Rootkit infecta servidores web Linux

Iniciado por jkmsjq, 22 de Novembro de 2012, 16:21

tópico anterior - próximo tópico

jkmsjq

Um rootkit desconhecido está infectando servidores web Linux e injetando códigos maliciosos em páginas distribuídas por servidores infectados. O rootkit foi descoberto por um usuário da lista de discussão Full Disclosure, que postou suas observações, incluindo o módulo kernel suspeito. O malware adiciona um iframe para cada página web servida pelo sistema infectado através do proxy nginx - incluindo páginas de erro.

Qualquer pessoa que visita uma página web no servidor é atacada por uma página especialmente criada, carregada via iframe. Criminosos costumam usar exploit como o BlackHole para examinar o sistema da vítima e estabelecer qual das séries de vulnerabilidades do Flash, Java e outros aplicativos podem ser exploradas. Uma vez que um buraco explorável é identificado, é utilizado para instalar um malware no sistema do visitante; o servidor é então usado para redirecionar os usuários para outro servidor web que infecta com malware sistemas que possuam manutenção deficiente, como é o caso do Windows.

A empresa de software antivírus Kaspersky Lab analisou o malware. Segundo eles, o rootkit, que duplicou o Rootkit.Linux.Snakso.a, é projetado para atacar sistemas de 64 bits e foi compilado para a versão do kernel 2.6.32-5, usado no Debian Squeeze. O rootkit adiciona a linha insmod /lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko no script /etc/rc.local, garantindo que o módulo malicioso seja executado cada vez que o sistema for inicializado. Após a inicialização, ele determina o endereço de memória de uma série de recursos do kernel, aos quais se encaixa em seguida. Isto permite ao rootkit tanto esconder-se do usuário como manipular o tráfego de rede do servidor, além de obter instruções de implementação de um servidor de comando e controle. Segundo a Kaspersky Lab, o rootkit pode estar ainda em desenvolvimento, já que foi compilado com informações de depuração.

O especialista em segurança Georg Wicherski também analisou o rootkit, e sugere que tenha sido desenvolvido por um "iniciante avançado", que ainda não possui uma grande experiência com o kernel. De acordo com Wicherski, o invasor que implementou o rootkit encontra-se, possivelmente, baseado na Rússia.


FONTE: Linux Magazine OnLine
LinuxUser: 548942 / Dando um tópico como resolvido
"A verdade só é agressiva a quem vive de mentiras". Autor desconhecido.
Twitter: @jeisonkertesz