PER UTENTI

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Ricerca
Ricerca

Supporto
Supporto 24/7 | Regole per contattare

Scrivi

Una richiesta attraverso il modulo

Chiama

+7 (495) 789-45-86

Forum

Richieste

Crea nuova richiesta

Chiama

+7 (495) 789-45-86

Profile

IT

RU CN DE EN ES FR IT JP KZ UZ PL BY
Chiudi
News

Notizie per argomento

Notizie sui virus
"Mondo antivirus!"
Ticker
Ufficio stampa

Torna alla lista delle notizie

Linux.Sshdkit attacca server Linux

22 febbraio 2013

Doctor Web — produttore russo di software antivirus — ha indagato sui casi sempre più frequenti di violazione dei server Linux. Tra i metodi di attacco, è stato scoperto un trojan che l’antivirus Dr.Web conosce come Linux.Sshdkit.

Linux.Sshdkit è una libreria dinamica le cui versioni possono funzionare nelle distribuzioni Linux a 32 bit e a 64 bit. I metodi di propagazione del trojan ancora non sono stati chiariti completamente, però possiamo ipotizzare che si installi sui server Linux attraverso le vulnerabilità critiche. L’ultima versione conosciuta di questo malware è quella con il numero 1.2.1. Una delle prime versioni, numerata 1.0.3, si diffonde da un tempo abbastanza lungo.

Una volta installato nel sistema, il cavallo di troia si incorpora nel processo sshd intercettando le funzioni di autenticazione di questo processo. Dopo che una sessione è stata iniziata e l’utente ha inserito il login e la password, questi dati si inviano a un server remoto in possesso dei malintenzionati utilizzando il protocollo UDP. L’indirizzo IP del server di comando si genera daccapo ogni due giorni. Per generare indirizzi, Linux.Sshdkit usa un algoritmo molto speciale.

Il trojan genera due nomi DNS secondo un algoritmo e se entrambi questi nomi si riferiscono allo stesso indirizzo IP, questo si converte in un altro indirizzo IP al quale il trojan trasmette le informazioni rubate. La figura sottostante spiega l’algoritmo di generazione indirizzi applicato dal trojan:

Tramite il metodo ben conosciuto “sinkhole”, il team di Doctor Web ha intercettato uno dei server di controllo di Linux.Sshdkit. Le osservazioni hanno confermato che il trojan trasmette a server remoti le credenziali di accesso rubate dai server Linux attaccati.

La firma antivirale di questa minaccia è stata aggiunta ai database di Dr.Web. Gli esperti di Doctor Web consigliano agli amministratori dei server Linux di eseguire un controllo del sistema operativo. Uno dei segni di infezione potrebbe essere la presenza della libreria /lib/libkeyutils* la cui dimensione varia dai 20 ai 35 Kb.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti