• Rootkits e Comprometimento de Servidores Linux

    Os especialistas em segurança da Internet Storm Center relataram a ocorrência de um backdoor específico, que está sendo encontrado em servidores Linux comprometidos, a partir dos quais os cibercriminosos manipularam uma biblioteca no serviço SSH. Aparentemente, os principais sistemas baseados em RPM são afetados, mas a maneira como os atacantes conseguiram ter acesso ao servidor ainda não é conhecida.


    Os intrusos aparentemente substituiram a biblioteca libkeyutils por uma versão infectada com trojans, que registra nomes de usuário e senha que são enviados para a rede, oferecendo um backdoor pronto para acesso posterior. Este processo é menos visível do que a abordagem anteriormente conhecida, onde os atacantes comprometem inteiramente o processo SSHD.

    Se um sistema é afetado, ele pode ser determinado com a ajuda do gerenciador de pacotes RPM:

    rpm -qfV /lib*/libkeyutils*


    O gerenciador de pacotes verifica os hashes MD5 de seu banco de dados com os arquivos encontrados, e quaisquer discrepâncias que possam estar contidas nos
    relatórios. Em sistemas Debian, o utilitário debsums fornece funcionalidades semelhantes, que devem ser instaladas primeiro. Em teoria, um rootkit pode manipular qualquer um destes testes, mas nos sistemas analisados ​​este não foi o caso.


    Saiba Mais:

    [1] Heise On-line
    http://www.h-online.com/open/news/item/Linux-rootkits-abuse-SSH-service-1810569.html


    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L