Desi initial a fost raportat inca de prin decembrie anul trecut, un troian foarte ciudat infectează servere Linux.

Cele mai des atacate servere sunt cele bazate pe RedHat (RHEL, CentOS, Fedora).
Următoarele fişiere sunt compromise la infectare (atacatorul trebuie să obţină drepturi de root pentru a instala rootkit-ul):

/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch

Fişierele originale sunt redenumite şi în acelaşi timp este creat câte un fişier de mărime zero, cu denumire similară:

/sbin/routewWmVTnBL6szkobbNZ9Iz
/sbin/routeGnAxnt168fMJAxHiru22


Rootkit-ul se activează după primul reboot, şi –pe scurt– injectează în paginile web servite în mod dinamic un cod js compromis de tipul

Verificarea serverului:
Dacă nu reuşiţi să creaţi un folder cu nume format din cifre, sistemul este infectat:

[root\@cpanel ~]# mkdir 1
mkdir: cannot create directory `1′: No such file or directory

O verificare mai amănunţită impune urmărirea pachetelor de date (câteva minute):

tcpdump -nAs 2048 src port 80 | grep “[a-zA-Z]\{5\}\.js'”

Curăţarea sistemului:
Curăţarea nu este foarte simplă (au fost raportate infectări inclusiv la sisteme proaspăt reinstalate), dar primii paşi ar fi:

  1. reboot în mediu sigur (livecd reboot)
  2. refacerea fişierelor (copiere de pe un server curat)

Aceste măsuri nu garantează însă şi protecţia ulterioară a serverului.
============================================
Sursa: cPanel

Alte articole şi discuţii: WHT, Finjan, Arstehnica