- PVSM.RU - https://www.pvsm.ru -
Вредоносное ПО, направленное против серверов под управлением Linux, позволяет злоумышленнику внедрить свой код в любую страницу, расположенную на зараженном сервере (включая страницы ошибок).
Среди специалистов бытует мнение, что руткит затачивался специально под сервера, управляющиеся 64-разрядной версией Debian Squeeze и Nginx.
Анализ руткита показал, что он осуществляет вставки HTML IFRAME на каждую страницу с зараженного сервера, заменяя код, создающий TCP/IP-пакеты (tcp_sendmsg), своим собственным.
Руткит, опознанный Лабораторией Касперского как Rootkit.Linux.Snasko.a, считается новинкой. Так как он заражает весь сервер, а не какие-то определенные страницы, он может повлиять на работу десятков и сотен сайтов, заразив, к примеру, сервер .
По словам специалиста из Crowdstrike [2], руткит с большой долей вероятности был создан русским хакером, у которого было не так-то много опыта. При этом спец добавляет, что подобный руткит можно успешно использовать в случаях, когда нужно произвести атаку на какую-либо целевую аудиторию и практически не оставить следов.
via [3]
Автор: Sterhel
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/linux/20756
Ссылки в тексте:
[1] хостинг-провайдера: https://www.reg.ru/?rlink=reflink-717
[2] По словам специалиста из Crowdstrike: http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html
[3] via: http://arstechnica.com/security/2012/11/new-linux-rootkit-exploits-web-servers-to-attack-visitors
[4] Источник: http://habrahabr.ru/post/159757/
Нажмите здесь для печати.