O que está causando os ataques a servidores Linux?

Disconnect

A resposta foi descoberta após o desenvolvedor russo de software para segurança da informação, conhecido como Dr. Web, conduzir sua própria investigação envolvendo servidores web Linux comprometidos. As análises descobriram que um cavalo de troia, apelidado de Linux.Sshdkit pelo Dr. Web, estava sendo empregado para roubar senhas em servidores executando Linux.

O malware é um arquivo de biblioteca disponível em versões de 32 ou 64 bits para distribuições Linux. A forma de disseminação utilizada pelo cavalo de troia ainda não foi determinada, mas há razões para acreditar que ele explore vulnerabilidades críticas para se instalar nos servidores atacados. A versão mais recente do malware, conhecida pelo Dr. Web, é a de número 1.2.1, enquanto que uma das primeiras, a 1.0.3, tem sido espalhadas já há algum tempo.

Depois de instalado com sucesso, o cavalo de troia injeta seu código no processo sshd, e passa a utilizar sua autorização de rotinas de processos. Uma vez que uma sessão é iniciada e o usuário entra com seu login e senha, o malware os envia para um servidor remoto via UDP. O endereço do servidor é codificado no interior do malware. Entretanto, a cada dois dias, o cavalo de troia gera um novo comando de endereçamento do servidor usando uma rotina não trivial.

Linux.Sshdkit utiliza um algoritmo especial para gerar dois nomes DNS, e se ambos se referirem ao mesmo endereço IP, este endereço é convertido para um novo endereço IP para onde o malware passa a enviar as informações roubadas.

O Dr. Web utilizou um sinkhole* para sequestrar um dos servidores de controle do Linux.Sshdkit e isto confirmou que o cavalo de troia envia as senhas e logins roubados para hosts remotos.

A assinatura do cavalo de troia foi adicionada aos bancos de dados de vírus do Dr. Web. Ele recomenda a todos(as) os(as) administradores de servidores Linux que executem uma checagem no sistema. Se o arquivo /lib/libkeyutils ( com tamanho em torno de 20 a 35 Kb ) for encontrado é um indicativo de infecção.

Fonte: EFYTimes.com.

* Redirecionamento de tráfego de dados de um IP específico com a finalidade de analisar e detectar atividades anômalas.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s