(495) 743-98-83
491624410

отправить вопрос

Покупателям Партнерам Форум по продуктам

 запомнить на этом компьютере
забыли пароль? регистрация  
Ваша корзина пуста
Мои заказы

Главная / Форум / Разное / Найдено в сети / Новый троян крадет пароли на Linux-серверах

Новый троян крадет пароли на Linux-серверах


Поиск  Пользователи  Правила 
Закрыть
Логин::
Пароль::
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Новый троян крадет пароли на Linux-серверах
25.02.13, Пн, 13:25, Мск

Специалисты «Доктор Веб» обнаружили трояна, добавленного в базы Dr.Web под именем Linux.Sshdkit, который используется злоумышленниками для кражи паролей на серверах с ОС Linux.

Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Согласно предположению экспертов «Доктор Веб», установка трояна на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам компании версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.

После успешной установки в систему троян встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам сервер. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня меняется. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера, рассказали CNews в «Доктор Веб».

«Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троян и передает похищенную информацию», — пояснили в компании.


Используемый трояном алгоритм генерации адреса командного сервера

Специалистам «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троян передает на удаленные узлы похищенные с атакованных серверов логины и пароли.

Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.

CNews
Страницы: 1
Новый троян крадет пароли на Linux-серверах

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Электронная почта: info@avsoft.ru
Контактная информация

© 2004-2013 Авсофт
Rambler's Top100 Я принимаю Яндекс.Деньги