Os intrusos aparentemente substituiram a biblioteca libkeyutils por uma versão infectada com trojans, que registra nomes de usuário e senha que são enviados para a rede, oferecendo um backdoor pronto para acesso posterior. Este processo é menos visível do que a abordagem anteriormente conhecida, onde os atacantes comprometem inteiramente o processo SSHD.
Se um sistema é afetado, ele pode ser determinado com a ajuda do gerenciador de pacotes RPM:
rpm -qfV /lib*/libkeyutils*
O gerenciador de pacotes verifica os hashes MD5 de seu banco de dados com os arquivos encontrados, e quaisquer discrepâncias que possam estar contidas nos relatórios. Em sistemas Debian, o utilitário debsums fornece funcionalidades semelhantes, que devem ser instaladas primeiro. Em teoria, um rootkit pode manipular qualquer um destes testes, mas nos sistemas analisados este não foi o caso.
Saiba Mais:
[1] Heise On-line http://www.h-online.com/open/news/item/Linux-rootkits-abuse-SSH-service-1810569.html