Dr.Web: За массовым взломом Linux-серверов стоит Linux.Sshdkit

Российский производитель антивирусных средств защиты информации – «Доктор Веб» - провел расследование  взломов web-серверов , которые работают на базе операционной системы Linux.

Согласно данным специалистов, одним из способов похищения паролей на серверах Linux стал троян, который при добавлении в базу Dr.Web получил название Linux.Sshdkit. Данная вредоносная программа является динамической библиотекой, работающей на 32-разрядных и 64-разрядных дистрибутивах Linux.

Пока специалистам не удалось полностью установить механизм, используемый для похищения паролей. Однако они выяснили, что установка вредоносной программы на атакуемые серверы осуществляется, используя критическую уязвимость .

После установки программы на систему, троян присоединяется к sshd-процессу и перехватывает аутентификационные данные. Затем учетные данные пользователя отправляются на удаленный сервер, который принадлежит злоумышленникам. Для того, чтобы адрес командного сервера генерировался каждые два дня, Linux.Sshdkit применяет следующий алгоритм: «Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию».

ИБ-специалистам удалось перехватить трафик к одному из управляющих серверов вредоносного трояна, используя метод sinkhole, что позволило выяснить наличие похищенных логинов и паролей со взломанных серверов.

Специалисты «Доктор Веб» рекомендуют администраторам серверов, работающих на базе ОС Linux, проверить операционную систему. «Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ», - сообщают они.

Более подробно ознакомиться с публикацией «Доктор Веб» вы можете здесь .