Internet

Wykryto trojana atakującego serwery z Linuksem

Eksperci z rosyjskiej firmy Doctor Web odkryli trojana, który atakuje serwery z zainstalowanym systemem Linux.

doctor web wykryto trojana atakującego serwery linux

Analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli nowego trojana Linux.Sshdkit.6, który pozwala cyberprzestępcom uzyskać nieautoryzowany dostęp do danych na serwerach z systemem Linux. Z danych analityków wynika, że ofiarami trojanów z tej rodziny zostało do tej pory kilkaset serwerów.

Złośliwe oprogramowanie typu Linux.Sshdkit ukrywa się pod postacią bibliotek dla 32-bitowych i 64-bitowych dystrybucji Linuksa. Po udanej instalacji, trojan wszczepia swój kod do procesu sshd (odpowiedzialnego za udostępnianie szyfrowanego kanału do zdalnego łączenia się z danym serwerem i za identyfikowanie użytkownika), a następnie wykorzystuje jego mechanizmy autoryzacyjne.

Po uruchomieniu sesji i wprowadzeniu nazwy oraz hasła użytkownika, wirus wykrada te dane i przesyła je na zdalne serwery. W przypadku poprzednich wersji trojana Linux.Sshdkit, udało się przejąć kilka takich serwerów, a przy tym ustalić nie tylko liczbę zainfekowanych urządzeń, ale również ich adresy IP. Tylko w ostatnim miesiącu analitycy Doctor Web odkryli 562 zainfekowanych serwerów.

Nowa wersja tego złośliwego oprogramowania – Linux.Sshdkit.6 – ukrywa się pod postacią bibliotek dla 64-bitowych dystrybucji Linuksa. W obecnej wersji wprowadzono wiele zmian, aby utrudnić analitykom wirusów przechwycenie skradzionych haseł. Cyberprzestępcy zmienili m.in. metodę określania adresów serwerów, na które trojan wysyła skradzione informacje. Obecnie do obliczenia serwera docelowego używane jest specjalne hasło tekstowe, zawierające dane szyfrowane kluczem RSA wielkości 128 bajtów. Algorytm służący do generowania adresów zdalnych serwerów został przedstawiony na schemacie widocznym poniżej.

doctor web trojan serwer system 64 bit linux

Ponadto, zmieniony został algorytm wykorzystywany do kierowania trojanem Linux.Sshdkit.6: otrzymuje on specjalny ciąg znaków sterujących, z którego dekoduje polecenie do wykonania wraz z parametrami.

W związku z zagrożeniem ze strony nowego złośliwego oprogramowania, Doctor Web zaleca wszystkim administratorom serwerów Linux sprawdzenie systemu pod kątem tego zagrożenia.

Źródło: Doctor Web, inf. prasowa

Komentarze

24
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    2
    Panie i Panowie było napisane ,że podszywa się pod fałszywe paczki więc tylko ułomny administrator instaluje paczki z niewiadomego źródła. Sytuacja jest taka sama jak na Windowsie gdzie instaluje się na pałę programy nie patrząc na to jaki syf przy okazji doinstaluje ,a potem płacz ,że wirusa ma i itd.
    • avatar
      Konto usunięte
      1
      G*wniany administrator zawsze znajdzie wirusa. Ale o jakiego linuxa chodzi? O wszystkie dystrybucje i jądrą na świecie? Raczej nie.
      "Analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli .." od razu podchodzę do takich informacji z przymrużeniem oka.

      pozdrawiam
      • avatar
        krzywyzielarz
        1
        Jak Admin dupa to i serwer chodzi jak "kupa".
        • avatar
          Konto usunięte
          -3
          I widzicie linuxowcy ? Wasz super niezawodny system może być również unicestwiony jak i windows z którego się nabijacie. Dobrze wam tak.
          Przynajmniej mam z tego pociechę, że cwaniaki stracili obronny argument w dyskusji.
          • avatar
            lasq09
            -3
            Cieszyły się pingwiny że na Linuxa nie ma wirusów to maja
            • avatar
              Konto usunięte
              -14
              Tylko skont bierze się ten trojan w systemie?
              • avatar
                Konto usunięte
                0
                A po co się męczyć i za każdym razem logować się do serwera gdzie potrafimy uzyskać dostęp jako root skoro dane same mogą się wysyłać/przefiltrować i włamywacz ma tylko interesujące go dane. Pozatym w logach nie ma co chwile ze ktoś się zalogował/wylogował więc mniejsze ryzyko wykrycia:)
                • avatar
                  Konto usunięte
                  0
                  Przecież oni nawet antywira nie instalują są jak dżdżownice na talerzu tylko kto by chciał to jeść
                  • avatar
                    Konto usunięte
                    0
                    Gdzie mogę pobrać tego trojana?