Антивирусные компании зафиксировали участившиеся случаи взлома серверов, функционирующих под управлением ОС Linux. В процессе изучения данных инцидентов, аналитикам удалось выяснить, что самым распространенным способом взлома стало применение троянского приложения Linux.Sshdkit (в антивирусной базе Dr.Web).
Вредоносная утилита Linux.Sshdkit является стандартной динамической библиотекой, которая имеет отдельные версии для 64- и 32-разрядных модификаций Linux. Механизмы распространения троянской программы пока не изучены, однако уже есть основания предполагать, что инсталляция на сервер происходит с использованием определенной критической уязвимости.
После инсталляции в систему троянское приложение интегрируется в процесс sshd, фиксируя функции аутентификации данного процесса. После того, как пользователь ввел свой пароль и логин, они сохраняются троянской утилитой и отправляются на внешний сервер злоумышленников при помощи протокола UDP. При этом IP-адрес центра управления «зашит» непосредственно в коде троянского приложения, однако адрес управляющего сервера каждые двое суток генерируется новый. Для этого вирус Linux.Sshdkit использует довольно своеобразный алгоритм, выбирающий имя командного сервера.
Linux.Sshdkit формирует при помощи специального модуля два DNS-имени. Если они оба ссылаются на одинаковый IP-адрес, данный адрес автоматически преобразуется в новый IP, на который вирус и отправляет конфиденциальные данные.
Специалистам удалось взять под контроль один из серверов управления вируса Linux.Sshdkit при помощи давно используемого способа sinkhole – это позволило получить подтверждение того, что вредоносная утилита отправляет украденные пароли и логины на удаленные компьютеры.
Сигнатура данного вируса уже занесена в антивирусные базы. Администраторам серверов, функционирующих под управлением ОС Linux, рекомендуется проверить операционную систему. В качестве одного из явных признаков инфицирования может служить существование библиотеки /lib/libkeyutils*, которая имеет размер от 20 до 35 килобайт.