Linux.Sshdkit атакует Linux-серверы
#1
Отправлено 22 Февраль 2013 - 15:59
<p><strong><newslead>В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux, компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — провела собственное расследование данных инцидентов. Специалисты выяснили, что одним из способов кражи паролей на серверах с ОС Linux стало использование троянца, добавленного в базы Dr.Web под именем <strong>Linux.Sshdkit</strong>.</newslead></strong></p>
<p>Вредоносная программа <strong>Linux.Sshdkit</strong> представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Механизм распространения троянца пока еще до конца не изучен, однако имеются основания полагать, что его установка на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам «Доктор Веб» версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.
</p>
<p>
После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого <strong>Linux.Sshdkit</strong> применяет весьма своеобразный алгоритм выбора имени командного сервера.
</p>
<p>
<strong>Linux.Sshdkit</strong> генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.
</p>
<p class="alignC"><a href="http://st.drweb.com/static/new-www/news/2013/february/sshdkit.png" class="preview"><img src="http://st.drweb.com/static/new-www/news/2013/february/sshdkit.1.png" alt="" /></a></p>
<p>Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов <strong>Linux.Sshdkit</strong> с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли.</p>
<p>Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.</p>
Читать оригинал
#2
Отправлено 23 Февраль 2013 - 23:20
Ну вот и развязка:
Salutations,
You are receiving this email because you have opened a ticket with our support staff in the last 6 months. cPanel, Inc. has discovered that one of the servers we utilize in the technical support department has been compromised. While we do not know if your machine is affected, you should change your root level password if you are not already using ssh keys. If you are using an unprivileged account with "sudo" or "su" for root logins, we recommend you change the account password. Even if you are using ssh keys we still recommend rotating keys on a regular basis.
As we do not know the exact nature of this compromise we are asking for customers to take immediate action on their own servers. cPanel's security team is continuing to investigate the nature of this security issue.
--cPanel Security Team
#3
Отправлено 24 Февраль 2013 - 19:50
cPanel это зло. Такое же как Webmin и пр. Все написанное полная ерунда. При грамотной настройке Linux сервера взломать его НЕВОЗМОЖНО! Другой вопрос кто и как настраивает, кто что ставит, откуда и зачем.
Раньше подобные сказки рассказывала ЛК. Потом к ним присоединился ЕСЕТ. Ну а теперь компания Dr.Web. Жаль... Ничего более интересного не нашлось? На кого это рассчитано? На дурачков которые в этом ничего не смыслят?
В закрытом разделе, кстати, тема есть, но что-то там никто из специалистов компании не высказался по существу.
#4
Отправлено 25 Февраль 2013 - 07:00
Специалистов не осталось, высказываться некому
#6
Отправлено 25 Февраль 2013 - 13:28
не понятно в чем противоречие цитаты с новостью.При грамотной настройке Linux сервера взломать его НЕВОЗМОЖНО! Другой вопрос кто и как настраивает, кто что ставит, откуда и зачем.
#7
Отправлено 25 Февраль 2013 - 15:04
А что за критическая уязвимость-то?
#8
Отправлено 25 Февраль 2013 - 15:50
А что за критическая уязвимость-то?
Организационная походу, у cPanel утекла клиентская база.
#9
Отправлено 25 Февраль 2013 - 22:35
А что за критическая уязвимость-то?
Организационная походу, у cPanel утекла клиентская база.
В общем, как всегда: самой главной проблемой безопасности linux является человеческий фактор.
#10
Отправлено 26 Февраль 2013 - 15:07
Aleksandra, это тоже сказки?
http://blog.sucuri.net/2013/02/cpanel-inc-server-compromised.html
http://www.webhostingtalk.com/showthread.php?t=1235797
#11
Отправлено 26 Февраль 2013 - 18:47
Здравствуйте, Сергей!Aleksandra, это тоже сказки?
Нет, это уже не сказки а разбор неграмотного администрирования. Сказки о том как стало опасно использовать Linux в качестве серверной ОС в первом сообщении данной темы.
За вторую ссылку спасибо. Выводы из написанного мы в любом случае сделаем.
#12
Отправлено 26 Февраль 2013 - 18:50
При грамотной настройке Linux сервера взломать его НЕВОЗМОЖНО!
Никогда не говори никогда. Вопрос времени..В макоси тоже не было вирусов.
#13
Отправлено 26 Февраль 2013 - 18:59
Сказки о том как стало опасно использовать Linux в качестве серверной ОС в первом сообщении данной темы.
Aleksandra, конкретно вот эта фраза: "В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux,..."
?
За вторую ссылку спасибо. Выводы из написанного мы в любом случае сделаем.
+
https://isc.sans.edu/diary/SSHD+rootkit+in+the+wild/15229
#14
Отправлено 26 Февраль 2013 - 19:27
И это и само название темы. Нужно было как-то по-другому написать. Из самой новости не понятно имели ли Ваши специалисты доступ на взломанный сервер или нет? По тексту больше смахивает на то, что не имели.
Сказки о том как стало опасно использовать Linux в качестве серверной ОС в первом сообщении данной темы.
Aleksandra, конкретно вот эта фраза: "В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux,..."
?
#15
Отправлено 27 Февраль 2013 - 13:23
И это и само название темы.
Действительно, это провокативное название.
Слово "взлом сервера" для обывателя означает, что виноват сервер . Это аналогично "взлом почтового ящика GMail", хотя на практике гугль не виноват, что кому-то подсадили троянца с функцией кражи паролей или тётя Клава на базаре разговаривая с кем-то по мобильному кричала чуть ли не на весь базар свой пароль для входа в систему (был лично свидетелем реального случая).
+ особенности человеческого мышления. Например, фраза "99% террористов - мусульмане." воспринимается нами как "99% мусульман - террористы" и первый встречный араб на улице для нас априори уже террорист.
Сообщение было изменено Serguey Shabashkevich: 27 Февраль 2013 - 13:36
#16
Отправлено 27 Февраль 2013 - 13:24
"В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux,..."
у нас на работе тоже такое было, аж 2 раза.
И виноват в этом не линукс, а кривые дырявые сторонние cms
#17
Отправлено 27 Февраль 2013 - 17:28
Действительно, секта
Если на Windows пользователь (причем не специалист по обслуживанию ОС) упорно (несмотря на все предупреждения), установит какой-нибудь "очень нужный" патч и у него уйдут пароли - это винда дырявая...
Если "неграмотное администрирование" Linux (причём специалистом, неважно каким, ещё на зарплате)
- нет, нет линух вне подозрений!
".. виноват в этом не линукс, а кривые дырявые сторонние cms " и всё что угодно, только не божественный Linux ...
Чес слово, подобные "защиты" лично у меня больше способствуют развитию неприятия линукса...
ИМХО
Сообщение было изменено Nick: 27 Февраль 2013 - 17:31
Windows 10 Pro x64, MS Office 2010 x64, Microsoft Edge, Dr.Web SS 12
#18
Отправлено 27 Февраль 2013 - 18:02
Nick, разница есть. Для компрометации/заражения винды достаточно ничего не делать с ней. Для компрометации/заражения линукса с ним непременно надо что-то делать
#19
Отправлено 27 Февраль 2013 - 18:11
Для компрометации/заражения линукса с ним непременно надо что-то делать
Например, сделать так, чтобы он заработал
R&D www.drweb.com
#20
Отправлено 27 Февраль 2013 - 18:19
sergeyko, шутки шутками, а я наконец сформулировал для себя, чем отличается винда от линукса
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых