В результате атаки Windigo вредоносным ПО поражены более 25 тысяч Linux и UNIX серверов

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

19 марта 2014 года

Компания ESET подготовила 69-страничный отчёт ( PDF, 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.

После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых извне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра или модифицировались исполняемые файлы http-серверов Apache, lighttpd или nginx для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. На DNS-серверах зафиксировано использование модуля для подмены результатов резолвинга для определённых доменов без изменения конфигурации сервера.

Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, компоненты атаки на http серверы использовались для Linux, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.

Сообщается, что нашумевшие взломы cPanel, kernel.org и серверов Linux Foundation были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G", если будет выведено сообщение о недоступности или некорректности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «В результате атаки Windigo вредоносным ПО поражены более 25 тысяч Linux и UNIX серверов», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=В_результате_атаки_Windigo_вредоносным_ПО_поражены_более_25_тысяч_Linux_и_UNIX_серверов&oldid=8695791