Новый троянец – атаки на Linux-серверы
В связи с участившимися случаями взлома Web-серверов, работающих под управлением ОС Linux, компания «Доктор Web» провела собственное расследование этих инцидентов. Как установили специалисты, одним из способов кражи паролей на серверах с ОС Linux стало использование троянца, который добавлен в базы Dr.Web под именем Linux.Sshdkit.
Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, существуют ее разновидности как для 32-, так и для 64-разрядных версий дистрибутивов Linux. Есть основания полагать, что троянец устанавливается на атакуемые серверы с использованием критической уязвимости. Последняя известная специалистам «Доктор Web» версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении уже довольно длительного времени.
После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам сервер. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня меняется. Для этого Linux.Sshdkit применяет своеобразный алгоритм выбора имени командного сервера: генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию.
Специалистам компании «Доктор Web» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли.
Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Администраторам серверов под управлением ОС Linux специалисты компании рекомендуют проверить ОС: одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 Кбайт.