Nowy wyrafinowany rootkit atakuje serwery Linux

Po Sieci zaczęło krążyć nowe złośliwe oprogramowanie atakujące serwery Linux. Jest ono na tyle perfidne, że infekuje każdą znajdującą się na nich witrynę.

Nowo odkryte złośliwe oprogramowanie ukierunkowane jest na atakowanie serwerów Linux działających jako serwery WWW. Za jego pośrednictwem atakujący jest w stanie wprowadzić do każdej znajdującej się na zainfekowanym serwerze strony (nawet stron błędów) złośliwy kod.

Z dotychczasowych ustaleń wynika, że atakowane są przede wszystkim serwery pracujące pod kontrolą 64-bitowej wersji Debiana Squeeze. Specjaliści z Kaspersky Labs twierdzą, że odkryty rootkit, któremu nadali nazwę Rootkit.Linux.Snakso.a, uzyskuje możliwość infekcji szkodliwą ramką iFrame każdej strony poprzez podmienienie własnym kodem kodu, który tworzy pakiety TCP/IP (tcp_sendmsg).

Podkreślają przy tym, że rootkit przedstawia sobą nowe podejście do ataków drive-by download, które zazwyczaj oparte są na skrypcie PHP, a nie na wyrafinowanej metodzie polegającej na wprowadzaniu kodu do jądra systemu.

Kto go stworzył?

Georg Wicherski z firmy Crowdstrike twierdzi, że rootkit został najprawdopodobniej stworzony przez rosyjskiego hakera, który jednakże jego zdaniem nie ma dużego doświadczenia z linuksowym jądrem.


Zobacz również