В последнее время одним из популярных способов кражи паролей на серверах с ОС Linux стало использование троянца Linux.Sshdkit.
В связи с участившимися случаями взлома веб-серверов, работающих под управлением ОС Linux, компания «Доктор Веб» провела расследование данных инцидентов. В итоге было установлено, что одним из способов кражи паролей на серверах с ОС Linux стало использование троянца под именем Linux.Sshdkit.
принцип работы Linux.Sshdkit
Linux.Sshdkit генерирует два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию.
В процессе исследование удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли.
Администраторам серверов, работающих под управлением ОС Linux, рекомендуюется проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.