Ukryte zagrożenia dla serwerów Linux / Unix

18 lipca 2014

Jednym z głównych trendów jaki panuje w świecie złośliwego oprogramowania w ostatnich latach jest nagły nacisk na malware atakujące serwery Linux i Unix. Poprzez ukierunkowanie ataków, twórcy wirusów wykorzystują już nie tylko luki w zabezpieczeniach serwerów Windows, ale przede wszystkim skupiają się na systemach, które nie są na bieżąco aktualizowane. Staromoda jest ciągle na topie – na linuxa nie ma wirusów, jeśli coś działa poprawnie, po co aktualizować? 

W tym roku opublikowany został artykuł czterech naukowców z Rosji na temat złośliwego oprogramowania wykorzystywanego do wstrzykiwania kodu w odpowiedziach HTTP na serwerach HTTP/proxy działających pod kontrolą Nginx. W zeszłym tygodniu naukowcy z Kaspersky Lab pisali na blogu o trojanie „Mayday”, który atakuje systemy/usługi sieciowe w celu uniemożliwienia im poprawnego działania. 

Kilka dni temu wspomniani naukowcy z Rosji opublikowali dokument, w którym analizują „Mayhem” – nowy rodzaj złośliwego oprogramowania, który działa na serwerach *nix i jest w stanie uzyskać maksymalne uprawnienia, nawet podczas pracy w środowisku z ograniczonymi uprawnieniami.

opublikowanej wcześniej analizy przez Malware Must Die! wynika, że wirus ten atakuje serwery poprzez skrypt PHP. Po zainstalowaniu się, złośliwe oprogramowanie działa w nieskończonej pętli i wykorzystuje HTTP POST do wysyłania i odbierania informacji z serwera C&C. Funkcjonalność rdzenia tego malware zależy od wielu pluginów, które są przechowywane w ukrytym systemie plików. Większość z tych pluginów rozszerza możliwości złośliwego oprogramowania i pomaga mu w wyszukiwaniu i infekowaniu innych serwerów WWW, bądź wykorzystuje atak brute force, aby uzyskać do nich dostęp.

Uzyskanie przez badaczy dostępu do dwóch serwerów C&C pozwoliło im stwierdzić, że szkodliwe oprogramowanie zaraziło co najmniej 1400 serwerów, z których większość znajduje się w USA, Rosji, Niemczech i Kanadzie. Odkryli również szereg pluginów, które wykorzystują lukę Heartbleed.

Pełną analizę Mayhem’a można zobaczyć w formacie HTML lub PDF.

źródło: VirusBulletin, Kaspersky, Malware Must Die!, własne

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone