Новый троян крадет пароли на Linux-серверах

Об этом сообщают "CNews.RU".

Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Согласно предположению экспертов "Доктор Веб", установка трояна на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам компании версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.

После успешной установки в систему троян встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам сервер. IP-адрес управляющего центра "зашит" в теле троянской программы, однако адрес командного сервера каждые два дня меняется. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера, рассказали CNews в "Доктор Веб".

"Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троян и передает похищенную информацию", — пояснили в компании.

Специалистам "Доктор Веб" удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троян передает на удаленные узлы похищенные с атакованных серверов логины и пароли.

Администраторам серверов, работающих под управлением ОС Linux, специалисты "Доктор Веб" рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.

Читайте Comments.ua в Google News