Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Linux.Sshdkit attacca server Linux

22 febbraio 2013

Doctor Web — produttore russo di software antivirus — ha indagato sui casi sempre più frequenti di violazione dei server Linux. Tra i metodi di attacco, è stato scoperto un trojan che l’antivirus Dr.Web conosce come Linux.Sshdkit.

Linux.Sshdkit è una libreria dinamica le cui versioni possono funzionare nelle distribuzioni Linux a 32 bit e a 64 bit. I metodi di propagazione del trojan ancora non sono stati chiariti completamente, però possiamo ipotizzare che si installi sui server Linux attraverso le vulnerabilità critiche. L’ultima versione conosciuta di questo malware è quella con il numero 1.2.1. Una delle prime versioni, numerata 1.0.3, si diffonde da un tempo abbastanza lungo.

Una volta installato nel sistema, il cavallo di troia si incorpora nel processo sshd intercettando le funzioni di autenticazione di questo processo. Dopo che una sessione è stata iniziata e l’utente ha inserito il login e la password, questi dati si inviano a un server remoto in possesso dei malintenzionati utilizzando il protocollo UDP. L’indirizzo IP del server di comando si genera daccapo ogni due giorni. Per generare indirizzi, Linux.Sshdkit usa un algoritmo molto speciale.

Il trojan genera due nomi DNS secondo un algoritmo e se entrambi questi nomi si riferiscono allo stesso indirizzo IP, questo si converte in un altro indirizzo IP al quale il trojan trasmette le informazioni rubate. La figura sottostante spiega l’algoritmo di generazione indirizzi applicato dal trojan:

Tramite il metodo ben conosciuto “sinkhole”, il team di Doctor Web ha intercettato uno dei server di controllo di Linux.Sshdkit. Le osservazioni hanno confermato che il trojan trasmette a server remoti le credenziali di accesso rubate dai server Linux attaccati.

La firma antivirale di questa minaccia è stata aggiunta ai database di Dr.Web. Gli esperti di Doctor Web consigliano agli amministratori dei server Linux di eseguire un controllo del sistema operativo. Uno dei segni di infezione potrebbe essere la presenza della libreria /lib/libkeyutils* la cui dimensione varia dai 20 ai 35 Kb.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A