany do kierowania trojanem Linux.Sshdkit.6: otrzymuje on specjalny ciąg znaków sterujących, z którego dekoduje polecenie do wykonania wraz z parametrami.

W związku z zagrożeniem ze strony nowego złośliwego oprogramowania, Doctor Web zaleca wszystkim administratorom serwerów Linux sprawdzenie systemu pod kątem tego zagrożenia.

Źródło: Doctor Web, inf. prasowa

marketplace

Komentarze

24
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Panie i Panowie było napisane ,że podszywa się pod fałszywe paczki więc tylko ułomny administrator instaluje paczki z niewiadomego źródła. Sytuacja jest taka sama jak na Windowsie gdzie instaluje się na pałę programy nie patrząc na to jaki syf przy okazji doinstaluje ,a potem płacz ,że wirusa ma i itd.
  • avatar
    G*wniany administrator zawsze znajdzie wirusa. Ale o jakiego linuxa chodzi? O wszystkie dystrybucje i jądrą na świecie? Raczej nie.
    "Analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli .." od razu podchodzę do takich informacji z przymrużeniem oka.

    pozdrawiam
  • avatar
    Jak Admin dupa to i serwer chodzi jak "kupa".
  • avatar
    I widzicie linuxowcy ? Wasz super niezawodny system może być również unicestwiony jak i windows z którego się nabijacie. Dobrze wam tak.
    Przynajmniej mam z tego pociechę, że cwaniaki stracili obronny argument w dyskusji.
    Zaloguj się
    -3
  • avatar
    Cieszyły się pingwiny że na Linuxa nie ma wirusów to maja
    Zaloguj się
    -3
  • avatar
    Tylko skont bierze się ten trojan w systemie?
    Zaloguj się
    -14
  • avatar
    A po co się męczyć i za każdym razem logować się do serwera gdzie potrafimy uzyskać dostęp jako root skoro dane same mogą się wysyłać/przefiltrować i włamywacz ma tylko interesujące go dane. Pozatym w logach nie ma co chwile ze ktoś się zalogował/wylogował więc mniejsze ryzyko wykrycia:)
  • avatar
    Przecież oni nawet antywira nie instalują są jak dżdżownice na talerzu tylko kto by chciał to jeść
  • avatar
    Gdzie mogę pobrać tego trojana?