Wykryto trojana atakującego serwery z Linuksem

15 czerwca 2013przeczytasz w 1 min.

Autor:Damian

Eksperci z rosyjskiej firmy Doctor Web odkryli trojana, który atakuje serwery z zainstalowanym systemem Linux.

doctor web wykryto trojana atakującego serwery linux

Analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli nowego trojana Linux.Sshdkit.6, który pozwala cyberprzestępcom uzyskać nieautoryzowany dostęp do danych na serwerach z systemem Linux. Z danych analityków wynika, że ofiarami trojanów z tej rodziny zostało do tej pory kilkaset serwerów.

Złośliwe oprogramowanie typu Linux.Sshdkit ukrywa się pod postacią bibliotek dla 32-bitowych i 64-bitowych dystrybucji Linuksa. Po udanej instalacji, trojan wszczepia swój kod do procesu sshd (odpowiedzialnego za udostępnianie szyfrowanego kanału do zdalnego łączenia się z danym serwerem i za identyfikowanie użytkownika), a następnie wykorzystuje jego mechanizmy autoryzacyjne.

Po uruchomieniu sesji i wprowadzeniu nazwy oraz hasła użytkownika, wirus wykrada te dane i przesyła je na zdalne serwery. W przypadku poprzednich wersji trojana Linux.Sshdkit, udało się przejąć kilka takich serwerów, a przy tym ustalić nie tylko liczbę zainfekowanych urządzeń, ale również ich adresy IP. Tylko w ostatnim miesiącu analitycy Doctor Web odkryli 562 zainfekowanych serwerów.

Nowa wersja tego złośliwego oprogramowania – Linux.Sshdkit.6 – ukrywa się pod postacią bibliotek dla 64-bitowych dystrybucji Linuksa. W obecnej wersji wprowadzono wiele zmian, aby utrudnić analitykom wirusów przechwycenie skradzionych haseł. Cyberprzestępcy zmienili m.in. metodę określania adresów serwerów, na które trojan wysyła skradzione informacje. Obecnie do obliczenia serwera docelowego używane jest specjalne hasło tekstowe, zawierające dane szyfrowane kluczem RSA wielkości 128 bajtów. Algorytm służący do generowania adresów zdalnych serwerów został przedstawiony na schemacie widocznym poniżej.

doctor web trojan serwer system 64 bit linux

Ponadto, zmieniony został algorytm wykorzystywany do kierowania trojanem Linux.Sshdkit.6: otrzymuje on specjalny ciąg znaków sterujących, z którego dekoduje polecenie do wykonania wraz z parametrami.

W związku z zagrożeniem ze strony nowego złośliwego oprogramowania, Doctor Web zaleca wszystkim administratorom serwerów Linux sprawdzenie systemu pod kątem tego zagrożenia.

Źródło: Doctor Web, inf. prasowa

Komentarze

Zaloguj się, aby skomentować

Konto usunięte
2013-06-1617:01
2
Panie i Panowie było napisane ,że podszywa się pod fałszywe paczki więc tylko ułomny administrator instaluje paczki z niewiadomego źródła. Sytuacja jest taka sama jak na Windowsie gdzie instaluje się na pałę programy nie patrząc na to jaki syf przy okazji doinstaluje ,a potem płacz ,że wirusa ma i itd.
Konto usunięte
2013-06-1614:41
1
G*wniany administrator zawsze znajdzie wirusa. Ale o jakiego linuxa chodzi? O wszystkie dystrybucje i jądrą na świecie? Raczej nie.
"Analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli .." od razu podchodzę do takich informacji z przymrużeniem oka.

pozdrawiam
krzywyzielarz
2013-06-1618:45
1
Jak Admin dupa to i serwer chodzi jak "kupa".

Konto usunięte
2013-06-1612:51
-3
I widzicie linuxowcy ? Wasz super niezawodny system może być również unicestwiony jak i windows z którego się nabijacie. Dobrze wam tak.
Przynajmniej mam z tego pociechę, że cwaniaki stracili obronny argument w dyskusji.
lasq09
2013-06-1715:15
-3
Cieszyły się pingwiny że na Linuxa nie ma wirusów to maja
Konto usunięte
2013-06-1509:12
-14
Tylko skont bierze się ten trojan w systemie?
Konto usunięte
2013-06-1614:15
0
A po co się męczyć i za każdym razem logować się do serwera gdzie potrafimy uzyskać dostęp jako root skoro dane same mogą się wysyłać/przefiltrować i włamywacz ma tylko interesujące go dane. Pozatym w logach nie ma co chwile ze ktoś się zalogował/wylogował więc mniejsze ryzyko wykrycia:)
Konto usunięte
2013-06-1714:52
0
Przecież oni nawet antywira nie instalują są jak dżdżownice na talerzu tylko kto by chciał to jeść
Konto usunięte
2013-06-1716:32
0
Gdzie mogę pobrać tego trojana?