Новый троян крадет пароли на Linux-серверах

Читайте также:

Специалисты «Доктор Веб» обнаружили трояна, добавленного в базы Dr.Web под именем Linux.Sshdkit, который используется злоумышленниками для кражи паролей на серверах с ОС Linux.

Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Согласно предположению экспертов «Доктор Веб», установка трояна на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам компании версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.

После успешной установки в систему троян встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам сервер. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня меняется. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера, рассказали CNews в «Доктор Веб».

«Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троян и передает похищенную информацию», — пояснили в компании.

image
Используемый трояном алгоритм генерации адреса командного сервера

Специалистам «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троян передает на удаленные узлы похищенные с атакованных серверов логины и пароли.

Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.

Источник: http://safe.cnews.ru/news/line/index.shtml?2013/02/25/520354

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Новый троян крадет пароли на Linux-серверах | | 2013-02-25 13:25:00 | | Статьи об Интернет безопасности | | Читайте также:Специалисты «Доктор Веб» обнаружили трояна, добавленного в базы Dr.Web под именем Linux.Sshdkit, который используется злоумышленниками для кражи паролей на серверах с ОС Linux. | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: