Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Linux.Sshdkit attaque les serveurs Linux

Le 22 février 2013

Doctor Web a observé des cas de piratage de serveurs sous Linux et a réalisé une étude des ces incidents. Les spécialistes ont découvert que le trojan a été utilisé pour voler les mots de passe sur les serveurs sous OS Linux, il a été ajouté aux bases virales Dr.Web sous le nom Linux.Sshdkit.

Le programme malveillant Linux.Sshdkit est une bibliothèque dynamique, il existe des versions pour 32- et 64- bits Linux. Le schéma de propagation n’a pas encore été entièrement étudié, mais nous pouvons supposer l’existence d’une vulnérabilité critique. La dernière version détectée est 1.2.1, mais une des versions les plus anciennes, la version 1.0.3 se propage déjà depuis longtemps.

Suite à son installation, le trojan s’intègre dans le processus sshd en interceptant les fonctionnalités d’authentification du processus. Lorsque l'utilisateur entre le nom d'utilisateur et le mot de passe, ils sont envoyés sur le serveur distant des malfaiteurs via le protocole UDP. L’adresse IP du serveur de gestion se trouve dans le corps du programme trojan, mais elle est générée automatiquement tous les deux jours. Afin de la générer, Linux.Sshdkit applique un algorithme très particulier de choix de nom du serveur de gestion.

Linux.Sshdkit génère deux noms DNS selon un algorithme. Si les deux noms sont liés à la même adresse IP, cette adresse est modifiée dans une autre adresse IP, et c'est sur la dernière adresse que le trojan envoie les informations volées. L'algorithme utilisé est représenté dans le schéma ci-dessous.

Les spécialistes Doctor Web ont réussi à intercepter un des serveurs distants Linux.Sshdkit grâce à la méthode de sinkhole : ainsi nous avons la confirmation de la transmission des noms d'utilisateurs et des mots de passe des nœuds piratés.

La signature de cette menace a été ajoutée aux bases Dr.Web. Les spécialistes Doctor Web conseillent aux administrateurs de serveurs sous Linux de scanner leur OS. Une bibliothèque /lib/libkeyutils* de 20 à 35 Кo peut être un des signes d’infection.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg