image

Nederland derde met besmette Linux-servers

maandag 18 maart 2013, 11:31 door Redactie, 7 reacties

Een Trojaans paard dat Linux-servers besmet is na de Verenigde Staten en Oekraïne het actiefst in Nederland. Hoe de malware zich precies verspreidt laat het Russische anti-virusbedrijf Dr. Web niet weten, maar de Trojan zou zich als een library bestand voor 32-bit en 64-bit versies van Linux-distributies voordoen. Is de malware actief, dan injecteert die code in de SSH daemon.

Zodra een gebruiker op het systeem inlogt worden inloggegevens naar een remote server doorgestuurd. Het adres van deze server staat hard geprogrammeerd in de malware, maar daarnaast wordt er ook een nieuw adres gegenereerd. Hiervoor gebruikt de SSHdkit een opmerkelijke routine.

Besmetting
Het gaat om een speciaal algoritme om twee DNS namen te genereren. Als die beiden naar hetzelfde IP-adres wijzen, wordt dat adres naar een ander IP-adres geconverteerd waar de gestolen informatie naar toe wordt gestuurd.

Begin maart werden 476 geïnfecteerde Linux-servers ontdekt. Daarvan bevinden de meeste, 132, zich in de Verenigde Staten. De Oekraïne is met 37 tweede, gevolgd door Nederland met 29 servers (6,1%).

Reacties (7)
18-03-2013, 11:41 door Anoniem
Grappig wel weer dat die 476 besmette linux-servers allemaal last hebben van W32-malware :)
18-03-2013, 15:09 door SirDice
Door Anoniem: Grappig wel weer dat die 476 besmette linux-servers allemaal last hebben van W32-malware :)
Dan heb je 't niet goed begrepen.
18-03-2013, 17:10 door Anoniem
Let altijd op dat je in je firewall geen connecties naar buiten toestaat op een server die dat niet nodig heeft.
(bijvoorbeeld een webserver)
En voor zover je ze wel toestaat kun je altijd nog het soort connecties limiteren.
(bijvoorbeeld alleen SMTP)
18-03-2013, 19:11 door golem
Misschien bedoelt Anoniem/11:41 dat de besmette linux-servers vervolgens weer
windows machines met trojans besmetten.
Maar ik zie de grap er niet van in.
19-03-2013, 09:26 door Anoniem
Door Anoniem: Grappig wel weer dat die 476 besmette linux-servers allemaal last hebben van W32-malware :)


linux makt ook gebruik van een library. Dit heeft niks met windows te maken.
19-03-2013, 12:59 door Anoniem
De veiligheids van system of het gaat om Windows of Linux is afh. van jou als system/netwerkbeheer. Geen van beide is veilig van de geboorte!


mvg,

Fraidon
20-03-2013, 01:21 door marcelvb
Heeft iemand een idee over welke vulnerability het gaat?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.