Um rootkit desconhecido está infectando servidores web Linux e injetando códigos maliciosos em páginas distribuídas por servidores infectados. O rootkit foi descoberto por um usuário da lista de discussão Full Disclosure, que postou suas observações, incluindo o módulo kernel suspeito. O malware adiciona um iframe para cada página web servida pelo sistema infectado através do proxy nginx - incluindo páginas de erro.
Qualquer pessoa que visita uma página web no servidor é atacada por uma página especialmente criada, carregada via iframe. Criminosos costumam usar exploit como o BlackHole para examinar o sistema da vítima e estabelecer qual das séries de vulnerabilidades do Flash, Java e outros aplicativos podem ser exploradas. Uma vez que um buraco explorável é identificado, é utilizado para instalar um malware no sistema do visitante; o servidor é então usado para redirecionar os usuários para outro servidor web que infecta com malware sistemas que possuam manutenção deficiente, como é o caso do Windows.
A empresa de software antivírus Kaspersky Lab analisou o malware. Segundo eles, o rootkit, que duplicou o Rootkit.Linux.Snakso.a, é projetado para atacar sistemas de 64 bits e foi compilado para a versão do kernel 2.6.32-5, usado no Debian Squeeze. O rootkit adiciona a linha insmod /lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko no script /etc/rc.local, garantindo que o módulo malicioso seja executado cada vez que o sistema for inicializado. Após a inicialização, ele determina o endereço de memória de uma série de recursos do kernel, aos quais se encaixa em seguida. Isto permite ao rootkit tanto esconder-se do usuário como manipular o tráfego de rede do servidor, além de obter instruções de implementação de um servidor de comando e controle. Segundo a Kaspersky Lab, o rootkit pode estar ainda em desenvolvimento, já que foi compilado com informações de depuração.
O especialista em segurança Georg Wicherski também analisou o rootkit, e sugere que tenha sido desenvolvido por um “iniciante avançado”, que ainda não possui uma grande experiência com o kernel. De acordo com Wicherski, o invasor que implementou o rootkit encontra-se, possivelmente, baseado na Rússia.
FONTE: Linux Magazine OnLine