image

Trojaans paard infecteert 562 Linux-servers

donderdag 13 juni 2013, 10:15 door Redactie, 11 reacties

Een Trojaans paard dat Linux-servers infecteert, onder andere bij grote hostingproviders, heeft inmiddels 562 machines besmet en wordt actief onderhouden om detectie door anti-virusbedrijven te bemoeilijken. Het gaat om de Sshdkit Trojan, waarvan zowel een 32-bit als 64-bit versie bestaat. Eenmaal actief injecteert de Trojan kwaadaardige code in het sshd proces.

Deze code wordt gebruikt om de inloggegevens van gebruikers te stelen. Zodra een gebruiker inlogt worden zijn gebruikersnaam en wachtwoord naar een remote server gestuurd. Het Russische anti-virusbedrijf Dr. Web wist één van deze servers te kapen en kon zo het aantal besmette servers achterhalen.

Infecties
In mei stuurde de malware de gegevens van 562 besmette Linux-servers naar de Command & Control-server die Dr. Web had overgenomen. In maart stond de teller nog op 476. De makers van de Linux-malware hebben inmiddels een nieuwe variant voor 64-bit Linux-versies ontwikkeld.

Deze versie gebruikt een tekststring versleuteld met een 128-bit RSA encryptiesleutel om de remote server te bepalen waar de gestolen gegevens naar toe moeten.

"Aangezien Sshdkit criminelen in staat stelt om informatie te bemachtigen waarmee ze ongeautoriseerde servertoegang kunnen krijgen, vormt het een grote dreiging voor Linux-servers", aldus de virusbestrijder. Hoe de malware zich precies verspreidt is nog altijd onbekend.

Reacties (11)
13-06-2013, 10:19 door lucb1e
Oke allemaal leuk, maar hoe komt de malware binnen? Er zit toch geen zero-day in het sshd proces waardoor je zonder geldige credentials in kan loggen, of wel?
13-06-2013, 11:00 door Anoniem
Leuk sensatie bericht, maar zonder informatie over welke malware en hoe deze binnenkomt is het allesbehalve nieuwswaardig.
13-06-2013, 11:09 door Anoniem
oud nieuws, zie post van februari:

http://itsafetynews.blogspot.be/2013/02/malicious-code-sshdkit-attacks-linux.html

beetje aandacht trekken van DrWeb omwille van marketing?
13-06-2013, 11:44 door [Account Verwijderd]
[Verwijderd]
13-06-2013, 12:26 door Anoniem
Heeft dit ding al een CVE nummer? Als er ~500 van online zijn is het misschien handig je systemen na te kijken
13-06-2013, 13:51 door Anoniem
Ja jammer is dat want wat heb je dan aan dat bericht?
Nouja een ding dan, een tip om SSH goed te beveiligen.
Ik heb al jaren lang een access list op SSH waardoor het alleen vanaf bepaalde vaste adressen bereikbaar is.
De DENY van die lijst vangt heel wat connectie pogingen af... van mensen die er niks te zoeken hebben.
13-06-2013, 20:09 door [Account Verwijderd]
[Verwijderd]
13-06-2013, 22:52 door Anoniem
@mriam4711

Linux mint schoon installeren vanaf installatiebestand (hash controleren). Tripwire installeren / configureren. Dat doe je overigens niet "eventjes".

En af en toe even wireshark laten lopen om te zien wat er allemaal naar buiten gaat.
13-06-2013, 23:59 door Joep Lunaar
Het zou gaan om een trojaans paard. Dat is dat de bewoners van Troje het "paard" de stad binnenhalen, waarna de daarin verstopte soldaten de stad veroveren.
Geen gebrek in de programmatuur, maar een beoordelingsfout van de gebruikers en of systeembeheerder.
Als het is wat Dr. Web beweert, dan gaat het dus niet om een zwakte in de SSH daemon of de Linux kernel.
14-06-2013, 10:11 door Anoniem
128-bit RSA? Wait. give me 5 minutes.
14-06-2013, 17:39 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.