Desi initial a fost raportat inca de prin decembrie anul trecut, un troian foarte ciudat infectează servere Linux.

Cele mai des atacate servere sunt cele bazate pe RedHat (RHEL, CentOS, Fedora).
Următoarele fişiere sunt compromise la infectare (atacatorul trebuie să obţină drepturi de root pentru a instala rootkit-ul):

/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch

Fişierele originale sunt redenumite şi în acelaşi timp este creat câte un fişier de mărime zero, cu denumire similară:

/sbin/routewWmVTnBL6szkobbNZ9Iz
/sbin/routeGnAxnt168fMJAxHiru22

(more…)