Вернуться на HostDB.ru Новости на HostDB.ru на Twitter Новости на HostDB.ru на LiveJournal Новости на HostDB.ru на Tumblr Новости в rss
Новости IT, хостинга
   Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10337
   комментариев: 3005

Обнаружен "самый изощренный" троян для Linux


Специалисты антивирусной компании Symantec рассказали о трояне для Linux, который поразил их своей изощренностью. С его помощью хакеры создали собственный бэкдор, чтобы использовать протокол SSH для скрытого управления удаленным сервером. В результате были похищены персональные данные клиентов хостинг-провайдера.

Атакующие понимали, что сеть провайдера обладает надежной защитой. Поэтому перед ними встала задача проникнуть в нее, не генерируя подозрительный трафик, что могло привлечь внимание службы безопасности. В итоге они разработали и внедрили троян, который открывал собственный бэкдор ("лазейку"), через которую хакеры могли бы управлять удаленной системой.

После внедрения троян Linux.Fokirtor передал в закодированном виде злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин.

Получив указанные реквизиты, хакеры смогли отправлять на удаленный сервер вполне легитимные запросы на выполнение различных команд, используя стандартный протокол SSH. При этом, чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.

Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, с целью поиска последовательности символов "двоеточие, восклицательный знак, точка с запятой и точка" (":!;.").

После обнаружения такой последовательности, служившей командой на чтение трафика, троян переходил в режим приема последующих данных и извлекал из них команды, зашифрованные с помощью технологий Blowfish и Base64. Сообщения, содержащие команды управления, могли выглядеть следующим образом: :!;.UKJP9NP2PAO4.

Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером, и их результаты отсылались обратно хакерам. Среди команд были и те, которые заставили сервер отправить персональные данные клиентов провайдера.

Атака на хостинг-провайдера указанным методом была совершена в мае 2013 г. Название компании в Symantec не сообщают.

Специалисты Symantec отмечают, что на фоне регулярных атак, которые происходят ежедневно, указанная атака носит исключительный характер. В частности, она отличается своей изощренностью. Ранее в Symantec подобные атаки не встречали.

Тэги Symantec, Linux, трояны, взломы, Linux.Fokirtor, SSH

Источник: cnews.ru

  18 ноября 2013 543
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 1 и 20*:            


Хостеры (2435)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)

Новости по теме
Выпуск Wine 1.7.54

Проект Tor начал тестирование собственной системы мгновенного обмена сообщениями

Релиз языка программирования Rust 1.4, развиваемого проектом Mozilla

Выпуск серверной JavaScript-платформы Node.js 5.0

Выпуск офисного пакета Apache OpenOffice 4.1.2

Критическая уязвимость в системе управления контентом Joomla

Доступен Linux-дистрибутив Ubuntu 15.10


Лучшие новости

Самые читаемые новости

Отправить сообщение администратору

Сумма чисел 36 и 9*:


© Новости на HostDB.ru, 2007-2024.
Яндекс цитирования
сообщить о неточности