Posted by MinO | 0 comments

Rootkit επιτίθεται σε Linux Hosting Servers


Παρά το γεγονός ότι το Linux είναι γνωστό για την ασφάλειά του, σε σχέση με τα άλλα λειτουργικά, δεν είναι ακόμα εντελώς άθραυστο.

Πρόσφατα, ένα νέο rootkit έχει μολύνει Linux hosting servers μολύνοντας με κακόβουλο κώδικα όλες τις ιστοσελίδες που εξυπηρετούνται από τους μολυσμένους servers.

Αυτό το rootkit ανακαλύφθηκε για πρώτη φορά από ένα σύμβουλο ασφαλείας ο οποίος είχε δημοσιεύσει σχετικά τον ύποπτο κώδικα. Σύμφωνα με τον ίδιο, το κακόβουλο λογισμικό προσθέτει ένα iframe για κάθε ιστοσελίδα που εξυπηρετείται από το μολυσμένο σύστημα μέσω του proxy nginx.

Έτσι όλοι οι επισκέπτες των ιστοσελίδων του διακομιστή θα δέχονταν στη συνέχεια επίθεση από μία ειδικά δημιουργημένη ιστοσελίδα που φορτώνεται σε ένα iframe.

Έπειτα οι Attackers όπου συνήθως εκμεταλλεύονται έτοιμα kit (πχ Blackhole)  εξετάζουν το σύστημα του θύματος για να διαπιστώσουν τα τρωτά σημεία σε Flash, Java και άλλες εφαρμογές έτσι ώστε να αξιοποιηθούν κατάλληλα.

Σύμφωνα με τα Kaspersky Lab, το rootkit, με την κωδική ονομασία Rootkit.Linux.Snakso.a, έχει σχεδιαστεί για συστήματα 64-bit και έχει συνταχθεί για την έκδοση του πυρήνα 2.6.32-5, που χρησιμοποιούνται σε Debian Squeeze.

Το rootkit προσθέτει τη γραμμή insmod / lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko στο / etc / rc.local , εξασφαλίζοντας έτσι ότι ο κακόβουλος μονάδα εκτελείται κάθε φορά κατά την εκκίνηση του συστήματος.

Μετά την εκκίνηση, καθορίζεται στη διεύθυνση μνήμης του μια σειρά από λειτουργίες του πυρήνα, όπου του επιτρέπει να παραμείνει κρυφό και να χειριστεί απομακρυσμένα το σύστημα παίρνοντας έτσι τον έλεγχο του.

Σημειώνεται δε από την Kaspersky, ότι το rootkit δημιουργήθηκε στη Ρωσία και είναι ακόμα υπό ανάπτυξη καθώς πιστεύεται ότι ο συντάκτης του δεν έχει ακόμη μεγάλη εμπειρία με τον Kernel.

0 comments: